Juan Gosálvez, Channel Manager Iberia, Varonis

El Reglamento General de Protección de Datos (RGPD) de la UE ha supuesto uno de los mayores cambios en las normativas de seguridad y privacidad de España en los últimos años. Ahora que se cumple el primer aniversario de la entrada en vigor de esta norma, muchas empresas todavía tienen un montón de trabajo por hacer para cumplir los requisitos de privacidad que establece el RGPD.

Las empresas que no han implantado adecuadamente el RGPD están expuestas a numerosos riesgos. Se exponen a ser sancionadas. Es posible que no puedan satisfacer las solicitudes de acceso a los datos de los interesados. También es probable que guarden datos confidenciales (incluso datos sensibles que ya no usan) que pueden ser robados en un incidente de seguridad. La lista continúa.

¿Cuál es la gravedad del riesgo que supone esta información expuesta?

En nuestro recienteInforme de Riesgos de Datos Globales en 2019hemos determinado que cada empleado, de media, tiene acceso a 17 millones de archivos. También señalamos que el 53 % de las empresas guardan al menos 1000 archivos confidenciales a los que puede acceder cualquier empleado.

Estos son algunos de los principales resultados de nuestro informe de 2019:

• El 22 % de las carpetas son accesibles, de media, para todos los empleados.

• El 38 % de los usuarios tienen contraseñas que nunca caducan, un 10 % más que el año pasado.

• El 40 % de las empresas disponen de más de 1000 usuarios habilitados que están obsoletos ("fantasmas").

• Las empresas de comercio minorista son las que tienen expuestos menos archivos confidenciales y, en general, parecen haber hecho mejor los deberes para proteger sus datos.

• Las empresas de servicios financieros son las que presentan una mayor exposición de archivos confidenciales en general.

• Las empresas sanitarias, farmacéuticas y de biotecnología cuentan con el mayor porcentaje de archivos confidenciales expuestos por cada terabyte analizado.

Para la elaboración del informe de este año, hemos analizado una muestra aleatoria de 785 evaluaciones de riesgo de protección de datos con el fin de determinar el nivel de exposición de las empresas. Nuestros analistas examinaron 54 000 millones de archivos y detectaron datos confidenciales que eran accesibles por parte de cualquier usuario de la empresa, así como datos almacenados que ya no se usan pero que pueden poner en peligro a las empresas.

Por desgracia, parece que muchas empresas han perdido el control de sus datos: se guardan en los servidores, en los ordenadores y en el correo electrónico de los empleados, así como en la nube. Los datos siempre encuentran la manera de filtrarse a lugares a los que no deberían llegar con el riesgo de acabar cayendo en las manos equivocadas, lo que pone en peligro a los clientes y las empresas.

Las empresas deben dejar de guardarlo todo, organizar los datos que tienen que conservar y proteger su información confidencial mediante un modelo de privilegios mínimos. Es necesario implementar la tecnología, los procesos y las políticas adecuadas que respalden unas estrategias efectivas de protección de datos.

Estas son algunas prácticas recomendadas para proteger sus datos y reducir los riesgos:

• Identifique y revise los grupos de acceso global que pueden acceder a datos confidenciales y críticos.

• Asegúrese de que solo los usuarios apropiados tengan acceso a los datos confidenciales y regulados.

• Realice periódicamente una auditoría completa de sus servidores, para buscar cualquier tipo de contenedor de datos (carpetas, buzones de correo, sitios de SharePoint, etc.) que cuente con grupos de acceso global en sus listas de control de acceso.

• Reemplace los grupos de acceso global por grupos seguros debidamente administrados.

• Comience por los datos más confidenciales y haga pruebas antes de implementar los cambios, para asegurarse de que no se producirán problemas.

Aunque el principal motivo por el que muchas empresas cumplen el RGPD es evitar las temidas multas, las empresas inteligentes se han dado cuenta de que esta normativa también les ofrece la oportunidad de trabajar de una forma más segura y eficiente. Tomar conciencia de dónde se guardan todos los datos confidenciales, cuáles están en riesgo y quién tiene acceso a ellos, es un ejercicio revelador para las empresas que antes no se preocupaban por este asunto. La capacidad de una empresa para gestionar y proteger los datos confidenciales tiene una gran influencia en el riesgo de sufrir un incidente cibernético grave provocado por un pirata informático, un empleado descontento o un simple accidente. Las empresas que aún no se están tomando los datos en serio tienen que cambiar urgentemente su enfoque.

En definitiva, las empresas que en el último año han adoptado el espíritu del RGPD ahora están mucho mejor preparadas para afrontar un panorama de amenazas cada vez más hostil; mientras que las empresas que optaron por el mínimo esfuerzo, ahora tienen muchos más desafíos por delante.