El precio de la fuga de información en mi empresa

* En promedio las empresas sufren 14.4 incidencias de pérdidas accidentales de información en un año (IDC)

* La Ley Federal de Protección de Datos Personales en Posesión de los Particulares entra en vigor este año.

Durante mucho tiempo hemos escuchado acerca de la eficiencia y productividad que la tecnología brinda al negocio; sin embargo, existen muchas otras áreas en las que las compañías deben enfocar su atención y explorar nuevas ideas para evitar incidentes y lograr el impacto requerido.

La pérdida de información sensible representa para una empresa pérdidas económicas,  de imagen y de ventaja competitiva, , y, a medida que las áreas de administración de TI  continúan enfrentando la presión para combatir la fuga de información, la reducción de la complejidad y los costos, también se tiene que ofrecer más valor al negocio,  ya que la virtualización y cloud computing se están convirtiendo en una solución imprescindible.

Una investigación de IDC señala que las organizaciones sufren en promedio 14.4 pérdidas de datos accidentales en 12 meses; 52% de estas pérdidas de información son involuntarias y originadas por la negligencia de los empleados. Los privilegios o derechos de acceso obsoletos y/o excesivos son consideradas las de  mayor impacto financiero en las organizaciones. Si a esto le sumamos el uso común de contratistas y empleados temporales, los riesgos por la pérdida de datos aumentan considerablemente.

De acuerdo al tipo de negocio y sus respectivos objetivos, una empresa puede estar expuesta a múltiples riesgos y, para evitar esto, es necesario definir metas, políticas y procedimientos por medio de los cuales la organización es administrada, busca oportunidades y se prepara para evitar los eventos negativos, y además demostrar el cumplimiento de las leyes, reglamentos, políticas, obligaciones contractuales y estándares de la industria.

A todas estas estrategias se les llama Gobernabilidad Empresarial, Riesgo y Cumplimiento (o eGRC, e-Governance and Risk Compliance, por sus siglas en inglés) y toda empresa que esté interesada en implementar esta estrategia se verá afectada de una forma positiva.

Las organizaciones buscan aprovechar los procesos eGRC con el fin de establecer un marco regulatorio para satisfacer los requerimientos de gobierno, evaluar el riesgo en toda la empresa y dar un seguimiento a cómo la organización cumple con lo establecido en las políticas.

¿Cuáles son los retos?

Uno de los principales retos de la adopción en toda la empresa de una estrategia eGRC para la gobernabilidad, riesgo y  cumplimiento es la fragmentación de la información y los procesos a través de  la organización. De acuerdo con Gartner, 60% de las empresas utilizan Word y Excel como sus principales herramientas de gestión de eGRC. Sin embargo, limitan la capacidad de la organización para compartir información en tiempo real, estandarizar los procesos, entender las tendencias y tomar decisiones informadas sobre la base de una visión holística de su perfil de riesgo y cumplimiento.

La mayoría de las organizaciones se basan en procesos y  tecnologías no actualizadas en un mundo con  riesgos cada vez más complejos, así que su panorama de  regulación enfrenta obstáculos importantes, entre ellos los siguientes:

  • Iniciativas de riesgo y cumplimiento.
  • Evaluaciones y pruebas de controles.
  • Evaluación de resultados.
  • Lucha para priorizar recursos.

Para responder a esta demanda, EMC considera que una de las mejores alternativas para una buena solución de eGRC es la unificación de las políticas, controles, riesgos, evaluaciones y deficiencias a través de TI, operaciones, ámbito legal y financiero.

“Con una solución de este estilo, las organizaciones pueden alejarse de su complicada red de hojas de cálculo y herramientas hacia un sistema de eGRC ágil, coordinado y coherente”, comentó César del Blanco, Director de México y Norte de Latinoamérica de RSA, la División de Seguridad de EMC. “El resultado final es un valor empresarial tangible”.

En un buen gobierno empresarial, riesgo y gobernabilidad, las organizaciones pueden alejarse de su complicada red de hojas de cálculo y herramientas hacia un sistema de eGRC ágil, coordinado y coherente. El resultado final es un valor empresarial tangible traducido en:

  • Disminución del costo de la preparación y realización de auditorías reglamentarias.
  • Una mayor atención a riesgos de alta prioridad y un tiempo reducido para hacer frente a los riesgos.
  • Reducción del tiempo para demostrar el cumplimiento con las nuevas regulaciones.
  • Reducción de costos legales.
  • Reducción de costos operativos mediante la consolidación de los procesos, sistemas de información.
  • Aumento en el conocimiento políticas corporativas, objetivos y responsabilidades entre el personal de la empresa y terceros.

Para una implementación exitosa de eGRC se debe identificar cuáles son los activos importantes de la compañía y, se presenta algún problema que impacte al recurso, el administrador será informado de manera oportuna.

Para realizar un análisis de riesgo la empresa deberá:

  1. Identificar  los activos importantes y el valor para la organización.
  2. Identificar  vulnerabilidades y posibles amenazas.
  3. Cuantificar  la probabilidad y el posible impacto al negocio de dicha amenaza.
  4. Definir balance económico entre el impacto de la amenaza y la medida para remediarla.

La solución de eGRC permite cumplir de forma sencilla y rentable con las diversas regulaciones y reglamentos existentes, creando una forma coherente y sistemática de hacer cumplir políticas, y priorizar la respuesta a los problemas con mayor eficacia.