Las brechas de seguridad de los datos continuarán exponiendo a las empresas europeas a riesgos innecesarios, dañando su reputación, a no ser que se tomen acciones para mejorar la gestión y protección de la información sensible, fundamental para el buen desarrollo de su negocio. Así lo revela un nuevo informe realizado por Iron Mountain y PcW. El estudio destaca la urgente necesidad de un cambio en el comportamiento de los empleados y en la cultura entre los ejecutivos de más alto nivel para que sean capaces de superar la complacencia, negligencia y falta de responsabilidad compartida existente y que pone de manifiesto el estudio.
El informe, presentado durante la primera Cumbre Europea sobre el Riesgo de la Información organizada por Iron Mountain, constata que solamente alrededor de la mitad de las empresas medianas considera la pérdida de información sensible como uno de los tres principales riesgos a los que se enfrentan sus negocios.
Menos de un cuarto (24 por ciento) de las compañías participantes en el estudio no son conscientes de si han sufrido o no una brecha en la seguridad de sus datos en los últimos tres años.
Y únicamente un 1 por ciento de los encuestados considera que el riesgo de la información es responsabilidad de todos y cada uno de los empleados, mientras que cerca de dos tercios (60 por ciento) dicen no saber si sus empleados cuentan con las herramientas adecuadas para proteger la información.
Marc Duale, presidente de Iron Mountain, ha declarado que el informe es una llamada de atención para los negocios europeos. “Ha llegado el momento de que las empresas pasen de la cultura de la apatía y la negligencia en lo que respecta a la información a una cultura de responsabilidad sobre la misma. Este tipo de fallos pone en riesgo seriamente a sus clientes y a su información, dejando al mismo tiempo a las empresas negligentes potencialmente expuestas a daños irreparables en su reputación”.
PwC entrevistó a ejecutivos senior de 600 empresas líderes en Europa para elaborar el primer “Índice de Madurez del Riesgo de la Información” europeo para empresas medianas (250 a 2.500 empleados). Los resultados, evaluados en Francia, Alemania, Hungría, Países Bajos, España y Reino Unido, sugieren que muchos negocios están muy mal preparados para afrontar y gestionar riesgos de la información tales como brechas de datos, pérdidas de información o falta de cumplimiento de normativas. La puntuación media obtenida por las empresas europeas fue de 40.6 frente a la puntuación ideal, la cual sería de 100.
El Índice de Madurez del Riesgo de la Información se basa en un conjunto de medidas que, si se ponen en práctica y se monitorizan frecuentemente, ayudarán a proteger la información digital y física manejada por las empresas. Este índice representa un enfoque equilibrado para prevenir el riesgo de la información, que incluye medidas estratégicas, de personal, de comunicación y de seguridad.
Otros hallazgos clave del estudio revelan una considerable inconsistencia en torno a quién debería ser responsable del riesgo de la información en las organizaciones.
Solamente el 13 por ciento considera que el riesgo de la información es una cuestión a tratar en las juntas directivas, mientras que en torno a un tercio (35 por ciento) cree que el riesgo de la información -tanto en formato físico como digital- es responsabilidad del departamento de TI.
Esta tendencia a ver el riesgo de la información como un tema de TI está muy extendida, con un 59 por ciento afirmando que la solución a una brecha en los datos sería la instalación de tecnología adicional.
Solamente un tercio (36 por ciento) de las compañías asocian la responsabilidad del riesgo de la información a una persona en concreto o a un equipo e trabajo cuya eficacia esté monitorizada y controlada.
William Beer, director de seguridad de la información de PwC en el Reino Unido, afirma que está claro que las empresas de cualquier tamaño y sector están fallando en sus esfuerzos por asegurar los datos de sus clientes:
“Una buena seguridad en la información necesita tres elementos: personas, procesos y tecnología. Las compañías frecuentemente invierten demasiado en tecnología para resolver este tema, pero la tecnología no es la solución para todo”.
“Las empresas de tamaño mediano que no tienen por qué contar con los recursos financieros, pero tienen las ganas y agilidad para cambiar, pueden conseguir grandes mejoras transformando la cultura desde arriba, poniendo en marcha nuevos procedimientos y educando a sus empleados”.
Basándose en las conclusiones del Índice de Madurez del Riesgo de la Información, Iron Mountain ha identificado un conjunto de pasos y acciones para ayudar a las empresas a mejorar la seguridad de sus datos.
- Paso 1. Haga que el riesgo de la información se convierta en un asunto a tratar por la junta directiva. Asegúrese de que sea un punto fijo de la agenda de los directivos, de que haya ejecutivos senior directamente responsables del tema y de que se integra en los controles de rendimiento globales de la compañía.
- Paso 2. Cambie la cultura. Diseñe y proporcione programas de sensibilización sobre la seguridad de la información. Cuente con la orientación adecuada, de modo que esté disponible para cualquier persona a cualquier nivel y recompense y refuerce los buenos comportamientos y prácticas en toda la organización, desde el empleado más nuevo al más antiguo.
- Paso 3. Ponga en marcha las políticas y procesos adecuados y asegúrese de que eso cubra todos los formatos en los que pueda encontrarse la información (electrónica, papel o medios de comunicación). También defina cualquier vulnerabilidad relacionada con el manejo manual de la información, establezca protocolos de alarma y revise y pruebe todos los sistemas y procesos regularmente.