En la era digital, protagonista indiscutible del devenir de las empresas en el siglo XXI, la protección de los datos está modificando el modo en que abordamos la seguridad. El éxito de tecnologías como el cloud computing o tendencias como el uso de los dispositivos personales en la empresa (BYOD), han supuesto un notable incremento de la productividad, al ofrecernos una disponibilidad casi absoluta de la información en cualquier momento y en cualquier lugar. Como contrapartida, el aumento de la superficie de riesgo nos exige aproximarnos a la seguridad desde una nueva perspectiva.

Chief Data Officer y una regulación más exigente

Para afrontar los riesgos de la transición digital, hemos pasado de proteger el sistema que contenía el dato, a proteger el propio dato. Un “matiz” que ha modificado por completo el paradigma y que ha elevado la figura del Chief Data Officer a la de rol crítico en el seno de las organizaciones. El Chief Data Officer es el encargado de velar por el dato de forma integral. Es decir, hemos superado un escenario donde un dato era propiedad de un departamento y su protección era responsabilidad del equipo de TI. Un modelo manifiestamente insuficiente tanto para afrontar las necesidades actuales, como  para superar los requerimientos que impone el nuevo marco legal.

La prueba del inmenso valor que poseen los datos en este momento la encontramos, por ejemplo, en la nueva normativa europea (GDPR), que será de obligado cumplimiento desde el 25 de mayo de 2018.  La normativa además de imponer multas de hasta un 4% de la facturación anual, exige que se hagan públicos los incidentes de seguridad relacionados con la privacidad en un tiempo establecido. Otro ejemplo, son casos tan sonados como el ataque que experimentó Yahoo en 2016 y que afectó a su operación de venta a Verizon. En definitiva, una protección deficiente de nuestra información puede suponer un elevado coste en términos económicos y de reputación, en un mercado muy competitivo donde la confianza de los usuarios es clave para el éxito de los negocios.

Una responsabilidad compartida

En este contexto, gestionar la fuga de datos debería ser uno de los proyectos más importantes de las empresas. Con el empleado como eslabón más débil y la continua aparición de nuevas vulnerabilidades, es esencial que las empresas fomenten una cultura donde la protección de la información sea una responsabilidad compartida. No sólo por el éxito de las técnicas de ingeniería social para obtener ilegalmente la información, sino también porque muchas de esas fugas se deben a pérdidas o a un mal uso de los dispositivos personales que contienen información empresarial.

Fomentar una cultura donde el empleado sea perfectamente consciente del valor de los datos que maneja es el necesario punto de partida. Sin eludir que son las empresas las que deben poner en marcha una estrategia robusta para protegerse ante las amenazas. No estamos hablando de que tenga que producirse un gran cambio tecnológico: lo que debe cambiar es la percepción de la seguridad, de cómo proteger el dato y de cuáles son las obligaciones de cada uno de los empleados y las organizaciones para lograrlo.

La GDPR, el impulso definitivo

Indudablemente, los cambios en el marco normativo y, muy especialmente, la entrada en vigor de la GDPR está siendo determinantes para que se aborde, sin ambages, la necesidad de proteger el dato a toda costa. Una cuestión que aún no tiene una madurez acorde a la magnitud de la amenaza que padece.

Este nuevo abordaje de la gestión del dato exige redefinir las prioridades. En este marco, Gartner señala la importancia de designar, para las empresas que lo ameriten, a un DPO (Data Protection Officer) y crear un grupo de trabajo que analice los desafíos que supone la nueva ley. Revisar los procedimientos de procesamiento de datos, los flujos de datos transfronterizos, fortalecer la transparencia o contar con asesoramiento jurídico son algunas de las claves para implementar ese control del dato y cumplir con los requerimientos exigidos.  Siendo conscientes que para las empresas más pequeñas no es viable contar con este tipo de perfiles, han surgido proveedores que ofrecen estos servicios para acompañar en el cumplimiento de la normativa.

Ya sea porque las compañías han entendido la necesidad de proteger el dato como su bien más preciado, ya sea por motivos puramente de cumplimiento, lo cierto es que la gestión de la fuga de datos ocupa ya un lugar prioritario en la agenda de los profesionales de la Seguridad de Información. El dato es la piedra angular de las empresas de hoy sean estas consciente de ello o no, lo protejan o no.