La plataforma global e independiente para la comunidad SAP.

La honestidad es la mejor política, ¡incluso con las salidas de datos!

¿Realmente dura más la honestidad? De niño, esta pregunta aún era fácil de responder, pero incluso de adolescente, algunas personas recurrían a veces a mentiras piadosas. Incluso en el trabajo, la definición de "correcto" puede fluctuar: según un estudio, uno de cada cinco responsables de seguridad informática ya ha vivido situaciones en las que las empresas afectadas por filtraciones de datos encubrieron el incidente.
Revista E-3
22 julio 2015
2015 xxx
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La salida de flujos de datos no es, por supuesto, un problema puramente informático. Pero los CIO, por su posición en la empresa, tienen la oportunidad de asegurarse de que abordarlo con honestidad es la única línea de actuación posible.

La encuesta a la que nos referimos se realizó este año en la conferencia RSA de Estados Unidos. Algunas conclusiones son aún más sorprendentes; al fin y al cabo, gran parte de los más de 1000 encuestados trabajan para empresas estadounidenses.

A diferencia de muchos países de Asia y Europa, en Estados Unidos la obligación de informar es muy estricta. Esto significa: ¡encubrir filtraciones de datos es sencillamente ilegal!

Sin embargo, muchas empresas prefieren guardar silencio sobre una fuga de datos: el daño causado por las sanciones de cumplimiento, los costes de limpieza o la prensa negativa es enorme. Los clientes o los inversores también podrían abandonar el barco, por no hablar del precio de las acciones.

Negocio arriesgado

Si los ciberdelincuentes quieren poner en peligro su organización, debe asumir que lo conseguirán. Como CIO o responsable de seguridad, al menos debería fomentar una cultura de apertura.

La notificación de incidentes de seguridad o incluso de "simples" sospechas debe ser bienvenida y no ser negativa. Sólo así habrá posibilidades de descubrir posibles incidentes en una fase temprana.

Esto requiere un marco determinado. El primer paso es un análisis exhaustivo de los riesgos. Solo entonces podrás sentarte con la dirección.

Se trata sobre todo de decidir qué riesgo está dispuesto a asumir. Cada organización tiene aquí ideas diferentes. Quienes estén dispuestos a asumir un riesgo mayor invertirán menos en seguridad de la información que a la inversa.

Una vez tomada esta decisión, el siguiente paso es invertir el presupuesto correspondiente en herramientas de gestión y mitigación de riesgos. De este modo, el departamento de TI ha creado unas buenas condiciones para "guardarse las espaldas".

Al fin y al cabo, ya no debería haber motivos para ocultar las salidas de datos. Si esto ocurre, a menudo se debe a incertidumbres, falta de estructuras o ausencia de una base de toma de decisiones basada en el riesgo.

Por desgracia, muy pocos forman explícitamente a sus empleados en el código de conducta deseado. En las grandes organizaciones se suele "aprender sobre la marcha". En las pequeñas y medianas, ni siquiera esto es así. Esto hace que a veces los incidentes "se estanquen" en el departamento de TI.

¿Código de conducta como punto ciego?

Por eso es tan importante establecer explícitamente un código de conducta. Éste también debe contener normas muy claras sobre la notificación de incidentes y sospechas, pero también sobre cómo tratarlos.

Por supuesto, esto supone un cierto esfuerzo. Sin embargo, tiene más sentido hacer el esfuerzo de antemano. En caso de emergencia, todo el mundo sabe cómo actuar, y la probabilidad de que todo salga bien es mucho mayor que si se toman decisiones ad hoc en el calor del momento.

También permite ver cada incidente como una oportunidad de mejora y no como un fracaso. Es una oportunidad para aprender y volver a sentarse con la dirección con las lecciones aprendidas.

Ya sea para afinar o reforzar el propio perfil, o (con suerte) para discutir un aumento del presupuesto. Y por si esto no fuera suficiente incentivo, también está el Reglamento General de Protección de Datos de la Unión Europea. Cuando entre en vigor en breve, tendremos requisitos y obligaciones de información tan estrictos como en Estados Unidos, incluidas sanciones muy severas en caso de infracción.

Así que esta debería ser otra buena razón para preparar e introducir en la empresa un enfoque basado en el riesgo. Porque con este trasfondo jurídico, lo honesto es lo que más dura, y es la mejor forma de mejorar la seguridad.

avatar
Revista E-3

Trabajo informativo y educativo por y para la comunidad SAP.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.