Etiqueta: honestidad

¿Por qué ser honesto es la mejor política cuando se produce una fisura de datos?

negocios-CIO-empresa}

¿Es la honestidad la mejor política? Esto estaba claro cuando éramos niños, pero a medida que vamos creciendo y llegamos a ser adultos las cosas cambian e inevitablemente se vuelven más complicadas.

Todos hemos dicho mentiras piadosas de alguna manera, un ejemplo es para no herir los sentimientos de un amigo cercano o familiar. En el mundo profesional, las verdades morales sobre lo correcto e incorrecto con frecuencia son debatidas y, en lagunas situaciones, son resultado de  razones a nuestro favor a corto plazo. Yo les escribo esto ya que en una nueva investigación se ha revelado que el 20% de los profesionales de seguridad han visto cómo sus empresas ocultaban fuga de datos.

Esto no sólo cabe ámbito de las Tecnologías de la Información (TI), por supuesto. Pero, dada su posición en el ambiente corporativo, los CIO tienen la oportunidad y la responsabilidad de garantizar que, en caso de que se produzca una violación de datos, como única política se debe tomar la honestidad.

La Conferencia RSA de Estados Unidos realizó una investigación, al iniciar el año. Con ésta los resultados que arroja son verdaderamente sorprendentes con lo cual podemos asumir que una gran parte de los más de 1 000 asistentes entrevistados trabajan para empresas norteamericanas. Respecto a los países Europeos y Asiáticos existe una gran diferencia donde la unión Americana tiene leyes obligatorias en la cuales se notifica la violación de datos, por lo que es ilegal ocultar incidentes donde la información personal y financiera del cliente se convierte en pública.

Reino Unido y otros países de Europa, a estas alturas aún se tienen estas leyes, así es fácil observar  por qué las empresas quieren mantener en silencio a una violación que perjudica los datos de clientes o propiedad intelectual. Aunado de las multas reglamentarias y los costos por limpiar y subsanar los daños, por otra parte los las partes negativas que dieron como resultados a una violación de datos pueden persuadir a clientes e inversionistas para abandonar el barco, perjudicando el precio de las acciones, los resultados y, por supuesto, el valor y la reputación de la marca.

Negocios_asesor

Negocios arriesgados 
La ciberdelincuencia ahora son más inteligentes, ágiles y tienen la suficiente determinación para acceder en una organización si se lo proponen, y ante esto no hay mucho que se pueda hacer. Por lo menos, los CIO deben fomentar una cultura en la que no se vea mal dar informe de los incidentes y deficiencias de seguridad. Sólo mediante el fomento de una mayor apertura, al menos dentro de la organización, se puede mejorar la seguridad de la información.

Pero esta apertura debe darse dentro de un marco claro.

Llevar a cabo una evaluación completa de riesgos se debe dar un primer paso Deben identificar ¿Cuáles son sus sistemas de negocio más críticos y cuáles sus mayores amenazas para ellos? ¿Cuánto va a costar mitigar estos riesgos con herramientas, técnicas y procedimientos de seguridad? Una vez que han tomado cartas en el asunto, es momento de sentarse con los altos directivos y así determinar cuál es su percepción de riesgo. Cada organización tiene una brecha ligeramente diferente de lo que se entiende por riesgo aceptable. Los que son propensos a un límite de riesgo alto pueden invertir menos recursos en seguridad de la información, y viceversa. De esta forma es momento de actuar sobre todo lo que sucede y, en consecuencia, de invertir en herramientas de gestión de riesgos.

Cuando el departamento de TI ha hecho esto, cubre sus espaldas de manera efectiva. No debe tener  ninguna necesidad de ocultar un incumplimiento a futuro dado a lo que se han seguido las instrucciones paso a paso, según el “apetito” de riesgo de los directivos. Los encubrimientos se dan cuando hay incertidumbre, falta de estructura y de liderazgo, así como ausencia de toma de decisiones basadas en el riesgo.

Un punto ciego en la ética 
Uno de los problemas que tratan de ocultar las fisuras de datos se ve aumentado por el hecho de que muy a menudo a los profesionales no se les da ningún tipo de formación en torno a la ética profesional. La grandes organizaciones frecuentemente se ven obligados a aprender en el trabajo, pero en las PyMEs es posible que no se haga mención. Esto puede dejar un punto ciego preocupante dentro del departamento de TI que hace que sea más probable que la cadena de notificación de incidentes se pase por alto.

Es muy importante de que exista un código de ética (conducta) dentro del departamento con un conjunto claro de lineamientos y procedimientos de presentación de informes de cualquier fisura. Todo está en la preparación; haga el trabajo duro ahora y cuando se produzca un incidente tendrá muchas más posibilidades de funcionar sin problemas. Entonces con todos su equipo incluyéndose pueden comenzar a ver cada incidente como una oportunidad más que como un fracaso. Una oportunidad para que los altos directivos se comprometan más, es incrementar el nivel de seguridad de la información y, con esto se obtener un financiamiento adicional.

Finalmente, la Ley General de Protección de Datos de la Unión Europea entrará en vigor dentro de poco tiempo e leyes obligatorias de divulgación muy parecidas a las de Estados Unidos. Ésta debe ser una razón de peso para comenzar a preparar y acostumbrarse a centrarse en la gestión de riesgos. Cuando se trata de seguridad de la información, para mejorar la honestidad realmente es la mejor opción que podemos tomar.

-Raimund Genes, CTO Trend Micro