Empresario protegiendo datos personales en una interfaz virtual
Los altos directivos tienen que dejar de correr riesgos innecesarios

#KingstonCognate presenta a Bill Mew

Imagen de Bill Mew

Bill Mew es líder de opinión, promotor de la ética digital y emprendedor. En su calidad de destacado líder de opinión, Bill se centra en la búsqueda del equilibrio correcto entre ‘protección significativa’, segmento en el cual se le clasifica como principal influente en materia de privacidad de datos, y ‘la maximización del valor económico y social’, aspecto en el cual también destaca en todo lo relativo a la ciberseguridad, la transformación digital de las administraciones públicas y las ciudades inteligentes. También aparece en programas de televisión y radio (BBC, RT, etc.) como experto en estas materias, durante mucho mayor tiempo que cualquier otro especialista en tecnología del Reino Unido.

Como emprendedor, Bill es fundador y consejero delegado de CrisisTeam.co.uk, donde colabora con un equipo de expertos en respuesta a incidencias, ciberderecho, gestión de la reputación e influencia social para ayudar a los clientes a minimizar las repercusiones de los ciberataques.

La cultura corporativa de asunción de riesgos puede provocar un auténtico trastorno mundial

Directivos corporativos trabajando con una gran tableta de vídeo

Correr ciertos riesgos es una necedad. Muchos de los préstamos basura que provocaron la crisis crediticia y, en última instancia, la crisis financiera global, se otorgaron a personas que muy obviamente nunca podrían devolverlos. Sin embargo, prácticamente todos los bancos lo hacían.

Y más recientemente, nadie había previsto el confinamiento y el hecho de que actividades simples, como ir a estudiar, trabajar, reunirse con amigos o estar en la playa podría ser una amenaza para nuestra vida y la de quienes nos rodean. Pero ahora que entendemos el contexto, es evidente.

Tanto la crisis financiero global de 2008 como la actual pandemia han sido eventos extremadamente perturbadores, cuyas consecuencias podrían haberse evitado, o al menos mitigado, si hubiésemos sabido valorar mejor los riesgos o prestado atención a los gestores del riesgo crediticio y expertos sanitarios a su debido momento.

Joven empresario mostrando el concepto: Gestión de riesgos

¿Carece la cultura corporativa de capacidad de valoración de riesgos?

Además, la manera en que consideramos el riesgo suele ser ilógica e impredecible. Hemos visto un vuelco masivo hacia el trabajo en casa, lo cual ha abierto un nuevo vector de ataque para los ciberdelincuentes oportunistas. Podría esperarse que las organizaciones se centraran en la seguridad de sus aplicaciones en la nube, aunque con demasiada frecuencia se supone que el proveedor de servicios de la nube se encargará de ello. De hecho, en la vida real son las instancias de errores de configuración de la nube algunas de las causas más comunes de vulneraciones de datos.

Si bien usted nunca deja su nube o su portátil sin ninguna contraseña u otra medida de protección, las organizaciones frecuentemente delegan el suministro de dispositivos de IdC y artículos sencillos, como las claves de las memorias USB, a sus departamentos de compras. Inevitablemente van a adquirir los dispositivos más baratos, en lugar de pagar un poco más para elementos adicionales, como el cifrado. Hágase esta pregunta: ¿era el último pincho de memoria USB que utilizó cifrado y estaba protegido por contraseña? Si la respuesta es ‘no’, es urgente que efectúe una auditoría de ciberriesgos.

No considerar el riesgo no es solo un defecto cultural —desde quien se hace un selfie hasta el gerente de compras, no siempre valoramos el riesgo—, sino también el resultado de la manera en que funcionan las organizaciones.

¿Quién es responsable de los ciberriesgos?

Protección de datos y ciberseguridad en una interfaz virtual

Los banqueros omitieron valorar el riesgo crediticio porque la manera en que se medía su desempeño se centraba exclusivamente en los ingresos y los beneficios. Todos los departamentos de prácticamente todas las organizaciones tienen los ingresos y los beneficios como parámetro del rendimiento, por los cuales son evaluados y recompensados. Se trata de parámetros de medida de rentabilidad de la inversión (ROI). Toda vez que sea esta la manera en que las personas sean incentivadas, y las organizaciones gestionadas, la valoración eficaz de los riesgos será mínima, si acaso.

El único alto directivo no centrado en la ROI, sino en la rentabilidad por el riesgo (ROR), es el CISO*. En función de la disposición a asumir riesgos de una organización, y de su presupuesto, los CISO hacen todo lo que pueden para mitigar los ciberriesgos y defenderse de los ciberataques. Lamentablemente, al centrarse en una perspectiva diferente de la del riesgo del equipo directivo, los CISO pueden encontrarse no solamente aislados ("la soledad del CISO"), sino que también pueden ser considerados chivos expiatorios, incluso cuando el mal uso de los datos es consecuencia de actuaciones del CMO** o cuando la vulneración de datos resulta de las actuaciones del CIO***, y cuando sus advertencias son ignoradas.

Es como si los integrantes del equipo directivo estuviesen mirando un televisor en el que solamente funcionasen dos de los tres canales de color (ingresos y beneficios). Pueden ver a grandes rasgos lo que ocurre realmente en la organización, pero no perciben el panorama completo. Cuando los grandes riesgos se hacen presentes, normalmente de improviso, son visibles para el CISO pero no para los demás. Y el que sus alertas sigan siendo ignoradas es la mejor receta para la catástrofe.

Los tres puntos fundamentales que siempre deben considerarse

Se espera que los tiempos recientes nos conciencien más en materia de riesgos. Los altos directivos deben cambiar la manera de incentivar y gestionar sus equipos, y asegurarse de que su perspectiva incluya los tres puntos fundamentales: ingresos, beneficios Y riesgos. Los gerentes de compras tienen que valorar los riesgos y entender cómo las decisiones de compra, desde dispositivos de relativamente bajo coste (las unidades cifradas NO cuestan mucho más) hasta sistemas más complejos e importantes, deben adoptarse tomando en consideración la ciberseguridad.

Hay que propiciar una cultura consciente de los riesgos dispuesta a pagar una pequeña prima para protegerse contra los ciberriesgos adquiriendo desde dispositivos seguros y cifrados hasta complejos sistemas multinube como inversión sensata, con CISO que sepan que las advertencias que lanzan no serán ignoradas.

Ejecutivos reunidos para tratar sus planes financieros

Se requiere un cambio cultural que marque la diferencia

Como sociedad, nunca hemos estado tan interconectados o dependientes de la tecnología —y, por consiguiente, vulnerables— como ahora, en especial con la continua evolución y crecimiento de las amenazas.

Se requieren líderes que cambien la manera en que se comportan los directivos y sus subordinados. Este cambio cultural hacia una mejor valoración de los riesgos debe venir desde arriba, desde muy arriba. Una cultura de ética digital (que incluya la privacidad y la protección de los datos) tiene que permear todos los niveles, desde lo más alto hasta lo más bajo. Las organizaciones que posean esta cultura de la ética digital, y que sean conscientes de los riesgos, no solamente tendrán menos probabilidades de sufrir una vulneración de los datos, sino que además estarán capacitadas para responder mejor a estas situaciones en caso de producirse.

Los incentivos para hacerlo correctamente están por doquier

Cierre de una lista de comprobación con todas las casillas marcadas

Si no fuese suficiente con las multas del RGPD, la sanción administrativa de perder el derecho de tratar datos, proceso judicial y el daño a la reputación por hacerlo mal, ahora hacerlo bien conlleva una auténtica recompensa. Así como los consumidores e inversores abandonan aquellas marcas manchadas por ciberataques y abusos de la privacidad, también estarán dispuestos a pagar un poco más por marcas de confianza asociadas con la ética digital.

Los clientes de todos los sectores, y no solo del tecnológico, son cada vez más exigentes. Las encuestas sobre lo que esperan de las empresas, más que de los gobiernos, han revelado que la protección y privacidad de los datos se consideran más importantes incluso que la diversidad y la sostenibilidad. De hecho, hoy en día la protección y la privacidad son los dos principales elementos que los consumidores esperan de una firma, y no están dispuestos a perdonar que no lo garanticen. Así, pues, hacer lo correcto resulta rentable.

#KingstonIsWithYou

Pregunte a un Experto

Kingston puede ofrecerle una opinión independiente sobre la configuración que está utilizando actualmente o si la que planifica utilizar es la adecuada para su organización.

SSD autocifradas

Le asesoramos sobre las ventajas que los SSD pueden brindar a su entorno de almacenamiento específico, y qué unidad SSD se adapta mejor a su personal móvil que le garantizará seguridad mientras trabaja en remoto.

Consulte a un experto en SSD

Unidades USB cifradas

Le asesoramos sobre las ventajas que el uso de unidades USB cifradas puede aportar a su empresa y qué unidad se adapta mejor a las necesidades de su negocio.

Consulte a un experto en USB

Conozca más información acerca de la línea de soluciones de almacenamiento cifrada de Kingston

Artículos relacionados