Esto se hace ahora. El nuevo Reglamento Europeo sobre Protección de Datos va a obligar a las empresas a declarar e informar a sus clientes de la fuga de datos o de cualquier tipo de incidente de piratería. Además de tratarse de un gran esfuerzo de cumplimiento del sistema de información, también supone un cambio cultural hacia la transparencia.
Los 20 países miembros de la Unión Europea, en el marco del Comité Permanente de Representantes (COREPER), acordaron un texto de compromiso resultante de las negociaciones entre Parlamento, Comisión y Consejo. Este reglamento debería entrar en vigor durante esta primavera y será aplicable a partir de la primavera de 2018. El tratamiento de los datos personales en el contexto de la lucha contra el terrorismo es también uno de los objetivos, así como las negociaciones con Estados Unidos.
En España, como en todos los países de la Unión Europea, el cambio está más que iniciado. En el mundo profesional, lo hemos arreglado con un poco de honestidad y ética. Por comodidad, en caso de que se produzca una fuga de datos a corto plazo no se comunica. De este modo, según un estudio reciente, el 20% de los profesionales de seguridad TI informó que en caso de producirse una violación de datos, se ocultaba.
El nuevo Reglamento Europeo sobre Protección de Datos va a obligar a las empresas a declarar e informar a sus clientes de la fuga de datos o de cualquier tipo de incidente de piratería.
Por supuesto, fuga de datos no se trata de un problema puramente informático. Sin embargo, dada su posición en la organización del negocio y la importancia estratégica de los sistemas de información, los CIO ¿no están entre los mejor posicionados para garantizar que la transparencia sea la única política a seguir en caso de que se produzca una violación de datos?
Realizado durante la celebración de RSA Conference en EE.UU. el estudio reveló tendencias muy sorprendentes entre los 1.000 encuestados, la mayoría trabajaba para empresas estadounidenses. La ley estadounidense obliga a informar de cualquier violación de datos – igual que ahora ocurrirá en Europa y España. Por lo que ocultar incidentes como violaciones de datos personales y financieros de clientes es ilegal.
Es comprensible que las empresas tiendan a guardar silencio ante el daño causado por una violación de los datos de sus clientes o de la propiedad intelectual. Además de las multas reglamentarias y los costes asociados a la resolución del incidente, la repercusión de una violación de datos en los medios de comunicación puede condicionar a clientes e inversores para que se retiren y abandonen la empresa, afectando directamente al precio de las acciones, a los resultados financieros y, por supuesto, a la reputación de la marca.
Evaluar los riesgos
Los cibercriminales hoy en día son lo suficientemente inteligentes, ágiles y decididos, por lo que hay poco que hacer, por desgracia, si están dispuestos a atacar una organización. A partir de esta observación, informar de los incidentes y deficiencias de seguridad no debe percibirse como algo negativo. ¿No es primordial que los CIO desarrollen esta cultura de la transparencia, por el mero hecho de fomentar la apertura ya que permite mejorar la seguridad de la información? Pero esta apertura requiere un marco y una metodología clara…
El primer paso es llevar a cabo una evaluación completa de los riesgos: ¿Cuáles son, en su negocio, los procesos y sistemas más críticos, y cuáles son las principales amenazas a las que se enfrentan? ¿Cuánto cuesta la «mitigación» de estos riesgos utilizando herramientas, técnicas y procedimientos de seguridad? Una vez que esto se desarrolla, se debe consultar a la Dirección para determinar el nivel de riesgo que consideran aceptable para la organización. El resultado es el nivel de inversión en herramientas de gestión de riesgos.
Una vez que estos pasos se llevan a cabo a través de normas y sobre la base del riesgo aceptado por la administración, no debe persistir ninguna voluntad o deseo de ocultamiento de las violaciones. La ocultación se produce cuando hay incertidumbre, falta de estructura y liderazgo y falta de decisiones sobre los riesgos.
Ética: ¿el punto débil?
La mayoría de los profesionales de TI cuenta con formación sobre ética profesional. Muchas empresas todavía tratan de ocultar las pérdidas de datos que padecen. Mientras que la información, por lo general, termina por remontar en las grandes organizaciones, el silencio normalmente es total en las pymes. Esto, a veces, crea dentro del departamento de TI una especie de preocupante punto ciego, haciendo más probable la negligencia con el aumento de los incidentes.
Es muy importante un código de conducta hasta la fecha, con un conjunto claro de normas y procedimientos en materia de notificación de violaciones. Todo está preparado: poniendo todo en su lugar con mucha antelación, las cosas fluyen más suavemente en caso de incidente. Y ¿por qué no considerar cada nuevo incidente como una oportunidad y no como un fracaso? Una oportunidad para crear sinergia con la gestión, para mejorar el nivel de seguridad de la empresa y, por qué no, para realizar inversiones adicionales.
El Reglamento Europeo sobre Protección de Datos es otra razón para comenzar hoy a hacer una gestión eficaz del riesgo. Cuando se trata de mejorar la seguridad de la información, la transparencia es, sin duda, el mejor camino que podemos tomar.