Ninguna empresa está a salvo de una pérdida o filtración de su información más valiosa. Con el fin de conocer en detalle el nivel de madurez de las empresas medianas (mid-market) en este ámbito, la consultora
encuestó a 2.900 altos directivos de 36 países. Los resultados ponen en evidencia algunas importantes carencias y errores que se cometen en el plano tecnológico.
Todas las empresas generan una cantidad de datos impresionante cada día. "La forma más fácil y económica de almacenar toda esta información consiste en adoptar el modelo vertedero, es decir, guardarlo todo y mover a la nube la mayor cantidad posible de datos. Sin embargo, observamos que muchas de ellas lo hacen sin ni siquiera mantener un registro de lo que tienen", afirman desde Grant Thornton.
El estudio de esta firma sugiere que casi dos tercios empresas (65%) toman medidas para proteger sus datos, pero desconocen en gran medida la cantidad de datos de que se trata, qué hace con ellos y las consecuencias que podría tener el hecho de que su seguridad se viese comprometida.
Perfiles de riesgo
Una de cada tres organizaciones (36%) no asigna un perfil de riesgo a sus datos. Una posible explicación es que anteriormente la gestión del riesgo se centraba en gran medida en un número limitado de riesgos que podían cubrirse con una póliza de seguro. Como resultado de ello, los equipos de gestión de riesgos tradicionales no disponen de la experiencia necesaria para predecir, gestionar y valorar
amenazas inmateriales como las infracciones de seguridad.
Tres de cada cuatro empresas encuestadas (el 78%), a su vez, establecen una base de protección informática sin medidas concretas que defiendan la información más valiosa. En el peor de los casos, esto quiere decir que aplican cortafuegos con elevados costes para proteger datos de poco valor, mientras que su información más importante -aquélla necesaria para que la empresa realice su actividad básica- está más expuesta de lo que debería.
Respuesta negativa al cambio
Como sucede con toda iniciativa interna basada en procesos, es probable que las organizaciones se enfrenten a la oposición de empleados a los que ya se les exige lo suficiente y que están muy ocupados con sus tareas diarias. No es de sorprender que algunos intenten eludir sus nuevas responsabilidades.
"Más preocupante resulta el hecho de que uno de los directivos con los que hemos hablamos para este informe descubrió que algunos de sus empleados clasificaban sus datos de forma errónea deliberadamente", apunta el documento. Además se admite que es encontrar "el equilibrio adecuado".
Apoyo directivo
"Si no se mantiene un control al más alto nivel, es probable que cualquier iniciativa de datos con alcance al conjunto de la empresa esté abocada al fracaso. No es solo que los directivos deben asumir sus responsabilidades en esta materia y dar al programa la importancia que se merece, sino que además deben conseguir que quienes evalúen los datos conozcan claramente su importancia estratégica", explica el informe.
Pero, además de los directivos y altos mandos de la compañía, se deben incluir profesionales de todos los ámbitos de la empresa.
Poca coherencia
A las grandes organizaciones les resulta difícil conseguir que su personal tenga una idea real sobre los datos. El hecho de que el riesgo asignado a un conjunto de datos puede cambiar con el paso del tiempo en función de su relevancia no hace sino agravar este problema.
"Tenemos procedimientos de control que ofrecen orientaciones sobre lo que es información confidencial", afirma uno de los directivos entrevistados. "Sin embargo, no resulta posible crear una lista que abarque todos los conjuntos de datos. Algunos han tenido dificultades para decidir qué se debe incluir".
¿Cuál es la solución?
En este marco, Grant Thornton propone a los ejecutivos aprender a pensar como un hacker. "Los directivos tendrán que estar dispuestos a ponerse en la piel de los ciberdelincuentes, entender las amenazas que suponen estos grupos y elaborar estrategias proactivas para proteger sus intereses comerciales", plantea la consultora.
"¿Qué conversaciones de
correo electrónico podría filtrar un antiguo empleado para comprometer a sus antiguos jefes? ¿Qué propiedad intelectual y secretos comerciales podrían interesar a una potencia extranjera? ¿Cómo podría utilizar sus datos un ciberdelincuente para intentar extorsionar a su empresa? Éstas son solo algunas de las preguntas que tienen que plantearse", concluye.
Para comentar debe iniciar sesión.