Los ciberataques copan cada vez más titulares, afectan tanto a negocios como a personas, y lo que los hackers buscan es robar datos confidenciales y realizar pagos rápidos. Las técnicas son cada vez más sofisticadas para evitar la detección, convencer a los usuarios de descargar archivos maliciosos y extorsionar a las empresas para que paguen por recuperar sus datos. Con los años, las brechas han enseñado a usuarios individuales y responsables de empresas muchas lecciones, pero las organizaciones deben prepararse para las posibles amenazas del futuro. De acuerdo con una investigación de PricewaterhouseCoopers, los ciberdelincuentes están incrementando el uso de estafas de phishing e incluso están comprometiendo dispositivos móviles para acceder a áreas más sensibles dentro de las redes corporativas.
Todos los integrantes de una organización son responsables de proteger los datos de clientes y empresas, pero los resultados de los esfuerzos de seguridad varían. La protección se ha convertido en una prioridad y las instituciones gubernamentales están creando sus propias iniciativas para garantizar que todas las empresas sigan protocolos cibernéticos. Recientemente, la Unión Europea lazó el Reglamento General de Protección de Datos, que tendrá impacto en todas las transacciones dentro de los estados miembros de la UE. Echemos un vistazo más de cerca al GDPR y cómo afectará a las empresas fuera de la UE.
Reglas y consecuencias del GDPR
El GDPR incluye disposiciones para proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones dentro de los 28 estados miembros de la UE, y regula la exportación de datos personales fuera de la UE. Las compañías solo podrán almacenar y procesar datos personales cuando un individuo lo consienta y no podrá retenerlos por más tiempo de lo necesario. La información debe ser portable de una compañía a otra y debe ser borrada si se requiere. GDPR también contempla la notificación obligatoria de las brechas de datos y los motivos para una investigación adicional.
Habrá nuevos roles establecidos bajo el GDPR para ayudar a mantener, procesar y proteger los registros de datos personales. Los procesadores de datos gestionan los registros de datos de cualquier empresa que realiza actividades con esta información, haciéndolos responsables de las infracciones. Los controladores son los responsables de garantizar que los contratistas externos cumplan con las regulaciones de GDPR. Finalmente, se elige un oficial o responsable de protección de datos para supervisar la estrategia de seguridad de datos y el cumplimiento del GDPR.
Esperar podría costarle… y mucho
El cumplimiento de estos requisitos probablemente supondrá una gran inversión y un replanteamiento de la estrategia comercial actual. Las empresas deben poder mostrar que están listas para cumplir con el nuevo reglamento antes del 25 de mayo de 2018. Si no se cumplen las normas, el GDPR exige sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, la que sea mayor.
Con multas tan altas se pone a las organizaciones en una posición difícil. La mayoría de las empresas con sede en Estados Unidos esperan invertir entre 1 y 10 millones de dólares para cumplir con los requisitos de GDPR, y el 9% cree que gastará por encima de estos márgenes, según se publica en algún medio. La legislación cambia en gran medida la forma en que los datos personales de los clientes se almacenan, procesan y protegen, pero no define qué es realmente un nivel razonable de protección. Los altos objetivos y los grandes vacíos que aún existen dentro del GDPR pueden dar mucho margen de maniobra cuando se trata de evaluar las multas por las brechas de datos y por incumplimiento, lo que se suma a una situación ya desafiante.
El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación
Las organizaciones tienden a optar por la postura de «esperar y ver» para determinar cómo se aplican las reglas antes de seguir adelante con una respuesta. De hecho, el 50% de las empresas afectadas por el GDPR no cumplirán plenamente el plazo, según Gartner. Mientras el método reaccionario puede haber funcionado en el pasado, un enfoque pasivo provocará multas masivas por incumplimiento y la pérdida de negocio. Las empresas deben estar listas para GDPR desde el primer día. El colaborador empresarial Patrick Lastennet señaló que GDPR ayudará a ganar más negocios en Europa si se toman medidas preventivas para proteger los datos. El GDPR se debe concebir como las mejores prácticas para mitigar los riesgos y garantizar que la coordinación y el esfuerzo estén disponibles desde el principio.
Pasos a seguir ahora
El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación. De hecho, podría ponerlos en una posición de desventaja competitiva si no cumplen. En cambio, los responsables empresariales deben tomar medidas definitivas ahora para cumplir con el plazo de entrada en vigor de la ley y hacer que su infraestructura sea segura para los datos personales de todos los clientes.
En primer lugar, será necesario auditar los datos que maneja la empresa. Averiguar qué datos tiene, dónde y por qué, será esencial para saber cuánto tiempo debe mantenerse la información y los procesos utilizados para eliminarla. Por ejemplo, se requiere que la información de pacientes médicos se almacene durante un período de tiempo diferente a los datos financieros. El colaborador de InformationWeek, Martin James, señaló que una solución de base de datos ayudará a proporcionar una vista única de sus datos, aportando visibilidad total. Este tipo de sistema también se puede utilizar para programar la eliminación de datos e identificar cualquier actividad inusual.
Los directivos también deberán rehacer los formularios de consentimiento y divulgación para clientes comerciales. Mantener una estrategia coherente para todos los consumidores ayudará a cumplir con la evolución normativa y rastrear las preferencias individuales. Los interesados necesitarán aprobar cada caso de uso de su información, incluidos los perfiles y los propósitos del big data. Ser transparente sobre a dónde van los datos y para qué se utilizan será esencial para atraer y autorizar aprobaciones y establecer relaciones más sólidas con los consumidores.
Al auditar sus propias capacidades, también será necesario evaluar a los proveedores y sus acuerdos de nivel de servicio. Las vulnerabilidades de terceros fueron la causa de algunos de los ataques más importantes, incluida la brecha de Target. Si un tercero no puede demostrar que cumple con el GDPR, será ilegal que trabaje con los datos de la UE. Evite multas y busque proveedores que se comprometan con el nivel de seguridad necesario.
«Considere hacer que los estándares del GDPR sean el estándar para su empresa en todo el mundo», escribió James. «Eficiencia de datos mejorada, mejor protección de datos, mejores relaciones y confianza con los clientes: todos estos aspectos tienen el potencial de situar a su empresa a la vanguardia y protegerla mejor contra futuras brechas de datos».
GDPR podría ser el primer paso en una nueva era de requisitos cibernéticos. No deje para mañana lo que pueda hacer hoy. Para obtener más información sobre cómo proteger los sistemas y cumplir con el «Estado del arte de la seguridad» de manera efectiva.