Products and Services PRODUCTS & SERVICES

Un nuevo estudio de Sophos revela que las empresas europeas no están preparadas aún para el GDPR

Un nuevo estudio de Sophos revela que las empresas europeas no están preparadas aún para el GDPR

En el Día Internacional de las Microempresas y las Pequeñas y Medianas Empresas, que se celebra el 27 de junio, Sophos ha desvelado los resultados de un estudio que indaga sobre el impacto que tendrá el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea en empresas del Reino Unido, Francia, Bélgica y Luxemburgo (“Benelux”). La investigación, liderada por la consultora independiente Vanson Bourne, ha consultado a 625 responsables del área de TI llegando a la conclusión de que los países europeos aún se encuentran rezagados respecto a su preparación de cara a cumplir con esta nueva normativa.

En España se calcula que el 80% de las pymes desconoce las implicaciones del nuevo Reglamento General de Protección de Datos, y eso que la pérdida de datos confidenciales sigue siendo una de las mayores preocupaciones en las empresas españolas, uno de los principales puntos débiles de las empresas en cuanto a protección de información y al que se puede hacer frente con el uso del cifrado, ya que es efectivo tanto en los casos por infección de malware como cuando se envía información por equivocación, así como por pérdida física de los dispositivos móviles o por falta de protección.

El estudio elaborado por Sophos revela que el 54% de las empresas europeas tienen muy poco conocimiento sobre las multas asociadas al GDPR. Y es que las compañías que no cumplan con el GDPR se enfrentarán a fuertes multas de hasta 20 millones de euros o del 4% de sus ingresos anuales en caso de producirse una filtración de datos. Casi 1 de cada 5 (17%) de todas las empresas encuestadas admitieron que, de ser multadas, cerrarían sus negocios. Este índice salta hasta el 54% en el caso de las pequeñas empresas de hasta 50 personas. Además, el 39% de los responsables de TI encuestados reconocieron que las multas también podrían derivar en despidos en sus respectivas empresas.

Más allá de esta preocupación, tan solo un 6% de las empresas del Reino Unido consideran el GDPR su prioridad número uno, así como el 30% de las empresas en Francia y el 25% en el caso de Benelux la han convertido en una prioridad. El 20% de las empresas británicas consideran el GDPR una prioridad baja, un número mucho más elevado que en los casos de Francia (8%) y Benelux (11%).

¿Está Europa preparada para el GDPR?

Casi 1 de cada 5 empresas señalaron estar cumplimiento ya con la normativa en Francia (19%) y Benelux (18%), sin embargo el Reino Unido tan solo cuenta con un 8% de sus negocios actualmente identificados como cumplidores del GDPR.

“Estar preparado para el GDPR es un proceso largo. Si las autoridades demuestran estar listas para imponer las multas máximas en mayo de 2018, las empresas van a lamentar seriamente el no haber estado preparadas”, sostiene John Shaw, VP product management Enduser group de Sophos. “A menos de un año, el 55% de las compañías no creen que vayan a ser capaces de cumplir con la normativa antes de la fecha límite, y están comprensiblemente preocupadas por la necesidad de demostrar su cumplimiento con el GDPR. Sin embargo, con las fugas de datos ocurriendo casi de manera cotidiana a lo largo y ancho de Europa, sostendría que la prioridad principal debería ser la reducción del riesgo de dichas filtraciones de datos. La reducción de este riesgo no tiene por qué ser complicada; concentrarse en detener las causas mayores de las fugas de datos asegurándose que los fundamentos básicos estén en orden, o lo que es lo mismo: mantener todos los sistemas operativos y software actualizados, implementar el cifrado de los datos sensibles, y educar a todos los empleados sobre los riesgos del “phishing” y de otros ataques de ingeniería social”.

Las empresas de Europa Occidental se preparan lentamente para el GDPR, un 42% que cree que va a estar preparada; sin embargo, todavía queda mucho camino por recorrer:

  • Solo el 42% ha creado el rol de un Oficial de Protección de Datos, número muy por debajo del esperado.
  • Actualmente tan solo la mitad de las organizaciones han tomado medidas para asegurarse que los individuos cuyos datos están siendo recopilados den consentimiento para ello.
  • El 44% tiene procedimientos en vigor para borrar datos personales en caso de recibir una reclamación de “derecho al olvido” o si alguien objeta el procesamiento de sus datos.
  • Menos de la mitad (45%) son capaces de reportar una filtración de datos dentro de las 72 horas de haber sido descubierta.

¿Quién se encarga?

En el 70% de las empresas, es el equipo de TI o de Seguridad TI el que está tomando la responsabilidad del cumplimiento del GDPR. El estudio hace hincapié en que tan solo el 4% de los equipos de legal y el 13% de los miembros de las directivas se encargan de su implementación. Muchos de los responsables de TI han mencionado la falta de conocimiento por parte de los administradores clave como una de las razones para no tener ciertos protocolos en vigor; tales como estar preparados para reportar una fuga de datos dentro de las 72 horas de ser descubierta, uno de los aspectos vitales del cumplimiento del GDPR.

La buena noticia es que el 65% de las empresas tienen en vigor una política de seguridad. El 98% de las organizaciones ya tienen o están implementando actualmente planes formales para los empleados que describe qué es una política de seguridad de datos y qué se espera de los empleados cuando manipulan datos personales. Esto muestra que las organizaciones están avanzando en la promoción de la seguridad de datos en el lugar de trabajo y animando a los empleados a que tomen estas cuestiones con seriedad.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: