Los directivos financieros dan prioridad a la gestión del riesgo de la información
RSA ha publicado los resultados de un estudio sobre la Gestión de Riesgos de la Información en Europa, según el cual, los bancos son conscientes de la importancia de la gestión de la información a nivel estratégico. Sin embargo, en la práctica, existe todavía confusión sobre cuál es el mejor modo de gestionar aquella información y minimizar los riesgos a los que ésta está expuesta.
El objetivo de este estudio era obtener una visión detallada del modo en que los bancos gestionan los riesgos de la información en un contexto donde, cada semana, se descubren brechas de seguridad, y donde la protección de datos al más alto estándar es crucial para mantener la fidelidad de los clientes y la reputación del negocio. A tal fin, el tamaño de la muestra incluye responsables senior de TI, directivos de gestión de riesgos y cumplimiento de normativas, CEO, COO y CIO de organizaciones de servicios financieros de Reino Unido, España, Italia, Francia, Alemania y Benelux.
Enfoque segmentado
Para los encuestados, las barreras internas de organización son un obstáculo muy importante a la hora de mejorar la gestión de riesgos de la información, ya que los riesgos no son considerados como parte de una estrategia global coherente. Por ejemplo, la mitad de los encuestados reconocen que el cumplimiento de regulaciones es tratado caso por caso y no en un marco de enfoque estratégico.
Este enfoque segmentado proporciona una estrecha visión sobre la seguridad de la información y cómo puede ser lograda. Sólo el 19 por ciento de los encuestados reconoce que la seguridad perimetral no es lo suficientemente eficaz para proteger la información de los bancos. Mientras que cerca de la mitad de los encuestados (el 47 por ciento) ya hacen foco en proteger la información a través de asegurar el perímetro, sólo el 43 por ciento entiende la necesidad de extender la gestión de la seguridad de la información hacia los datos que están fuera de sus sistemas, como por ejemplo partners, consultores o contratistas.
Según Andrew Moloney, director de servicios financieros de RSA en EMEA, “la mayoría de los bancos encuestados creen saber qué información tienen, dónde reside y cómo es almacenada y accedida a nivel corporativo. Sin embargo, su enfoque segmentado hace que no tengan una comprensión completa de los riesgos asociados a esa información conforme evoluciona durante su ciclo de vida. La información reside cada vez más en entornos móviles y toma diferentes formas, por lo que la seguridad centrada en el perímetro ya no es la defensa más adecuada a la hora de gestionar el riesgo asociado a la información. En concreto, para las instituciones financieras, donde el elemento vital de su negocio es ahora el flujo seguro de información electrónica, el hecho de cómo se gestiona y cómo se asegura la información no debe ser sólo una responsabilidad del departamento de TI, y necesita ser enfocado como una cuestión de negocio. Para las instituciones financieras, la información y cómo ésta se gestiona, debe ser un factor diferenciador”. Moloney añade que “el enfoque holístico permite a las instituciones alcanzar sus objetivos de negocio, ganar cuota de mercado, fidelizar a los clientes, a la vez que se gana la confianza del mercado”
Por su parte, Martha Bennett, directora de investigación de mercado para servicios financieros de Datamonitor, asegura que, “según nuestro informe, un enfoque unificado de la seguridad de la información proporciona una capa defensiva más fuerte, a pesar de que los bancos siguen siendo demasiado optimistas sobre este asunto. Por tanto, es crucial hacer un enfoque de la gestión del riesgo de la información a nivel corporativo dirigido hacia los procesos y los silos organizativos”.