Los cinco errores en la batalla contra los cibercriminales

Ninguna empresa está a salvo de una pérdida o filtración de su información más valiosa. Con el fin de conocer en detalle el nivel de madurez de las empresas medianas (mid-market) en este ámbito, la consultora Grant Thornton encuestó a 2.900 altos directivos. Los resultados ponen en evidencia algunas importantes carencias que trascienden el plano tecnológico.

1.- ¿Qué datos tengo?

En primer lugar, muchas empresas desconocen los datos de los que disponen.

Todas las empresas generan una cantidad de datos impresionante cada día. "La forma más fácil y económica de almacenar toda esta información consiste en adoptar el modelo vertedero, es decir, guardarlo todo y mover a la nube la mayor cantidad posible de datos. Sin embargo, observamos que muchas de ellas lo hacen sin ni siquiera mantener un registro de lo que tienen", exponen desde Grant Thornton.

El estudio de esta firma sugiere que casi dos tercios empresas (65%) toman medidas para proteger sus datos, pero desconocen en gran medida la cantidad de datos de que se trata, qué hace con ellos y las consecuencias que podría tener el hecho de que su seguridad se viese comprometida.

2.- Perfiles de riesgo

Una de cada tres organizaciones (36%) no asigna un perfil de riesgo a sus datos. Una posible explicación es que anteriormente la gestión del riesgo se centraba en gran medida en un número limitado de riesgos que podían cubrirse con una póliza de seguro. Como resultado de ello, los equipos de gestión de riesgos tradicionales no disponen de la experiencia necesaria para predecir, gestionar y valorar amenazas inmateriales como las infracciones de seguridad.

Tres de cada cuatro empresas encuestadas (el 78%), a su vez, establecen una base de protección informática sin determinar medidas concretas para defender sus datos más preciados. En el peor de los casos, esto quiere decir que aplican cortafuegos de elevados costes para proteger datos de escaso valor, mientras que su información más crítica -aquélla necesaria para que la empresa realice su actividad básica- está más expuesta de lo que debería.

3.- Resistencia al cambio

Como sucede con toda iniciativa interna basada en procesos, es probable que las organizaciones se enfrenten a la oposición de unos empleados a los que ya se les exige lo suficiente y que están muy ocupados con sus tareas diarias. No es de sorprender que algunos intenten eludir sus nuevas responsabilidades.

"Más preocupante resulta el hecho de que uno de los directivos con los que hemos hablamos para este informe descubrió que algunos de sus empleados clasificaban sus datos de forma errónea deliberadamente", apunta el documento, que reconoce: "Es difícil dar con el equilibrio adecuado".

4.- Apoyo directivo

"Si no se mantiene un control al más alto nivel, es probable que cualquier iniciativa de datos con alcance al conjunto de la empresa esté abocada al fracaso. No es solo que los directivos deben asumir sus responsabilidades en esta materia y dar al programa la importancia que se merece, sino que además deben conseguir que quienes evalúen los datos conozcan claramente su importancia estratégica". Aparte de los altos directivos, puede ser conveniente implicar a profesionales de todos los ámbitos de la organización.

5.- Falta de coherencia

A las grandes organizaciones les resulta difícil conseguir que su personal tenga una idea coherente sobre los datos. El hecho de que el riesgo asignado a un conjunto de datos puede cambiar con el paso del tiempo en función de su relevancia no hace sino agravar este problema.

"Tenemos procedimientos de control que ofrecen orientaciones sobre lo que es información confidencial", afirma uno de los directivos entrevistados. "Sin embargo, no resulta posible crear una lista que abarque todos los conjuntos de datos. Algunos han tenido dificultades para decidir qué se debe incluir".