Por momentos, se incrementan las amenazas vinculadas a la ciberseguridad y la vulneración de los datos, sobre todo tras la puesta en marcha de la nueva ley de protección de datos GDPR (o RGPD).
Las inquietudes en materia de ciberseguridad encabezan la lista, pero la mayoría de las organizaciones se encuentra atrasada en la implementación de soluciones en materia de Seguridad Informática o se lamentan de no tener presupuesto para ello.
RGPD y controles informáticos: las armas de la ciberseguridad empresarial
Aunque es cierto que existe una mayor concientización, un porcentaje elevado de empresas no ha implementado aún los controles básicos de seguridad según la Ley Orgánica de Protección de Datos (LOPD) o el GDPR , y tampoco está en sus planes hacerlo.
Y no se trata solo de falta de presupuesto; no es secreto para nadie que existe en ocasiones falta comprensión por parte de la Gerencia, que no ve en ello una prioridad.
La protección de los datos en el punto de mira
Hoy en día poco más del 50% de las empresas cumple con alguna de las normativas en el ámbito de la protección de los datos.
Y solo se espera que incremente el porcentaje cuando las compañías entiendan las implicaciones que estas regulaciones tienen y que la gran batalla que se está librando es por el logro de una verdadera ciberseguridad.
El cumplimiento de las nuevas legislaciones en materia de protección de datos es fundamental para contrarrestar las cada vez más frecuentes amenazas que sufre la seguridad informática.
¿A qué nos estamos enfrentando en materia de ciberseguridad?
Como señalamos líneas arriba, muchas empresas no están tomando las medidas apropiadas ni en lo que respecta a su seguridad ni al cumplimiento de la Ley en Protección de datos.
Los mayores retos a los que se enfrentan las empresas en materia de seguridad informática están en su mayoría dentro de sus propios muros.
La dificultad para lograr un equilibrio entre los controles de seguridad y la eficiencia del negocio, la falta de conocimiento y aptitudes del personal sobre seguridad, las amenazas que cambian en forma constante, la tecnología en constante evolución (móvil, nube, etc.), la Gerencia que subestima los riesgos de seguridad, la falta de presupuesto para proyectos de seguridad, la complejidad y falta de comprensión de las regulaciones gubernamentales y de la industria, son solo algunas de ellas.
La realidad es que la Seguridad Informática es una tarea difícil y que no se facilitará en adelante.
Alcanzar el equilibrio correcto entre la seguridad y la eficiencia empresarial implica hallar profesionales y proveedores con experiencia en seguridad para complementar las deficiencias en la capacitación interna, implementar algunas de las soluciones informáticas en materia de ciberseguridad, como la protección contra el malware, la monitorización adecuada de incidencias de seguridad, el cifrado de bases de datos y la protección de los datos, así como la autenticación.
Pero además se debe cumplir sin excusas con las normativas gubernamentales o de la industria para evitar el propio riesgo que implica ser sancionado.
A ESTAS ALTURAS DEL POST, HABRÁ QUIEN CREA QUE NO ES PARA TANTO
Es posible que no haya experimentado hasta ahora vulneraciones a su ciberseguridad que tienen múltiples repercusiones, como la extorsión económica, por ejemplo.
Vamos a suponer que un empleador no quiere cumplir con la nueva normativa GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos), que regula la protección de los datos de los ciudadanos que viven en la Unión Europea o residan en otros países pero sean ciudadanos comunitarios.
Un ciberdelincuente descubre una brecha en la seguridad de su empresa, y accede a algunos datos de su interés.
Al descubrir que incumple la Ley y puede tener que pagar una multa de hasta 20 millones de euros, este ciberdelincuente puede pedirle una ‘recompensa’ económica a cambio de no decir nada.
Otro caso puede ser el del chantaje. Los ciberataques pueden tener otros intereses distintos a lo económico. Si se descubren vulnerabilidades en la seguridad informática de una empresa o institución, ello podría derivar en peticiones indecentes para cometer acciones en contra de la Ley también a cambio de silencio.
Qué debes saber sobre el GDPR Reglamento General de Protección de Datos (o RGPD)
Ahora, que seguramente hemos logrado captar la atención de nuestros lectores, vamos a repasar los aspectos fundamentales que deben conocerse acerca del GDPR Reglamento General de Protección de Datos (o RGPD).
(Ver otro post «5 preguntas frecuentes sobre el nuevo RGPD«)
Esta normativa entró en vigencia el 24 de mayo de 2016, pero no fue obligatoria sino hasta el 25 de mayo de 2018.
Es sin duda la primera norma que se hace sobre el ámbito de la seguridad informática para todos los países de la Unión Europea y que deben cumplir todas las empresas, con independencia de su país de origen o actividad, si recolectan, resguardan, tratan, utilizan o llevan a cabo gestiones con datos de los ciudadanos de la Unión Europea.
La GPDR ofrece nuevos recursos para controlar los datos, al proteger la información de los ciudadanos europeos y puntualizar obligaciones para las empresas e instituciones a este respecto.
Algunos de los derechos que concede este reglamento establecen que:
- Los ciudadanos pueden pedir que sus datos personales sean eliminados del ciberespacio y las bases de datos cuando estos ya no sean necesarios para el objetivo con el que fueron recabados o éstos fueron recogidos de forma ilícita, o porque desean retirar el consentimiento a su uso y divulgación.
- De igual forma, los ciudadanos tienen derecho al olvido y la portabilidad.
- El primero está sujeto a revisión de cada caso en concreto y a algunos criterios porque choca con el derecho a la libre información por ejemplo.
- El segundo, el derecho a la portabilidad se lleva a cabo con frecuencia cuando una persona desea recuperar alguno de sus datos y cederlo a otra empresa o institución.
- La GDPR también incluye el derecho a que los ciudadanos accedan a sus datos y corroboren si se están gestionando, dónde y con qué objetivo.
La entrada en vigor de esta regulación ha supuesto también que las personas den su consentimiento a través de mecanismos legibles, claros y accesibles, dejando atrás el marcado de casillas luego de una larga lista de condiciones inentendibles.
Ahora, cada vez que se da de alta a un servicio, página web, red social, aplicación o producto, por un lado se aceptan los términos de uso y por otro se da el consentimiento expreso al tratamiento de los datos.
Respecto a los incidentes de seguridad, las organizaciones deberán notificar en las próximas 72 horas cada vez que ocurran situaciones que atenten contra su ciberseguridad, tanto a las autoridades competentes como a los usuarios que pudieran ser afectados.
De igual forma, las compañías deben contar con un responsable de los datos que procesan.
¿Qué sucede si las empresas no cumplen con la GDPR?
A partir de la puesta en marcha de esta legislación, las empresas están en la obligación de informar a los ciudadanos sobre el objetivo del tratamiento de sus datos, so pena de multas de hasta el 4% de su facturación global anual o 20 millones de euros para quienes incumplan.
Un ejemplo de infracción grave es no tener suficiente consentimiento del cliente para procesar datos o violar los conceptos de privacidad. En el caso de delitos leves como no tener los registros en orden sin informar a la autoridad supervisora, una empresa puede recibir una multa del 2% de su facturación.
En el caso de que un usuario haga la denuncia de que los datos se han recolectado de forma ilícita, la empresa debe probar que poseía los datos de forma lícita y conforme a la RGPD.
Además de conocer y cumplir con la Ley, la recomendación para todas las empresas es que se informen en esta materia y trabajen de la mano de proveedores de seguridad informática con experiencia en el desarrollo y ejecución de planes de seguridad informática como los que ofrece FO&CO Consultores.
El servicio de consultoría relacionado con RGPD y protección de datos se basa en un acompañamiento periódico por parte de especialistas en conocimientos legales, organizacionales, gestión de sistemas de información y tecnológicos acerca de estas temáticas, y en la adaptación e implementación de las exigencias de la legislación, tanto del RGPD como de la Ley Orgánica de Protección de Datos (LOPD).
(3 votos, promedio: 4,67 de 5)
Cargando…
Algunos posts que también pueden interesarte
Las claves para garantizar el compliance GDPR
¿Tu empresa gestiona Datos de Carácter Personal? Cumple con el nuevo reglamento europeo de protección de datos
Criterio técnico de la Inspección en materia de registro de jornada
Cuidadores: ¿conocéis los servicios y prestaciones económicas que ofrece la Ley de Dependencia?
Control de Horario: El registro obligatorio de la jornada, casi es una realidad
Respaldo general de la UE al Registro Diario del Horario Laboral
