Inculcar una cultura de seguridad comienza con gobierno de la información

El cambio es difícil. El miedo a lo desconocido, el desgaste de nuevos acercamientos y la apatía son barreras para el cambio que los individuos enfrentan en su vida personal y laboral. En un entorno corporativo, estos obstáculos son exacerbados por la gran cantidad de personas impactadas, factores geográficos y confianza en los sistemas y procesos existentes para la continuidad. A menudo, la cultura puede ser la culpable oculta para lograr cambios importantes en una organización. La cultura existente, ya sea oficial o perceptible, puede ser un verdadero obstáculo para lograr e implementar el cambio. Es más complicado al lidiar con asuntos de cumplimiento, privacidad y seguridad, dada su naturaleza sensible y legal.

Las corporaciones en industrias altamente reguladas o con operaciones globales se enfrentan a incontables desafíos en mantener el cumplimiento con las regulaciones y asegurar sus datos y los datos sensibles que mantienen de parte de sus clientes. En los Estados Unidos solamente, las sanciones impuestas en el sector privado por los reguladores han aumentado continuamente, y se han efectuado numerosas demandas de acciones colectivas en contra de corporaciones tras grandes fugas de datos de clientes. Un reporte de Cisco del 2016 encontró que hubo 780 fugas con un total de cerca de 178 millones de registros robados en el 2015, y el costo promedio de cada registro sensible perdido o robado aumentó en un 6 por ciento desde el 2015 al 2016.¹ Prepararse adecuadamente para solicitudes regulatorias y litigios y prepararse contra fugas de datos son esfuerzos complejos que deben ser pretendidos de manera holística y estratégica. Todo esto comienza con gobierno de la información, estratégico y proactivo (GI).²

En la práctica, GI se mantiene etéreo y abstracto, con muy poca consistencia de persona a persona respecto a cómo se define. Ampliamente, GI es la práctica y marco de trabajo para gestionar proactivamente la valoración, creación, almacenamiento, uso archivado y eliminación de datos dentro de una organización. Los esfuerzos pueden incluso considerar migrar hacia sistemas en la nube, establecer programas de privacidad de datos, implementar retención legal y habilitar cumplimiento regulatorio más fuerte. GI proactiva permite a los equipos de legal, cumplimiento y TI tomar pasos incrementales, medibles hacia cambios graduales de programas, políticas y cultura que están enraizados en seguridad y cumplimiento y son necesarios para lidiar con los desafíos que enfrentan hoy los datos.

Una compañía que está frente a desafíos de privacidad y seguridad no necesita cambiar radicalmente la forma en que hace negocios, sino en cambio puede apalancar la cultura para implementar y fomentar las transformaciones procedimentales y tecnológicas necesarias para fortalecer la seguridad. Algunos pasos pueden tomarse para construir respeto hacia y una práctica de seguridad en la fábrica cultural de cualquier organización, a través de todos sus departamentos y áreas de negocios. Las actividades de la compañía como migrar hacia la nube, responder a solicitudes de datos para litigios o solicitudes regulatorias, entrenamiento y educación de equipos de trabajo, y el uso para el trabajo de dispositivos móviles personales por parte de los empleados deben ser considerados como parte de los esfuerzos para fortalecer la cultura de seguridad global. El liderazgo de ejecutivos, gestión estratégica de cambios, implementaciones de tecnología, incentivos, entrenamiento personalizado, políticas móviles, y el involucramiento de las áreas legal y cumplimiento en la ejecución de GI y los programas de seguridad de datos pueden todos ayudar a dar forma a la cultura de seguridad que es sostenible a largo plazo.

Estableciendo una fuerza de trabajo

Primero y antes que todo, cualquier esfuerzo equipado para lograr cambios en la cultura corporativa o implementar nuevas prácticas de GI requerirá un equipo multidisciplinario de partes interesadas claves que puedan incluir gestión de registros, legal, cumplimiento, seguridad, TI y operaciones. La fuerza de trabajo será instrumental en asegurar que nuevos programas—y cambios culturales—están cumpliendo con las necesidades de la organización completa y abordando los desafíos que puedan surgir de un departamento determinado.

Auspicio ejecutivo

Una vez que las partes interesadas están en sincronía, deben comprometer auspicio ejecutivo o de la junta de directores para el esfuerzo. La clave para obtener acceso es comunicando los beneficios del programa que específicamente abordarán únicamente los puntos de dolor del ejecutivo. Si el auspiciante ejecutivo es el consejero general, construir el caso de riesgo para esa personal es crítico—esto incluye el riesgo de no deshacerse de los datos que han cumplido su período de retención y no están sujetos a retención legal. Si el auspicio es solicitado al Director de Tecnologías de Información (CIO) u otro líder de TI, él/ella más probablemente puede abordar un proyecto que se encargue de la minimización de los datos y destrucción defensiva. Los líderes de negocios y miembros de la junta estarán más enfocados en los costos, impacto global a la línea base y riesgo mitigado. La propuesta debe también tomar en consideración el hecho de evitar el costo de posibles fugas y penalizaciones por fallar en el cumplimiento de varias regulaciones en cualquier región donde la compañía hace negocios.

Estructura y pensamiento fresco

Con el auspicio ejecutivo comprometido, el equipo debe analizar la infraestructura, políticas y procesos actuales. Esto incluye evaluar sistemas, cómo son utilizados en la operación diaria, y la actitud de los empleados hacia la seguridad y el cumplimiento en el entorno actual.

A menudo, los objetivos de cambio se pierden en una serie de discusiones acerca de la cantidad de personas y requerimiento de recursos. Pero la parte de la ecuación que corresponde a las personas, es esencial para habilitar transformaciones de largo aliento. De acuerdo a la encuesta de gobierno de información del 2014, sólo un 8 por ciento de las organizaciones reportaron que cuentan con métricas maduras de gestión de registros para información almacenada electrónicamente, y sólo un adicional 29 por ciento reportó que esas métricas se están mejorando.³ Para mejorar estas métricas las organizaciones deben invertir en sus equipos existentes, junto con traer nuevas personas que personifican y demuestran los valores que serán parte de la nueva cultura. La introducción de un nuevo pensamiento e ideas, administradores con una perspectiva única, y expertos con estrategias innovadoras impulsará cambios conductuales a lo largo de la compañía que pueden refrescar y renovar la cultura.

Incentivos

Una parte clave de obtener una adopción a lo largo de la compañía de cualquier nuevo programa es ayudar a los empleados a entender que beneficio obtienen de ello. Esto puede ayudar a influenciar el comportamiento y atraer nuevas capacidades. Sólo hay unas pocas compañías destacadas que son conocidas por mantener programas fuertes de incentivos que están directamente enlazados con la cultura de la compañía. Lo que tienen en común sus acercamientos es enlazar el rendimiento y los incentivos monetarios a una evaluación de cómo los empleados están viviendo y actuando bajo las directrices culturales.

Al entender que incentiva a las personas y al enlazar estos incentivos a la participación activa de los empleados en incorporar nuevos procesos, como los protocolos de cumplimiento y seguridad, los grupos de interés de GI pueden significativamente mejorar el entusiasmo y ritmo al cual se adoptan los nuevos estándares culturales. El índice de Inteligencia en Ciberseguridad del 2016 de IBM X-Force reportó que en el 2015, 60 por ciento de los ataques fueron llevados a cabo por gente interna, ya sea con intenciones maliciosas o sirviendo como actores no conscientes.⁴ Este es un importante recordatorio de por qué la seguridad debe ser inculcada desde el nivel superior hacia el nivel inferior, a lo largo de toda la fuerza de trabajo.

Gestión del cambio

Entender cómo manejar y habilitar el cambio efectivamente—y acercarse como un viaje hacia seguridad y cumplimiento más fuertes—es esencial. Mientras se lleva a cabo un esfuerzo por cambiar la cultura hacia una conciencia de seguridad más fuerte, la fuerza de trabajo debe comunicar los impulsores fundamentales legales y regulatorios tras los cambios propuestos y asegurar que la compañía entiende qué tan importante son estos factores para el éxito global y continuidad del negocio de la organización.

Uno de los métodos más ampliamente aceptados para la gestión del cambio es el Modelo de cambio de 8 pasos de Kotter,⁵ que fue desarrollado para ayudar a las organizaciones a ser adeptos del progreso. Algunos de los sostenedores clave de este modelo, que ayudará fortaleciendo actitudes hacia la seguridad, incluyen la creación de urgencia, comunicar claramente la visión, identificar y eliminar obstáculos, fijar metas realistas de corto plazo que generen un sentido de logro entre los involucrados, y hacer los cambios permanentes a través de la solidificación de la adopción y abordando la oposición en forma consciente. Estos pasos nuevamente pueden ser ligados a programas de incentivos para proveer a los empleados metas alcanzables que se alinean con los nuevos programas de seguridad.

Entrenamiento

Al desplegar cualquier nuevo programa, es imperativo tener un módulo de entrenamiento computacional a disposición de los usuarios. La encuesta de gobierno de la información mencionó en reportes anteriores que la mitad de las organizaciones indicaron que sus empleados nunca recibían entrenamiento en gestión de registros de información.⁶ Los ejecutivos auspiciadores pueden ser particularmente útiles en asegurar que el entrenamiento es mandatorio para todos en la organización—un factor clave en mantener cambios de largo plazo. Asesores externos pueden ser particularmente útiles en esta etapa, en la medida en que pueden ayudar a los equipos internos a destacar las vulnerabilidades críticas de seguridad y los componentes necesarios para el programa, desarrollar material de entrenamiento específico para cada audiencia, identificar en qué deberán ser entrenados los usuarios, y determinar cuál es la profundidad que debe tener dicho entrenamiento.

El entrenamiento no debe ser una solución envasada como el caso de los proveedores de software, ni tampoco debe ser necesariamente el mismo para todos los integrantes de la organización. Un corolario del entrenamiento debería ser la seguridad- y privacidad-enfocada y ajustada a las necesidades específicas de la organización. Los materiales deben mostrar a los usuarios cómo se ven las políticas nuevas dentro del contexto de su entorno de trabajo y como ellas impactan la prevención de fuga de datos y el cumplimiento regulatorio. También es útil construir una página dedicada disponible para todos los usuarios internos que ofrezca guías de referencia y una sección de preguntas frecuentes dedicada a explicar las nuevas políticas y herramientas que están siendo usadas y por qué.

Fuerza de trabajo móvil

La entrada de Internet de las Cosas (IoT), dispositivos móviles y mensajes de texto hacia el mundo del descubrimiento electrónico ha creado un gran número de desafíos que impactan el cumplimiento y la seguridad. Los datos en un equipo móvil o dispositivo conectado a internet de un custodio, incluyendo mensajes de texto u otros datos que han sido recolectados desde el dispositivo—ya sean personales o de propiedad de la compañía-pueden estar en el alcance en casi cualquier investigación o litigio y pueden ser más vulnerables a fugas o escapes de datos. Estos dispositivos están evolucionando especialmente rápido, y la arquitectura y herramientas de software que son nuevas hoy pueden ser anticuadas mañana. Las corporaciones que son proactivas respecto de su fuerza de trabajo móvil y cualquier uso de productos de IoT relacionado con la compañía y de mantener políticas actualizadas y aplicables encontrarán mucho más sencillo navegar a través de asuntos de cumplimiento y seguridad. Las IoT en forma específica deberían ser vetadas por las partes interesadas en GI dentro de una organización para determinar áreas posibles de riesgo y cómo los datos de esos dispositivos pueden necesitar ser mitigados.

Otra área de consideración relacionada y en crecimiento es la migración de la empresa a servicios en la nube, como Aplicaciones de Google para el Trabajo y Microsoft Office 365. De acuerdo con Microsoft, Office 365 sólo tiene más de 60 millones de clientes comerciales, y la adopción se está expandiendo a una tasa de 50 por ciento cuartil tras cuartil.⁷ El movimiento de datos críticos corporativos a la nube eleva preocupaciones de seguridad y protección de datos, y los reportes de analistas han mostrado la incidencia de amenazas avanzadas por correo aumentando en las corporaciones de todos tamaños. IBM reportó que la organización cliente promedio monitoreada por sus Servicios de Seguridad experimentó 52.885.311 eventos de seguridad, 1.157 ataques y 178 incidentes.⁸

La migración a la nube trae consigo una larga lista de prioridades y consideraciones de GI, variando desde necesidades de descubrimiento electrónico, requerimientos de custodia y retención legal, metodologías de migración, y control técnico y pruebas de calidad. Estos asuntos son complejos y deben ser abordados por adelantado ante una migración, para asegurar un manejo apropiado a través de TI, legal, cumplimiento y seguridad, y para construir entrenamiento y gestión del cambio que se puedan trazar de vuelta hacia esfuerzos más generales por incorporar la seguridad en la cultura de la compañía. Al buscar políticas para los datos de dispositivos móviles, el consejero debe abordar las preocupaciones de privacidad de datos y limitaciones de software para gestionar la seguridad. Las consideraciones claves incluyen:

• Propiedad del dispositivo—Hacer una distinción acerca de quién es el dueño del dispositivo y que acceso tiene la organización a los datos en dicho dispositivo es importante y debe ser destacado por una política de uso aceptable que aplique para todos los dispositivos y de consentimiento a la compañía para controlar el dispositivo a través de gestión de dispositivos móviles, incluyendo acceso remoto, recolección de datos y borrado del dispositivo.
• Privacidad de los datos—Las corporaciones multinacionales deben estar conscientes de la amplia variedad de leyes de protección de datos alrededor del globo y preparadas para lidiar con conflictos entre leyes de privacidad y políticas corporativas en regiones donde los datos residen; el desarrollo de políticas individuales que son ajustadas a las leyes de protección de datos de cada región pueden ayudar a sentar las bases para hacer más seguros los datos en cumplimiento con cada jurisdicción.
• Software—Toda compañía debe tener un software de gestión de dispositivos móviles incorporado, que permita sobrellevar algunos de los desafíos de asegurar, gestionar y recolectar datos desde dispositivos móviles; el software debe ofrecer una fuerte escalabilidad para crecer a medida que la organización crece y proveer funcionalidades que permitan que la corporación tome control del dispositivo en segundo plano sin que sea visible para los usuarios.

Incorporación

Mantener el cambio e impulsar la adopción de nuevos procesos es crítico para dar forma a una cultura de seguridad que crece y se fortalece en el tiempo. Existen algunos acercamientos y tecnologías que habilitan el monitoreo de cumplimiento, y funcionan etiquetando violaciones de nuevos protocolos y habilitando a las partes interesadas, a tomar acciones de remediación. En conjunto con el monitoreo, ligar el cumplimiento a las evaluaciones de desempeño de los empleados es muy efectivo para empujar la adopción. Cuando los empleados entienden que la falta de participación en programas de entrenamiento o la violación de nuevas políticas impactará de manera adversa su tasa de rendimiento o compensación, ellos están más dispuestos a profundizar en y comprometerse con los cambios. Las métricas de empleados para el cumplimiento de nuevas políticas puede ser directamente enlazado con los objetivos incrementales de la organización para implementar dichas políticas y medir su adopción.

La educación respecto a que tan pueden ser las brechas de seguridad y el costo que implican para la organización también puede ayudar a los empleados a entender el impacto negativo. En muchos casos, no es que los empleados tengan dobles opiniones respecto de la seguridad; es que simplemente no entienden como sus acciones impactan en la seguridad de los datos, ni las consecuencias que una brecha puede tener. Una vez que han sido educados respecto a la importancia global de la seguridad para la salud de largo plazo de la compañía, muchos empleados respaldan más los esfuerzos de seguridad y están más atentos a reportar violaciones de las políticas.

Conclusión

Fallar en el manejo adecuado de datos y en inculcar un profundo respeto por la privacidad y seguridad puede resultar en fugas de datos dañinas, y ha ocurrido en cientos de compañías. Más allá del riesgo legal y de cumplimiento que conlleva una fuga de datos, también rompe la confianza y causa que la duda se vuelva parte de la reputación de la compañía. Por lo tanto, es crítico que los requerimientos legales, de cumplimiento y de seguridad sean vistos como oportunidades de inculcar un alto estándar para la ética y la privacidad al interior de la cultura de la compañía.

Cuando cada empleado representa la confianza, la ética, la seguridad y la privacidad, estos valores se traducirán en los servicios o productos que la empresa ofrece. Al adoptar esta mentalidad, el liderazgo de una corporación puede establecer el tono correcto de arriba hacia abajo, la construcción de la defensa de los programas ejecutables que garantizan un manejo seguro y responsable de los datos sensibles, además de un fuerte cumplimiento y eficiencia.

Notas finales

¹ Cisco, The Zettabyte Era: Trends and Analysis, 2016, www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.pdf
² FTI Consulting, “Information Governance & Compliance Services,” www.ftitechnology.com/solutions/information-governance-and-compliance-consulting-services
³ Cohasset Associates, ARMA International, AIIM, 2013 | 2014 Information Governance Benchmarking Survey, 2014
⁴ IBM, X-Force 2016 Cyber Security Intelligence Index, 2016, https://www.ibm.com/security/data-breach/threat-intelligence-index.html
⁵ Kotter International, 8-step Process, https://www.kotterinternational.com/8-steps-process-for-leading-change/
⁶ Op cit, Cohasset Associates
⁷ Microsoft, “Microsoft Cloud Strength Highlights Third Quarter Results,” 27 April 2017, https://news.microsoft.com/2017/04/27/microsoft-cloud-strength-highlights-third-quarter-results-2/#11Ct2akfPsVWgmyz.97
⁸ Op cit, IBM