Prólogo
Sue Trombley
Christian Toon
Director ejecutivo de liderazgo de pensamiento
Responsable de riesgo de la información
Iron Mountain Norteamérica
Iron Mountain Europa
En un mundo movido por la tecnología, la información se está convirtiendo en un activo empresarial cada vez más valioso, y este aumento del valor implica un mayor riesgo. Este es el tercer estudio anual de PwC e Iron Mountain para descubrir cómo perciben y gestionan el riesgo de la información las medianas empresas europeas (entre 250 y 2.500 empleados). El estudio de 2012 reveló una amplia complacencia con respecto a las posibles amenazas y la vulnerabilidad. Su sucesor de 2013 sugirió que las medianas empresas habían respondido , pero que sus esfuerzos preliminares para abordar el riesgo de la información se estaban ahogando en el pantano de los grandes datos. Este año hemos decidido estudiar si las tendencias de la gestión del riesgo de la información se limitan a las medianas empresas europeas o si están más extendidas. El estudio de 2014, que una vez más hace uso de la capacidad investigadora y los amplios conocimientos empresariales de PwC en combinación con los conocimientos técnicos de Iron Mountain, incluye medianas empresas de Estados Unidos y Canadá y grandes empresas (con más de 2.500 empleados) de ambos continentes.
En todas partes detectamos una discrepancia entre el lugar en el que se encuentran actualmente las empresas en cuanto a su capacidad para gestionar el riesgo de la información y el lugar en el que desean o necesitan estar. Las principales tendencias son universales: •
Desde la más grande y consolidada hasta la mediana de reciente creación, las empresas se ven incapaces de salvar las distancias entre contar con un plan o una política bienintencionados y asegurarse de que realmente funciona.
•
La responsabilidad del riesgo de la información recae casi en su totalidad sobre los hombros de la función de TI en un momento en el que todos los departamentos de la empresa crean y utilizan la información, y los posibles efectos de la filtración de datos (a nivel jurídico, financiero, comercial y de reputación) requieren la atención de la alta dirección y una mayor participación de las unidades de negocio aparte del departamento de TI.
PwC • 1
•
A pesar del hecho de que las empresas de todo el mundo comprenden que la información tiene valor, es probable que la mayoría la guarde bajo llave para evitar filtraciones de datos o demandas judiciales en lugar de utilizarla para impulsar la ventaja competitiva, la innovación y el crecimiento.
•
Por último, pero no menos importante, a medida que las empresas se centran en las iniciativas digitales, están encontrando dificultades para controlar los riesgos asociados a sus archivos en papel. Alrededor de dos tercios de los participantes indican que estos riesgos son su principal preocupación y les atribuyen el doble de importancia que al riesgo de amenazas externas, que se sitúa en segunda posición.
Todo esto está dejando a las organizaciones en una situación de vulnerabilidad ante la pérdida y el deterioro de los datos. Sin embargo, esto no tiene por qué ser así. Encontramos empresas con una perspectiva clara y eficaz de la gestión de la información y el control del riesgo de la información , empresas que comprenden las amenazas para su información y como obtener valor de ella. Más adelante en este estudio estableceremos las principales características de estas empresas pioneras y ofrecemos consejos prácticos para ayudar a otras a hacer el mismo recorrido. Las buenas intenciones deberían ser el comienzo del viaje para controlar su riesgo de la información, no el destino.
PwC • 1
Resumen ejecutivo La información es el oxígeno de la empresa, es esencial y está en todas partes. Incluye conocimientos y aprendizaje, datos generados por el sistema, información sobre productos y clientes, comunicaciones cotidianas, documentación archivada en papel, además de la propiedad intelectual corporativa. Pero con el mayor volumen, la variedad y el tipo de información empresarial llegan los riesgos, unos riesgos que son diversos y, si no se controlan adecuadamente y/o se mitigan, pueden tener efectos críticos y perjudiciales para la empresa. El reconocimiento y la comprensión de estos riesgos, amenazas y efectos potenciales es más frecuente en la actualidad que en los últimos años. La comunidad de medianas empresas, tanto de Europa como de Norteamérica, ha respondido a la amplia publicidad que han generado la vulneración de la seguridad de los datos, las filtraciones y los incidentes de espionaje adoptando más estrategias organizativas, planes y procesos de actuación internos, así como invirtiendo en tecnología de seguridad y programas de comunicación interna. Sin embargo, nuestro estudio ha descubierto que, a pesar de que este es un avance positivo y bienvenido, existe un desfase creciente entre las "buenas intenciones", determinadas por los compromisos declarados a través de las políticas y los programas internos, y la acción práctica, en cuanto al cumplimiento eficaz de estas políticas y programas. Este desfase debería ser de primordial interés, ya que contribuye a la exposición de la comunidad de medianas empresas a una amplia variedad de riesgos de la información que podrían tener efectos duraderos y potencialmente irreparables en la viabilidad general y la ventaja competitiva. Asimismo, aunque este desfase entre los compromisos declarados y la acción práctica está contribuyendo a una mayor exposición a los riesgos de la información, también está restringiendo la medida en que las medianas empresas pueden utilizar eficazmente su información como un activo valioso y potencialmente distintivo en el mercado.
Muchas medianas empresas de Norteamérica y Europa reconocen que su información tiene valor, pero no la están utilizando para adquirir una ventaja competitiva. Nuestro estudio ha revelado que las medianas empresas siguen siendo excesivamente pasivas y proteccionistas en lugar de dinámicas e innovadoras en lo que respecta a la forma que tienen de utilizar su creciente cartera de información. Curiosamente, se trata de un problema que cruza fronteras, sectores industriales, continentes y empresas de todos los tipos y tamaños, independientemente de su número de empleados o recursos. Así pues, el reto es universal. En nuestra opinión, las medianas empresas tienen una necesidad importante de convertir las políticas y los objetivos organizativos en acciones prácticas y aplicables, y la mayoría de ellas no cuentan con la protección suficiente ni están en una posición que les permita optimizar plenamente los datos y la información que poseen.
Principales conclusiones del estudio: •
•
•
•
La puntuación del índice de madurez de riesgo, que abarca una muestra de medianas empresas europeas y norteamericanas, es de 55,3 sobre un ideal de 100,0. Una puntuación de 55,3 se encuentra en lo que hemos definido como el segmento "consciente del riesgo" del índice. Esto es típico de las empresas que han comprendido la necesidad de controlar el riesgo pero siguen indecisas en cuanto a lo que deben hacer o no están bien preparadas para hacer frente a la amenaza. Lo que impide a las medianas empresas alcanzar un estado más "maduro" es la falta de acciones, políticas y procedimientos que se hagan cumplir y se supervisen adecuadamente. Apenas un 37 % de las empresas europeas y un 47 % de las norteamericanas cuentan con una estrategia de riesgo de la información totalmente supervisada. Esta debería ser
PwC • 2
•
•
•
•
la base sobre la que apoyen las medidas de protección adecuadas, aunque más de la mitad de las medianas empresas no lo están haciendo. Solo el 26 % de las empresas europeas y el 20 % de las norteamericanas hacen un seguimiento de sus programas de formación sobre el riesgo de la información para determinar su eficacia. Desde la perspectiva de la responsabilidad y la asignación de las destrezas apropiadas, el 46 % de las empresas europeas y el 32 % de las norteamericanas citan al director de seguridad de TI como el máximo responsable del riesgo de la información. Cuando se les pregunta en quién debe recaer esta responsabilidad general, los porcentajes aumentan al 73 % y el 74 % respectivamente. En nuestra opinión, esto limita la capacidad de la organización para anticiparse y reaccionar a toda la variedad de riesgos con una visión más amplia, más allá de la perspectiva de TI. Más de la mitad de las empresas creen que no tienen ningún déficit en cuanto a las destrezas de gestión de la información de sus trabajadores. Esto parece excesivamente optimista, pero también refleja la falta de comprensión de las aptitudes necesarias para proteger y optimizar adecuadamente la información de la empresa. El 87 % de las empresas europeas y el 80 % de las norteamericanas no creen que sus antiguos empleados hayan entregado a otra empresa información perteneciente a la suya. En el mejor de los casos, esto es optimista; en el peor de los casos, es una prueba de ingenuidad pensar que información de todos los tipos y niveles de sensibilidad no será expuesta por los empleados actuales y futuros de forma que podría dar ventaja a otros competidores o suponer una amenaza.
Para alcanzar y superar adecuadamente los dos objetivos fundamentales de protección suficiente y optimización del valor de la información empresarial, las medianas
empresas deben abordar una serie de cuestiones. Salvar las distancias entre el compromiso y las acciones aplicables (1) Las estrategias organizativas, las iniciativas del personal, los programas de comunicación y los procesos de seguridad deben revisarse, probarse, evaluarse, perfeccionarse y comprenderse plenamente para que surtan efecto. Los altos directivos de las medianas empresas deben coordinarse y asignar eficazmente la responsabilidad del riesgo de la información (2) La información puede ser visible o invisible, física o electrónica, y online o en papel; por lo tanto, la alta dirección debe coordinar cómo se gestiona y optimiza de modo que todo el mundo sepa cuál es su función y los posibles efectos del incumplimiento. La información solo puede representar un valor para la empresa si se gestiona y utiliza eficazmente. Ello requiere una auditoría adecuada de las carencias en lo que a destrezas se refiere, así como abordar dichas carencias y la asignación correcta de las destrezas. (3) La gestión y optimización de la información no debería recaer principalmente en los profesionales de TI. Los datos deben compartirse de forma más amplia con analistas e innovadores de toda la empresa. La confianza en los empleados debe protegerse y reforzarse mediante procesos evaluados y controlados. (4) Es importante invertir en hardware de seguridad y tecnología de protección y capacitación. Sin embargo, esto debe reforzarse mediante procesos de personal supervisados y controlados para reducir las amenazas procedentes de las propias empresas, que suelen ser las fuentes de exposición más frecuentes y perjudiciales.
PwC • 3
Esta publicación se ha elaborado exclusivamente para proporcionar una orientación general en asuntos de interés , y no constituye asesoramiento profesional. No deberá actuar basándose en la información contenida en esta publicación sin obtener asesoramiento profesional específico. No se ofrece declaración o garantía (expresa o implícita) alguna en lo que respecta a la exactitud o integridad de la información contenida en esta publicación y, en la medida en que la ley lo permita, PricewaterhouseCoopers LLP y sus socios, empleados y agentes no aceptan ni asumen responsabilidad, obligación o deber de diligencia alguno por las consecuencias de que usted o cualquier persona actúe o se abstenga de actuar basándose en la información contenida en esta publicación o por cualquier decisión basada en ella. © 2013 PricewaterhouseCoopers LLP. Todos los derechos reservados. En este documento, se entenderá por "PwC" PricewaterhouseCoopers LLP (sociedad de responsabilidad limitada del Reino Unido), una empresa asociada de PricewaterhouseCoopers International Limited, cada una de cuyas empresas asociadas es una entidad jurídica independiente.
