Mejores prácticas para la gestión del riesgo de la Información

PwC y Iron Mountain participaron en un webinar emitido por IDGtv en el que se desgranaron las conclusiones del tercer estudio anual “Índice del Riesgo de la Información” de la consultora, y se proporcionaron las guías para mejorar la protección de los datos empresariales.

Durante la sesión, Juan José Míguez,  Socio de PricewaterhouseCoopers Auditores, señaló que España ha subido 2 puntos y medio en el índice de gestión del riesgo, que mide la preparación de las empresas para gestionar y dar respuesta al riesgo al que se enfrenta su información y otras tendencias clave; según este indicador, el 66% de las grandes corporaciones tiene implementadas este tipo de prácticas, lo que constata que el tamaño importa a la hora de establecer políticas. Además, señaló que el “25% compañías aún no tiene una estrategia de seguridad definida” y que “tan solo el 17% de las organizaciones han cuantificado el valor de su información”. Estos datos muestran que “aunque se es consciente de la necesidad de implementar  estrategias de gestión del riesgo, no se hace efectiva”.


Otro aspecto a destacar del estudio de PwC es que “la gestión del riesgo recae en IT, generalmente en el CISO, y no en el CEO, que es en quien debiera”, señaló Juan José Míguez, una conclusión con la que se manifestó totalmente de acuerdo Gonzalo Rivas, director comercial de Iron Mountain: “se necesita una cultura de protección e información en toda la empresa”, añadió; “hay que involucrar a toda la empresa y conocer las sanciones de la Agencia Española de Protección de Datos. Las regulaciones son una garantía para todos”. 

En su intervención, Iron Mountain examinó dónde se encuentra el riesgo de la información, como documentos mal inventariados, backups sin actualizar… aunque “el 90% de los errores son humanos”, aseguró Rivas. Y aunque las medidas mejoran -aún no todo lo que debieran-, su compañía se ha encontrado casos muy graves: “un mal inventario de cajas con documentos llevó a destruir 600 cajas cuando había que eliminar 93”o un cliente “que guardaba archivos de papel en las duchas".

Para dar la vuelta a esta situación, Gonzalo Rivas proporcionó las recetas para mejorar la gestión de la seguridad de la información. Claves son, tal y como expuso el director comercial de Iron Mountain, cuestiones como la formación de los empleados y su satisfacción, realizar un análisis de riesgo e “independiente del tamaño de empresa, auditar las políticas de gestión de la información”, y no olvidar el papel, “que sigue muy presente en entornos como el jurídico”. En este sentido, la recomendación es “externalizar la gestión de documentos confidenciales en papel y fijar políticas de destrucción”. “Siempre son más económicas las medidas preventivas que la recuperación del desastre”, añadió.

Con todo, Rivas apuntó que “hay que asumir que puede haber un fallo aunque se hayan implementado todas estas medidas. Por eso, es esencial un plan de contingencia adecuado al negocio”. Asimismo, recomendó la copia de datos en cinta “porque es un método fiable, que utilizado correctamente puede durar hasta 30 años; un disco dura entre 7 y 10 años”.

El informe “Índice de la Madurez del Riesgo” de PwC y Iron Mountain, y las presentaciones realizadas por ambas compañías están disponibles en la página de emisión del webinar, al que puede acceder desde www.idgtv.es/GestionRiesgo.