18 diciembre
In Artículos Derecho TIC by CyZ Abogados
Tags: Control del riesgo, Empresas, Gestión Información, Protección de Datos, Seguridad IT
Pautas de gestión de la información y el control del riesgo en las organizaciones empresariales
¿Qué podemos hacer para una mejor gestión de la información y control del riesgo en nuestras organizaciones? ¿En qué consiste un programa integral de gestión de la información?
Actualmente la información es uno de los mayores activos de cualquier empresa. La información incluye no sólo datos generados por los sistemas, sino también conocimientos propios de la marca y propiedad intelectual corporativa; información sobre clientes; sobre productos; toda ella archivada en soportes tan diversos como las comunicaciones cotidianas, en papel, en correos electrónicos, en publicaciones en redes sociales, en vídeos.
Según el último estudio Global Data Protection Index de EMC ® el 71% de las empresas no confían plenamente en su capacidad de recuperación tras una interrupción de sus sistemas. Esto supone un muy elevado porcentaje teniendo en cuenta que el mismo estudio indica que la pérdida de datos se ha incrementado un 400% desde 2012.
Sorprende que el 64% de las empresas analizadas haya sufrido pérdidas de datos que, además, les ha supuesto una media más de 25 horas de tiempo de interrupción de actividad que obviamente ha supuesto pérdida de ingresos; retraso en el desarrollo de producto y en el cumplimiento de compromisos con terceros.
El 51% de las empresas analizadas no cuentan con un plan de recuperación; el 30% sostiene tener ubicados datos primarios en almacenamiento en la nube en relación a lo que un 62% considera “difícil” de proteger.
El pasado mes de noviembre Unisphere Research, con el patrocinio de Oracle, presentaron el informe DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey del que se desprende que el 71% de los entrevistados admite carecer de medidas de seguridad frente a daños accidentales a las bases de datos y aplicaciones o desconoce tenerlas; que casi el 40% de los encuestados admitió no saber qué bases de datos tenían información sensible; que sólo el 18% de los entrevistados tiene cifrados los datos en todas sus bases de datos; que el 81% de los encuestados ven el error humano como el mayor riesgo para los datos de la empresa, seguido del miedo a los ataques internos (65%); o el abuso de privilegios de acceso por parte del personal TI (54%) y los códigos maliciosos o virus en sus sistemas (53%).
El crecimiento de los “grandes volúmenes de datos” (big data) en los últimos años exige a las empresas comprender mejor cómo se puede utilizar la información en todos los formatos para implementar procesos más rigurosos de revisión del riesgo de la información, mejores controles en torno a la información confidencial e instalaciones de almacenamiento más seguras, y para poder extraer realmente el valor estratégico de la información protegida para obtener beneficios comerciales y empresariales.

CyZ Abogados Zaragoza Gestión y control de riesgos de la informacion
Los riesgos a los que está sometida la información van desde posibles filtraciones que puedan sufrir las bases de datos digitales; el ataque a las comunicaciones por Internet por algún virus o software maligno; fraudes o ataques maliciosos derivados de algún malware soportado en correo electrónico o fruto de una no segura navegación; el papel puede quedar expuesto por eliminaciones descuidadas, robos o desastres naturales, y la propiedad intelectual corporativa puede perderse por robo o espionaje. Fuente Morguefile: imelenchon
Las empresas suelen considerar que sus departamentos de ventas, marketing y atención al cliente están capacitados para crear, extraer, utilizar, medir y analizar información con el fin último de optimizar los servicios o productos. Sin embargo, todavía no todas las empresas se plantean que, aun en los casos de mantener sus sistemas en elevados niveles de seguridad y protección dentro de las oficinas, y de tener implementado un plan de seguridad y uso de las TIC dentro de sus instalaciones, muchos de sus empleados – por ejemplo- trabajan desde casa llevándose documentación en papel o en pendrive sin cifrar; leen documentación confidencial en transporte público o reciben documentos personales en sus dispositivos a través de redes inalámbricas no seguras.
Como responsables de la protección de toda la información empresarial suele identificarse al director de seguridad informática y, en su defecto en el CEO, dueño o gerente; cuando realmente dados los posibles efectos de una filtración de datos (a nivel jurídico, financiero, comercial y de reputación), se trata de una cuestión que requiere la atención, respuesta en su custodia e implicación de todos los empleados miembros de la empresa.
Todo esto que en teoría es actualmente comprensible, en la práctica todavía está en proceso. Las medianas empresas deberían asumir más responsabilidades y adoptar un enfoque preventivo y dinámico en lugar de uno a posteriori, reactivo ante los problemas ya producidos.
Es necesario adoptar estrategias organizativas, planes y procesos de actuación internos, así como invertir en tecnología de seguridad y programas de comunicación interna, sin olvidar el cumplimiento eficaz de estas políticas y programas, así como su revisión, prueba y evaluación constante.
La falta de un programa integral de gestión de la información puede dejar nuestras organizaciones al “desnudo”. Para dar un paso al frente en este tema quizás sea importante empezar por analizar dónde se concentran los riesgos en nuestra empresa.
Por ejemplo podremos encontrarnos con documentos mal inventariados e ilocalizables que nos suponen una inmensa pérdida de tiempo en su recuperación; expedientes incompletos; Backups mal realizados o sin actualizar que no nos permiten recuperar datos; problemas de acceso a archivos o sistemas debidos a contraseñas gestionadas sin rigor, sin ser renovadas, sin contar con un protocolo de activación y pérdida de datos; eliminación de datos por error o no siempre destruidos sino tirados a la papelera; envío de información confidencial a un destinatario equivocado; soportes electrónicos y documentos en papel que contienen datos protegidos etc.

CyZ Abogados Zaragoza Derecho Digital TIC
¿Qué podemos hacer para una mejor gestión de la información en nuestras organizaciones?
Obtener asesoramiento para la implementación de un Plan Integral de Gestión de la Información, que consistirá básicamente en:
Fuente: Morguefile. DodgertonSkillhause
1. Auditar la información de la organización:
-
Evaluar las políticas, procesos y programas de riesgo de información con los responsables de cada departamento, identificando así cuales son los documentos con información más crítica. Dado que no estamos pensando constantemente en el riesgo no somos capaces de valorar su importancia, y en estas auditorías se monitoriza y evalúa el riesgo para hacerlo presente e instaurar un hábito de control. “Tomar conciencia del riesgo” es descubrir dónde tenemos la información más valiosa o la más vulnerable del análisis del riesgo de información de cada empresa.
-
Analizar el riesgo para evitar la obsolescencia de las medidas de seguridad: La regulación que aplica a las diversas actividades de la empresa son muy diversas y el riesgo varía con el tiempo, además cada empresa requiere un diverso nivel de protección de datos respecto del tipo de tratamiento y datos que maneja, por lo que las auditorías de evaluación y protección deberán ser un traje confeccionado en exclusiva para cada organización. Para analizar el riesgo lo principal es conocer dónde se encuentra la información más crítica, establecer puntos de control y revisiones periódicas.
-
Establecer un plan de continuidad del negocio y de recuperación de datos al efecto de saber cómo vamos a reaccionar y qué alternativas tendremos en caso de que se produzca un riesgo de seguridad de la información.
-
Implementar medidas estratégicas en la empresa frente al riesgo de la información mediante un registro de riesgos corporativos; procesos de almacenamiento y eliminación segura de la información confidencial y hardware tecnológico; establecer programas de diligencia en el tratamiento de la información personal de clientes y empleados; medidas de seguridad de la información en dispositivos móviles y ordenadores portátiles; centralizar la información sobre seguridad en una base de datos específica registrada con clasificaciones de datos claras, actualizadas y reconocidas; establecer prioridades de acceso a los documentos esenciales para la empresa y de alto riesgo que aparecen con más frecuencia en las solicitudes de cumplimiento normativo; implementar tecnología de análisis de los sistemas de detección y prevención de intrusiones; establecer políticas de uso de Internet y de redes sociales para todo el personal, etc.
2. Gestionar adecuadamente la información en papel.
En el entorno digital existen herramientas de protección de casi todo, pero hoy en día el papel sigue siendo habitual (contratos y actos jurídicos documentados, facturas, impresiones de lo que tenemos en digital por encima de las mesas..). Algunas pautas a considerar al efecto:
-
Definir equipos para gestionar de forma diferenciada la información digital y en papel estableciendo responsables por áreas y haciendo seguimiento.
-
Analizar, inventariar y clasificar bien los documentos en papel;
-
Establecer un protocolo de destrucción de documentos cumplido el período de conservación conforme a la normativa de cada sector;
-
Establecer un protocolo de digitalización, custodia con acceso restringido, seguro e inaccesible y si es posible externalizado.
-
Realizar pruebas para comprobar la eficacia de las medidas implementadas. A modo de simulacros para el caso de que, de darse un desastre informático todos sepan qué deben hacer para su recuperación.
3. Informar e involucrar a toda la empresa. Sin una mejor comprensión de las amenazas y los controles, las medianas empresas siguen siendo vulnerables a la amenaza de las filtraciones de datos y son incapaces de explotar el valor estratégico que supone la información protegida como verdadero activo.
Para ello es preciso crear un compromiso y una cultura de protección de la información de todos los empleados, ya que todos los empleados tienen acceso a la misma, y para ello deben conocer el riesgo y sentirse responsables.
El modo de fomentar esta cultura del respeto y protección de la información es formándoles de forma continua y estableciendo procedimientos de protección de la información que deban aplicar, previendo incluso protocolos para aquellos empleados que abandonan la empresa.
4. “Re-activar” la información como activo estratégico empresarial: Sólo una vez protegida la información podremos considerarla un verdadero valor de cara a favorecer el conocimiento, la innovación y el crecimiento, compartiendo con mayor libertad aquella que ya se sabe que no entraña riesgo por no ser confidencial o privada.
La protección de la información se tiende a ver como un coste, en lugar de como una inversión. La información protegida tiene verdadero valor en base a estudio de sus datos que puedan ayudarnos a tomar decisiones de negocio mediante la aplicación de herramientas y tecnologías Business Intelligence encaminadas a convertir los datos de la empresa (Análisis de tendencias, de debilidades y fortalezas en el mercado, etc) en conocimiento capaz de mejorar la productividad y las relaciones con nuestros clientes.
La mayoría de las empresas conocen que la utilización correcta y responsable del creciente volumen de información de que disponen puede ofrecer la oportunidad de crear productos o servicios innovadores; de conocer la evolución en los gustos y tendencias de sus clientes reales o potenciales y, finalmente, de obtener una rentabilidad comercial.
5. Monitorizar: hacer un seguimiento de todo el programa de gestión de la información mediante auditorías. Cualquier inversión empresarial debe cumplir unos objetivos que verificar cumplen su función en los plazos marcados.
-
Internas: Estableciendo responsables que realicen esa valoración periódica con determinados indicadores de rendimiento y cumplimiento que todos los empleados de la empresa conozcan y comprendan.
-
Externas: Que identifiquen deficiencias y analicen los resultados recomendando mejoras o acciones correctivas.
En conclusión, un programa integral de gestión de la información nos aporta conformidad con la normativa; el acceso a la información en un tiempo eficiente; la integridad de la información; la consistencia de procesos para minimizar fallos humanos y la continuidad del negocio.
Veamos esto como una inversión no sólo para evitar sanciones de los organismos reguladores sino por optimizar el valor de nuestra información como uno de los más importantes activos estratégicos de nuestras empresas.
Susana González Ruisánchez
Derecho y estrategia digital