TENDENCIAS | Noticias | 11 JUN 2015

¿Por qué ser honesto es la mejor política cuando se produce una brecha de datos?

¿Es la honestidad la mejor política? Esto quedaba claro cuando éramos niños, pero a medida que nos hacemos mayores las cosas cambian e inevitablemente se vuelven más complicadas.
Trend Micro
Raimund Genes, CTO Trend Micro

Estoy seguro de que todos hemos dicho mentiras piadosas, por ejemplo, para no herir los sentimientos de un amigo cercano o familiar. En el mundo profesional, las certezas demasiado morales sobre lo correcto e incorrecto con frecuencia son rebatidas y, en algunos casos,  derribadas por razones de conveniencia a corto plazo. Menciono esto porque una nueva investigación ha revelado que el 20% de los profesionales de seguridad ha visto cómo sus compañías ocultaban brechas de datos.

Esto no es sólo una cuestión de TI, por supuesto. Pero, dada su posición en la jerarquía corporativa, los CIO tienen la oportunidad y la responsabilidad de garantizar que, en caso de que se produzca una violación de datos, la honestidad debe ser la única política.

La investigación se realizó en la Conferencia RSA de EE.UU. a principios de este año. Esto hace que los resultados sean doblemente sorprendentes dado que podemos asumir que una gran parte de los más de 1.000 asistentes entrevistados trabaja para empresas estadounidenses. A diferencia de la mayoría de los países europeos y asiáticos, Estados Unidos tiene leyes obligatorias de notificación de violación de datos, por lo que es ilegal ocultar incidentes donde la información personal y financiera del cliente se convierte en pública. 

En el Reino Unido y en otros países de Europa, donde aún no tenemos esas leyes, es fácil ver por qué las empresas querrían mantener en silencio una violación perjudicial de datos de clientes o propiedad intelectual. Aparte de las multas reglamentarias y los costes de limpieza y subsanación, los titulares negativos resultantes de una violación de datos pueden persuadir a clientes e inversores para abandonar el barco, perjudicando el precio de las acciones, los resultados y, por supuesto, el valor y la reputación de la marca.   

 

Negocios arriesgados
Pero los ciberdelincuentes de hoy son más inteligentes, ágiles y tienen la suficiente determinación como para entrar en una organización si se empeñan, y ante esto no hay mucho que se pueda hacer. Por lo menos, los CIO deben fomentar una cultura en la que no esté mal visto informar de los incidentes y deficiencias de seguridad. Sólo mediante el fomento de una mayor apertura, al menos dentro de la organización, se puede mejorar la seguridad de la información.

Pero esta apertura debe darse dentro de un marco claro.

El primer paso es llevar a cabo una evaluación completa de riesgos. ¿Cuáles son sus sistemas de negocio más críticos y cuáles sus mayores amenazas para ellos? ¿Cuánto va a costar mitigar estos riesgos con herramientas, técnicas y procedimientos de seguridad? Una vez que se ha trabajado esta parte, es momento de sentarse con la cúpula directiva y determinar cuál es su umbral de riesgo. Cada organización tiene un umbral ligeramente diferente de lo que se entiende por riesgo aceptable. Aquellos con un límite de riesgo más alto son propensos a invertir menos recursos en seguridad de la información, y viceversa. Entonces es momento de actuar sobre todo eso y, en consecuencia, de invertir en herramientas de gestión de riesgos.

Una vez que el departamento de TI ha hecho esto, cubre sus espaldas de manera efectiva. No debería haber ninguna necesidad de ocultar un incumplimiento posterior porque se han seguido las instrucciones paso a paso, según el “apetito” de riesgo de los directivos. Los encubrimientos se dan cuando hay incertidumbre, falta de estructura y de liderazgo, así como ausencia de toma de decisiones basadas en el riesgo.

 

Un punto ciego en la ética
El problema de las empresas que tratan de ocultar las brechas de datos se ve agravado por el hecho de que muy a menudo a los profesionales no se les da ningún tipo de formación en torno a la ética profesional. En las organizaciones más grandes con frecuencia se ven obligados a aprender en el trabajo, pero en las pymes es posible que ni siquiera sean mencionados. Esto puede dejar un punto ciego preocupante dentro del departamento de TI que hace que sea más probable que la cadena de notificación de incidentes se pase por alto.

Es muy importante asegurarse de que hay un código actualizado de conducta dentro del departamento con un conjunto claro de normas y procedimientos de presentación de informes de cualquier brecha. Todo está en la preparación; haga el trabajo duro ahora y cuando se produzca un incidente tendrá muchas más posibilidades de funcionar sin problemas. Entonces usted y su equipo pueden comenzar a ver cada incidente como una oportunidad más que como un fracaso. Una oportunidad para que la cúpula directiva se comprometa más, de incrementar el nivel de seguridad de la información y, con suerte, obtener financiación adicional.

Por si no fuera suficiente, la Ley General de Protección de Datos de la UE entrará en vigor en breve e incluye normas obligatorias de divulgación similares a las de Estados Unidos. Ésta debe ser una razón de peso para comenzar a preparar y acostumbrarse a centrarse en la gestión de riesgos. Cuando se trata de seguridad de la información, la honestidad realmente es la mejor forma en que podemos mejorar. 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información