Cinco errores al proteger la empresa de ciberdelincuentes

En la creación de la estrategia se llegan a cometer errores que vulneran a la empresa. Foto: Especial

Con el avance tecnológico, las empresas se han beneficiado de diferentes maneras para ser más productivas y competitivas; sin embargo, también están en mayor riesgo de sufrir ataques cibernéticos para obtener información y dañar el sistema interno, por lo que deben estar siempre preparados.

Por ello, se debe planear una adecuada estrategia de prevención y saber cómo actuar en caso de un ataque. El problema es que en el diseño, se llegan a cometer errores que vulneran más a la organización.

Con el fin de conocer en detalle el nivel de madurez de las empresas medianas en este ámbito, la consultora Grant Thornton encuestó a 2, 900 altos directivos. Los resultados ponen en evidencia algunas importantes carencias que trascienden el plano tecnológico, de las cuales las siguientes cinco son las más destacadas:

Desconocer los datos

En primer lugar, muchas empresas desconocen los datos de los que disponen.

Todas las empresas generan una cantidad de datos impresionante cada día.

"La forma más fácil y económica de almacenar toda esta información consiste en adoptar el modelo vertedero, es decir, guardarlo todo y mover a la nube la mayor cantidad posible de datos. Sin embargo, observamos que muchas de ellas lo hacen sin ni siquiera mantener un registro de lo que tienen", exponen desde Grant Thornton.

El estudio de esta firma sugiere que casi dos tercios empresas (65%) toman medidas para proteger sus datos, pero desconocen en gran medida la cantidad de datos de que se trata, qué hace con ellos y las consecuencias que podría tener el hecho de que su seguridad se viese comprometida.

Perfiles de riesgo

Una de cada tres organizaciones (36%) no asigna un perfil de riesgo a sus datos. Una posible explicación es que anteriormente la gestión del riesgo se centraba en gran medida en un número limitado de riesgos que podían cubrirse con una póliza de seguro. Como resultado de ello, los equipos de gestión de riesgos tradicionales no disponen de la experiencia necesaria para predecir, gestionar y valorar amenazas inmateriales como las infracciones de seguridad.

Tres de cada cuatro empresas encuestadas (78%), a su vez, establecen una base de protección informática sin determinar medidas concretas para defender sus datos más preciados.

En el peor de los casos, esto quiere decir que aplican cortafuegos de elevados costes para proteger datos de escaso valor, mientras que su información más crítica -aquélla necesaria para que la empresa realice su actividad básica- está más expuesta de lo que debería.

Resistencia al cambio

Como sucede con toda iniciativa interna basada en procesos, es probable que las organizaciones se enfrenten a la oposición de unos empleados a los que ya se les exige lo suficiente y que están muy ocupados con sus tareas diarias. No es de sorprender que algunos intenten eludir sus nuevas responsabilidades.

“Más preocupante resulta el hecho de que uno de los directivos con los que hemos hablamos para este informe descubrió que algunos de sus empleados clasificaban sus datos de forma errónea deliberadamente”, apunta el documento, que reconoce: “Es difícil dar con el equilibrio adecuado.”

Apoyo directivo

“Si no se mantiene un control al más alto nivel, es probable que cualquier iniciativa de datos con alcance al conjunto de la empresa esté abocada al fracaso. No es solo que los directivos deben asumir sus responsabilidades en esta materia y dar al programa la importancia que se merece, sino que además deben conseguir que quienes evalúen los datos conozcan claramente su importancia estratégica”.

Aparte de los altos directivos, puede ser conveniente implicar a profesionales de todos los ámbitos de la organización.

Falta de coherencia

A las grandes organizaciones les resulta difícil conseguir que su personal tenga una idea coherente sobre los datos. El hecho de que el riesgo asignado a un conjunto de datos puede cambiar con el paso del tiempo en función de su relevancia no hace sino agravar este problema.

“Tenemos procedimientos de control que ofrecen orientaciones sobre lo que es información confidencial. Sin embargo, no resulta posible crear una lista que abarque todos los conjuntos de datos. Algunos han tenido dificultades para decidir qué se debe incluir”, señala el documento.

CRÉDITO: 
Diario Financiero / RIPE