La obligatoriedad que la nueva norma europea sobre protección de datos impone a las empresas de hacer públicas las violaciones de seguridad que sufran y a comunicárselo también a los usuarios afectados en un plazo de 72 horas, hará crecer considerablemente, según la consultora española Grupo CMC, las inversiones en seguridad en nuestro país. Concretamente, y según CMC, durante este año este segmento de mercado crecerá en torno a un 20% y un 25% en 2017.
Esta obligatoriedad de informar la recoge la nueva regulación de la Unión Europea (UE) en materia de protección de datos o Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que fue aprobado el pasado mes de abril y entrará en vigor en nuestro país en mayo de 2018, supone para las empresas enfrentarse a los graves perjuicios derivados por un hecho de estas características para su imagen y la reputación de su marca. Además, de ello, las organizaciones también se enfrentan a fuertes sanciones cuyo importe puede llegar a ser el 4% de la facturación.
Cambio de paradigma
La nueva normativa europea traslada el foco de la seguridad desde el eje de las infraestructuras (redes, firewalls, etcétera), entorno en el que hasta ahora se han concentrado las inversiones, al eje de las personas (gestión de identidad y accesos), que no ha sido siempre atendido debidamente, en opinión de Grupo CMC.
La nueva normativa europea hará que las inversiones en seguridad de las empresas españolas se multipliquen
Así mismo GDRP incide en la gestión del cumplimiento normativo y exige a las empresas el registro preventivo de evidencias del cumplimiento para demostrarlo ante la administración pública, si quieren eludir las multas en caso de un ataque.
Este cambio de paradigma se deriva de la doble necesidad que supone la aplicación del RGPD y que implica, por un lado, realizar una gestión preventiva de la privacidad y la seguridad de los datos; y, por otro lado, acreditar el cumplimiento y la gestión de responsabilidades. Ambos requerimientos surgen de los principios ‘Privacy by design’ y ‘Accountability’ que introduce la norma.