Cuando se trata de brechas de seguridad informática, hemos visto al enemigo, y el enemigo es usted. Más concretamente, se trata de sus compañeros miembros de la alta dirección. En tres estudios separados de mercados medios, la mayoría de los participantes señaló con el dedo de la culpa directamente a sí mismos cuando se les pidió identificar el mayor riesgo de seguridad de datos para su empresa.
Con tantas noticias acerca de brechas de seguridad de datos a gran escala en grandes compañías –incluyendo Target y Neiman Marcus, recientemente– ha habido un montón de atención sobre los intrusos que están encontrando su camino hacia dentro de ellas. ¿Quiénes son estos super hackers, capaces de excavar en los datos que estas grandes empresas han pagado millones para proteger? Por supuesto, es importante identificar a los perpetradores, pero también hay algo en todo ese gramo de prevención que vale más que un kilo de curación.
En el mayor de los tres estudios, una encuesta en línea de Stroz Friedberg realizada con alrededor de 700 trabajadores de información, más de la mitad calificaron la respuesta de las empresas estadounidenses a las amenazas de ciberseguridad con una “C” o menos. Casi tres cuartas partes dijeron que estaban preocupados de que los hackers “pueden entrar en las redes informáticas de sus empleadores y robar su información personal”.
Los grandes perpetradores de esta encuesta fueron quienes ocupan puestos de alta dirección. Llámelo descuido, llámelo arrogancia, o como quiera llamarlo, eso pone los activos de una empresa en situación de riesgo. Una mayoría de encuestados de alta dirección –el 58%– dijo que había enviado accidentalmente información confidencial a la persona equivocada a través de medios digitales. Otro número aterrador: Nueve de cada diez altos directivos admitió subir archivos de trabajo al correo electrónico personal y a cuentas basadas en la nube, lo que podría abrir sus empresas al robo de datos y ataques de red.
Así pues, ¿qué debe hacer un CIO, además de mantener su propia conducta bajo control? Los expertos parecen estar de acuerdo en tres pasos: educación, educación y más educación. En la encuesta de Stroz Friedberg, los encuestados que dijeron que evitan el comportamiento digital riesgoso apuntaban a una estricta política de la compañía como la razón. Eso está muy bien, pero probablemente haya un poco más sobre esto. Una empresa puede tener las políticas de seguridad más estrictas en los Estados Unidos corporativos, pero si nadie las lee, no valen nada. Estos empleados que respetan la política probablemente provienen de empresas donde los líderes se toman el tiempo para asegurarse de que las reglas se entienden completamente. La ex CIO de la Casa Blanca, Theresa Payton, lo dijo muy bien en una conversación con SearchCIO sobre ciberseguridad:
“Es necesario que no sea esa cosa que hace el grupo de seguridad; tiene que ser algo que se ve como parte de la cultura de la empresa, no lo que hay que comprobar en una lista una vez al año”, dijo Payton. “Son carteles, son conversaciones, son estudios de casos, son competiciones sanas donde estás jugando juegos de seguridad en internet, es una variedad de cosas diferentes. En el principio, tiene que centrarse en el individuo, porque así es como van a recordarla”.
En cuanto a hacer llegar el mensaje de riesgos de seguridad de datos a los colegas ejecutivos y altos directivos, Payton tuvo algunos consejos útiles para eso también. Incluso si les proporciona regularmente informes e información de seguridad, puede ser que no estén leyendo/recordando esa la información, así que encuentre formas de hacer que se les pegue:
- Comuníquese en sus términos, de acuerdo con sus objetivos y directivas. Conecte su información de seguridad a sus importantes iniciativas de negocios.
- Mire la estrategia de la empresa. Ate su conversación seguridad a los objetivos de cada empresa en particular.
- Cuando se anuncie nuevos proyectos, hable sobre los cambios que estará haciendo a la seguridad para dar cabida a ese proyecto.
