Según el estudio global de Cisco, el retraso medio estimado es de dos meses, siendo un 80% inferior para los negocios con procesos de privacidad optimizados

Así se desprende del nuevo estudio Cisco Privacy Maturity Benchmark 2018, que desvela también cómo las organizaciones con procesos de privacidad maduros sufren menos pérdidas económicas derivadas de los ciber-incidentes: el 74 por ciento de las organizaciones con procesos inmaduros tuvieron pérdidas superiores a los 500.000 dólares el pasado año debido a las brechas de seguridad de datos, frente al 39 por ciento de las organizaciones con procesos maduros.

La madurez de privacidad (privacy maturity) es un marco definido por el American Institute of Certified Public Accountants (AICPA) y basado en los Principios de Privacidad Generalmente Aceptados (Generally Accepted Privacy Principles, GAPP).

El estudio ha consultado a cerca de 3.000 profesionales de seguridad de 25 países sobre la madurez de sus procesos de privacidad y los efectos de la privacidad de datos en su negocio. Sorprendentemente, dos tercios de los encuestados indicaron que la privacidad de datos estaba causando retrasos en sus ciclos de ventas, con un retraso medio estimado de 7,8 semanas.

La entrada en vigor en mayo del Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation), que pretende reforzar la protección de los ciudadanos de la Unión Europea en términos de privacidad y datos personales, podría también afectar a dichos retrasos. Los consumidores demandan cada vez más que los productos y servicios que adquieren cuenten con la adecuada protección de privacidad, y la normativa de la GDPR se aplica a cualquier compañía que procese, almacene o utilice estos datos.

El modelo AICPA estándar define cinco niveles de madurez de privacidad: ad hoc, repetible, definido, gestionado y optimizado. Al preguntar a los encuestados sobre este nivel, se concluye que:

• El retraso medio en las ventas para aquéllos con un nivel de madurez ad hoc fue de 16,8 semanas, descendiendo en el caso de las organizaciones con niveles superiores de madurez.
• Las organizaciones con procesos de privacidad optimizados acusaron un retraso en ventas de 3,4 semanas, un 80 por ciento inferior frente a las organizaciones ad hoc.
• La ubicación geográfica y el sector empresarial también parecen influir significativamente en la duración del retraso.

Debido a las grandes diferencias y a la incidencia generalizada de retrasos, cada compañía debería evaluar su propia situación. Aparte de las obligaciones legales, y dependiendo de los efectos potenciales en los ingresos y de su actual nivel de madurez de privacidad, las organizaciones deberían evaluar el retorno de inversión resultado de las mejoras en los procesos de privacidad y sus beneficios potenciales en la aceleración del ciclo de ventas.

La preocupación por la privacidad de datos retrasa las ventas

• Las compañías del sector público y de atención sanitaria acumularon los mayores retrasos en el ciclo de ventas: 19 semanas y 10,2 semanas, respectivamente y frente a otros sectores.
• Las compañías de los sectores utilities, farmacéutico y fabricación desvelaron los menores retrasos medios, 3 semanas o menos.
• Geográficamente, Latinoamérica y Méjico sufren los mayores retrasos en el ciclo de ventas, con 15,4 y 13 semanas, respectivamente.
• China y Rusia acumulan los menores retrasos, de 2,8 y 3,3 semanas, respectivamente.

Las organizaciones con modelos de privacidad maduros sufren menos retrasos

• El retraso medio en el ciclo de ventas (en semanas) dependiendo de la madurez es el siguiente: ad hoc (16,8), repetible (9,8), definido (5,1), gestionado (4,4) y optimizado (3,3).
• Dado que las organizaciones con nivel definido experimentaron un retraso en las ventas inferior al 70 por ciento frente al nivel ad hoc, las compañías podrían obtener importantes beneficios con ligeras mejoras en su madurez de privacidad. Las compañías ‘optimizadas’ redujeron estos retrasos hasta el 80 por ciento.

Las organizaciones con modelos de privacidad maduros sufren menos brechas de seguridad y menos pérdidas económicas derivadas de los ciber-ataques

• En total, el 53 por ciento de los consultados afirmaron haber sufrido pérdidas superiores a los 500.000 dólares como consecuencia de ciber-ataques en los últimos 12 meses.
• Las compañías con procesos inmaduros (por ejemplo, con nivel ad hoc) acumularon el mayor porcentaje de pérdidas (74 por ciento), disminuyendo en función del nivel de madurez: repetible (66 por ciento), definido (49 por ciento), gestionado (43 por ciento) y optimizado (39 por ciento).

Debido a los efectos potenciales de estos retrasos de ventas, Cisco ofrece las siguientes recomendaciones:

• Medir los retrasos: las organizaciones deberían evaluar el retraso en el ciclo de ventas derivado de cuestiones de privacidad de datos, así como su posible efecto en los ingresos.
• Conocer las causas: los retrasos podrían estar causados por la incapacidad de los equipos de ventas de responder a las preocupaciones de los clientes, contar con políticas corporativas incompletas o inaccesibles, o bien por problemas de ingeniería o diseño. Los directivos deberían conocer el origen de estas causas para determinar cómo solucionarlo.
• Establecer métricas continuadas y objetivos: las métricas sobre el retraso del ciclo de ventas deberían monitorizarse regularmente, y establecer una serie de prioridades diseñadas para reducir los retrasos con la inversión adecuada.
• Conocer las pérdidas por ciber-ataques: las organizaciones también deberían evaluar las causas de cualquier ciber-incidente y las pérdidas económicas que pudieran haberse evitado mediante procesos de privacidad de datos más maduros.
• Diseñar un plan de protección y privacidad de datos: si dicho plan no existe actualmente, las organizaciones deberían crear políticas y protocolos en este sentido, como parte de una buena higiene de seguridad con el fin de protegerse.