La honestidad es la mejor política, ¡incluso con las salidas de datos!
La salida de flujos de datos no es, por supuesto, un problema puramente informático. Pero los CIO, por su posición en la empresa, tienen la oportunidad de asegurarse de que abordarlo con honestidad es la única línea de actuación posible.
La encuesta a la que nos referimos se realizó este año en la conferencia RSA de Estados Unidos. Algunas conclusiones son aún más sorprendentes; al fin y al cabo, gran parte de los más de 1000 encuestados trabajan para empresas estadounidenses.
A diferencia de muchos países de Asia y Europa, en Estados Unidos la obligación de informar es muy estricta. Esto significa: ¡encubrir filtraciones de datos es sencillamente ilegal!
Sin embargo, muchas empresas prefieren guardar silencio sobre una fuga de datos: el daño causado por las sanciones de cumplimiento, los costes de limpieza o la prensa negativa es enorme. Los clientes o los inversores también podrían abandonar el barco, por no hablar del precio de las acciones.
Negocio arriesgado
Si los ciberdelincuentes quieren poner en peligro su organización, debe asumir que lo conseguirán. Como CIO o responsable de seguridad, al menos debería fomentar una cultura de apertura.
La notificación de incidentes de seguridad o incluso de "simples" sospechas debe ser bienvenida y no ser negativa. Sólo así habrá posibilidades de descubrir posibles incidentes en una fase temprana.
Esto requiere un marco determinado. El primer paso es un análisis exhaustivo de los riesgos. Solo entonces podrás sentarte con la dirección.
Se trata sobre todo de decidir qué riesgo está dispuesto a asumir. Cada organización tiene aquí ideas diferentes. Quienes estén dispuestos a asumir un riesgo mayor invertirán menos en seguridad de la información que a la inversa.
Una vez tomada esta decisión, el siguiente paso es invertir el presupuesto correspondiente en herramientas de gestión y mitigación de riesgos. De este modo, el departamento de TI ha creado unas buenas condiciones para "guardarse las espaldas".
Al fin y al cabo, ya no debería haber motivos para ocultar las salidas de datos. Si esto ocurre, a menudo se debe a incertidumbres, falta de estructuras o ausencia de una base de toma de decisiones basada en el riesgo.
Por desgracia, muy pocos forman explícitamente a sus empleados en el código de conducta deseado. En las grandes organizaciones se suele "aprender sobre la marcha". En las pequeñas y medianas, ni siquiera esto es así. Esto hace que a veces los incidentes "se estanquen" en el departamento de TI.
¿Código de conducta como punto ciego?
Por eso es tan importante establecer explícitamente un código de conducta. Éste también debe contener normas muy claras sobre la notificación de incidentes y sospechas, pero también sobre cómo tratarlos.
Por supuesto, esto supone un cierto esfuerzo. Sin embargo, tiene más sentido hacer el esfuerzo de antemano. En caso de emergencia, todo el mundo sabe cómo actuar, y la probabilidad de que todo salga bien es mucho mayor que si se toman decisiones ad hoc en el calor del momento.
También permite ver cada incidente como una oportunidad de mejora y no como un fracaso. Es una oportunidad para aprender y volver a sentarse con la dirección con las lecciones aprendidas.
Ya sea para afinar o reforzar el propio perfil, o (con suerte) para discutir un aumento del presupuesto. Y por si esto no fuera suficiente incentivo, también está el Reglamento General de Protección de Datos de la Unión Europea. Cuando entre en vigor en breve, tendremos requisitos y obligaciones de información tan estrictos como en Estados Unidos, incluidas sanciones muy severas en caso de infracción.
Así que esta debería ser otra buena razón para preparar e introducir en la empresa un enfoque basado en el riesgo. Porque con este trasfondo jurídico, lo honesto es lo que más dura, y es la mejor forma de mejorar la seguridad.