Que tienen que hacer las empresas para alcanzar la madurez en seguridad
Explotar la información antes de crear valor. Ésta es la principal recomendación que realiza PwC para que las empresas logren alcanzar la madurez en lo que a riesgos de la información se refiere. Además, tienen que saber identificar los riesgos para, posteriormente, disponer de un plan de continuidad.
Llega el turno de explicar qué es lo que, en opinión de PwC, tienen que hacer las empresas. Para Juan José Miguez, socio de riesgos tecnológicos de PwC, éstas “deberían explotar la información para crear valor. Son muchas las empresas que creen que entienden los riesgos y el valor de la información, pero se sienten frustradas por no estar abordando medidas eficaces para afrontar el asunto. La información es el activo más valioso que tiene una empresa. Y los clientes confían a las empresas sus datos más personales, por lo que éstas no se pueden permitir que la gestión de la información sea un mero apartado más en su lista de tareas”.
Tal y como explica Ignacio Chico, director general de Iron Mountain, “uno de los primeros pasos que tienen que adoptar las empresas es saber identificar los riesgos para, posteriormente, disponer de un plan de continuidad”.
“Queda trabajo por hacer y es importante, no sólo tomar conciencia de la necesidad, sino pasar a la acción e involucrar a los más altos estamentos en la toma de decisiones para lograr el apoyo en la implantación real de las medidas necesarias”, remarca Juan José Míguez.
El informe, además, detalla algunas de las acciones que pueden adoptar las empresas para evaluar si están preparadas o no para hacer frente a alguna complicación. Así, según éste se deberían de poner en marcha políticas para la eliminación y el almacenamiento seguros de la información confidencial; realizar pruebas de penetración externa; utilizar distintas normas y procedimientos para almacenar datos teniendo en cuenta diferentes periodos de retención de documentos y requisitos de protección de datos; disponer de tecnología para analizar los sistemas de detección y prevención de intrusiones; poner en marcha procedimientos de control en cuanto a accesos a edificios, zonas restringidas, archivos de la empresa y otro tipo de información confidencial; y clasificar los datos de una manera clara y actualizada.
“La clave del éxito de las iniciativas relacionadas con el riesgo de la información es integrar tanto la política como la evaluación en los procesos cotidianos. Por ejemplo, integrando los programas de formación sobre el riesgo de la información en las sesiones introductorias para empleados y luego comprobando la concienciación y poniendo al día al personal mediante la formación continua”, asegura el Índice.
