kentoh - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Estrategias de gestión del riesgo digital para el negocio centrado en datos

Para compensar las amenazas de los volúmenes de información en constante expansión, los líderes empresariales deben reconsiderar cómo integran las tácticas de gestión de riesgos digitales en sus empresas.

La rápida digitalización de la información corporativa ha influido positivamente en los procesos empresariales de las empresas modernas: los datos se han vuelto infinitamente más fáciles de preservar, acceder y compartir, ofreciendo la oportunidad de llegar a más clientes y realizar transacciones comerciales más rápidamente.

Sin embargo, hay aspectos negativos de negocios en la digitalización, incluidos los riesgos adicionales que conlleva gobernar la cantidad sin precedentes de datos generados por la empresa moderna típica.

"Sus usuarios no solo tienen 10 veces las aplicaciones que tenían hace 10 años, sino que también tienen múltiples dispositivos con los que están creando y utilizando estos datos", dijo el director de investigación de Gartner, Alan Dayley, durante una sesión de la Cumbre de Seguridad y Gestión del Riesgo 2016 de Gartner.

Las empresas digitalizadas han tenido que adaptar sus procesos de gobernanza y cumplimiento, al tiempo que consideran tácticas digitales de gestión de riesgos para mantenerse exitosas frente a la proliferación de datos. Un gran obstáculo es el riesgo que proviene de mantener datos "oscuros" no utilizados e información "no estructurada" que no tiene valor comercial después de que se genera.

En cambio, los datos oscuros y no estructurados suelen estar por allí y son ignorados hasta que crean un problema legal, de cumplimiento o de seguridad que la empresa no sabía que tenía.

"No eliminamos las cosas; no hay incentivos para eliminar las cosas", dijo Dayley. "Solo pides más almacenamiento, y lo obtienes la mayor parte del tiempo".

Desarrollar –y adherirse– a los programas de eliminación

Los calendarios de retención y borrado de datos pueden ayudar a reducir el riesgo derivado de datos oscuros o no estructurados que no sirven para el negocio. Sin embargo, los horarios deben ser seguidos para tener éxito: un estudio de Gartner predice que, para 2018, el 50% de las organizaciones tendrán políticas documentadas de borrado de datos, pero solo el 10% cumplirá plenamente con las políticas.

Dayley señaló que, a menudo, las empresas validarán la conservación de datos inútiles porque piensan que podrían resultar útiles para fines legales o reglamentarios en el futuro. Pero, en última instancia, almacenar demasiados datos inútiles podría demostrar ser un mayor riesgo que guardarlos "por si acaso".

"Una de las cosas que hemos encontrado es que, en lo que respecta a los registros de negocios y los datos requeridos para la retención legal y las regulaciones, solo el 2% de sus datos no estructurados caen en esa categoría", dijo Dayley. "Si tiene un esquema de política de retención documentado y no se adhiere a él, está buscando sanciones importantes si recibe algún tipo de litigio".

Para que estos programas de borrado funcionen, las empresas tienen que saber lo que tienen: deben realizar un cuidadoso inventario de los activos de datos y clasificar cómo se utiliza esta información para los negocios, así como los propósitos de GRC.

Y es importante recordar que, aunque la clasificación de los datos será vital para el éxito del negocio digitalizado, todavía podría no ayudar: Gartner predice que, hasta el 2020, el 75% de las organizaciones que implementan la clasificación de datos reportarán despliegues limitados y beneficios tangibles.

Esto se debe a que los numerosos actores de la información de la organización no proporcionan suficiente información: el personal de primera línea que está familiarizado con lo que el vicepresidente de Gartner Research, Tom Scholtz, llama "contexto" de los datos de la organización y sus riesgos únicos.

"No se obtiene conciencia del contexto de una caja", dijo Scholtz durante la Cumbre de Securidad y Gestión del Riesgo.

Gestión integrada de riesgos digitales

Se requerirá información de toda la organización para obtener este conocimiento del contexto para los datos: al igual que otros aspectos del negocio digitalizado, la gestión eficaz del riesgo digital dependerá en gran medida de romper las barreras entre los departamentos. Por ejemplo, muchas organizaciones aún no desarrollan una política consolidada de seguridad de datos entre los silos, haciéndolos vulnerables a incumplimientos regulatorios, brechas de seguridad y responsabilidades financieros.

Los ejecutivos de gestión de riesgos señalan que esta falta de colaboración en toda la organización dificulta su capacidad de pronosticar riesgos críticos, según Gartner. Una política de seguridad de TI y administración de riesgos digitales proactiva y cuidadosamente planeada, implementada en toda la organización, puede ayudar a aliviar este problema. Pero cuando se desarrollan estas políticas, es importante que las empresas obtengan información sobre la gestión de riesgos digitales dentro de la organización, en lugar de confiar fuertemente en consultores externos, dijo el director de Gartner Research, Rob McMillan, durante la cumbre.

"Es muy difícil para una persona externa decir cuáles son los mayores riesgos para una organización, porque cada organización se encuentra en una situación única", dijo McMillan.

Para compensar aún más los riesgos en constante evolución, las compañías deben evaluar periódicamente sus inversiones en seguridad de TI y GRC para asegurarse de que son capaces de evitar nuevas amenazas a los datos de la compañía. También es vital implementar estas tecnologías y procesos de seguridad en todas las capas de la empresa: sus aplicaciones, la infraestructura y todos los datos.

Esto requiere un montón de conocimiento, experiencia y paciencia para lo que muchas empresas simplemente no tienen los recursos, añadió Scholtz.

"En un mundo perfecto, la seguridad debe integrarse realmente en el tejido de la empresa, parte de los comportamientos, las tecnologías", dijo Scholtz. "Eso no va a suceder pronto".

Para ayudar a hacer avanzar la integración, McMillan recomendó combinar y/o reemplazar el software de GRC en silos para crear una solución integrada de gestión de riesgos. Las compañías pueden entonces identificar brechas en la arquitectura integrada de gestión de riesgos para protegerse aún más de los posibles riesgos, agregó.

McMillan también reiteró que es importante identificar todas las partes interesadas relevantes de GRC de la compañía, incluyendo miembros de la junta directiva y altos ejecutivos, al principio del proceso de integración de GRC. Las compañías también podrían considerar el desarrollo de un rol de "oficial de riesgo digital", un trabajo que McMillan dijo que se ha vuelto más popular a medida que las organizaciones siguen viendo cómo el riesgo de TI y de información tiene una relación causal con los resultados del negocio.

"El riesgo no es una mala cosa, solo tienes que ser inteligente acerca de cómo se [maneja]", dijo McMillan.

Próximos pasos

Quizás quieran revisar también:

Liberan póliza para la gestión de riesgos cibernéticos en empresas mexicanas

Por qué los peores riesgos de seguridad móvil no desaparecerán

¿Qué riesgos enfrentaría si hackearan su sitio web?

Este artículo se actualizó por última vez en mayo 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close