La legislación, y no la protección, alienta la seguridad TI en la empresa
A pesar de que la propiedad intelectual corporativa supone el 62 % de los datos de una organización, los programas de seguridad se aplican más por el cumplimiento normativo que por la protección de los datos, según un informe de Forrester.
Los secretos de una empresa comprenden dos tercios de toda su información, tal y como revela un estudio sobre el valor de los secretos corporativos encargado a la consultora Forrester Research por Microsoft y RSA, para el que consultó a 300 organizaciones de Norteamérica, Europa y Australia. El informe resalta que cuanto más valiosa es la información, más incidentes de seguridad tendrá la empresa, quien sin embargo se centra más en la prevención de accidentes, como pérdidas accidentales o errores, que en el robo de información, donde realmente está el dinero. El documento también destaca el hecho de que es el cumplimiento de la regulación que atañe a la organización, y no la propia seguridad, el principal destino de los presupuestos del departamento de seguridad TI.
Según Forrester, las organizaciones tienen dos tipos de datos a proteger: los secretos y datos custodiados. Los primeros se refieren a información que crea la empresa y que quiere mantener en secreto. Estos secretos están normalmente escritos de forma abstracta en un documento de Word, incluidos en presentaciones o en formatos de aplicaciones específicos, como CAD.
Respecto a datos custodiados, la consultora se refiere a información sobre clientes, registros médicos o tarjetas de pago que se convierten en “tóxicos” cuando se revelan o son robados. Realmente, los datos custodiados tienen poco valor intrínseco en sí mismos, pero cuando se obtienen por un tercero, se pierden o se hace un mal uso de ellos, la situación cambia. Los datos que son ordinariamente benignos se transforman en algo muy dañino para la empresa, que sale en titulares de prensa y recibe multas y quejas de los clientes. Forrester apunta que mientras la difusión de datos tóxicos es dramática y cara, los secretos son mucho más valiosos y son un “activo de información desprotegido e infravalorado”.
Pero una de las grandes conclusiones del estudio es el hecho de que, en lugar de la protección de los datos, es el cumplimiento normativo lo que justifica tanto los presupuestos como la toma de decisiones en torno a la seguridad.
El informe señala que aunque las empresas implantan soluciones de seguridad para proteger los datos sensibles, como encriptación, control de accesos o DLP, y la mayoría califican su efectividad como “muy alta”, realmente los CISO desconocen la efectividad de sus programas y controles de seguridad porque basan su calificación en el número de incidentes. Forrester aconseja a los directores de seguridad de la información establecer indicadores y métricas de rendimiento más concretos.
Asimismo, la consultora recomienda que los directivos de TI adopten tres medidas: identificar los activos de información más valiosos en todo el conjunto de datos; crear un “registro de riesgos” de los riesgos de seguridad de datos; y tratar de encontrar el equilibrio entre el cumplimiento de las leyes y la protección de los secretos.
Como conclusión, la firma de análisis recuerda que cuanto más valiosos son los datos, mayor es el riesgo, si bien el principal punto es que las empresas deben centrarse primero en la protección y luego en el cumplimiento. “Si no protege sus datos, no le quedará ningún negocio por el que preocuparse por cumplir las normas”.
