Empresario protegiendo datos de información personal en una interfaz virtual

Las C-Suites deben dejar de asumir riesgos innecesarios

#KingstonCognate presenta a Bill Mew

Fotografía de Bill Mew

Bill Mew es un importante líder de opinión, activista de ética digital y emprendedor. Como un importante líder de opinión, Bill se centra en lograr el equilibrio adecuado entre la ‘protección satisfactoria, donde ha sido clasificado como el principal influencer mundial para la privacidad de los datos, y ‘la maximización del valor económico y social, donde también es uno de los principales influencers de ciberseguridad y transformación digital hasta govtech y ciudades más inteligentes. También aparece semanalmente en TV / Radio (BBC, RT, etc.) como un experto en estos temas, tiene más tiempo de transmisión que cualquier otro tecnólogo en el Reino Unido.

Como empresario, Bill es el fundador y director ejecutivo de CrisisTeam.co.uk, donde trabaja con un equipo de élite de expertos en resolución de problemas, derecho cibernético, gestión de la reputación e influencia social para ayudar a los clientes a minimizar el impacto de los ataques cibernéticos.

La cultura corporativa de asumir riesgos puede conducir a la ruptura del mundo real

Gerentes corporativos trabajando en una gran tableta de video

Correr algún riesgo es una tontería. Gran parte de los préstamos bancarios de alto riesgo que llevaron a la crisis crediticia y, en última instancia, a la crisis financiera mundial, fueron para personas que, obviamente, nunca hubieran podido pagar los préstamos. Sin embargo, casi todos los bancos lo estaban haciendo.

Así mismo, más recientemente, nadie pudo prever el encierro y el hecho de que actos simples como ir a la escuela, trabajar, reunirse con amigos o ir a la playa podrían ser una amenaza para su vida y para quienes lo rodean. Pero ahora que entendemos el contexto, nos parece obvio.

Tanto la crisis financiera mundial de 2008 como la pandemia actual han sido eventos extremadamente disruptivos, cuyas consecuencias podrían haberse evitado, o al menos mitigado, si hubiéramos tenido una mayor apreciación del riesgo o escuchado antes a los gestores de riesgo crediticio y a los expertos en salud.

Joven empresario muestra la palabra: Gestión de riesgos

¿Tiene la cultura corporativa falta de estimación de riesgo?

La forma en que contabilizamos el riesgo también suele ser ilógica e impredecible. Hemos visto una transición masiva al trabajo desde casa que ha abierto un nuevo vector de ataque para los ciberdelincuentes oportunistas. Es de esperar que las organizaciones se centren en la seguridad de sus aplicaciones en la nube, pero con demasiada frecuencia suponen que es el proveedor de la nube el que se ocupa de la seguridad, cuando en realidad las instancias de nube mal configuradas son una de las fuentes más comunes para las filtraciones de datos.

Si bien nunca dejaría su nube o su computadora portátil sin ninguna contraseña o protección, las organizaciones con frecuencia delegan la adquisición de dispositivos IoT y elementos simples como claves de memoria USB a su departamento de compras. Inevitablemente, adquieren los dispositivos más baratos disponibles, en lugar de pagar un poco más por extras como el encriptado. Pregúntese, ¿la memoria USB que utilizó por última vez estaba encriptada y protegida con contraseña? Si la respuesta es ‘“no", entonces debe realizar una auditoría de riesgo cibernético urgente.

No tener en cuenta el riesgo no es solo cultural,(desde el autor de la selfie hasta el gerente de compras, no siempre saben estimar el riesgo), sino que también es el resultado de la forma en que operan las organizaciones.

¿Quién es responsable por el riesgo cibernético?

Protección de datos y ciberseguridad en la interfaz virtual

Los banqueros no estimaron el riesgo crediticio porque la forma en que se midió su desempeño fue únicamente en términos de ingresos y ganancias. Todos los departamentos de casi todas las organizaciones tienen ingresos y ganancias como métrica de desempeño por la que son evaluados y recompensados. Estas son medidas de retorno de la inversión (ROI). Siempre que esta sea la forma en que se incentive a las personas y se gestionen las organizaciones, habrá poca o ninguna estimación efectiva del riesgo.

El único alto directivo que no se centra en el ROI, sino en el rendimiento del riesgo (ROR), es el CISO*. Basado en su inclinación por el riesgo y el presupuesto de la organización, el CISO hace todo lo posible para mitigar los riesgos cibernéticos y contrarrestar los ataques cibernéticos. Desafortunadamente, tener una perspectiva que está en desacuerdo con el resto del equipo de dirección, significa que el CISO puede encontrar que a menudo no solo están aislados (lo que yo llamo CISOlación), sino que a veces también pueden ser un chivo expiatorio, incluso cuando el uso indebido de datos ocurre como una consecuencia de acciones tomadas por el CMO**, o cuando ocurre una infracción de seguridad como consecuencia de acciones tomadas por el CIO***, y cuando sus advertencias fueron ignoradas.

Es como si los miembros del equipo dirección senior estuvieran viendo un televisor en el que solo funcionan dos de los tres canales en color (ingresos y beneficios). Pueden ver aproximaciones de lo que está sucediendo en la empresa, pero no obtienen la imagen completa. Cuando aparecen riesgos importantes, a menudo de la nada, son visibles para el CISO, pero no para los demás, y si las advertencias se ignoran, se puede provocar una calamidad.

Los tres puntos clave siempre deben considerarse

Se espera que los últimos tiempos nos hagan a todos mucho más conscientes de los riesgos. Las C-Suites deben cambiar la forma en que incentivan y administran a sus equipos y garantizar que su perspectiva incluya los tres puntos clave: ingresos, beneficios Y riesgos. Los gerentes de compras deben estimar el riesgo y comprender cómo las decisiones de compra por dispositivos de costo relativamente bajo (las unidades encriptadas no cuestan mucho más) hasta sistemas complejos más grandes deben tomarse teniendo en cuenta la ciberseguridad.

Con una cultura consciente del riesgo, pagar una pequeño excedente de riesgo cibernético por todo, desde dispositivos seguros y encriptados hasta complejos sistemas de múltiples nubes, es una inversión sensata, y los CISO podrían dar la alarma sin ser ignorados.

Colegas reunidos para discutir sus planes financieros

Se necesita un cambio cultural para marcar la diferencia

Como sociedad, nunca hemos estado tan interconectados o tan dependientes de la tecnología como ahora y, por lo tanto, tan vulnerables, especialmente con el panorama de amenazas en constante evolución y crecimiento.

Se requiere liderazgo para cambiar la forma en la cual el equipo de gestión y todos los que están por debajo de él se comportan, y este tipo de cambio cultural hacia una mayor estimación del riesgo, debe venir desde arriba. La cultura de ética digital (incluida la privacidad y seguridad de los datos) debe permear todos los niveles, de arriba a abajo. Las organizaciones que tienen esta cultura de ética digital, y que son conscientes de los riesgos, no solo tienen menos probabilidades de experimentar una filtración de datos, sino que también estarán más preparados para responder en caso de que ocurra.

Los incentivos para hacerlo correctamente están en todas partes

Primer plano de una lista de verificación completamente marcada

Si las multas de las GDPR, la sanción regulatoria de perder el derecho a procesar datos y la demanda y el daño a la reputación por equivocarse no fueran suficientes, hay una verdadera recompensa por hacerlo bien. Así como los consumidores e inversores están abandonando aquellas marcas que se ven empañadas por los ataques cibernéticos y abuso a la privacidad, también están dispuestos a pagar un excedente por las marcas confiables que tienen una asociación con la ética digital.

Los clientes de todos los sectores, no solo el tecnológico, son cada vez más críticos y exigentes. La investigación sobre lo que se espera de las empresas, a diferencia de los gobiernos, ha descubierto que la seguridad y la privacidad de los datos han superado incluso la diversidad y la sostenibilidad. De hecho, la seguridad y la privacidad son ahora los temas principales sobre los que los consumidores esperan que las empresas tomen una posición y serán implacables si se equivoca. Entonces, ¡realmente vale la pena hacer lo correcto!

Pregunte a un experto

Kingston puede ofrecerle una opinión independiente sobre si la configuración que está utilizando actualmente o planea usar es la adecuada para su organización.

SSDs auto-encriptados

Ofrecemos asesoría sobre los beneficios que los SSD aportarán a su entorno de almacenamiento específico y qué SSD es más adecuado para su fuerza laboral móvil y así garantizar que trabaja de forma segura remotamente.

Pregunte a un experto SSD

Dispositivos USB encriptados

Ofrecemos asesoría sobre los beneficios que el uso del USB encriptado aportará a su organización y qué dispositivo se adapta mejor a las necesidades de su negocio.

Pregunte a un experto USB

Obtenga más información sobre la línea de soluciones de almacenamiento encriptado de Kingston

Para obtener información sobre cómo el COVID-19 ha afectado nuestras operaciones comerciales, haga clic aquí.