Navegando por el campo minado del RGPD: cumplimiento

El Reglamento general de protección de datos, o GDPR, como se lo conoce más comúnmente, ha sido denominado un hito para la política de protección de datos dentro de las empresas europeas. Al reemplazar las reglas específicas de cada país, fragmentadas y dispares, el RGPD establecerá el estándar para la protección de datos en los 28 países de la Unión Europea. Con su entrada en vigor el 25 de mayo de 2018, las empresas europeas tienen menos de dos años para preparar sus políticas de protección de datos internas y externas en consecuencia.
Con la perspectiva inminente de un Brexit (la posible retirada del Reino Unido de la UE) en las cartas también, surgen dudas sobre si las empresas centradas en el Reino Unido tendrán que cumplir con el RGPD en caso de que se cumpla. Sin embargo, en mi opinión, pase lo que pase con la votación del referéndum, es probable que el Reino Unido todavía tenga que seguir el RGPD. En caso de que se produzca el Brexit, es posible que el Reino Unido incluso deba cumplir como requisito previo para ingresar al Espacio Económico Europeo (EEE) o un acuerdo comercial más amplio. Además, el listón podría establecerse más alto, en lugar de más bajo, ya que el Reino Unido probablemente querría poder asegurar a la UE que sus leyes de protección de datos son adecuadas para no ahuyentar la inversión extranjera.
Debido a muchos ataques cibernéticos recientes de alto perfil en Europa y más allá, no es ningún secreto que las organizaciones de todas las formas y tamaños se están volviendo más conocedoras de los riesgos de seguridad cibernética, incluidas las infracciones. Por lo tanto, se puede suponer que las soluciones de seguridad implementadas hoy en la mayoría de las organizaciones del Reino Unido serán suficientes para cumplir con el GDPR, o su equivalente, en 24 meses. Desafortunadamente, esto es bastante improbable.
Según Code42’s Estudio de Datastrophe de 2016, en el que se encuestó a más de 400 tomadores de decisiones de TI (ITDM) del Reino Unido, el 50% de ellos reconoció que las medidas de seguridad que tienen actualmente no serán suficientes para cumplir con los estándares de GDPR. Con fuertes multas que se pueden imponer a las empresas que no están haciendo lo suficiente para proteger los datos confidenciales de los clientes (20 millones de euros o hasta el 4 por ciento de la facturación anual global, lo que sea mayor), debería alentar a muchas empresas a repensar su ciberdefensa. De lo contrario, corren el riesgo de que sus datos « no estén asegurados » en 2018.
Anticiparse a la regulación
Mantener seguros los datos corporativos y de los clientes, especialmente según el estándar GDPR (o más allá), requiere una estrategia InfoSec actual y práctica que puede conducir a una inversión significativa. Las empresas necesitan tener claridad sobre cómo es la seguridad efectiva en la empresa moderna, todo dentro del contexto de cómo trabajan los empleados de hoy. Esto significa no solo pensar en términos de cumplimiento, sino también pensar en proteger y cifrar los datos dondequiera que residan, en los centros de datos globales, en las instalaciones o en los propios dispositivos.
Existen numerosas formas en las que se pueden proteger los datos, y existen muchas soluciones en el mercado que hacen declaraciones audaces que prometen una protección integral a prueba de balas contra las infracciones y los ciberataques. Sin embargo, no existen soluciones mágicas en seguridad. El enfoque es un enfoque de «defensa en profundidad» diseñado en torno a declaraciones de problemas de raíz y resultados medibles. Hoy en día, las empresas deben adoptar una gran cantidad de soluciones de seguridad, desde programas antivirus hasta soluciones de detección de infracciones, herramientas de cifrado, copias de seguridad modernas de terminales y soluciones de recuperación en tiempo real. Además, los equipos buscan optimizar la huella técnica de su inversión.
Además, centrar los esfuerzos en la protección exclusivamente contra amenazas externas es increíblemente miope, pero es algo que muchas empresas todavía están haciendo. La amenaza interna de empleados descontentos o involuntarios es igualmente pronunciada, y educar a los trabajadores del conocimiento sobre los riesgos de una mala gestión de datos también es algo que los equipos de TI y los CISO deberían perseguir activamente.
La incómoda verdad
A pesar de una combinación sólida de herramientas de seguridad para endpoints que brindan a las empresas la oportunidad de luchar contra ciertos ciberataques, lamentablemente todavía es una cuestión de cuándo, no si, ocurre una violación de datos. Es esencial que en tales situaciones, las empresas puedan identificar, mitigar, recuperar y reportar la brecha rápidamente. Esto es especialmente importante ya que una de las principales directivas del GDPR es la necesidad de que una empresa informe cualquier violación de datos dentro de las 24 horas. Cuanto más rápida sea la detección y la corrección, más rápido el equipo podrá abordar el ataque y aplicar las lecciones aprendidas del incidente.
También es imperativo tener en cuenta que los empleados modernos tratan y acceden a los datos corporativos de manera más flexible. De hecho, según el Datastrophe Study de 2016, los responsables de la toma de decisiones de TI creen que el 42 por ciento de los datos corporativos ahora se almacenan fuera de los límites del centro de datos tradicional, en los dispositivos terminales de los empleados. Teléfonos móviles, computadoras portátiles y tabletas: son computadoras en miniatura para la fuerza laboral que desea estar conectada en cualquier lugar y en cualquier momento. Con demasiada frecuencia, las soluciones en la nube de terceros desempeñan un papel importante en la vida diaria de un empleado, pero tienen sus desafíos de seguridad relacionados con la protección de datos corporativos confidenciales. Como resultado, la estrategia de defensa cibernética de la empresa debe evolucionar para mantenerse al día con este cambio en las necesidades de computación móvil.
De hecho, el RGPD establece disposiciones para datos no estructurados, como los administrados por aplicaciones en la nube más aptas para el consumidor, que suelen utilizar los trabajadores del conocimiento empresarial. Por lo tanto, cualquier estrategia de seguridad desarrollada debe ser de gran alcance y abordar cómo y dónde acceden sus empleados a la información corporativa. Debe tener la protección de datos en su núcleo para cumplir con la regulación. Pero, depositar toda su confianza solo en un centro de datos bien protegido equivale a enterrar la cabeza en la arena.
Entonces, ¿qué debería hacer? Anticípese a las regulaciones implementando la pila de seguridad de punto final adecuada y capacite a su personal en consecuencia. Crear políticas internas que promuevan la accesibilidad y la flexibilidad con aprobado soluciones sin bloquear la empresa hasta el punto de sofocar la productividad. Si no lo hace, el RGPD pronto motivará a las empresas a ponerse al día y construir estructuras de ciberdefensa adecuadas, pero es posible que les haya costado una gran multa en el camino.