Según la encuesta más reciente sobre violaciones de la seguridad cibernética publicada por la Oficina de Estadísticas Nacionales del Reino Unido, sólo el 51% de todas las empresas han intentado identificar los riesgos de seguridad cibernética a los que se enfrenta su organización. Es cierto que las empresas más grandes están mucho mejor preparadas (el 94% ha completado algunos proyectos de descubrimiento), pero todavía hay muchas que no lo han hecho.
El hecho de que no se comprendan las actuales deficiencias de seguridad significa que las empresas están optando efectivamente por no protegerse a sí mismas a medida que el volumen de ciberataques aumenta año tras año
Dada la cobertura de los principales medios de comunicación dedicada a los incidentes de ciberseguridad, parece extraño que tantos no estén preparados. Pero la causa puede ser más obvia de lo esperado: una delegación inadecuada.
Si tiene un enchufe, pertenece a TI.
Los profesionales de TI con frecuencia bromean sobre las actitudes corporativas hacia la tecnología - si tiene un enchufe, el departamento de TI tiene que ocuparse de él. O en la era de la nube, si se requiere una contraseña, el departamento de TI es responsable, incluso cuando otra unidad de negocio realizó la compra del servicio. Esta actitud puede ser bastante cínica, pero hay que hacer observaciones similares sobre el papel del Director de Sistemas de Información.
Con demasiada frecuencia, la seguridad de los datos se considera un problema técnico, por lo que se deja en manos del Director de sistemas informáticos y del Director de Tecnología de la información para que se encarguen de todo. Cuando se considera en lo que respecta al PCI DSS y al próximo Reglamento General de Protección de Datos (RGPD), queda claro que la seguridad de los datos es tanto cultural y estratégica como técnica - la información debe ser manejada adecuadamente en todo momento y a todos los niveles de la organización.
Las técnicas modernas de ciberdelincuencia suelen contener elementos de ingeniería social junto con ataques técnicos. La protección contra estos ataques implica a las personas, los procesos y la tecnología, por lo que la seguridad es ahora una cuestión cultural y estratégica que debe ser reconocida a nivel de C-suite, no simplemente delegada al departamento de TI.
Una oportunidadútil para reevaluar la seguridad de los datos
Se ha prestado mucha atención a las sanciones por los incumplimientos del Reglamento General de Protección de Datos (RGPD); las multas de 20 millones de euros o el 4% del volumen de negocios mundial son suficientes para llamar la atención de cualquiera. Pero la realidad es que el incumplimiento del PCI DSS ya viene acompañado de sus propias penalizaciones.
Por ejemplo, Mastercard impone multas retrospectivas de hasta $25,000 por día por incumplimiento. Algunos proveedores también imponen multas por violaciones de datos que exponen datos sensibles de autenticación (SAD) o PAN, facturados por titular de la tarjeta.
También está el daño nada despreciable causado a la reputación de su negocio en el caso de una violación de datos. PonemonResearch calcula que el daño financiero de un incidente de seguridad cibernética se sitúa entre el 17% y el 31% de los ingresos brutos anuales. También se necesita casi un año para restablecer la confianza de los clientes.
A cinco meses de la entrada en vigor del RGPD, las empresas ya deberían estar realizando auditorías de seguridad de datos.
Todo el mundotiene un papel que desempeñar
Cualquier empresa que ya haya alcanzado el cumplimiento de una norma de seguridad de datos, como PCI DSS o ISO 27001, comprende y mantiene sus responsabilidades de proteger los datos confidenciales que pertenecen a los clientes. De hecho, estas disciplinas están muy en consonancia con los principios en los que se basa el RGPD, dando a estas organizaciones una ventaja en sus preparativos para el plazo de cumplimiento del 25 de mayo.
Obviamente, el Director de Informática y el Director Técnico pueden definir y desarrollar las soluciones técnicas y las salvaguardias necesarias para mantener la seguridad de los datos, por lo que necesitarán el pleno apoyo del resto de la junta para llevar a cabo el cambio cultural en todos los niveles de la empresa. Las multas que se imponen a los incumplimientos de RGPD y PCI DSS deberían ser suficientes para garantizar el compromiso del Director Financiero.
Invite a un experto
Puede que algunas juntas se resistan a las llamadas de cambio a nivel de toda la compañía que el Director de Sistemas de Información haga. Si este es el caso, podría ser beneficioso reclutar a un tercero como Advantio para que ayude a evaluar las provisiones técnicas y de proceso.
A menudo, los consejos de expertos externos son más fácilmente aceptados, incluso si son exactamente iguales a los proporcionados por su propio equipo interno. La inversión en servicios profesionales tampoco se desperdiciará - puede ser que una auditoría independiente identifique problemas y vulnerabilidades que podrían ser ignoradas por personas demasiado cercanas a sus operaciones cotidianas.
En última instancia, la tecnología es sólo una parte del desafío de la seguridad cibernética. Todo el C-suite debe trabajar en conjunto para cambiar el statu quo y construir una organización consciente de la seguridad que se comprometa a proteger los datos de pago de los clientes en cada punto de contacto.
Hable con nosotros acerca de nuestros servicios y cómo podemos mantener su organización segura.
