Los últimos ataques globales contra los sistemas informáticos de las organizaciones públicas y empresariales (desde WannaCry, del que ya os hablé en su día, hasta Petya) han puesto sobre la mesa la fragilidad de los mecanismos de ciberseguridad y protección de datos que utilizan las compañías de todo el mundo. Y como parece que no basta con la concienciación, la Unión Europea ha decidido tomar cartas en el asunto y sancionará a todas aquellas empresas y organismos que no se tomen realmente en serio la protección de datos de sus usuarios.
Por esta razón, desde el 25 de mayo de 2016 se encuentra en vigor en la UE la General Data Protection Regulation (GDPR), que será de obligado cumplimiento a partir del 25 de mayo de 2018. Básicamente, el objetivo de esta norma es garantizar que los datos de carácter privado, público o profesional cedidos por los ciudadanos europeos son almacenados con su permiso, se utilizan para el propósito para el que se les han solicitado y solo durante un espacio de tiempo concreto.
Multas millonarias
Cumplir con la GDPR se ha convertido en un auténtico reto para las compañías europeas y las que, sin serlo, recopilan información sobre los ciudadanos de los 28 Estados miembros de la UE. Fundamentalmente, porque la nueva regulación prevé unas multas millonarias por cada incidente de seguridad de hasta 20 millones de euros o el 4% de los ingresos globales de una empresa. Así pues, una fuga de datos del calado de la que sufrió Yahoo! a finales de 2016 podría traducirse en la ruina y el cierre instantáneo de una compañía.
A pesar de ello, los directivos de grandes empresas, infraestructuras críticas y startup reconocen no estar preparados aún para cumplir con las exigencias de la GDPR. Por ejemplo, un estudio realizado por la consultora IDC para la firma de seguridad informática ESET señala que el 80% de los responsables de seguridad de más de 700 empresas desconocen la nueva normativa o su impacto, un exiguo 20% ya la está cumpliendo, solo el 59% está trabajando en su adopción y otro 21% se siente totalmente incapaz de afrontar su entrada en vigor.
Actuar paso a paso
Según muchos expertos, parte de la incertidumbre relacionada con esta ley se debe a que no existe un consenso por parte de los responsables de seguridad sobre qué mecanismos de protección de datos hay que implementar para evitar las fugas de información confidencial. En este sentido, el estudio de IDC señala que algo tan elemental como el cifrado de la información solo es prioritario para un 36% de los encuestados, mientras que la mitad asume que tendrá que añadir o incrementar nuevas soluciones de seguridad, sin tener muy claro cuáles.
Afrontar la titánica tarea de garantizar la protección de datos de los usuarios resulta especialmente complicado para las startup, cuyos recursos son más limitados. Y por esta razón, desde la empresa de seguridad Check Point ofrecen varios consejos: concienciar y educar a todos los miembros de las compañías; leer lo que se vaya publicando sobre la nueva ley, ya que todavía no se sabe cómo evolucionará o cómo se aplicará; localizar los datos alojados en los sitemas de la empresa; y establecer y verificar sistemas de identificación seguros, así como controles capaces de detectar acciones perjudiciales o no autorizadas.
Si gestionas una empresa tecnológica o startup y necesitas ayuda en cualquier materia, no dudes en dirigirte a mí a través del formulario de contacto. En Dipcom Corporate contamos con un programa propio de aceleración para startup disruptivas en el que nos ocupamos incluso de la búsqueda de financiación.
