“La información que tienen las empresas es un activo de valor incalculable, y como tal se debe tratar”

En la gestión de una empresa mediana, ¿qué peso tiene que tener la gestión de la información para que se pueda considerar que se está haciendo correctamente? (Ignacio Chico, Director General Iron Mountain España)

Podemos decir que una correcta gestión de la información es más importante para las empresas medianas que para las grandes ya que probablemente no tengan los recursos financieros necesarios como para enfrentarse a una potencial brecha de datos y a la amenaza de daños a su reputación. Una sanción de medio millón de euros podría significar el fin del negocio.

La información que tienen las empresas es un activo de valor incalculable, y como tal se debe tratar. Si se pierde, sea por robo intencionado o pérdida accidental, están poniendo en riesgo el negocio.

Según el estudio realizado con PwC las empresas de tamaño medio son cada vez más conscientes del riesgo de la información pero aún no están preparadas para manejarla: el 53% afirma que el riesgo de la información cambia de forma tan rápida que nunca serán capaces de dominarlo.

Dicho esto, la gestión de la información debe ser un tema a tratar al más alto nivel en las empresas y no algo secundario. Se estará haciendo bien cuando todos los empleados sean conscientes de que la información es responsabilidad de todos.

Una correcta gestión de la información supone conocer qué información se tiene, dónde se encuentra, un acceso rápido y sencillo cuando sea necesario y tener un control de los accesos a esta información.

En la elaboración de su informe "Más allá de la concienciación: la protección de la información en la mediana empresa europea", ¿qué datos resaltaría usted de las dinámicas empresariales que han salido a la luz? – ( Juan José Miguez, socio de Riesgos Tecnológicos de PwC)

A pesar de que los índices de madurez del riesgo de la información han subido en España desde el 42,2% del año pasado al 52,2% de este año en España, cada vez nos encontramos más en el vagón de cola respecto al resto de países europeos objeto del estudio.

Existe una clara preocupación y concienciación de la importancia de la Seguridad de la Información, pero falta "ocuparse" de ello.

Por motivos de falta de recursos asignados o de la percepción de la complejidad que entraña eliminar los riesgos, cada vez son más los que no continúan implantando medidas de protección frente a los riesgos. Así, existe una falsa sensación de confianza frente a las amenazas, en ausencia de una estrategia global de seguridad de la información, de una protección efectiva contra los riesgos identificados en función de los requerimientos de seguridad de dicha información y de priorizar en la agenda la seguridad de un activo, que crea valor para el negocio, como es el creciente volumen de información que gestionan las organizaciones.

La gestión de la información, ¿es trasversal, o se puede llevar de modo independiente al resto de factores empresariales? (Ignacio Chico)

Como comentaba antes, la involucración de toda la compañía en la gestión de la información es imprescindible. Muchas empresas siguen viendo como responsable del riesgo de información al departamento de TI y esto es un error grave. Es lo que llamamos Responsabilidad Corporativa de la Información.

La supervivencia de las empresas reside en una gestión eficaz de la información. Por eso TIENE que ser tratada a nivel de dirección, dado que los riesgos asociados a una mala gestión tienen un impacto en el funcionamiento general de la empresa. Estaos hablando de:

• La reputación
• El cumplimiento de la legislación y las multas asociadas si se incumple
• El balance
• La competitividad

¿Cómo ha de ser una estrategia de riesgo de la información para que cumpla con los estándares que impone el sistema económico y empresarial actual? (Ignacio Chico)

Desde Iron Mountain siempre hablamos de tres puntos clave:

• Involucrar a la dirección, es decir, desarrollar una estrategia para el riesgo y conseguir el apoyo de la máxima dirección de la empresa. Esto supone hablar su lenguaje, explicar el riesgo para la reputación y la fidelidad de los clientes y el valor generado si la información está bien gestionada.
• Tomar el control, controlar qué información tiene la empresa, dónde está y valorar si todavía es necesaria. Construir parámetros razonables para controlar el acceso a la misma.
• Involucrar a todo el personal, poniendo en marcha una política y unos procesos que ayuden a fomentar una cultura de la responsabilidad de la información a todos los niveles.

Dentro de la mediana empresa, ¿puede haber un criterio unívoco de qué información tiene que protegerse? (Ignacio Chico)

Actualmente la diversidad de documentos y formatos nos obliga a establecer unos procedimientos y calendarios de conservación de documentos específicos para cada tipo de documentos. Así, por ejemplo, algunos expedientes de recursos humanos deben  conservarse durante un mínimo de 4 años y algunos documentos financieros – como las cuentas de la compañía – un mínimo de 6.

Toda la información que maneja una empresa debe protegerse, pero sí es verdad que existen documentos especialmente sensibles como bases de datos de clientes, documentos financieros, contratos, expedientes de recursos humanos o patentes.

Lo que nos muestra el estudio de PwC es que la mediana empresa europea está sumida en la confusión y no sabe qué hacer ante tanta legislación diferente. Un 22% de las empresas españolas declararon que  guardan todo por lo que pueda pasar, sin darse cuenta de que eso también está mal y puede ser objeto de sanciones importantes.

En este sentido, ¿la presencia corporativa en las redes sociales puede  ser un punto a considerar en el Índice de Madurez del Riesgo de la Información? (Ignacio Chico)

La presencia en redes sociales no es más que información de la compañía y, por tanto, prohibir el acceso a las mismas de los empleados,  no es la solución. La solución pasa por una concienciación de los empleados de que todos son esenciales en la protección de la información.

¿Hay una fuente única de todas las obligaciones legales de gestión que tiene que soportar hoy la empresa? (Ignacio Chico)

No existe una única fuente con todas las obligaciones legales de gestión que debe soportar una empresa, por eso siempre recomendamos contar con un experto que les pueda asesorar qué información deben conservar y cómo, en función del tipo de documento.

Actualmente, desde Iron Mountain acabamos de desarrollar con Uría Menéndez una guía con los plazos de conservación de documentos tanto a nivel europeo como para España que muestra los distintos tipos de documentos que manejan actualmente las empresas y los plazos de tiempo que deben conservarse.

Podemos afirmar que hay una conciencia clara de la necesidad de protección de la información en formato digital, pero ¿existe la misma conciencia con la información en formato tradicional? (Ignacio Chico)

Todo se trata de la responsabilidad, da igual el formato. El estudio nos está diciendo que el mayor riesgo de la información es la manera de hacer y la cultura. Demasiado a menudo las empresas construyen una fortaleza digital para proteger sus datos digitales, mientras ven cómo su información en papel sale por la puerta o se deja en la impresora a la vista de cualquiera. Sin olvidar que en el ámbito jurídico aún existe gran parte de documentación que debe obligatoriamente ser conservada en papel a la hora de usarse en procesos judiciales. La digitalización de este tipo de documentación está aún lejana.

A pesar de las amenazas de las sanciones, parece que las empresas no terminan de concienciarse. ¿"Compensa" pagar una sanción frente a articular una estrategia interna de gestión de la información interna? (Ignacio Chico)

Definitivamente no, pese a que el 44% de las empresas españolas entrevistadas afirman que consideran la pérdida de datos como algo inevitable.

Una mala gestión de la información no genera únicamente multas, también puede causar daños irreparables, perjudicando a la reputación, las relaciones con los clientes o haciendo que la empresa deje de ser competitiva en el mercado.

Los diferentes riesgos asociados a la información se agrupan en tres grandes categorías:

1. El riesgo de perder una ventaja en cuanto a información se refiere, por ejemplo no proteger una patente correctamente.
2. El riesgo de revelación inadvertida de información. Una brecha de datos que resulta en la pérdida de clientes o de datos financieros puede significar en robo de identidades.
3. La amenaza de responsabilidad financiera en aquellos casos en los que no haya suficiente evidencia para satisfacer los requisitos legales de divulgación o los relativos a auditorías.

El peor escenario sería el de los datos de los clientes en otras manos. Esto comportaría cuantiosas multas por parte de las autoridades competentes. La propuesta de nueva legislación de la UE permitirá que las empresas puedan recibir sanciones de hasta un 2% de su facturación anual: una cantidad que podría afectar considerablemente a la empresa. La noticia podría captar la atención de los medios de comunicación y tener un impacto negativo en la percepción pública. La marca de la empresa podría no recuperarse.

¿Cómo puede y debe confluir la política de RR.HH de la empresa con la de gestión del riesgo de la información? (Ignacio Chico)

Como ya hemos mencionado anteriormente es imprescindible involucrar a todos los empleados y esto únicamente se logra a través de una formación y comunicación continúa.

Construir una cultura es algo que tiene que venir desde arriba. La dirección de la empresa tiene que liderar el frente para definir cómo tiene que ser esa cultura. Hay que planificar e implementar los procesos correctos y, después, dar formación a los empleados. La cultura ha de ser adoptada por las empresas y los empleados han de ser formados en cuanto se incorporan a las mismas.

¿Quiere leer el informe acerca del ‘Índice de Madurez del Riesgo de la Información' 2013 en Europa redactado por Iron Mountain y PwC?