¿Alguien es realmente responsable de la seguridad de los datos de su empresa?

Proteger la información fundamental de una empresa es una propuesta de valor. Los secretos comerciales, los planes de negocios confidenciales y la seguridad operativa dependen de ello. Perder ese tipo de información puede provocar una caída del precio de las acciones y la cuota de mercado. Entonces, ¿quién es el responsable de la seguridad de la información en su empresa?

Para averiguarlo, me gusta hacer preguntas. Pero cuando hago la pregunta a la alta dirección, bueno, están ocupados —no es su problema, eso es seguro— y me remiten al director de información o al director de tecnología. Así que llamo a sus puertas y les hago la misma pregunta. Dicen que nuestro trabajo es hacer que las cosas funcionen. Si las cosas no funcionan, es nuestra culpa. ¿Pero seguridad? Me remiten a la directora de seguridad de la información, pero trabaja para el CIO, al que no le gusta mucho saber qué pasa con el sistema que creó. Además, dice, no tengo nada que ver con quién tiene acceso al sistema. Yo no escribo las reglas. Y (mira a su alrededor con nerviosismo): no me citará en esto, ¿verdad?) mi presupuesto es una broma.

Así que camino por el pasillo y llamo a la puerta del consejero general. Ciberseguridad mi¿problema? él dice. No, no, se ríe; escribo los contratos que eximen la responsabilidad de la ciberseguridad a nuestros contratistas. Y en la medida en que parte de esa responsabilidad se quede aquí, se trata de un problema técnico.

¿Quién queda? Camino por el pasillo y visito a la directora de recursos humanos, que se esfuerza por ocultar su opinión de que, por preguntarle si tiene alguna responsabilidad por algún tipo de seguridad, debo ser el tipo más estúpido del mundo. Sin embargo, insisto. Usted controla el manual de recursos humanos, ¿no? Ella sí. Y el manual contiene muchas reglas de acceso, ¿no? Ella admite el punto. ¿Y no fue usted el principal opositor al plan del CISO de exigir un cartel de inicio de sesión con un clic en el que se dijera que la información del sistema de TI de la empresa pertenece a la empresa y se puede monitorear? De repente, recuerda su próxima cita.

Pruebe el experimento en su empresa. Si obtiene respuestas como esta, significa que nadie en su empresa es responsable de la seguridad de la información. La verdad es que, a menos que todas esas personas entiendan que son dueñas de una parte del problema y que se les pueda hacer frente juntas, no podrá gestionar la seguridad de la información.

Lo más nuevo de Verizon informe de investigaciones sobre violaciones de datos de 2013 nos dice —una vez más— que la ciberseguridad depende tanto de las personas como de la tecnología. Las infracciones casi siempre se deben a varios factores, y las personas son casi siempre uno de ellos. En este último informe, basado en una muestra más amplia que nunca, el 29% de las infracciones implicaron tácticas sociales, como hacer que los empleados hicieran clic en correos electrónicos falsos (suplantación de identidad). Y los empleados crédulos no son el único problema. Año tras año, Verizon informa de que la mayoría de las intrusiones (el 78% este año) son de «dificultad baja» y podrían haberse evitado con medidas de seguridad simples o de nivel medio. No implementar los parches durante semanas y meses es un problema común. Se trata de un fallo de gestión, no de un problema tecnológico.

Cuando los intrusos entran en los sistemas corporativos, suelen quedarse en ellos. Todavía vemos hackeos de aplastar y agarrar, sobre todo después de información personal, pero cada vez son menos comunes, especialmente cuando el objetivo es robar información corporativa. La mayoría de las infracciones tardan en descubrirse, normalmente meses en lugar de semanas y, a veces, más. En un importante comunicado a principios de este año, la firma forense Mandiant denunció sólido hackeo masivo de clientes del sector privado por parte de China, y demostró que el período medio de la intrusión fue casi un año. A menudo, estas infracciones solo las descubren terceros, como el FBI o los medios de comunicación. No fue una experiencia agradable.

Entonces, ¿por qué tantas empresas tratan la ciberseguridad simplemente como un problema técnico que puede repercutir en el departamento de TI?

La ciberseguridad implica cuestiones legales, prácticas y políticas de recursos humanos, configuraciones operativas y experiencia técnica. Pero si bien cada uno de estos jefes de silo (el consejero general, el director de recursos humanos, el director de operaciones y el director de TI) es dueño de una parte del problema, algunos de ellos no lo saben y ninguno de ellos es el propietario de todo. Esto convierte la seguridad de la información en un desafío de gestión de riesgos y gobierno, ya que, a menos que estas personas aborden el desafío juntas bajo un mandato de la alta dirección, no se puede gestionar de manera eficaz. Lamentablemente, esto ocurre muy poco.

La seguridad de la información no puede implicar no bloquear la información que debe moverse rápidamente. Implica averiguar hacia dónde debe moverse la información y hacia dónde no debe moverse. Y, sobre todo, significa crear reglas que no sofoquen la creatividad en la empresa. Proteger la información crítica protege el valor corporativo y es una responsabilidad fundamental del consejo de administración y la dirección ejecutiva. Las mejores empresas de su clase ven la seguridad de la información como una propuesta de valor, no simplemente como una deducción del resultado final.

Datos bajo asedio
Un HBR Insight Center

• La cooperación entre el sector público y el privado que necesitamos en materia de ciberseguridad
• Acepte la complejidad de la ciberdefensa
• Por qué las empresas deberían compartir información sobre los ciberataques
• Por qué su CEO representa un riesgo para la seguridad