Javier Drake Security Business Manager for Identity & Information Protection Javier Drake cuenta con más de 10 años de experiencia en el desarrollo de Seguridad Corporativa en España y Portugal, con experiencia en desarrollo de proyectos de Gestión crítica de la información, Autenticación y ayudando a reforzar las áreas de seguridad de las principales Corporaciones en España.

A lo largo de estos años, los 27 países miembros han puesto en práctica la norma de protección de datos de 1995 de diferente forma y debido al progreso social y económico y al aumento de la actividad económica, la Comisión Europea ha propuesto a principios de año su reforma general en el marco normativo de la protección de datos de la Unión Europea, dos propuestas legislativas que, una vez aprobadas por el Parlamento Europeo y los 27 Estados, darán más confianza a los usuarios de Internet y ahorrará costes a las empresas calculados en 2.300 millones de dólares anuales. Los daños que pueden ocasionar los propios empleados por el uso indebido de los sistemas de TI y de la información interna, o por el robo de información corporativa, pueden llegar a constituir una de las mayores amenazas de la actualidad, superiores incluso a las que representan los propios virus o el malware. Ésta es una de las conclusiones que se desprenden del séptimo informe de 2011 sobre el coste mundial de las filtraciones dedatos, realizado por Ponemon Institute y Symantec, en donde se indica que el coste medio de una fuga de datos ha alcanzado en estos momentos 5,5 millones de dólares, un dato significativo que revela que los costes de las pérdidas de datos están aumentando en todo el mundo. Si bien a nadie escapa que los riesgos a los que deben hacer frente las empresas a la hora de proteger sus sistemas de TI son cada vez mayores, en general las acciones de imprudencia y ataques maliciosos son las principales causas de violación de los datos. El 39% de las organizaciones dicen que la negligencia ha sido la causa principal de este tipo de perjuicios. Por primera vez, los ataques maliciosos o criminales representan más de un tercio de las infracciones totales como revela este estudio. Desde el año 2007, también han sido las infracciones más costosas. Este hecho pone claramente de manifiesto la necesidad primordial que tienen las organizaciones de centrarse en los procesos, políticas y tecnologías para hacer frente a las amenazas de este tipo.

¿Qué hacer ante este panorama? Si observamos en profundidad, se dibuja otra tendencia a destacar: en las compañías en las que existe la presencia de un CISO o Director de Seguridad Informática (Chief Information Security Officer), con responsabilidades en la protección de datos empresariales, el coste promedio de una violación de datos (data breach) se puede reducir hasta en 80 dólares por registro comprometido. Y en la misma dirección, es posible conseguir resultados con la ayuda de consultores externos, capaces de hacer ahorrar a las empresas hasta 41 dólares por registro. Por eso, queda clara la necesidad de que las compañías sean más conscientes de esta realidad y de que contar con un cierto respaldo y adelantarse a los acontecimientos finalmente se traduce en beneficios financieros significativos y positivos.

Por otra parte, según la Comisión Europea, las empresas deberán contar con un DPO o Responsable de Protección de Datos (Data Protection Officer), que se encargará, según anuncia el nuevo Reglamento que podría sustituir la Directiva 95/46 de Protección de Datos de Carácter Personal (versión 56), de informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento y documentar esta actividad y las respuestas que se han dado a sus peticiones, de controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas y de controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos. Además deberá asegurarse de mantener la documentación que exige el Reglamento, controlar la documentación, notificación y comunicación de fugas de datos personales y de actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan.

Pero sólo con estas máximas ¿estarán las organizaciones preparadas ante este tipo amenazas? A la luz de los datos del Ponemon Institute conviene no perder de vista estas recomendaciones, que no deben escapar de la lista de prioridades de los responsables de seguridad.

-Evaluar los riesgos mediante la identificación y clasificación de información confidencial.

-Educar a los empleados sobre las políticas de protección de la información y los procedimientos, haciéndolos responsables de su cumplimiento.

-Implementar una solución de seguridad integrada que incluya la reputación basada en la seguridad, la protección proactiva de amenazas, firewall y prevención de intrusiones con el fin de mantener el malware fuera de los puntos finales.

-Desplegar datos tecnologías de prevención de pérdidas que permitan el cumplimiento y aplicación de políticas.

Asumir este firme compromiso de cara a salvaguardar internamente la integridad de la información, es una de las actitudes más sanas para enfrentarse a las amenazas y los riesgos de la actualidad y a la vez, prepararse para ser menos vulnerables ante los desafíos a los que pueden enfrentarse en el futuro. La iniciativa de la Comisión Europea ayudará a reforzar la confianza de los consumidores en los servicios en línea, proporcionando un impulso muy necesario para el crecimiento, el empleo y la innovación en Europa.