Llega la nueva normativa comunitaria para la protecciĆ³n de datos. ElĀ RGPDĀ (Reglamento General de ProtecciĆ³n de Datos)Ā complementarĆ” a la antigua LOPD a partir del prĆ³ximo 25 de mayo.
La normativa europea pone el dedo en la llaga en cuanto a las cuestiones relacionadas con laĀ ciberseguridadĀ en las empresas y las consecuencias que puede tener el robo de datos sensibles de nuestro negocio. Los incumplimientos pueden acarrearĀ multas de hasta 20.000.000 ā¬.
Una de los temas que mĆ”s han avivado el diĆ”logo sobre elĀ RGPDĀ y laĀ ciberseguridad, ha sido el principio deĀ responsabilidad activaĀ oĀ accountability. Hablamos de una de las bases principales del nuevo reglamento y trata sobre la obligaciĆ³n que tienen las empresas de prevenir cualquier hecho que pueda poner en peligro datos sensibles e informaciĆ³n privada.
QuƩ es el Principio de Responsabilidad Activa
Nos hemos acostumbrados a la hiperconectividad y cada vez dependemos mĆ”s de los procesos tecnolĆ³gicos. Esta situaciĆ³n contribuye a que aumente de forma exponencial la posibilidad de ser vĆctimas de un ciberataque. A ello hemos de sumar el acceso no autorizado a informaciĆ³n de carĆ”cter personal y privado.
Sin embargo, los avances en tecnologĆa tambiĆ©n abren nuevas brechas en los mĆ©todos que usamos para potenciar nuestraĀ ciberseguridad. Cada dĆa son millones los ataques que se producen a travĆ©s de internet.
La lista de vulnerabilidades crece con palabras nuevas que intentan acotar el carĆ”cter de la amenaza:Ā phishing,Ā ramsonware,Ā malware,Ā spoofing,Ā exploits,Ā rootkit, denegaciones de servicioā¦
No es de extraƱar que, con este panorama,Ā la ciberseguridad y cumplir la nueva normativa sean las fĆ³rmulas que intenten proteger los datos personales. Es una tarea que pretende acotar los efectos negativos y las fallas de seguridad adosados al proceso de innovaciĆ³n tecnolĆ³gica.
No incumplir ya no es suficiente
La propia Agencia EspaƱola de ProtecciĆ³n de Datos, habĆa popularizado esta frase que lo dice todo. Con el Principio de ProtecciĆ³n Activa, la empresa no solo tiene que cumplir elĀ RGPD, tambiĆ©n debeĀ hacer ver que estĆ” en condiciones de demostrarlo.
A partir de este momento,Ā serĆ”n las compaƱĆas quienes tendrĆ”n la obligaciĆ³n y la responsabilidad de llevar su propia gestiĆ³n de riesgo.
Deben poder identificar cuĆ”les son los puntos negros de sus sistemas y sus vulnerabilidades. AdemĆ”s, tienen la obligaciĆ³n de adoptar las medidas necesarias para paliar la situaciĆ³n.
Hasta el momento, era la propia AdministraciĆ³n PĆŗblica la que debĆa hacerse cargo de estas cuestiones. Fiscalizaba a las empresas para comprobar dĆ³nde podĆan existir fallas. Ahora la pelota vuela al tejado de las empresas, bajo amenaza de cuantiosas multas.
Todos, expertos y empresarios, coinciden en que la cuantĆa de las penas econĆ³micas derivadas del incumplimiento delĀ RGPDĀ no va detrĆ”s de un afĆ”n recaudatorio. Al contrario, intenta concienciar a las empresas comunitarias de la necesidad de adoptar todas las medidas necesarias paraĀ que la fuga de datos privados resulte prĆ”cticamente imposible.
En este sentido, se marca una senda deĀ cumplimiento proactivo. Ya no basta con formularios y consentimientos firmados. Ahora hay que cumplir la norma y universalizar una praxis segura en todas las empresas de la UniĆ³n Europea. Desde la UE se āfuerzaā para que se cree una conciencia empresarial basada en el cumplimiento.
Por quĆ© es tan importante este tipo de protecciĆ³n
La vulneraciĆ³n y difusiĆ³n, voluntariamente o por mala praxis, de informaciĆ³n sensible, personal y privada puede conllevar nefastas consecuencias. Un ejemplo serĆa el que un ciudadano no pudiera acceder a un empleo al haberse divulgado algĆŗn dato Ćntimo, reservado y personal que lo aĆsla y convierte en vĆctima. Esta victimizaciĆ³n podrĆa llegar incluso hasta la exclusiĆ³n social y al rechazo del afectado por parte de la sociedad.
Este tipo de reflexiones se basa en la gran repercusiĆ³n que puede llegar a tener la revelaciĆ³n de informaciĆ³n de carĆ”cter personal. Por eso,Ā determinar los riesgos es una medida preventiva, que persigue evitar la producciĆ³n de perjuicios irremediables para los individuos.
Esta obligaciĆ³n de prevenir protegiendo ha sido trasladada a las empresas a travĆ©s delĀ RGPD. Por un lado, estĆ” esa protecciĆ³n de datos proactiva, que obliga a la adopciĆ³n de medidas capaces de garantizar que los datos personales serĆ”n tratados con absoluta discreciĆ³n y solo para los fines especĆficos autorizados.
Igualmente, las empresas tendrĆ”n que realizarĀ valoraciones de choque, capaces de proteger aquellos datos que conlleven un riesgo elevado para las libertades y los derechos de los individuos.
QuĆ© obligaciones tiene la empresa para evitar una mala gestiĆ³n de datos
En principio hay que determinar que estas obligaciones no son solo para evitar una mala gestiĆ³n de datos. No se debe presuponer una intenciĆ³n torticera por parte de empresas y organismos.
Sin embargo, como apuntĆ”bamos al principio, laĀ ciberseguridadĀ es esencial para poder afrontar con Ć©xito ataques que sĆ pondrĆan en riesgo severo la informaciĆ³n ācalienteā y sensible que manejamos como empresa.
Por ello, elĀ RGPDĀ obliga a las empresas a cumplir con una serie de obligaciones:
– Identificar y analizar los riesgos
– Registrar las actividades de tratamiento de datos
– Proteger los datos por defecto
– Notificar las violaciones de seguridad
– Nombrar a un responsable de protecciĆ³n de datos
– Realizar una evaluaciĆ³n de impacto para la gestiĆ³n del riesgo
GestiĆ³n del riesgo
De todas las acciones a las que obliga elĀ RGPDĀ para cumplir con el principio deĀ responsabilidad activa, laĀ gestiĆ³n de riesgosĀ es uno de los procesos mĆ”s importantes.
Con ello las empresas van a poder saber cuĆ”les pueden ser las amenazas reales que afectan a su organizaciĆ³n. Este conocimiento sobre el terreno les permitirĆ” tomar decisiones que reduzcan el nivel de incertidumbre.
Para poder gestionar el riesgo de manera eficaz, la empresa estĆ” obligada aĀ emplear un mĆ©todo concreto para cada amenaza concreta.Ā Solo de esta manera se puede estar seguro de que se establecen los baremos de calidad y cantidad propios para el nivel de riesgo de una determinada informaciĆ³n.
ElĀ RGPDĀ es meticuloso al seƱalar exactamente cuĆ”les son los puntos mĆ”s peligrosos que entran en escena. En realidad, son todos aquellos que se relacionan directamente con los sistemas de informaciĆ³n.
AquĆ hay que dejar claro queĀ esos activos sensibles pueden afectar tanto alĀ hardwareĀ como alĀ softwareĀ que trabaja en el procesamiento de datos, desde su almacenamiento hasta la producciĆ³n de informaciĆ³n personal. En medio, tenemos una cadena de actos como la comunicaciĆ³n, la transformaciĆ³n, la consulta o la modificaciĆ³n de datos sensibles.
Llegados a este punto, cabe concluir que, para una pyme, un anĆ”lisis de riesgo puede llevarse a cabo con apenas una atenciĆ³n documentada. Sin embargo, cuando hablamos de grandes empresas, de menores, de grandes grupos de poblaciĆ³n o deĀ Big DataĀ o sistemas de vigilancia por vĆdeo y localizaciĆ³n GPS, las cosas cambian.
En estos casos se obliga a los empresarios aĀ realizar una EIPD (EvaluaciĆ³n de Impacto de ProtecciĆ³n de Datos). Una vez analizados los riesgos para la protecciĆ³n de la informaciĆ³n, se obliga al tratamiento de las fallas a travĆ©s de medidas que las eliminen o las disminuyan considerablemente.
La imagen de marca
La protecciĆ³n de datos no debe verse solo como una fuente de peligros, que puede acarrear para nuestra empresa cualquier fallo en la cadena de custodia de informaciĆ³n. Evidentemente, tambiĆ©n lo es.
Sin embargo existen otras razones que nos obligan a mantener una postura acorde con laĀ RGPD, y una de ellas es la propia imagen de la empresa. LaĀ gestiĆ³n de riesgosĀ no debe terminar en el hecho de eludir una acciĆ³n legal que conlleve una multa astronĆ³mica, por la consiguiente pĆ©rdida de datos.
Esos datos, por otra parte, tambiĆ©n podrĆan ser de un valor incalculable para nuestra empresa y ahora estĆ”n en otras manos.
Pero, si sumamos todo, al final evitar el peligro de perder cadenas de informaciĆ³n sensible, personal y valiosa redunda en unaĀ desconfianza por parte del usuario. La empresa ve cĆ³mo se deteriora su propio valor, su propia identidad, su imagen de marca.
CĆ³mo reforzar la seguridad de la empresa en materia de datos
En principio, y si no cuentas con un departamento especializado, lo mejor esĀ externalizar el procesoĀ para que se encarguen de Ć©l. Siempre debes elegir una empresa de reconocido prestigio en sistemas y soluciones deĀ ciberseguridad.
A travĆ©s de ella tendrĆ”s que realizar una serie de transformaciones, que acabarĆ”n garantizando la protecciĆ³n de todos tus datos.
1.Ā Backups.Ā TendrĆ”s que realizar estas copias de seguridad internas y externas. Una manera de mantenerse seguro en este sentido es el uso de nuestros sistemas NAS de Almacenamiento Conectado a la Red.
2. Cortafuegos.Ā La manera mĆ”s eficaz es utilizando unĀ FirewallĀ UTM. Esta herramienta es capaz de gestionar una gran variedad de elementos deĀ ciberseguridadĀ a travĆ©s de la tecnologĆa de la gestiĆ³n unificada de amenazas. Por lo general, alĀ firewallĀ se adosanĀ antispyware,Ā antispam, antivirus, detecciĆ³n de intrusos, filtros de contenido y la deseada prevenciĆ³n de fugas de informaciĆ³n.
3. Periodicidad.Ā Aunque cuentes con la mejor tecnologĆa y el asesoramiento de los mejores profesionales, tienes que acostumbrarte a realizar auditorĆas periĆ³dicas. Con ellas podrĆ”s mejorar tu plan deĀ gestiĆ³n de riesgosĀ y tenerlo siempre al dĆa, cumpliendo la normativa.
Ya falta poco para la entrada en vigor delĀ RGPD. Debes pasar a la acciĆ³n y ponerte en manos de unĀ consultorĆa TICĀ capaz de garantizar la protecciĆ³n de tus datos sensibles y de aquellos privados y de carĆ”cter personal.