¿Las brechas de seguridad son la mayor amenaza para tu empresa? Piénsalo bien

En 2018, los focos de atención se centraron en las TI, y no precisamente por algo bueno. Los datos personales de más de mil millones de personas quedaron expuestos debido a brechas de seguridad. Facebook, T-Mobile, Quora, Google, Orbitz y decenas de empresas más vieron cómo todos los datos confidenciales de sus clientes estaban en peligro. Además del inmediato impacto económico de un fallo como estos (que ronda los 3,86 millones de dólares de media por incidente), el menoscabo del prestigio y la pérdida de la confianza de los clientes puede costar millones a las empresas por ventas perdidas a largo plazo.

Cuando se produce un fallo de seguridad, los dedos acusadores del equipo directivo apuntan muchas veces a los responsables de TI. Tras el ataque informático a Target de 2013, la empresa tuvo que soportar las intensas críticas vertidas sobre sus prácticas de gestión de datos, lo que provocó la dimisión de su responsable de información al año siguiente. Con tanto en juego, no es de extrañar que la seguridad y la gestión sigan siendo los principales focos de atención de los equipos de TI.

Sin embargo, aunque llegan a los titulares de los periódicos, las brechas de seguridad no son la única amenaza para una empresa. Hay otro peligro, mucho más sutil, que podría tener el mismo impacto y consecuencias a largo plazo: una gestión demasiado estricta que ahogue la creatividad y la innovación.

Seguridad frente a innovación

Las empresas tienen que ser previsoras y elegir soluciones a partir de las que crecer durante años o décadas; siempre manteniendo el ritmo de un mercado que cambia rápidamente. Los responsables de TI se esfuerzan por encontrar el equilibrio entre proteger a sus organizaciones y seguir siendo lo suficientemente flexibles como para permitir una rápida innovación.

Según la encuesta Harvey Nash/KPMG CIO Survey 2018, “mejorar la ciberseguridad” tuvo el mayor incremento en cuanto a prioridad entre todas las demás áreas de negocio con un 23 %. Con la constante amenaza de las brechas de seguridad sobrevolando sus cabezas, los responsables de TI han sido rápidos protegiendo todos los puntos débiles. En comparación con los responsables de marketing, que están deseando aprovechar las nuevas herramientas tecnológicas para solucionar sus problemas, los responsables de TI a menudo se les ve como aguafiestas y contrarios a la innovación.

En un artículo de Inc., el editor colaborador Geoffrey James argumentó que impedir el progreso era la nota dominante para la mayoría de los responsables de información:

“En los años 70, los responsables de información se aferraban a toscos procesadores centrales de IBM cuando los miniordenadores y las estaciones de trabajo eran más baratos y tenían un mejor software.

En los 80, acudían a ordenadores centralizados y terminales de caracteres en lugar de optar por los PC y los Mac que la gente realmente quería utilizar.

En los 90, utilizaban aplicaciones cliente-servidor bien integradas y, a menudo, luchaban contra las aplicaciones basadas en la nube (como Salesforce.com) que funcionan a través de Internet.

En la primera década que trajo el año 2000, preferían los PC y los sistemas ERP demasiado complicados, mientras que sus usuarios adoptaban rápidamente smartphones y tablets”.

Pero, al mismo tiempo, las juntas directivas encargaban a los responsables de información y TI el fomento de la innovación, la creatividad y la experimentación. Es como caminar sobre una cuerda floja, pero aún más complicado por culpa de otros departamentos e incluso compañeros del equipo directivo que adoptan nuevas tecnologías fuera de TI. Entonces, ¿qué pueden hacer los responsables de TI para cumplir sus obligaciones y, al mismo tiempo, hacer que sus organizaciones avancen?

De responsables de tecnología a impulsores de la innovación empresarial

Ya pasó la época en la que los líderes empresariales definían la estrategia y el equipo de TI se encargaba de implementarla. Elegir la tecnología, la integración o los socios incorrectos puede acarrear consecuencias que podrían afectar a la empresa durante años. Se produjo entonces un cambio radical, con unos líderes de TI y seguridad que asumían una función mucho más consultiva.

“Desde finales de los 90, y más en estos últimos 10 años, los responsables de seguridad y TI han pasado a primera línea de batalla de la toma de decisiones corporativas”, afirmó Lucas Szymanowski, director de seguridad de la información de Wrike.  “A medida que maduran los programas de cumplimiento y seguridad de la organización, la organización de la seguridad se ve como una voz decisiva implicada en la elección de los socios, los proveedores y en la definición del panorama tecnológico”.

Los responsables de TI tienen la oportunidad, no solo de mantener y proteger los datos y la infraestructura técnica de la empresa, sino también de ayudar a las organizaciones a tomar decisiones fundamentales y decidir sobre inversiones en tecnología que pueden afectar a la estrategia competitiva general. En lugar de limitarse simplemente a encargarse de la creación de sistemas técnicos en los que confían las empresas, los responsables de TI tienen cada vez más peso en los resultados empresariales que dichos sistemas pueden llegar a ofrecer.

Es un momento emocionante y una gran oportunidad para que los equipos de TI aumenten su influencia, su valor y se alcen como socios empresariales.

En la encuesta Harvey Nash/KPMG CIO Survey 2018, Bridget Gray, director general de Harvey Nash Australia, puso de manifiesto la oportunidad de este modo:

“No es fácil combinar creatividad y gestión. Pero gran parte de la solidez del rol del responsable de información procederá del equilibrio entre ambas”.

Para que esta transformación sea todo un éxito, los responsables de TI deben aplicar un planteamiento objetivo y centrado en la empresa en cuanto a evaluación tecnológica que proteja a la organización sin poner en peligro la innovación.

Tres preguntas que los responsables de TI deben plantearse al evaluar nuevas herramientas

1. ¿Cuál es el objetivo de la herramienta y cómo encaja en el sistema tecnológico?

Cada nuevo programa informático o solución tecnológica añade nueva complejidad a los sistemas y amenazas que ya tiene. Casi siempre es mejor reducir la cantidad de elementos móviles, siempre que sea posible.

“Lo veo como una conga de tecnología y seguridad”, explicó Szymanowski.  “Y con la conga de tecnología, todo avanza desde la función esencial y los datos que proteges. Como se necesitan más funciones, añades nuevas herramientas, dispositivos y procesos a la cadena. Aunque puede parecer funcional y necesario a corto plazo, añade una complejidad que puede traducirse en riesgos y puntos débiles. Para cada una de las conexiones de la conga se necesita un planteamiento estructurado en el modo de definir los requisitos mientras supervisas y gestionas la seguridad de cada una de las partes. Si dos funciones pueden reducirse a una, mejor”.

Los problemas surgen cuando nos centramos demasiado en el crecimiento y la ejecución.

“El peligro aparece cuando el planteamiento carece de visión de futuro. “Simplemente se hace (se instala) porque hay que hacer ‘X’”. No quieres empezar a añadir nada más a esa conga. Llegados a un determinado punto, vas a añadir algo que infringe la ley, lo que afectará negativamente a la seguridad de los datos, o lo que es peor, debilitará los sistemas que antes eran resistentes.

2. ¿Quién ha creado la herramienta y qué prestigio tiene?

La autoría del software sí importa. Un software con baja compatibilidad creado por un equipo desgastado que no está bien consolidado pude ser una enorme responsabilidad.

“Tienes que evaluar exhaustivamente a los socios informáticos”, afirma Szymanowski.

“Ese magnífico programa de un equipo pequeño que eliges usar puede ser la primera piedra sobre la que construir una infraestructura crítica. Si ese programa no se ha ideado o diseñado bien, o si el código del software no es seguro, tu empresa se puede ver negativamente afectada, incluso aunque el concepto tecnológico sea sólido.  Gran parte de la mejor tecnología puede proceder de equipos pequeños. Recordemos que HP surgió con 2 chicos trabajando en un garaje. ¿Qué sucedería si al cabo de un par de años, el equipo formado por 2 personas que fabricó tu programa, ahora imprescindible, se encuentra en un impasse y cierra? ¿Qué pasaría si uno de ellos decide llevarse sus datos e IP y continuar? Podría tener graves consecuencias”.

Puede que tengas que soportar la presión de tener que adoptar la herramienta o el dispositivo más novedoso lo antes posible, pero apresurarse puede acarrear infinidad de problemas.

3. ¿Contamos con un plan para formar a usuarios en cuanto a prácticas recomendadas de protección de datos?

La gran mayoría de los incidentes y brechas de seguridad no son el resultado de una tecnología en peligro, sino de errores humanos. Los responsables de TI tienen que empezar a ver la formación interna como una parte fundamental de su infraestructura de seguridad. Es preciso disponer de políticas de seguridad y prácticas recomendadas. Hay que cultivar e integrar una cultura de conciencia del riesgo, formación y responsabilidad en el ADN de la organización.  

“La nube ha sido el mayor cambio”, explica el consultor de seguridad y asesor del responsable de información Dustin Bolander. “Dropbox, Google Apps y demás han facilitado enormemente la fuga de documentos fuera de la organización. Ahora cualquier usuario de la empresa puede configurar un servicio y almacenar datos en la nube en cuestión de minutos. Esto ha supuesto un gran cambio, de basarse en garantías técnicas a tener que centrarse en la concienciación del usuario y la formación en materia de seguridad”.

Dado el ritmo al que avanza y evoluciona la tecnología, proporcionar prácticas recomendadas básicas sobre cómo gestionar datos y formación en materia de seguridad puede ser el mejor paso que una organización puede dar con el fin de impedir un costoso fallo de seguridad. Nuestro fundador y director general, Andrew Filev, indicó algunas de las maravillosas prácticas en materia de protección de datos que aplicamos.

La seguridad es el nuevo diferenciador

Las empresas tienen que hacer que la seguridad sea una de las principales prioridades y revisarla exhaustivamente antes, durante el proceso de análisis de proveedores. Las brechas de seguridad en los datos siempre serán una amenaza, pero hay un peligro considerable en limitar la capacidad de innovar de los equipos. Las organizaciones tienen que hallar formas responsables de dar cabida a la transparencia y la creatividad sin poner el peligro la seguridad.

Los clientes dan por supuesta la protección de sus datos. Se calcula que los errores al administrar los datos y la seguridad costará solo a Facebook más de mil millones de dólares. Cada parte de un sistema tecnológico tiene la capacidad de poner en peligro los datos y dañar a la organización, así que haz que cumpla las normas más estrictas.

En Wrike no solo nos ceñimos a las normas de seguridad, nos hemos convertido en pioneros. Nuestro compromiso con la seguridad no solo es presumir de fruslerías. Nos dedicamos en cuerpo y alma a proteger los datos de nuestros clientes porque sabemos que sus empresas dependen de nosotros. Y, gracias a nuevas funciones como Wrike Lock, nuestros usuarios ahora tienen un control sin igual de los datos que se encuentran en la nube.

Todas estas funciones de seguridad sirven para un propósito: permitir una colaboración impecable. Los equipos distribuidos pueden colaborar para gestionar su trabajo fácilmente, sabiendo que sus datos están protegidos por una seguridad en la nube líder del sector. ¿Estás preparado para dar más poder a tu equipo para que innove en la distancia? Empieza tu prueba gratuita hoy mismo.

Foto de sebastiaan stam en Unsplash

Comentarios 0

¡Ups! Este contenido no se puede mostrar si no aceptas las cookies.

Infórmate más