El papel de la ciberseguridad ante la llegada del GDPR

Publicado el 25-04-2018      Notícia sobre: ISMS Forum Spain

 

En la XX Jornada de Seguridad de la Información que organiza ISMS Forum se abordará, entre sus temáticas, el papel que tiene y tendrá la ciberseguridad en el contexto del GDPR (General Data Protection Regulation),Reglamento Europeo de Protección de Datos en español, que entrará en vigor el próximo 25 de mayo de 2018. A partir de esta fecha, cada persona tendrá que dar su consentimiento inequívoco para que las empresas puedan usar sus datos si es ciudadano europeo. Es más, tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.

Se trata de un reglamento que, en realidad, entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018. Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones. Además, supone que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea.

En caso de incumplimiento de la normativa, las multas a las que se enfrentan las empresas pueden llegar a ser de hasta 20 millones de euros o del 4% de los ingresos de la compañía. No obstante, no sólo son importantes las consecuencias económicas que devienen de incumplir el reglamento, sino también los estragos que hacen mella en la confianza de los clientes y usuarios de las empresas.

Un ejemplo reciente lo encontramos en las consecuencias de la noticia sobre la fuga de información en Facebook: a las pocas horas de conocerse el escándalo, la compañía de Mark Zuckerberg sufrió su mayor caída en Bolsa de los últimos cinco años. Sin embargo, como señala el abogado Borja Adsuara, experto en derecho y estrategia digital, “lo peor no es que se hayan utilizado mal los datos de 50 millones de usuarios, sino que se ha dañado la confianza en el 'big data' y la inteligencia artificial”. Es por ello que, nos encontramos en estos momentos en una situación de incertidumbre, tensión y, sobre todo, adaptación tecnológica, que es la que propiciará un cambio en el paradigma de la ciberseguridad y la protección de los datos.

¿Qué debe contemplar la estrategia de ciberseguridad de las empresas?

Según un estudio llevado a cabo por Vodafone a cerca de 1.500 compañías de ocho países, el 86% de los encuestados considera que contar con una sólida y clara estrategia de ciberseguridad genera nuevas oportunidades de negocio, aunque llama la atención que el 41% desconoce quién podía ayudarles a afrontar los problemas de la seguridad de la información. A este respecto, es posible que el GDPR no sólo se reduzca a una normativa que tenga efecto en terreno europeo, sino que trascenderá hasta provocar una metamorfosis digital global, ya que compañías de todo el mundo lo tendrán en cuenta en su propia estrategia.

Sin tener en cuenta consideraciones de tamaño de empresa, es necesario que todas contemplen una estrategia de ciberseguridad basada en el cifrado de la información, la redundancia en ciertos servicios para mantener la disponibilidad y elementos de protección perimetral (como cortafuegos) que garanticen la autenticación de los usuarios para establecer una primera barrera de entrada a los sistemas. Así lo ha entendido ya, según el informe de Vodafone, una mayoría de organizaciones de todos los tamaños. No en vano, el 87% de las encuestadas afirma que durante los tres próximos años incrementará su presupuesto destinado a la ciberseguridad, frente a un ínfimo 1% que tiene pensado reducir esa misma partida.

Además, toda esa inversión puede rentabilizarse antes con la subcontratación de data centers robustos y seguros que en los últimos años van de la mano de servicios en la nube, por lo que resultan más económicos dado que ya no es necesario invertir en grandes infraestructuras. Eso sí, en el caso de que las compañías se decanten por externalizar su estrategia de ciberseguridad a través de soluciones cloud, tienen que elegir muy bien al proveedor, que debe contar con los recursos suficientes para garantizar una continuidad de los negocios ante cualquier imprevisto, así como para adaptar de manera rápida y transparente esos repositorios virtuales a medida que crecen las necesidades del cliente.

¿Cómo debemos pensar la transformación digital?

En este sentido, el éxito o fracaso de la transformación digital se torna en crucial. Las empresas la perciben como una gran oportunidad para competir en los más diversos sectores. Según Ignacio Cobisa, analista de IDC: “Hemos constatado una demanda muy significativa de soluciones que permiten extraer valor de los datos, que actualmente son el activo empresarial con mayor potencial”. 

Las compañías deben tener en cuenta que el GDPR no sólo supone tomar decisiones en un área determinada, sino que implica hacer transversales todos los procesos entre departamentos. Esto quiere decir que las empresas, además de desarrollar su potencia tecnológica, también deben perseguir incorporar la cultura de la protección de datos a su pensamiento de negocio. Según Óscar Alonso Llombart, Information Strategist, Chief Data Officer (CDO) y Data Protection Officer (DPO), esto es una tarea que ningún departamento puede asumir por sí solo: todos en la organización tienen un papel que desempeñar.

Unido a esta transformación estratégica, Llombart comenta que “las empresas necesitarán soluciones que se construyan desde cero para incorporar los principios de protección de datos y privacidad por diseño”. No obstante, añade que esto no significa un completo desmantelamiento de la infraestructura existente. “Se requerirán soluciones que sean flexibles y adaptables para permitir que las empresas evolucionen y se adapten a medida que llegue la próxima ola de transformación digital”, predice. Por supuesto, no resulta extraño pensar que el GDPR generará un boom de empresas creadas exclusivamente para proteger los datos y ayudar a transparentar los procesos.  

¿Caducará el GDPR?

“Era necesario que en algo tan esencial para el desarrollo de la economía digital en Europa no hubiese diferencias regulatorias entre los países que puedan generar desventajas competitivas entre ellos”, nos asegura el director general de la Asociación Española de Economía Digital (Adigital), José Luis Zimmermann.

En este sentido, la Unión Europea defiende que GDPR es un paso “esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificación de las normas para las empresas en el mercado único digital”.

Sin embargo, Adigital cree que nace caduca. El problema reside en que, desde el momento en que inician las conversaciones se iniciaron hace más de 9 años. “En todo este tiempo han pasado muchas cosas. Han aparecido nuevos modelos de negocio, nuevos usos de los datos, múltiples innovaciones alrededor de los datos, ha variado la percepción del ciudadano y de los riesgos. Es, por tanto, una norma que nace ya, en su aplicación, con cierta obsolescencia”, asegura Zimmermann.

Fuentes: Xataka, Observatorio Digital, Revista Neo, Retina (El País).

Global Gold Sponsor