Eutimio Fernández.
Eutimio Fernández Director de ciberseguridad Cisco España

RGPD: seguridad, privacidad y oportunidad de negocio

Protección de datos personales.

El 25 de mayo de 2018 es una fecha importante. Ese día entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Común para toda la Unión Europea (UE), reemplazará la actual normativa en los Estados miembros y afectará a cualquier compañía que recopile, almacene o procese datos personales de residentes de la UE, aunque no tenga sede en la eurozona.

El RGPD otorga nuevos derechos a los ciudadanos comunitarios sobre su información personal. Entre ellos se incluye el derecho a retirar el consentimiento de uso, un acceso más sencillo a sus propios datos y el derecho «al olvido» (que sus datos sean eliminados).

En términos de integridad y confidencialidad, el artículo 5 del RGPD obliga a que «los datos personales sean procesados de forma que garanticen una apropiada seguridad, incluyendo la protección frente al procesamiento no autorizado o ilegal y frente a la pérdida, destrucción o daño accidental, usando para ello las medidas técnicas y organizativas adecuadas».

Esta protección de los datos personales incluye no sólo cuentas bancarias o información personal sensible, sino también cuentas de emaily direcciones IP. Es decir, todos aquellos datos por los que se pueda identificar a una persona. Al pensar en el número de empresas que manejan cuentas de emailo direcciones IP (la Ley protege también los datos de los empleados), nos haremos una idea del enorme alcance de la normativa.

En este sentido, las compañías deberán demostrar que cumplen con estas obligaciones. En caso contrario, se exponen a multas de hasta 20 millones de euros o del cuatro por ciento de sus ingresos globales anuales, lo que sea mayor.

Cumplir el RGPD implica adoptar una aproximación metódica y estructurada. Se debe comenzar por comprender los requisitos legales, identificar los datos, consolidarlos en clústeres gestionables y garantizar su seguridad

Comunicación en 72 horas

En la actualidad, si una organización sufre una pérdida de datos no está obligada a desvelarlo. Algunas lo hacen por cuestiones éticas hacia sus clientes. Pero cuando el RGPD entre en vigor, la pérdida deberá comunicarse en un plazo de 72 horas desde que es detectada. Se trata de reconocer un ciberataque o brecha de seguridad y de tener los mecanismos necesarios para mitigarlo en el menor tiempo posible.

Sin embargo, el tiempo medio de detección de los ciberataques o brechas de seguridad se sitúa entre los 100 y 200 días. Gracias a tecnologías de detección automatizadas basadas en indicadores de compromiso, análisis de anomalías y contexto, retrospección e inteligencia artificial, Cisco ha logrado reducir este lapso a 3,5 horas, permitiendo detectar y contener de forma automatizada una amenaza en toda la red.

Así, según el último Informe Anual de Ciberseguridad de Cisco, más de un tercio de las organizaciones que sufrieron un ciberataque en 2016 tuvieron pérdidas sustanciales (superiores al 20 por ciento) de clientes, ingresos y oportunidades de negocio. Si a estas pérdidas sumamos las posibles sanciones del RGPD, las consecuencias podrían ser fatales.

Tecnología

Cumplir con el RGPD implica adoptar una aproximación metódica y estructurada. Se debe comenzar por comprender los requisitos legales, identificar todos los datos de residentes de la UE que alberga o procesa la organización, consolidarlos en clústeres gestionables y garantizar su seguridad y privacidad.

Para ello se requiere tecnología de última generación, pero también políticas bien definidas que deben cumplir los procesos de negocio y todos los empleados, algo que únicamente se consigue con la formación adecuada. No en vano, la nueva normativa obliga a las organizaciones a tener un responsable de protección de datos –figura distinta al director de riesgos–, que será quien responda frente a los reguladores.

El RGPD trata principalmente sobre procesos de seguridad y gestión del riesgo, y por ello es importante garantizar que su cumplimiento esté aceptado y alineado en la organización, lo que implica personas, procesos y, cómo no, tecnología.

Con el RGPD, las empresas deberán comunicar las pérdidas de datos en un plazo de 72 horas

Tecnológicamente se necesita una arquitectura capaz de proteger a lo largo de la red extendida (data center, entornos virtuales, cloud, dispositivos móviles, terminales y conexiones Internet of Things) y durante todas las etapas de los ataques: antes, durante y después.

Obligatoriedad

Muchas organizaciones no tienen los medios para analizar por sí solas si cumplen con los requisitos del RGPD o para desplegar soluciones que incrementen los niveles de seguridad y automaticen la detección de ciberataques y brechas.

En este caso, es una buena idea consultar con proveedores externos, que deberán tener un amplio conocimiento del mercado digital único y del cambiante panorama de ciberamenazas, así como una avanzada capacidad tecnológica.

En Cisco insistimos en que la ciberseguridad no es sólo un mecanismo para proteger el negocio, sino también un facilitador de la transformación digital y un impulsor de crecimiento.

Las organizaciones pueden convertir la “obligatoriedad” del RGPD en una oportunidad para reforzar su protección, garantizar la privacidad de clientes y empleados y aprovechar las ventajas de la digitalización; pero deben hacerlo cuanto antes.