Las organizaciones no hacen lo suficiente para asegurar la privacidad de la información

12/03/2018

En la sociedad actual impulsada por los datos y la privacidad de estos, la seguridad y confianza se han vuelto más valiosas que nunca, aunque una gran cantidad de organizaciones no han realizado ninguna acción para protegerla, de acuerdo con la Encuesta Global de Estado de la Seguridad de la Información realizada por PwC en 2018, la cual fue contestada por cerca de 9,500 ejecutivos de negocios y tecnología de 122 países.

49% de las personas comentaron que sus organizaciones limitan el almacenamiento, retención y acceso a la información personal al mínimo necesario para el cumplimiento de los requerimientos mínimos. Sólo el 51% asegura hacer uso de un inventario en donde se encuentra almacenada la información de los empleados y clientes y sólo el 53% de los empleados tiene una correcta capacitación referente a cuidado de la información.

Cuando terceros son los encargados de manejar la información de los clientes y empleados, menos de la mitad (46%) realiza auditorías de cumplimiento para verificar la validez de la protección de la información. De manera similar 46% comentó que su organización requiere de terceros para dar cumplimiento a las políticas de privacidad.

“El uso de datos de formas más innovadoras abre la puerta a más oportunidades y más riesgos. Pocas organizaciones han implementado una gestión de riesgos para la información. Comprender los riesgos más comunes como la falta de conocimiento sobre la recopilación de datos y las actividades de retención, es un punto de partida para desarrollar un marco de gobernanza de uso de datos,” comentó Sean Joyce, responsable del área de Ciberseguridad y Privacidad de PwC en los Estados Unidos.

Organizaciones en Europa y Medio Oriente han quedando detrás de Asia, Norteamérica y Sudamérica en cuanto al desarrollo de una estrategia general de seguridad de la información e implementación de prácticas seguras de uso de datos.

Lo que hay en juego es alto y existe un gran margen de mejora

Executivos reconocen que existe una gran cantidad de riesgos de seguridad. En la entrevista número 21 realizada por PwC, las ciber amenazas se encontraban en el top 5 por tercer año consecutivo, donde el 40% de los CEO consideran que son extremadamente importantes para ellos, esto es, 25% más que el año pasado.

Esto causa cierto optimismo, ya que 87% de los CEO dice que se encuentran invirtiendo en ciber seguridad para proporcionarla a sus clientes. Cerca de 81% comentan que implementarán transparencia en el uso y almacenamiento de la información. Pero menos de la mitad asegura que se encuentran realizando estas actividades “a largo plazo”. Y de forma más preocupante, menos de un tercio en África y cerca de un cuarto en Norteamérica (22%) comentan que no están implementando en absoluto la transparencia en el uso del almacenamiento de la información.

La importancia de una implementación de confianza.

Los clientes tienen relativamente poca confianza en que las compañías usaran su información personal de manera responsable. En Estados Unidos, por ejemplo, solo 25% de los consumidores comenta que creen que las compañías manejen su información personal de forma responsable (De acuerdo a la encuesta realizada por PwC en 2017).

PwC espera que surjan mejoras en la tecnología de autenticación, incluyendo biométricos y el uso de cifrado, para incrementar la seguridad de las redes de negocio.

La mitad de los encuestados comenta que el uso de autenticación avanzada ha mejorado la confianza de los clientes y socios comerciales en las capacidades de privacidad y seguridad de la información de la organización. 48% comenta que la autenticación ha permitido reducir fraudes, 41% piensa que han mejorado las experiencias del consumidor. Adicionalmente, 46% tiene planeado invertir en mejoras para biométricos y autenticación avanzada este año.

El uso de biométricos, sin embargo, provoca la exposición de regulaciones de privacidad y públicas concernientes y relacionadas a compañías que necesitan gestionar la información de estos. Y confiar en la autenticación basada en el conocimiento (por ejemplo, cuando los usuarios proporcionan el apellido de soltera de su madre) potencialmente deja a una organización vulnerable a ataques si esta información es robada en un ataque por separado.

PwC también espera que incremente la presión en la industria encargada de la protección de la información a través el cifrado de la misma, lo cual provocará que se invierta aún más. Dentro de los encuestados que forman parte del sector financiero, el 46% explicó que planean incrementar su inversión en el cifrado este año.

GDRP y NIS como oportunidad.

El Reglamento General de Protección de Datos de los Estados Unidos (GDPR), aplicable a cualquier negocio dentro de ese país, entrará en vigor en Mayo del 2018. Algunos encuestados alrededor del mundo comentan que tendrán que reajustar algunos elementos por el GDPR durante la primera mitad del año 2017 (un año antes de la fecha de cumplimiento). Cerca de un tercio (32%) comenzó a realizar una evaluación del GDPR. Esta evaluación es más alta en Asia (37%) que en ningún otro lugar.

La Directiva sobre Seguridad de Redes y Sistemas de Información de los Estados Unidos (Directiva NIS), solicita que se mejoren las medidas de seguridad y entrará en vigor en Mayo del 2018. Los negocios identificados por los miembros del estado como operadores de servicios esenciales (infraestructura crítica), como proveedores de servicios digitales (motores de búsqueda, servicios de cómputo en la nube y ventas en línea), enfrentan nuevos requisitos en virtud de la Directiva sobre seguridad y notificación de incidentes a las autoridades nacionales. Así como con GDPR, las compañías podrían enfrentarse a serias consecuencias por incumplimiento.

“Los CEO deben revisar el Reglamento y la directiva NIS, no solo por cumplimiento, si no como oportunidades estratégicas para alinear sus negocios hacia el éxito. Además, las organizaciones deben ponerse en contacto con los reguladores para establecer relaciones y líneas de comunicación antes de que lleguen los plazos de cumplimiento,” comentó Grant Waterfall, responsable de PwC en Europa, Medio Oriente y África.

Artículos relacionados: