una mano detrás, con la ilustración de un candado, una placa de circuitos y líneas de redes, con un paisaje urbano en segundo plano

¿Quién es responsable de la ciberseguridad y privacidad?

#KingstonCognate presenta a Bill Mew

Imagen de Bill Mew

Bill Mew es líder de opinión, promotor de la ética digital y emprendedor. En su calidad de destacado líder de opinión, Bill se centra en la búsqueda del equilibrio correcto entre ‘protección significativa’, segmento en el cual se le clasifica como principal influente en materia de privacidad de datos, y ‘la maximización del valor económico y social’, aspecto en el cual también destaca en todo lo relativo a la ciberseguridad, la transformación digital de las administraciones públicas y las ciudades inteligentes. También aparece en programas de televisión y radio (BBC, RT, etc.) como experto en estas materias, durante mucho mayor tiempo que cualquier otro especialista en tecnología del Reino Unido.

Como emprendedor, Bill es fundador y consejero delegado de CrisisTeam.co.uk, donde colabora con un equipo de expertos en respuesta a incidencias, ciberderecho, gestión de la reputación e influencia social para ayudar a los clientes a minimizar las repercusiones de los ciberataques.

TODOS somos responsables: colectiva e individualmente

En muchas organizaciones, la actitud prevaleciente es que la ciberseguridad es algo privativo del Director de Seguridad de la Información (CISO), o bien que se trata de algo que atañe solamente al Departamento de Cumplimiento Normativo. A menos que exista una concienciación de la responsabilidad colectiva de la ciberseguridad y la privacidad, nuestros datos no estarán protegidos. Porque si algo va mal, todos seremos considerados responsables, tanto colectiva como individualmente.

En dichas organizaciones, los altos directivos siguen sin tomarse en serio la ciberseguridad y la privacidad de los datos. Con demasiada frecuencia consideran que estas tareas pueden delegarse al Director de Seguridad de la Información (DSI/CISO) o al Responsable de Protección de Datos, y que eso es todo. Si la alta dirección sigue viendo las cosas de esta manera, no es de sorprender que esta actitud trascienda a los niveles inferiores de las organizaciones, y que en ninguno de los estamentos se tomen en serio estas cuestiones.

Tres cuestiones que las organizaciones deben considerar:

una mano que detiene una pieza de dominó e impide que se colapsen las demás

1. Si su gerente de compras opta por dispositivos no cifrados

Si la decisión de adquirir unidades USB, discos SSD o dispositivos de IdT está basada exclusivamente en el precio, sin considerar si son seguras o tienen cifrado por hardware, dichos equipos no cifrados propician una cibervulnerabilidad. Esto expone a toda la organización a un riesgo de vulneración de datos.

2. Si el personal reutiliza contraseñas o toma atajos para esquivar las medidas de seguridad

Si el personal omite cumplir las normas básicas de ciberseguridad y se muestra descuidado con contraseñas o datos adjuntos en el correo electrónico, ponen en riesgo a toda la organización. Los ciberdelincuentes aprovechan contraseñas débiles o conocidas, y utilizan tácticas de usurpación de identidad para comprometer la seguridad de sus víctimas. Estos son algunos de los vectores de ataque más habituales de los ciberincidentes.

3. Si un Director de Marketing se la juega utilizando datos privados

El RGPD estipula que los datos personales solamente pueden recogerse previo consentimiento para un propósito declarado. Si recoge, o comparte datos ilegalmente, estará poniendo a todos en riesgo de sufrir multas y litigios importantes.

¿Quién es el responsable si suceden estas cosas? Las organizaciones... ¡y TAMBIÉN nosotros!

primer plano de las manos juntas de un equipo

Todos tenemos que tomarnos en serio la ciberseguridad y la privacidad de los datos

Si observa que su organización utiliza unidades USB o discos SSD no cifrados, o dispositivos de IoT inseguros, debe levantar la voz. Si observa que sus compañeros de trabajo no adoptan medidas de higiene informática, debe levantar la voz. Si ve que un integrante del Departamento de Marketing utiliza indebidamente los datos de los clientes, debe levantar la voz.

El cambio cultural es fundamental

Si queremos cambiar actitudes y propiciar que la gente se tome en serio la ciberseguridad y la privacidad de los datos, desde la cima hacia abajo, es necesario transformar la mentalidad cultural.

Las organizaciones tienen en sus manos abundantes incentivos para hacerlo. Está documentado que los clientes se sienten más inclinados a hacer negocios con organizaciones que consideran que protegen sus datos, y más reacios con aquellas que no. Mantener la confianza del cliente y evitar cualquier incidente de ciberseguridad que mine dicha confianza deben ser objetivos prioritarios para todos.

primer plano de bloques de madera con la palabra MULTA y un mazo

Por otra parte, existen abundantes herramientas disuasorias para convencer a las organizaciones que deben tomarse en serio la protección de los datos. Para empezar, el RGPD estipula una multa máxima de 20 millones de euros, o el 4% de la facturación global anual —lo mayor que resulte— por CADA incidente. El coste de resolver un incidente puede ascender a millones y, si se trata de un ataque de ransomware, los ciberdelincuentes podrían estar exigiendo un rescate de varios millones de euros además de esto. Con el añadido de las demandas judiciales de las personas cuyos datos se vieron comprometidos.

Como si las citadas sanciones fuesen insuficientes, también hay que tener en cuenta las posibles penalizaciones a nivel individual. Un caso reciente en EE.UU. ha sentado un precedente en el terreno de los ciberincidentes, cuando los miembros de la Junta y un CISO fueron acusados individualmente. Un informe de la empresa analista Gartner pronostica que próximamente los consejeros delegados podrían ser considerados personalmente responsables de los ciberataques.

En calidad de ciudadanos y de clientes, queremos que las organizaciones protejan nuestros datos. Por consiguiente, cuando somos responsables de los datos de los demás, el listón debe estar igualmente alto. Debería preocuparnos —tanto individual como colectivamente— el hecho de que se nos considere responsables. Aunque igualmente debería motivarnos para centrarnos en la protección de datos, que es lo que debe hacerse.

Pregunte a un Experto

Kingston puede ofrecerle una opinión independiente sobre la configuración que está utilizando actualmente o si la que planifica utilizar es la adecuada para su organización.

SSD autocifradas

Le asesoramos sobre las ventajas que los SSD pueden brindar a su entorno de almacenamiento específico, y qué unidad SSD se adapta mejor a su personal móvil que le garantizará seguridad mientras trabaja en remoto.

Consulte a un experto en SSD

Unidades USB cifradas

Le asesoramos sobre las ventajas que el uso de unidades USB cifradas puede aportar a su empresa y qué unidad se adapta mejor a las necesidades de su negocio.

Consulte a un experto en USB

Conozca más información acerca de la línea de soluciones de almacenamiento cifrada de Kingston

Artículos relacionados

Para consultar información acerca de cómo el virus COVID-19 ha afectado a nuestras operaciones comerciales, haga clic aquí.