El costo del incumplimiento: mitigar el riesgo personal y corporativo
Paul Deur es cofundador y codirector ejecutivo de ReadyWorks, un director de plataforma digital (DPC).
getty
En julio de 2020, Morgan Stanley fue nombrado en dos demandas colectivas derivadas de dos violaciones de datos separadas en 2016 y 2019. Solo unos meses después, la Oficina del Contralor de la Moneda de los Estados Unidos les impuso una multa de $ 60 millones ( OCC). La OCC citó el hecho de que Morgan Stanley no abordó adecuadamente los riesgos de privacidad de datos asociados con el desmantelamiento de sus centros de datos y servidores como la razón principal de la fuerte sanción.
Luego, en septiembre de 2022, la Comisión de Bolsa y Valores (SEC) multó a Morgan Stanley con $ 35 millones adicionales "por fallas en la seguridad de los datos que incluyeron discos duros sin cifrar de centros de datos fuera de servicio que se revendieron en sitios de subastas sin borrarlos primero", según Ars Technica. .
Si bien cumplir con los estándares de cumplimiento puede ser un desafío, especialmente para las grandes empresas con muchas partes móviles, no hay margen para el error y las consecuencias pueden ser nefastas tanto para el negocio como para el liderazgo a cargo.
Un desafío creciente
Las empresas continúan aumentando el uso de innovaciones tecnológicas conectadas para seguir siendo competitivas en el mercado actual. Según Okta, la gran empresa promedio aprovecha 175 aplicaciones para operar sus negocios, un número que crece cada año.
Con más dispositivos y aplicaciones de usuarios finales, los equipos de TI deben estar al tanto de las actualizaciones y parches del sistema operativo, así como del fin del soporte para servidores y dispositivos. Los sistemas no seguros proporcionan la puerta de entrada perfecta para los piratas informáticos. En 2017, un sistema sin parches provocó una infracción en Equifax, y la agencia de crédito acordó pagar al menos $ 575 millones en compensación.
Mantener todos estos dispositivos, software, servidores y sistemas operativos actualizados puede agotar rápidamente los recursos y tomar tiempo para lograr objetivos más estratégicos. Pero no actualizar estos sistemas los deja expuestos a violaciones de datos, ataques de ransomware y multas considerables de los reguladores. Un informe de 2021 de Osterman Research encontró que, según se informa, 4 de cada 10 violaciones de datos ocurren porque no se aplicó un parche disponible. Estas infracciones tienen un impacto económico inmediato (con frecuencia en el rango de cientos de millones de dólares), pero también pueden dañar la reputación de su organización, afectando aún más sus resultados.
Además, las filtraciones de datos pueden poner en grave riesgo a los líderes de la empresa. Durante el caso Caremark en 1996, el tribunal estableció un marco legal para responsabilizar personalmente a los directores por incumplimiento del deber de lealtad cuando no logran “controlar y supervisar adecuadamente la empresa”. En los últimos años, los demandantes presentaron cada vez más demandas de Caremark contra directores a raíz de graves filtraciones de datos corporativos. Según la revista CPO, "si bien muchas de estas demandas no tuvieron éxito, la decisión posterior de la corte en Marchand y Boeing cambió el panorama y abrió la puerta para que tales reclamos relacionados con la seguridad cibernética sobrevivan a una moción de desestimación.
Con la amplia gama de riesgos que existe hoy en día, es fundamental que los líderes empresariales miren más allá de las metodologías obsoletas para recuperar el control de su entorno, asegurando el cumplimiento y mitigando el riesgo de exposición de datos.
Mejores prácticas para mantener el cumplimiento: abandone los procesos manuales
La mayoría de las organizaciones se esfuerzan por lograr el cumplimiento, pero a menudo carecen de las herramientas, los recursos o las mejores prácticas para garantizar el éxito. Las organizaciones que todavía dependen de procesos predominantemente manuales se quedarán atrás rápidamente. Incluso las organizaciones más sólidas seguirán careciendo del personal necesario. Por eso es necesario un cambio.
Para reducir los riesgos de seguridad y lograr los objetivos de cumplimiento, siga estas prácticas recomendadas:
Garantice la visibilidad en tiempo real de todas las variables que afectan el cumplimiento, como los parches de seguridad y las actualizaciones del sistema operativo. Esto requiere información precisa sobre todos los activos desde "la cuna hasta la tumba", una hazaña casi imposible si se maneja con montañas de hojas de cálculo. Automatice la mayor parte del proceso posible. Eso incluye la automatización de la recopilación de datos y el análisis de riesgos, la comunicación con las partes interesadas y los usuarios finales, la programación de actualizaciones y la orquestación de tareas. Mantenga registros de auditoría actualizados que brinden visibilidad instantánea del logro del cumplimiento.
Las organizaciones deben priorizar las actualizaciones del sistema, comenzando con los sistemas de mayor riesgo que impactan a la mayoría de los usuarios. Por ejemplo, migre cualquier servidor que haya llegado al final de su vida útil a versiones más nuevas o a la nube, migre plataformas más antiguas a la nube o entornos de nube híbrida y actualice los sistemas operativos a la última versión. La forma más rápida, eficiente y menos riesgosa de hacerlo es aprovechar herramientas más avanzadas, como un conductor de plataforma digital (DPC).
La automatización es el nuevo imperativo
Como se mencionó anteriormente, la falta de cumplimiento de la tecnología de la información tiene repercusiones financieras y de seguridad. Las multas por sí solas pueden costar cientos de millones de dólares e incluso eclipsar la marca de los mil millones de dólares en el peor de los casos. Esto no incluye la pérdida financiera adicional de los ataques de ransomware, que requieren un pago sustancial para restaurar las cosas.
La tecnología y los procesos heredados impiden que una organización tenga la supervisión necesaria para identificar posibles problemas en su entorno, lo que puede provocar un desastre cuando se produce un problema y los líderes tecnológicos no pueden detectarlo y mitigarlo rápidamente.
Los líderes de TI en estas situaciones a menudo no tienen una comprensión sólida de cuánto tiempo lleva abordar los problemas cuando ocurren. Debido a que carecen de la visibilidad adecuada del peligro real de una situación, generalmente se tarda más de lo estimado en remediar las amenazas de seguridad, lo que crea más confusión e inconvenientes para la organización. El uso de procesos manuales para arreglar la situación también complica el problema desde el punto de vista del tiempo. Con una mayor integración de la tecnología automatizada, se pueden crear flujos de trabajo con anticipación para abordar los problemas en caso de que ocurran, incluida la apertura de tickets de servicio en los sistemas de emisión de tickets y la automatización de los informes de resolución. También puede automatizar las comunicaciones con los usuarios y las partes interesadas, para que estén al tanto de la situación. Cada uno de estos procesos podría tomar una cantidad significativa de tiempo, un tiempo precioso que no tiene frente a una crisis.
Las empresas modernas requieren la ayuda de la tecnología automatizada para moverse a la velocidad de los negocios mientras se aseguran de cumplir con los altos estándares de cumplimiento que existen para mantenerlos a ellos, a sus socios y a sus clientes protegidos. El uso de la fuerza bruta puede haber sido una opción anteriormente, pero hoy en día, eso es solo una receta para el desastre. Si su empresa sigue teniendo el mismo aspecto que hace tres años, es hora de hacer un cambio.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
