CIBERSEGURIDAD

Llegar al epicentro del ciberriesgo

Qué saben, dicen y hacen las empresas con respecto a sus datos más críticos 

Las empresas no saben prácticamente nada sobre los datos que poseen

Las empresas generan una cantidad increíble de datos todos los días. La forma más fácil y económica de almacenar toda esta información es adoptar el modelo del "vertedero", que implica guardar todo y subir la mayor parte posible a la nube. Pero a menudo vemos que muchas empresas hacen esto sin siquiera hacer un seguimiento de lo que tienen.

Nuestro estudio sugiere que menos de dos de cada tres empresas (65%) están tomando medidas para comprender los datos que poseen; en gran medida, no saben cuántos datos tienen, qué aportan y qué daño podría generar su robo o pérdida. Y si no tienen claras estas premisas básicas, ¿cómo pueden estar seguros de que los están gestionando de forma oportuna?

En la mayoría de sistemas de gestión de riesgos hay un gran agujero en forma de datos

Accede al informe completo
Descargar PDF [ 2182 kb ]

Más de una de cada tres (36%) organizaciones no asignan un perfil de riesgos a sus datos. Teniendo en cuenta lo que pueden llegar a perder si sus datos se ven comprometidos, este dato resulta sorprendente. Una explicación podría ser que, aunque los altos directivos saben que la ciberseguridad es un riesgo, no ven necesario respaldar plenamente los esfuerzos de mitigación. Otra explicación sería que el área de riesgos de las compañías se ha centrado tradicionalmente en una serie limitada de riesgos fácilmente gestionables a través de seguros comerciales. Por eso los equipos de riesgos tienen menos experiencia a la hora de predecir, gestionar y cuantificar las amenazas no físicas, como el robo o pérdida de datos. Esto tiene que cambiar.

Muchas empresas "lo protegen todo y no protegen nada''

Más de tres cuartas partes de las empresas (78%) están construyendo una base de ciberprotección sin establecer medidas específicas para salvaguardar sus datos más valiosos. En el peor de los casos, esto significa que están gastando recursos innecesarios en costosos cortafuegos que protegen datos de escaso valor, mientras que sus activos más críticos –los que son clave para que el negocio desarrolle su función principal– están más expuestos de lo que deberían.

Comprensión de los datos un cuidadoso ejercicio de planteamientos laterales y verticales

Para la mayoría de las organizaciones, sería prácticamente imposible evaluar y clasificar cada hoja de cálculo, correo electrónico o archivo de datos que se generan a diario. Además, es un proceso que no se puede automatizar completamente: comprender el riesgo y valor de los datos exige aplicar el criterio humano.

Para dar con el equilibrio adecuado se necesita imaginación: debemos ser capaces de pensar como un hacker e identificar los datos que más afectarían al negocio en caso de robo. 

CIBERSEGURIDAD
¿Está protegiendo su empresa los datos adecuados? Leer más
CIBERSEGURIDAD Las joyas de la corona: qué y por qué Leer más
CIBERSEGURIDAD Seguridad de datos: barreras para el éxito Leer más

Sin embargo, los planteamientos cualitativos también deben sopesarse con análisis cuantitativos. ¿Cuál sería el impacto económico de una pérdida grave de datos? ¿Sería el impacto siempre el mismo? ¿Y cuál es la probabilidad estadística de que ocurra?

Las personas, el eslabón más débil

La gestión de datos requiere tiempo y, para acometerla con éxito, es necesario integrarla en el día a día del negocio. Esto significa asignar responsables de esta actividad a nivel de empresa, y establecer "propietarios" específicos para los activos de datos. Sin embargo, para muchos empleados, esta responsabilidad se añadirá a una carga de trabajo ya de por sí muy elevada, y posiblemente traten de eludirla.

En el peor de los casos, algunos empleados se limitarán a identificar determinados datos como de "bajo riesgo" para evitar el trabajo extra. Por tanto, para gestionar el ciberriesgo de forma eficaz, las empresas deben anticiparse a todo esto y tomar medidas para evitar que se produzcan reacciones de este tipo.

3 principios clave para gestionar el riesgo de datos con eficacia

En primer lugar, la seguridad de los datos debe abordarse de manera sistemática como un riesgo con alcance a toda la empresa; deberá estar liderado por la alta dirección y ser aplicado por los empleados a nivel operativo. En segundo lugar, la comprensión de los datos debe integrarse en los proyectos desde el inicio, creando equipos multidisciplinares que establezcan las principales amenazas aplicables a la empresa. Por último, toda interacción - ya sean comunicaciones de la alta dirección o sesiones de formación - deben dotarse de un enfoque "humano" y no técnico. 

CIBERSEGURIDAD
El camino a seguir Leer más