Hace unos días, nos levantábamos con la noticia de que la Autoridad Polaca de Protección de Datos imponía una sanción de 1.5 millones PLN (35.000 mil € al cambio) a la filial de un grupo médico por no haber implementado suficientes medidas de seguridad, razón por la que sufrió un ciberataque que se saldó con la exfiltración de los datos personales (entre los que se encontraban datos sobre rendimientos económicos, datos de salud, número de cuenta bancaria, dirección de residencia, número PESEL -vendría a ser nuestro Documento Nacional de Identidad-, o el nombre de usuario y contraseña) de unas 21 mil personas,
Si bien no es el primer caso -ni será el último, por desgracia- lo cierto es que es peculiar en cuanto a la estrategia de la empresa en demostrar su cumplimiento, y a cómo la Agencia Polaca le ha dado la vuelta y es que, si bien quiso hacer valer su certificado ISO/IEC 27001 como garantía de robustez de sus sistemas, cuando entregó su análisis de riesgos, la Autoridad de supervisión lo contrastó con el estado actual de su tecnología, llegando a la conclusión de que la entidad no había hecho su trabajo, pues el análisis de riesgos no estaba reflejando la realidad.
De hecho, el propio Presidente de la Agencia polaca señaló en su resolución una realidad más extendida de lo que podemos imaginarnos, que no es otra cosa que tratar a esta evaluación como una actividad superficial cuya finalidad empieza y termina como un requisito formal más para lograr una certificación, en vez de como lo que es, la Piedra de Rosetta bajo la que se construye cualquier actividad, emprendimiento o sistema de gestión de la seguridad de la información, como era el caso.
Y aquí el motivo del artículo, ¿estamos transmitiendo incorrectamente el mensaje de los motivos y beneficios de este ejercicio?, ¿cómo podemos acercar el análisis de riesgos a Negocio?, ¿y a nuestros propios equipos?
Lo cierto es que todos los días realizamos pequeños análisis de riesgos con cada decisión, ¿puedo cruzar al otro lado de la calle si el coche viene tan rápido?, ¿llegaré a tiempo a la reunión si paso por el supermercado?, somos seres que estamos acostumbrados a manejar probabilidades e impactos, pero cuando trasladamos eso a otros ámbitos, el resultado difiere.
Un análisis de riesgos en materia de seguridad de la información y protección de datos es un proceso formal y sistemático que consiste en identificar, evaluar y gestionar los impactos que provocarían la explotación de vulnerabilidades por diversas amenazas sobre los activos -y, por extensión, de los procesos y servicios-, de una organización.
Es decir, es una evaluación compleja que requiere de conocimientos previos en la materia, y aquí el primer obstáculo. La teoría dice que deben ser los propietarios de dichos activos quienes realicen el análisis, en tanto que la responsabilidad y mantenimiento recae sobre estos, pero la distancia que existe respecto a su campo de estudio y trabajo, puede generar dificultades y fricciones, por lo que es en este punto cuando la Alta Dirección y los equipos de las Oficinas Técnicas de Seguridad, Compliance y Protección de Datos, deben aliarse -y alinearse- para construir una línea estratégica que aborde el ciclo de vida de los riesgos.
Y es que, aun cuando la Alta Dirección está comprometida con la correcta ejecución de este ejercicio, se requiere de personal cualificado para “bajar a tierra” los conceptos y asesorar a los propietarios en su labor. Es decir, de poco sirve azuzar solo el panal, cuando lo verdaderamente importante es evaluar correctamente los riesgos, lo que implica que no basta con ser técnicamente muy bueno si no sabes modular el mensaje en función de la persona que tienes delante, por lo que gran parte del trabajo consiste en ser didácticos y demostrarles que el tiempo que están invirtiendo tiene su valor.
Y si bien es cierto que, sin la buena predisposición de la contraparte, el ejercicio no sale, nosotros debemos enfocarnos en aquellos elementos que sí podemos controlar y, para eso, la estrategia debe partir de la base de que no hay dos entidades iguales y que el nivel de madurez es crucial a la hora de implementar soluciones.
En base a lo expuesto, podemos optar por:
- Gamificación del proceso: cada vez surgen con mayor frecuencias experiencias didácticas basadas en juegos y simulaciones que representan posibles escenarios de riesgo, lo que ayuda a que el personal comprenda mejor los conceptos y se involucre de manera activa.
- Concursos y retos: Organizar concursos o desafíos donde las áreas o departamentos de una entidad compitan en identificar y evaluar riesgos. En estos casos, conviene hablar con la Alta Dirección para valorar premios simbólicos para los ganadores.
- Uso de casos de estudio reales: Tanto si son junior, como si son senior, la poca o mucha experiencia aporta bagaje a la hora de presentar historias que hacen que el análisis de riesgos sea más relevante y comprensible. Un punto interesante, es involucrarle en la misma y preguntarle cómo habría evitado el incidente.
- Visualización: Infografías, gráficos o mapas de riesgo ayudan a “simplificar” los procesos.
- Incorporar tecnología mediante el uso de software de análisis de riesgos que facilite la comprensión e involucren al personal de forma interactiva.
Por otro lado, y aunque no soy muy partidaria de utilizar el miedo, la inquietud y la preocupación como armas de persuasión, lo cierto es que los propietarios de los activos deben ser conscientes de las consecuencias que acarrea la falta de buena praxis:
- Daño a las personas y a la propia entidad: A nadie se le escapa que la afectación directa en una brecha de seguridad es proporcional al valor de aquello que deja de estar bajo control, lo que, en función del tipo de entidad, puede acarrear serios daños personales, como sucede en el sector sanitario.
- Sanciones legales y económicas derivadas de la incorrecta gestión de los activos en tanto que, si los mismos no se protegen y quedan expuestos, terceros no autorizados pueden aprovecharse, lo que supone incumplimientos normativos.
- Daños reputacionales que afectan a la confianza de clientes y socios comerciales, que en casos extremos puede cerrar empresas.
- Perjuicio económico que supone tener que gestionar, no sólo el incidente, sino el análisis forense posterior, la compra de productos, modificaciones en los procesos.
Un segundo obstáculo es la falta de revisión y seguimiento de los resultados, así como el análisis de los nuevos según surgen, pues se tiende a hacer una vez al año, lo que prácticamente implica que el personal se olvide de ello y le reste importancia. Por tanto, es imprescindible reducir los tiempos entre análisis y revisiones y, aunque es cierto que el argumento con el que solemos encontrarnos es la carga de trabajo, la agilidad en los siguientes reduce los tiempos y permite profundizar poco a poco en los entresijos de cada área, redundando en una mayor probabilidad de gestionar correctamente posibles riesgos.
Por último, el tercer obstáculo pasa por las reticencias que existen ante los cambios y es que, es más fácil crear que cambiar, pues somos seres de hábitos y las modificaciones comportamentales, sobre todo cuando son tareas diarias, cuestan. Afrontar este reto, que no es nada fácil, pasa por conocer el proceso y buscar la fórmula con menor impacto que mitigue el riesgo. A veces la mejor solución, además de proyectarlo, es introducir progresivamente los cambios.
En definitiva, un análisis de riesgos superficial pasará por alto debilidades críticas, pudiendo llevar a la inversión e implementación de controles y medidas de seguridad que no aborden de manera efectiva las amenazas reales, dejando a la organización en una posición vulnerable frente a incidentes de seguridad. Por tanto, el verdadero valor de la gestión de riesgos reside en que este es el esqueleto de todo sistema robusto y eficaz.