LA PROTECCIÓN DE DATOS PONDRÁ CONTRA LAS CUERDAS A LAS EMPRESAS ESPAÑOLAS

La puesta en marcha del nuevo Reglamento General de Protección de Datos en solo un año ha obligado u obligará a cualquier empresa a establecer nuevos sistemas de gestión de sus infraestructuras informáticas para garantizar los derechos y la identidad de los usuarios y sus acciones en la red.

De sufrir una fuga de datos, las sanciones previstas son las equivalentes al 4% de la facturación de las compañías negligentes, hasta 20 millones de euros (la de mayor cuantía de entre ambos baremos). Cualquier robo de información debe notificarse a la AEPD en un máximo de 72 horas.

Solo el 32% de las empresas españolas dispone actualmente de un plan específico para afrontar de manera global el nuevo Reglamento elaborado por la Unión Europea, seis puntos por debajo de la media mundial, según recoge un informe de Compuware. El estudio refleja que, a pesar de los avances conseguidos en el último año, la mayoría de las compañías europeas y estadounidenses todavía no están preparadas para cumplir la nueva ley de Protección de datos europea, que entrará en vigor en mayo del 2018. Queda todavía un año, pero las modificaciones e inversiones a realizar son relevantes. Las auditorías y las contrataciones de responsables derivadas de la aplicación de la ley ya están en marcha y abren incertidumbres.

El gran ciberataque  de hace pocos días ha recordado con crudeza el auge de la ciberdelincuencia a nivel mundial y la necesidad de medidas de seguridad activas en el entorno empresarial. Las pérdidas económicas anuales causadas por este tipo de amenazas ascienden a 400.000 millones de dólares y las medidas de salvaguarda en ocasiones son más sencillas de lo que vulgarmente se piensa. Los expertos recuerdan que el antídoto más efectivo ante los ataques de los ciberdelincuentes es el disponer de copias de seguridad de la información. En ese caso, lo único que será necesario es reponer la información y cambiar las claves del sistema.

Según los expertos, tras un ataque, esto es lo que se debe hacer:

  • No pagar el rescate. Esto no garantiza la recuperación de la clave necesaria para la liberación de los archivos
  • Desconectar inmediatamente los equipos de la red (cable o WiFi) para evitar que el malware se expanda.
  • Si se dispone de un equipo seguro desde el que conectarse, se ha de cambiar todas las contraseñas de red. Este proceso se repetirá una vez eliminado el malware.
  • Se procederá a una limpieza completa de virus de todos los sistemas, o si fuera necesario, reinstalar el sistema operativo.

Medidas básicas de prevención:

  • El antivirus debe estar siempre actualizado.
  • No se deben abrir archivos adjuntos con un origen desconocido
  • Comprobar la URL adjunta al e-mail recibido antes de abrir supuestas facturas.
  • No realizar descargas de ‘software’ ilegales.
  • Realizar copias de seguridad.

La aplicación de la ley exige a las empresas que sean capaces de determinar los usos que sus empleados o sus clientes hacen de la red informática y de telecomunicaciones, las páginas a las que acceden, que archivos descargan… Lo mismo para las instituciones públicas que ofrecen servicios de wifi, universidades, establecimientos hoteleros o de restauración, por ejemplo. Ese control pasará en la mayoría de los casos por la identificación sin dudas del usuario mediante sistemas de doble autentificación, al estilo de los empleados en banca a distancia (confirmación de claves a través de móviles, por ejemplo), para evitar el uso de claves compartidas. El teléfono móvil se consolida de esta manera como el instrumento identificativo del individuo.

Una de las novedades del marco legal del nuevo Reglamento es la necesaria creación de la figura del profesional Delegado de Protección de Datos, que tiene que ser incorporada en algunas empresas, sobre todo aquellas de mayor tamaño o aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial. También en la Administración Pública o cualquier institución (por ejemplo las universidades). Sus funciones no pueden recaer en el director de seguridad. En la práctica, el nuevo marco legal supone nuevas cotas de responsabilidad de las organizaciones ante la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros. Es lo que en el sector denominan como principio de responsabilidad proactiva por la que las organizaciones deben ser capaces de demostrar que tratan los datos personales de acuerdo con la ley.

Consecuencias devastadoras

El 64% de las empresas españolas analizadas por Compuware afirman estar bien informadas sobre el nuevo reglamento y acerca del impacto que tendrá en la forma de gestionar los datos de sus clientes, una mejora de diez puntos respecto al 54% de hace un año. Cualquier incumplimiento de la ley podría tener “consecuencias devastadoras ante cualquier violación de datos, algo demasiado común dado el crecimiento de la ciberdelincuencia y las amenazas internas”.

¿Dónde están los datos?

El informe de Compuware señala que el 64% de las españolas aseguran que la complejidad de los actuales servicios de TI genera en muchas ocasiones incertidumbre acerca de dónde residen los datos de los clientes, mientras que un 56% afirma ser capaz de localizar todos los datos de una persona con la rapidez necesaria que exige el cumplimiento del ‘derecho al olvido’ incluido en el Reglamento General de Protección de Datos, por ejemplo.

Compuware añade además que lo más preocupante, según este estudio realizado a partir de entrevistas a 400 directores de sistemas de empresas de Francia, Alemania, Italia, España, Reino Unido y Estados Unidos, es que un 32% de los encuestados admite que no puede garantizar a día de hoy la localización de los datos de un cliente.

FUENTE: EL PERIÓDICO

Deja un comentario