Etiqueta: honestidad

¬ŅPor qu√© ser honesto es la mejor pol√≠tica cuando se produce una fisura de datos?

negocios-CIO-empresa}

¬ŅEs la honestidad la mejor pol√≠tica? Esto estaba claro¬†cuando √©ramos ni√Īos, pero a medida que vamos creciendo y llegamos a ser adultos¬†las cosas cambian e inevitablemente se vuelven m√°s complicadas.

Todos hemos dicho mentiras piadosas de alguna manera, un ejemplo es para no herir los sentimientos de un amigo cercano o familiar. En el mundo profesional, las verdades morales sobre lo correcto e incorrecto con frecuencia son debatidas y, en lagunas situaciones, son resultado de  razones a nuestro favor a corto plazo. Yo les escribo esto ya que en una nueva investigación se ha revelado que el 20% de los profesionales de seguridad han visto cómo sus empresas ocultaban fuga de datos.

Esto no s√≥lo cabe¬†√°mbito de las¬†Tecnolog√≠as de la Informaci√≥n (TI), por supuesto. Pero, dada su posici√≥n en¬†el ambiente¬†corporativo, los CIO tienen la oportunidad y la responsabilidad de garantizar que, en caso de que se produzca una violaci√≥n de datos, como √ļnica¬†pol√≠tica¬†se debe tomar la honestidad.

La Conferencia RSA de Estados Unidos realiz√≥¬†una investigaci√≥n, al iniciar el a√Īo. Con √©sta los resultados que arroja son verdaderamente¬†sorprendentes con lo cual¬†podemos asumir que una gran parte de los m√°s de 1¬†000 asistentes entrevistados trabajan para empresas norteamericanas. Respecto a los pa√≠ses Europeos y Asi√°ticos¬†existe una gran diferencia donde la uni√≥n Americana¬†tiene leyes obligatorias en la cuales se notifica la¬†violaci√≥n de datos, por lo que es ilegal ocultar incidentes donde la informaci√≥n personal y financiera del cliente se convierte en p√ļblica.

Reino Unido y¬†otros pa√≠ses de Europa, a estas alturas¬†a√ļn se tienen estas leyes, as√≠¬†es f√°cil observar¬†¬†por qu√© las empresas quieren¬†mantener en silencio a una violaci√≥n que perjudica los datos¬†de clientes o propiedad intelectual. Aunado¬†de las multas reglamentarias y los costos por limpiar y subsanar los da√Īos,¬†por otra parte los las partes negativas que dieron como resultados a¬†una violaci√≥n de datos pueden persuadir a clientes e inversionistas¬†para abandonar el barco, perjudicando el precio de las acciones, los resultados y, por supuesto, el valor y la reputaci√≥n de la marca.

Negocios_asesor

Negocios arriesgados 
La ciberdelincuencia ahora son más inteligentes, ágiles y tienen la suficiente determinación para acceder en una organización si se lo proponen, y ante esto no hay mucho que se pueda hacer. Por lo menos, los CIO deben fomentar una cultura en la que no se vea mal dar informe de los incidentes y deficiencias de seguridad. Sólo mediante el fomento de una mayor apertura, al menos dentro de la organización, se puede mejorar la seguridad de la información.

Pero esta apertura debe darse dentro de un marco claro.

Llevar a cabo una evaluaci√≥n completa de riesgos se debe dar un primer paso Deben identificar¬†¬ŅCu√°les son sus sistemas de negocio m√°s cr√≠ticos y cu√°les sus mayores amenazas para ellos? ¬ŅCu√°nto va a costar mitigar estos riesgos con herramientas, t√©cnicas y procedimientos de seguridad? Una vez que han tomado cartas en el asunto, es momento de sentarse con los altos directivos¬†y as√≠¬†determinar cu√°l es su percepci√≥n¬†de riesgo. Cada organizaci√≥n tiene una brecha¬†ligeramente diferente de lo que se entiende por riesgo aceptable. Los que son propensos a¬†un l√≠mite de riesgo alto pueden¬†invertir menos recursos en seguridad de la informaci√≥n, y viceversa. De esta forma¬†es momento de actuar sobre todo lo que sucede¬†y, en consecuencia, de invertir en herramientas de gesti√≥n de riesgos.

Cuando el departamento de¬†TI ha hecho esto, cubre sus espaldas de manera efectiva. No debe tener¬†¬†ninguna necesidad de ocultar un incumplimiento a futuro dado a lo que se han¬†seguido las instrucciones paso a paso, seg√ļn el ‚Äúapetito‚ÄĚ de riesgo de los directivos. Los encubrimientos se dan cuando hay incertidumbre, falta de estructura y de liderazgo, as√≠ como ausencia de toma de decisiones basadas en el riesgo.

Un punto ciego en la ética 
Uno de los problemas que tratan de ocultar¬†las fisuras¬†de datos se ve aumentado¬†por el hecho de que muy a menudo a los profesionales no se les da ning√ļn tipo de formaci√≥n en torno a la √©tica profesional. La grandes organizaciones frecuentemente¬†se ven obligados a aprender en el trabajo, pero en las¬†PyMEs¬†es posible que no se haga menci√≥n. Esto puede dejar un punto ciego preocupante dentro del departamento de TI que hace que sea m√°s probable que la cadena de notificaci√≥n de incidentes se pase por alto.

Es muy importante de que exista un código de ética (conducta) dentro del departamento con un conjunto claro de lineamientos y procedimientos de presentación de informes de cualquier fisura. Todo está en la preparación; haga el trabajo duro ahora y cuando se produzca un incidente tendrá muchas más posibilidades de funcionar sin problemas. Entonces con todos su equipo incluyéndose pueden comenzar a ver cada incidente como una oportunidad más que como un fracaso. Una oportunidad para que los altos directivos se comprometan más, es incrementar el nivel de seguridad de la información y, con esto se obtener un financiamiento adicional.

Finalmente,¬†la Ley General de Protecci√≥n de Datos de la Uni√≥n¬†Europea entrar√° en vigor¬†dentro de poco tiempo¬†e leyes¬†obligatorias de divulgaci√≥n muy parecidas¬†a las de Estados Unidos. √Čsta debe ser una raz√≥n de peso para comenzar a preparar y acostumbrarse a centrarse en la gesti√≥n de riesgos. Cuando se trata de seguridad de la informaci√≥n, para mejorar la honestidad realmente es la mejor opci√≥n que podemos tomar.

-Raimund Genes, CTO Trend Micro