¿Qué están demandando las empresas españolas en seguridad de la información?
Con los programas de globalización las empresas españolas han comenzado a comprar en el extranjero y a crecer enormemente. Y lo que se ha visto es que cada país tiene su idiosincrasia y una regulación propia que afecta, sobre todo, a la información. Se está observando que la seguridad les puede ayudar a conseguir lo que ellos quieren porque ayuda a proteger la información que se va a mover independientemente de cada país.
Por eso, en expansiones internacionales donde hay tantas normativas se adoptan medidas como adaptar todo el entorno de seguridad de la matriz española al resto de las delegaciones e intentar investigar en cada país los riesgos de seguridad que haya para llegar a los objetivos denegocio. La seguridad ayuda a adaptarse a los marcos de regulación.
Pero, ¿cuáles son los principales retos a los que se enfrentan?
Básicamente el choque cultural y la correcta opción de la buena tecnología. Sin embargo, están vinculados a una estrategia de negocio que ya contempla aspectos de seguridad, a nivel de dirección, como implantar un plan de continuidad del negocio. Otro tema que queda mucho por hacer es que no hay concienciación. Hay que concienciar al usuario por lo que se está cambiando el modelo de tal forma que se está implicando mucho al personal. Porque la seguridad es algo que afecta a toda la organización.
Y el cambio cultural se produce cuando qué pasa si esos datos se ven alterados por alguien que tenga intenciones dañinas, si no están disponibles, si se revela información crítica… En este aspecto se está viendo que es fundamental proteger la información, concienciando a los empleados de cómo la falta de seguridad les puede afectar para llegar a los objetivos de negocio. Por otro lado, muchas empresas españolas se están dando cuenta de que seguridad física y seguridad lógica están convergiendo, pero no juntando.
Y ¿cuál es la respuesta que se está ofreciendo para satisfacer estas necesidades?
Vemos una implicación mayor por parte de dirección porque se está creando la figura del CISO, que asume el rol de la tecnología pero con la ventaja de conocer también la casuística del negocio. Y son muy conscientes de que la seguridad de la información es clave para los objetivos del negocio.
Entonces, ¿la incidencia del cumplimiento normativo está afectando mucho a la toma de decisiones?
Muchísimo. Las nuevas normativas ayudan mucho a reforzar esta seguridad de la información como Sabarnex Oxley o la nueva normativa de mercados financieros Mi- FID. De hecho, KPMG tiene todo un departamento enfocado a estas normativas con expertos legales, especialistas tecnológicos en procesos de negocio… Este tipo de normativas ayudan por ejemplo a tener asegurado el control de acceso a la información estableciendo una serie de perfiles. Algo que se ha promovido mucho, sobre todo, a nivel de recursos humanos.
Vinculado a esto se está dando mucho el tema del outsourcing del offshoring. En España hay empresas interesadas en el outsourcing de países de Europa del Este, donde hay unas regulaciones muy estrictas con las que hay que tener mucho cuidado en responsabilidades como el manejo de la información, o las garantías de seguridad en las comunicaciones por ejemplo. Por ello se está externalizando la gestión de los datos.
Por tanto, la implicación de Recursos Humanos en la implantación de las medidas de seguridad y su rigurosidad es clave…
Efectivamente, aunque este es un tema muy delicado en el que hay que trabajar mucho en la concienciación de los usuarios y en la definición de las identidades. Sin embargo, ha cambiado bastante con el establecimiento de políticas de seguridad que tienen en cuenta recursos humanos, gestión de sistemas, estrategias operativas… fomentando el compartir y la implicación de todo el personal de una organización.
Incluso en la gestión de los riesgos laborales. Recursos Humanos tiene que hacer una labor de concienciación, implicando más en la seguridad de la información de la compañía, que tiene que estar adaptada a la legislación de cada país. Y es que Recursos Humanos juega un papel fundamental en este aspecto porque por un lado, tiene que prevenir y actuar según distintos tipos de leyes en conjunción con el departamento jurídico o legal, y por otro, implicar al personal.
