ChannelBiz

El Reglamento General de Protección de Datos (GDPR) es una normativa de obligado cumplimiento desde el 27 de abril de este año, afectando primero a las grandes empresas, infraestructuras críticas y administraciones que manejen información relativa a personas físicas como principal base de su negocio o cometido, para su correcto tratamiento, tráfico y custodia. Pero llegará el 25 de mayo de 2018 y esta obligación se extenderá por defecto a toda empresa pequeña y autónomos.

La normativa es, además, un negocio que la consultora IDC ha calculado en más de 800 millones de euros en este primer año, y que superará los 1.800 millones en 2019. Y una oportunidad para fabricantes y distribuidores especializados en seguridad, que van a tener durante un par de años un nuevo gancho que incentive sus ventas. En especial, si tenemos en cuenta que la información es el combustible con el que se están moviendo las empresas en el siglo XXI. “Cuando las necesidades de infraestructuras están más o menos cubiertas, el negocio está variando del tratar el cómo a tratar el qué, en este caso el qué es el dato”, señala Laurent Daudré-Vignier, director regional para Sur de Europa de Exclusive Networks. “Para ello hemos diseñado un ‘sabroso’ ecosistema de seguridad para el canal con soluciones adecuadas que cubren todos los resquicios que una brecha de seguridad podría ocasionar: cifrado, control de aplicaciones, de dispositivos, de redes y de contenidos, gestión de vulnerabilidades y de la nube… Como en cualquier nuevo proceso, las primeras medidas pasan por concienciar e informar y el canal debe mover ficha en esa dirección”.

GDPR es la norma que se coloca por encima de las diversas disposiciones nacionales que ahora existan en cada Estado miembro de la UE (aquí la LOPD), por lo que va a afectar en la estrategia de seguridad a seguir y en las obligaciones que van a contraer todo aquel que maneje datos de índole personal, pues el reglamento establece el principio de responsabilidad activa y unas multas que pueden llegar a los 20 millones de euros o al 4% de la facturación anual (lo peor). Además, conlleva la obligación de publicar cualquier ataque que haya supuesto el robo de datos, y la creación de la figura del Delegado de Protección de Datos o CDO, distinta del responsable de datos, y al mismo nivel que el responsable jurídico o legal.

“Las autoridades comunitarias se han tomado muy en serio la obligación de adoptar las medidas necesarias para proteger la información privada de ciudadanos, usuarios y clientes, así como evitar la pérdida, divulgación, acceso no autorizado o robo de los mismos. ¿Por qué si no ahora Sony o Yahoo! han tenido que dar cuenta de que sus datos han sido robados? Es un nuevo tablero de juego donde el Big Data, el Cloud y la transformación digital de las empresas se está democratizando y obligan a extremar las medidas de seguridad y protección a todo tipo de organización”, explica Santiago Arellano, director de Diversificación de Exclusive Networks Iberia. “GDPR es un reto y una oportunidad para la ciberseguridad, la mayor sacudida a la que se va a tener que enfrentar el sector, redefiniendo el concepto de valor, incrementándose la inversión en tecnología para la protección del dato que garantice la obtención, acceso, intervención, transmisión, conservación o supresión de los datos de terceros”.

Recomendaciones básicas

Los puntos principales a tener en cuenta: todos los datos deben ser almacenados y viajar cifrados (especialmente si salen a la nube), para que en el caso de que fueran sustraídos o distraídos, el daño esté limitado; y sobre todo, sirva de atenuante y exonere la responsabilidad derivada de la nueva GDRP.

• Usar software legal y evitar programas inadecuados, pirateados o clamorosamente peligrosos ajenos al ecosistema de empresa, que comprometan su seguridad incrementando el riesgo de infección de malware.
• Asegurar los dispositivos, especialmente portátiles y móviles, con información sensible para evitar su robo u olvido en lugares inapropiados, así como limitar su daño cuando se conecte a redes públicas.
• Securizar las redes, terminales y servidores con elementos que gestionen y monitoricen el tráfico y pongan cortafuegos.
• Control del contenido más sensible, establecimiento de perfiles de acceso y uso interno.
• Establecer un protocolo de protección general que contemple todos estos puntos y fomentar la aplicación de mejores prácticas entre el personal.
• Entre el mínimo de medidas: cifrado robusto de los documentos (los .zip y .pdf no son de confianza porque en Internet está publicado cómo abrirlos), doble autenticación con accesos limitados cambiando de contraseña al menos una vez al año, copia de seguridad diaria o semanal, y al menos tener un sistema de visibilidad dela red para saber si ha sido vulnerada. Los ataques son continuos cualquier servidor con una IP recibe dos intentos por minuto.

Una pequeña pyme, como la de un despacho de cuatro asesores que maneje información privada de clientes, más el personal administrativo, podría cubrir sus necesidades de seguridad informática para cumplir con esta directiva europea con un gasto de unos 500 euros al año, que incluiría el appliance para firewall, antivirus y sistema de cifrado.

Investigación jurídica

Entre las implicaciones legales que va a traer esta normativa ”única y vinculante” destaca la cadena de responsabilidades. “Esto atañe a que si una empresa decide subir y almacenar los datos de sus clientes en un Drive o un Dropbox, y este servicio es atacado y sus datos revelados, la responsabilidad ante los clientes no va a ser de Google o Microsoft, sino de la empresa que los subió”, señala Pablo Fernández Burgueño, abogado y socio fundador del bufete Abanlex. “Realmente, lo más aterrador es lo que en el GDPR se entiende por datos personales: cualquier información relativa con la que se pueda identificar a la persona o relacionarla con un ámbito socioeconómico determinado, que es prácticamente todo, incluso un ‘like’ en Facebook en un momento dado”.

En la última feria de seguridad informática celebrada en Londres “dos tercios de los presentes ya tenían el foco puesto en el GDPR”, apunta Daudré-Vignier. “Y lo más llamativo, es que cada vez es más el director de marketing el que tiene más poder sobre el uso de los datos por el tema del análisis Big Data, pero esta competitividad comercial trae también aparejado un peligro añadido para el director de sistemas”.