El 25 de mayo se acerca y se dispara la necesidad de encontrar respuestas respecto al nuevo Reglamento General de Protección de Datos de la UE (GDPR, por sus siglas en inglés) y cómo afectará a las empresas su entrada en vigor.
1995 fue el año en el que se aprobó por última vez una ley europea importante sobre el tema de protección de datos. Desde entonces, el panorama ha cambiado considerablemente: los datos corporativos sensibles se mueven fuera del perímetro de seguridad tradicional de las empresas. Los empleados se envían a sí mismos documentos por correo electrónico, acceden a datos desde smartphones y tablets personales y almacenan información en la nube.
La UE ha estado trabajando largamente en nuevas propuestas de reforma del Reglamento con el objetivo de reforzar los derechos de privacidad de los ciudadanos de la Unión Europea, recuperar la confianza en las actividades en la red y mejorar la protección de los datos de clientes, al exigir a las empresas la adopción de nuevos procesos y controles de protección de datos. Todo ello son buenas noticias para la privacidad de nuestros datos y el uso que las compañías y organismos oficiales puedan hacer de ellos.
El reglamento afectará a todas aquellas organizaciones que manejen información personal de ciudadanos de la UE, incluso a aquellas que estén ubicadas fuera de la unión. Esto se refiere al “quién”, respecto al “cómo”, será a través de sanciones para aquellas que no protejan dicha información; sanciones que podrán ser de hasta 20 millones de euros o el correspondiente al 4% de la facturación mundial anual de la organización sancionada, por lo que las consecuencias económicas son claras y graves.
La legislación propuesta exigirá a las organizaciones la aplicación de medidas de seguridad adecuadas para proteger los datos personales de los ciudadanos. El artículo no especifica las tecnologías que deben utilizar para esos controles, pero se reserva, en un tercer apartado, el derecho a un “Consejo Europeo de Protección de Datos” para especificar en un tiempo futuro “lo que constituye la tecnología avanzada, para sectores específicos y en situaciones específicas, de tratamiento de datos”.
1. Cifrar
En caso de producirse una filtración de datos personales, la empresa estará obligada a notificar inmediatamente a la autoridad supervisora. Pero, si en el momento de la pérdida, los datos personales están protegidos de manera tal que sean ininteligibles (y por lo tanto, inútiles para una parte no autorizada) y la empresa puede demostrar esto a la autoridad de control, entonces no estará obligada a revelar la filtración a las personas cuyos datos personales se han perdido o robado.
Si una empresa no adopta las políticas internas ni implementa las medidas adecuadas para garantizar y demostrar el cumplimiento normativo o no notifica a la autoridad de control o al interesado una filtración de datos personales siempre que sea necesario, la autoridad de control podrá imponer sanciones.
El cifrado es ampliamente aceptado como un medio adecuado para proteger la información ya que hace que los datos sean ininteligibles. Si los datos cifrados se pierden o son objeto de robo, son esencialmente inútiles. Nadie puede acceder a los datos reales y ese es el quid de las leyes y el reglamento de protección de datos.
La privacidad no se implementa en un día, lleva tiempo establecer los procesos y la mentalidad correcta en toda la organización. Afortunadamente, con herramientas como Sophos SafeGuard y su cifrado transparente, hace que los usuarios no tengan que preocuparse o adoptar nuevos métodos de trabajo, haciendo que esta migración hacia un “mundo cifrado” sea lo más transparente y fácil posible.
2. Educar
Solemos decir que el eslabón más débil en la cadena de seguridad es el que se encuentra entre el teclado y la silla, es decir: el usuario. Un sólido programa de concienciación sobre la seguridad es un componente fundamental en cualquier estrategia de defensa exhaustiva.
Cerciorarse de que los empleados saben lo que se espera de ellos cuando se trata de proteger los datos de la empresa y de que entienden que los clientes dependen de ellos cuando se trata de la protección de datos, al igual que ellos mismos dependen del departamento de recursos humanos para la protección de sus propios datos.
Los usuarios son el blanco más vulnerable en la mayoría de empresas. En ataques reales, los usuarios se ven constantemente bombardeados con timos de ingeniería social y suplantación de identidad selectiva. Sophos Phish Threat permite crear campañas de simulación de ataques con solo unos clics y poner a prueba la habilidad de sus empleados para librarse de los ataques de phishing, la recopilación de contraseñas o los archivos adjuntos peligrosos. Mantenga a sus usuarios en alerta con la emulación de ataques de phishing es clave para ayudarles a identificar ataques de robo de datos antes de que sea demasiado tarde.
En resumen: si no implementa la tecnología adecuada para proteger los datos personales, entonces probablemente tendrá que pagar directamente a la autoridad de supervisión e indirectamente por daños a la reputación y la pérdida de la buena voluntad y confianza de los clientes. Sin embargo, las empresas que cifran sus datos y educan a sus usuarios, protegen a sus clientes, y a ellas mismas.
Por lo tanto, os invitamos al webex que tendrá lugar este viernes 25 a las 10:30 llamado “GDPR: Última llamada para cumplir y evitar sanciones” donde trataremos en profundidad todos estos temas. Si quieres inscribirte (es gratuito) simplemente sigue este enlace.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: