Etiqueta: honestidad

驴Por qu茅 ser honesto es la mejor pol铆tica cuando se produce una fisura de datos?

negocios-CIO-empresa}

驴Es la honestidad la mejor pol铆tica? Esto estaba claro聽cuando 茅ramos ni帽os, pero a medida que vamos creciendo y llegamos a ser adultos聽las cosas cambian e inevitablemente se vuelven m谩s complicadas.

Todos hemos dicho mentiras piadosas de alguna manera, un聽ejemplo es聽para no herir los sentimientos de un amigo cercano o familiar. En el mundo profesional, las verdades聽morales sobre lo correcto e incorrecto con frecuencia son debatidas聽y, en lagunas situaciones,聽son resultado de聽聽razones a nuestro favor聽a corto plazo. Yo les escribo esto聽ya que en聽una nueva investigaci贸n se ha revelado que el 20% de los profesionales de seguridad han visto c贸mo sus empresas ocultaban fuga de聽datos.

Esto no s贸lo cabe聽谩mbito de las聽Tecnolog铆as de la Informaci贸n (TI), por supuesto. Pero, dada su posici贸n en聽el ambiente聽corporativo, los CIO tienen la oportunidad y la responsabilidad de garantizar que, en caso de que se produzca una violaci贸n de datos, como 煤nica聽pol铆tica聽se debe tomar la honestidad.

La Conferencia RSA de Estados Unidos realiz贸聽una investigaci贸n, al iniciar el a帽o. Con 茅sta los resultados que arroja son verdaderamente聽sorprendentes con lo cual聽podemos asumir que una gran parte de los m谩s de 1聽000 asistentes entrevistados trabajan para empresas norteamericanas. Respecto a los pa铆ses Europeos y Asi谩ticos聽existe una gran diferencia donde la uni贸n Americana聽tiene leyes obligatorias en la cuales se notifica la聽violaci贸n de datos, por lo que es ilegal ocultar incidentes donde la informaci贸n personal y financiera del cliente se convierte en p煤blica.

Reino Unido y聽otros pa铆ses de Europa, a estas alturas聽a煤n se tienen estas leyes, as铆聽es f谩cil observar聽聽por qu茅 las empresas quieren聽mantener en silencio a una violaci贸n que perjudica los datos聽de clientes o propiedad intelectual. Aunado聽de las multas reglamentarias y los costos por limpiar y subsanar los da帽os,聽por otra parte los las partes negativas que dieron como resultados a聽una violaci贸n de datos pueden persuadir a clientes e inversionistas聽para abandonar el barco, perjudicando el precio de las acciones, los resultados y, por supuesto, el valor y la reputaci贸n de la marca.

Negocios_asesor

Negocios arriesgados聽
La ciberdelincuencia ahora son m谩s inteligentes, 谩giles y tienen la suficiente determinaci贸n聽para acceder聽en una organizaci贸n si se lo proponen, y ante esto no hay mucho que se pueda hacer. Por lo menos, los CIO deben fomentar una cultura en la que no se vea mal dar informe聽de los incidentes y deficiencias de seguridad. S贸lo mediante el fomento de una mayor apertura, al menos dentro de la organizaci贸n, se puede mejorar la seguridad de la informaci贸n.

Pero esta apertura debe darse dentro de un marco claro.

Llevar a cabo una evaluaci贸n completa de riesgos se debe dar un primer paso Deben identificar聽驴Cu谩les son sus sistemas de negocio m谩s cr铆ticos y cu谩les sus mayores amenazas para ellos? 驴Cu谩nto va a costar mitigar estos riesgos con herramientas, t茅cnicas y procedimientos de seguridad? Una vez que han tomado cartas en el asunto, es momento de sentarse con los altos directivos聽y as铆聽determinar cu谩l es su percepci贸n聽de riesgo. Cada organizaci贸n tiene una brecha聽ligeramente diferente de lo que se entiende por riesgo aceptable. Los que son propensos a聽un l铆mite de riesgo alto pueden聽invertir menos recursos en seguridad de la informaci贸n, y viceversa. De esta forma聽es momento de actuar sobre todo lo que sucede聽y, en consecuencia, de invertir en herramientas de gesti贸n de riesgos.

Cuando el departamento de聽TI ha hecho esto, cubre sus espaldas de manera efectiva. No debe tener聽聽ninguna necesidad de ocultar un incumplimiento a futuro dado a lo que se han聽seguido las instrucciones paso a paso, seg煤n el 鈥渁petito鈥 de riesgo de los directivos. Los encubrimientos se dan cuando hay incertidumbre, falta de estructura y de liderazgo, as铆 como ausencia de toma de decisiones basadas en el riesgo.

Un punto ciego en la 茅tica聽
Uno de los problemas que tratan de ocultar聽las fisuras聽de datos se ve aumentado聽por el hecho de que muy a menudo a los profesionales no se les da ning煤n tipo de formaci贸n en torno a la 茅tica profesional. La grandes organizaciones frecuentemente聽se ven obligados a aprender en el trabajo, pero en las聽PyMEs聽es posible que no se haga menci贸n. Esto puede dejar un punto ciego preocupante dentro del departamento de TI que hace que sea m谩s probable que la cadena de notificaci贸n de incidentes se pase por alto.

Es muy importante de que exista un c贸digo聽de 茅tica聽(conducta)聽dentro del departamento con un conjunto claro de lineamientos聽y procedimientos de presentaci贸n de informes de cualquier fisura.聽Todo est谩 en la preparaci贸n; haga el trabajo duro ahora y cuando se produzca un incidente tendr谩 muchas m谩s posibilidades de funcionar sin problemas. Entonces con todos su equipo incluy茅ndose聽pueden comenzar a ver cada incidente como una oportunidad m谩s que como un fracaso. Una oportunidad para que los altos directivos聽se comprometan m谩s, es聽incrementar el nivel de seguridad de la informaci贸n y, con esto se聽obtener un financiamiento聽adicional.

Finalmente,聽la Ley General de Protecci贸n de Datos de la Uni贸n聽Europea entrar谩 en vigor聽dentro de poco tiempo聽e leyes聽obligatorias de divulgaci贸n muy parecidas聽a las de Estados Unidos. 脡sta debe ser una raz贸n de peso para comenzar a preparar y acostumbrarse a centrarse en la gesti贸n de riesgos. Cuando se trata de seguridad de la informaci贸n, para mejorar la honestidad realmente es la mejor opci贸n que podemos tomar.

-Raimund聽Genes, CTO聽Trend聽Micro