Raúl Pérez Global Presales Manager en Panda Security

El nuevo paradigma de la seguridad del dato Cada vez se acerca más la aplicación del nuevo Reglamento General de Protección de Datos de la UE (GDPR), que entrará en vigor en mayo 2018. Todas las empresas europeas o que realicen negocios en la UE se ven forzadas a fortalecer la seguridad sobre la información identificable como personal que estas almacenan y/o procesan, especialmente la que reside, se opera y transita en los equipos de empleados y colaboradores. Esta nueva normativa ayuda a crear un mercado único digital, y las empresas solo tendrán que lidiar con una sola autoridad de supervisión, no con 28 como hasta ahora, lo que simplifica y abarata las operaciones de las empresas en la UE. De este modo, se beneficiarán de decisiones más rápidas, y de menos burocracia. Además, cabe destacar el nuevo derecho de los ciudadanos a la portabilidad de datos, que permitirá a las personas mover sus datos personales de un proveedor de servicios a otro. Las nuevas empresas y las pequeñas empresas podrán acceder a los mercados de datos dominados por gigantes digitales y atraer a más consumidores con soluciones que demuestren ser totalmente respetuosas con la privacidad. Esto hará que la economía europea sea más competitiva.

El proceso de adaptación a GDPR ha iniciado una carrera a contrarreloj para que las empresas puedan preparar su acogida. Muchas organizaciones no están adoptando todas las acciones necesarias, ni aplicando recursos a la gestión de la privacidad de los datos personales. Las reglas son complejas y las multas por su no cumplimiento son importantes, llegando hasta 20 millones de euros o un 4% de la facturación global anual.

Otro daño inevitable ante fugas de datos es el perjuicio en términos de reputación frente a clientes actuales y futuros. Los dos principales retos a los que se enfrentan las empresas se enfrentan son la falta de control de datos desestructurados y diseminados en los puestos de trabajo y el incremento de casos de exfiltración.

En ese sentido, los datos no estructurados dispersos en servidores, dispositivos y portátiles de empleados y colaboradores representan aproximadamente el 80% de los datos relacionados con la empresa. Por otro lado, cada día son más los casos de exfiltración de datos personales, gestionados con un nivel de seguridad y control bajo, que se ejecutan tanto por atacantes externos como por insiders, empleados y colaboradores, subcontratados o partners malintencionados o simplemente descuidados que acceden a los datos personales y sensibles de la empresa, los copian o mueven a sus dispositivos y de ahí los exflintran o los exponen al exterior. El 59% de los empleados roban datos corporativos propietarios cuando abandonan o son despedidos y el 24% de los exempleados siguen teniendo el mismo acceso a la información que tenían antes de irse.

Las cifras sobre infracciones y registros robados son aleccionadoras, y nuevamente argumentan que las organizaciones no están implementando herramientas y procesos de seguridad adecuados para evitar este tipo de ataques. Los ataques externos maliciosos son la principal fuente de violaciones, pero las negligencias internas y la exposición involuntaria de los datos son la mayor fuente de registros perdidos o robados con el robo de identidad como el tipo de violación más común.

Solo en la primera mitad del 2017, se contabilizaron un número de robos de datos por insiders de 237, resultando en el robo de más de 1.6 billones de registros. La siguiente fuente más grande de registros robados en el período fue ataques externos maliciosos. Este grupo fue responsable de 679 infracciones de datos, teniendo como consecuencia el robo de 254 millones de registros.

Las organizaciones que procesen datos personales después de esta fecha serán más responsables que nunca de su mantenimiento y uso. Muchas de ellas necesitan contar con el apoyo de una solución que les ofrezca protección para sus datos, evitando así cualquier posible violación de seguridad.

Para ello, las soluciones de ciberseguridad en la empresa deberán ser avanzadas y acordes al nuevo paradigma, ofreciendo una seguridad más proactiva que reactiva.

Como concusión, la falta de visibilidad, el crecimiento exponencial de los datos desestructurados y de las amenazas tanto externas como internas, hacen que las empresas tengan verdaderas dificultades a la hora de cumplir con las regulaciones y poner en práctica un modelo focalizado a proteger la información personal y sensible que maneja.

Raúl Pérez estará presente en el X Foro de la Privacidad que tendrán lugar el próximo 8 de marzo. Toda la información aquí.