Carlos Tortosa, ESET.
Carlos Tortosa* Responsable de grandes cuentas y desarrollo de negocio Eset España

Adaptación a normativa europea de protección de datos: reto con cuenta atrás

Normativa de protección de datos.

A pesar de que la nueva normativa de protección de datos de la Unión Europea ya está aprobada y faltan pocos meses para que su cumplimiento sea obligatorio (mayo 2018), aún son muchas las compañías que desconocen los cambios que trae consigo. Es más, muchas desconocen que están obligadas a cumplirla en tanto que manejan datos de terceros, y que, de no hacerlo, se estarían exponiendo a multas de hasta 20 millones de euros o el cuatro por ciento de su facturación anual en caso de producirse una brecha de seguridad. Es por ello que desde Eset España consideramos la implementación de esta normativa en la empresa como uno de los retos que nos plantea 2018 en materia de ciberseguridad.

Objetivo: proteger los datos

Los cambios y avances tecnológicos experimentados en los últimos años han provocado que el volumen de datos recopilados, procesados y compartidos por las empresas crezca vertiginosamente. Por ello, desde la Unión Europea se ha dado un paso adelante para aunar las normativas de protección de datos de los 28 países miembros en cuestión. Desde el 25 de mayo de 2016 existe una nueva regulación que insta a las empresas, sean o no europeas pero que traten con datos de ciudadanos comunitarios, a adecuarse a la nueva normativa, que será de obligado cumplimiento a partir del 25 de mayo de 2018.

El nuevo Reglamento Europeo de Protección de Datos comporta una serie de retos para las empresas afectadas. Desde Eset estamos ayudando a muchas de ellas a cumplir con la normativa. Por ello, fruto de nuestra experiencia, pensamos que es necesario que cuando una empresa se plantea adaptarse a la GDPR (General Data Protection Regulation) deba, en primer lugar, identificar e inventariar toda la información manejada por la organización que se encuentre afectada por la normativa. Esto es información de carácter personal y que pueda identificar al propietario de la misma. Por ejemplo, un listado de nombres no sería confidencial, pero sí si aparece asociado a unos DNI, emails o teléfonos. Hay que señalar, por tanto, que no toda la información se ve afectada.

En segundo lugar, se deberá identificar a qué nos obliga la ley respecto a esta información, es decir, la empresa se deberá plantear cómo aumentar la protección de los datos que maneja. En este punto comenzamos a actuar nosotros como compañía de ciberseguridad, aplicando las soluciones que la propia ley indica para llevar a cabo la protección de esta información. Básicamente se trata de cifrar y de proteger los accesos, pero hablaremos de ello más adelante.

En tercer lugar, las empresas tienen que preocuparse por formar a sus trabajadores y colaboradores respecto a esta nueva regulación, al uso de los datos, a la ubicación de la información y de las herramientas a utilizar.

Por último, y una vez puestos en práctica los pasos anteriores, se revela esencial auditar. Auditar que las medidas puestas en marcha son las adecuadas y, además, hacerlo de una forma regular.

En todo este proceso, la normativa indica que es necesario el nombramiento de un DPO (Data Protection Officer), ya sea mediante una empresa externa o una persona física en la organización. Esta figura, que deberá tener conocimientos especializados de legislación e informática, será la encargada de garantizar el cumplimiento de la normativa de protección de datos en la organización y de realizar el seguimiento y la supervisión de las auditorías. Cabe señalar que las decisiones del DPO serán de obligado cumplimiento en todos los niveles jerárquicos de la organización, dándose la paradoja de que no podrá ser despedido salvo que se detecte una mala praxis.

Las compañías de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información.

Necesidad de cifrar

Miles de empresas necesitan cifrar. Mediante ataques informáticos, una importante cantidad de información confidencial, datos personales y secretos comerciales son sustraídos a diario. Por este motivo, las compañías de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información, y cuya aplicación es requerida por la propia normativa europea. No obstante, las empresas que cifran son sumamente escasas y, en muchas ocasiones, incluso ignoran que están sufriendo brechas de seguridad a través de las que son sustraídos los datos que deben custodiar. Tenemos ante nosotros un gran desafío, un reto para la ciberseguridad de todas estas empresas. Existe una necesidad, y en empresas proveedoras de seguridad como la nuestra tenemos las herramientas necesarias para que puedan cumplir con los requisitos de la GDPR.

Podríamos decir que la protección requerida por la nueva normativa europea se basa en dos ejes básicos, que se reforzarían con un tercer vector. En primer lugar, hablaríamos de la protección de la información por medio del cifrado para impedir que una posible brecha de seguridad acabe con el robo o copia de nuestros datos. Pero la solución escogida para cifrar no puede ser cualquiera. Debe tener características concretas, como las que posee Deslock by Eset, que facilita el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas de todos los tamaños. Además, el sistema de cifrado robusto escogido debe cumplir con los estándares de calidad que la ley indica, y ha de ser capaz de mantener en todo momento las condiciones del cifrado cumpliendo siempre con los requisitos de confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas. Por último, la solución escogida para cifrar la información tiene que disponer de una herramienta que permita la gestión centralizada de la solución.

En segundo término, la nueva normativa obliga a proteger los accesos con la aplicación de herramientas de doble factor de autenticación (2FA). Concretamente, en la regulación se indica que será necesario implementar herramientas que puedan ayudar a proteger el acceso a la información para evitar que se puedan producir accesos no deseados. En nuestro caso, la herramienta que recomendamos es Eset Secure Authentication, una potente autenticación de doble factor con una contraseña de un solo uso que introducimos directamente en el smartphone de los empleados y/o colaboradores, aprovechando así para tapar otro posible agujero de seguridad y tener implementadas, de paso, una correcta política de BYOD (bring your own device).

Por último, el tercer vector que mencionaba con anterioridad se correspondería con la conveniencia de implantar un DLP en la empresa para intentar mitigar una posible brecha de seguridad interna. Este extremo no está contemplado en el GDPR, pero como empresa de ciberseguridad proponemos adoptar soluciones que eviten la fuga de información, protegiéndola frente a una amplia gama de amenazas de seguridad con un origen común: el factor humano. Hablaríamos de soluciones como Safetica, por ejemplo.

Comunicación

Finalmente, es necesario señalar que una de las principales novedades que se incluyen en este nuevo reglamento es la obligación de comunicar cualquier incidente que haya terminado con una la filtración de datos de los usuarios. Sin embargo, si la empresa dispone de un sistema de cifrado, se dificultará que los datos puedan ser vistos por cualquiera y, por tanto, tal y como indica la normativa, esta notificación solo deberá comunicarse a la agencia nacional de protección de datos correspondiente.

Somos conscientes de que la nueva normativa de protección de datos genera una carga de trabajo adicional para todas las empresas que manejan datos de terceros y que tienen que ponerse al día, pero el tiempo apremia. Este es un desafío obligatorio para todas las empresas que tratan información personal.