¿Cuánto tiempo le dedica la junta directiva de la empresa a revisar la protección de los datos del negocio? ¿Y el gerente general? ¿O le dejan esa labor a los técnicos?
A nivel global y local se reconoce los actuales problemas de seguridad de la información, donde los atacantes buscan datos para obtener réditos económicos y su divulgación daña la confianza e imagen de una empresa.
Por eso, la protección de la información es una labor estratégica y, por tanto, es obligación de los jerarcas, socios o los directivos proveer los lineamientos relativas a la generación, protección y uso de los recursos y los datos.
“La implementación de la estrategia de seguridad es responsabilidad de los técnicos, pero es injusto pedirle a ellos que definan la estrategia”, dijo Roberto Sasso, presidente del Club de Investigación Tecnológica.
El Club realizará el próximo 20 de mayo la mesa redonda “Seguridad y competitividad” a las 12 m. en el Club Unión, con la participación de Peter Allor, Senior Security Strategist de IBM; Víctor Umaña, director del Centro Latinoamericano para la Competitividad y el Desarrollo Sostenible del Incae; y Gloriana Alvarado, abogada de Deloitte.
VEA TAMBIÉN Vienen cinco eventos de tecnología y para emprendedores
Aquí también
En el 2015, ocho de cada 10 empresas de América Latina sufrieron algún incidente de seguridad que afectó sus activos, de acuerdo con Eset, firma especializada en seguridad informática.
En Costa Rica el 45% de los consultados admitió la situación, lo que ubicó al país como el sétimo más afectado, superado por Nicaragua, Guatemala, Ecuador, Perú, Honduras y Colombia.
¿Qué tipo de incidentes? Ataques diseñados con el fin de robar datos sensibles o secuestrar los sistemas, realizar un escarnio público y también obtener dinero.
“El principio del secuestro y la extorsión ahora está siendo aplicado en el ámbito digital, afectando a las empresas”, advirtió Miguel Ángel Mendoza, especialista de Eset.
Una investigación global de la universidad Harvard halló que en las empresas se reconocen los problemas, pero tienen dificultades a nivel directivo y gerencial para enfrentarlos.
Harvard recomienda que lo más efectivo es que la junta directiva y la gerencia adopten un marco de seguridad donde se propone que la alta gerencia debe identifique los activos estratégicos de tecnología de información; revise cómo están protegidos; y defina el plan de seguridad.
La ejecución puede estar a cargo de los mandos actuales o de un un chief information security officer (CISO).
La tarea es que todas las actividades de la empresa tengan en cuenta la protección de los datos. Además, debe gestionar los riesgos, definir políticas, y asignar recursos y responsabilidades.
A nivel gerencial se pueden usar herramientas para monitorear procesos y actividades.
Los especialistas dicen que a la directiva y a la gerencia no se genera recargos ni se complica su labor. Pero que , ante todo, se debe tomar en cuenta los riesgos existentes. “No se está generando una complejidad innecesaria”, aseguró Rodolfo Castro, gerente regional de ingeniería de Fortinet. “Cualquier proyecto clave que no contemple la seguridad está sentenciado a no ser exitoso”.
VER TAMBIÉN ¿Cómo se infiltra un hacker en los sistemas una empresa?
Sin tecnicismos
Uno de los factores que ha impedido el involucramiento de la alta gerencia es la falta de conocimiento sobre los temas de seguridad informática y sobre el valor de los datos corporativos.
Además, hay una brecha entre los encargados de tecnología y los gerentes o directores.
“Los gerentes de las empresas solo conocen generalidades de los sistemas y sus vulnerabilidades, más no los riesgos directos creados por la tecnología para la privacidad y seguridad de su información”, advirtió Roberto Artavia, presidente de Viva Trust y del Consejo Directivo de Incae.
Artavia y Sasso coincidieron en que son temas que no se abordan en las reuniones de los consejos o juntas directivas. A la par, dicen, no existe el hábito de concentrarse en lo importante.
El primer paso para que los directivos y la alta gerencia asuman ese rol es dejar de lado los términos técnicos y pasar a usar un lenguaje sencillo.
Castro, de Fortinet, indicó que los directores y ejecutivos deben fijarse cómo la empresa fortalecerá el desarrollo de la llamada “tercera plataforma”: movilidad, computación en la nube, redes sociales y big data . El 90% de las firmas utilzará estas y otras nuevas tecnologías de aquí al 2020.
La protección de la información requiere así una combinación de soluciones técnicas específicas y de buenas prácticas, máximo si lo que está en juego también son sus patentes, derechos mercantiles, marcas, invenciones y fórmulas de producción.
“Pensemos además en las responsabilidades pecuniarias y reclamaciones a que están expuestas las empresas”, dijo Jorge Walter Bolaños, exministro de Hacienda y director del Club de Investigación Tecnológica.
Diagnóstico corporativo
Una encuesta entre directores y ejecutivos de Estados Unidos, Reino Unido, Japón, Alemania, Dinamarca, y los países Nórdicos, entre otros, sobre seguridad digital encontró:
98% no se sienten confiados en que sus organizaciones pueden monitorear todos los dispositivos y usuarios en todo momento.
91% de los directivos no tienen la capacidad para interpretar un reporte sobre seguridad digital.
40% admiten que no se sintieron responsables por las repercusiones de un ataque, pese a que los crímenes en Internet le costarán a la economía global $445.000 millones en el presente año 2016, suma que es superior al valor de la capitalización de mercado de Microsoft, Facebook y ExxonMobil.
68% han evaluado sus posibles pérdidas debido a ataques.
Las juntas directivas no asignan suficiente tiempo ni recursos para asignar responsabilidades, supervisar y evaluar asuntos y presupuestos para programas de privacidad y seguridad de la información.
Fuente: Escuela de Negocios de Harvard.