Diario de León

EFECTOS DE UN CAMBIO LEGISLATIVO

La protección de datos pondrá contra las cuerdas a las empresas españolas

El nuevo reglamento GDPR de la UE amenaza con multas del 4% de la facturación a partir de junio del 2018 si no se aplica la normativa. Las organizaciones deben ser capaces de identificar todas y cada una de las acciones de los usuarios en caso de problemas en su red

Pantallazo del virus informático Wanna Cry

Pantallazo del virus informático Wanna Cry

Publicado por
EDUARDO LÓPEZ ALONSO
León

Creado:

Actualizado:

Pocas veces un cambio normativo de naturaleza técnica causó tanto desasosiego con fundamento entre las empresas españolas. Quizá el tan llamado efecto 2000 pudo atraer la atención de la opinión pública, pero sus escasas consecuencias ya fueron previstas entre los profesionales. La puesta en marcha (sí o sí) del nuevo reglamento general de protección de datos (GDPR, por sus siglas en inglés, o RGPD) en solo un año ha obligado o obligará a cualquier empresa a establecer nuevos sistemas de gestión de sus infraestructuras informáticas para garantizar los derechos y la identidad de los usuarios y sus acciones en la red. De sufrir una fuga de datos, las sanciones previstas son las equivalentes al4% de la facturación de las compañías negligentes, hasta 20 millones de euros (la de mayor cuantía de entre ambos baremos). Cualquier robo de información debe notificarse a la agencia de protección de datos en un máximo de 72 horas.

La Universidad de Barcelona explica el proceso de adaptación a la nueva normativa de protección de datos en el seminario organizado por la firma de seguridad Eleven Paths (Telefónica) este pasado 31 de mayo en Madrid.

Solo el 32% de las empresas españolas dispone actualmente de un plan específico para afrontar de manera global el nuevo reglamento elaborado por la Unión Europea, seis puntos por debajo de la media mundial, según recoge un informe de Compuware. El estudio refleja que, a pesar de los avances conseguidos en el último año, la mayoría de las compañías europeas y estadounidenses todavía no están preparadas para cumplir la nueva ley de protección de datos europea, que entrará en vigor en mayo del 2018. Queda todavía un año, pero las modificaciones e inversiones a realizar son relevantes. Las auditorías y las contrataciones de responsables derivadas de la aplicación de la ley ya están en marcha y abren incertidumbres.

La aplicación de la ley exige a las empresas que sean capaces de determinar los usos que sus empleados o sus clientes hacen de la red informática y de telecomunicaciones, las páginas a las que acceden, que archivos descargan... Lo mismo para las instituciones públicas que ofrecen servicios de wifi, universidades, establecimientos hoteleros o de restauración, por ejemplo. Ese control pasará en la mayoría de los casos por la identificación sin dudas del usuario mediante sistemas de doble autentificación, al estilo de los empleados en banca a distancia (confirmación de claves a través de móviles, por ejemplo), para evitar el uso de claves compartidas. El teléfono móvil se consolida de esta manera como el instrumento identificativo del individuo. ¿Están preparadas las empresas para ese cambio legal? La respuesta es que muchas todavía no, a juzgar por las opiniones vertidas en la jornada 'Security Day'organizada por la firma de seguridad de Telefonica Eleven Paths.

NUEVOS PROFESIONALES

Una de las novedades del marco legal del GDPR es la necesaria creación de la figura del profesional DPO (Data Protection Officer), que tiene que ser incorporada en algunas empresas, sobre todo aquellas de mayor tamaño o aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial. También en la Administración Pública o cualquier institución (por ejemplo las universidades). Sus funciones no pueden recaer en el director de seguridad. En la práctica, el nuevo marco legal supone nuevas cotas de responsabilidad de las organizaciones ante la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros. Es lo que en el sector denominan principio de responsabilidad ('accountability'), una responsabilidad proactiva por la que las organizaciones deben ser capaces de demostrar que tratan los datos personales de acuerdo con la ley.

CONSECUENCIAS DEVASTADORAS

El 64% de las empresas españolas analizadas por Compuware afirman estar bien informadas sobre el nuevo reglamento y acerca del impacto que tendrá en la forma de gestionar los datos de sus clientes, una mejora de diez puntos respecto al 54% de hace un año. "Las empresas están evolucionando en la dirección correcta hacia el cumplimiento del GDPR, pero todavía les queda un largo camino por recorrer y en un plazo corto de tiempo", aseguró la directora técnica para Europa, Oriente Próximo y África (EMEA) de Compuware, Elizabeth Maxwell, a Europa Press. Reconoce que cualquier incumplimiento de la ley podría tener "consecuencias devastadoras ante cualquier violación de datos, algo demasiado común dado el crecimiento de la ciberdelincuencia y las amenazas internas".

Sin embargo, no queda claro cuales serán los mecanismos supervisores o de prevención, de si se emprenderán inspecciones por parte de la Administración o si las sanciones se producirán solo en el caso de una fuga de datos masiva o actos ilícitos con consecuencias externas al ámbito de la empresa. En ente que debe asumir más protagonismo es la Agencia Española de Protección de Datos.

¿DÓNDE ESTÁN LOS DATOS?

El informe de Compuware señala que el 64% de las españolas aseguran que la complejidad de los actuales servicios de TI genera en muchas ocasiones incertidumbre acerca de dónde residen los datos de los clientes, mientras que un 56% afirma ser capaz de localizar todos los datos de una persona con la rapidez necesaria que exige el cumplimiento del 'derecho al olvido' incluido en el GDPR, por ejemplo.

Compuware añade además que lo más preocupante, según este estudio realizada a partir de entrevistas a 400 directores de sistemas de empresas de Francia, Alemania, Italia, España, Reino Unido y Estados Unidos, es que un 32% de los encuestados admite que no puede garantizar a día de hoy la localización de los datos de un cliente.

La advertencia de ‘Wanna Cry'

El gran ciberataque ‘Wanna Cry'  ha recordado con crudeza el auge de la ciberdelincuencia a nivel mundial y la necesidad de medidas de seguridad activas en el entorno empresarial. Las pérdidas económicas anuales causadas por este tipo de amenazas ascienden a 400.000 millones de dólares y las medidas de salvaguarda en ocasiones son más sencillas de lo que vulgarmente se piensa. Los expertos recuerdan que el antídoto más efectivo ante los ataques de los ciberdelincuentes es el disponer de copias de seguridad de la información. En ese caso, lo único que será necesario es reponer la información y cambiar las claves del sistema.

Estos son los principales consejos tras un ataque según los expertos:

1. No pague el rescate, ya que esto no garantiza la recuperación de la clave necesaria para la liberación de los archivos.

2. Desconecte inmediatamente los equipos de la red (cable o WiFi) para evitar que el malware se expanda.

3. Si dispone de un equipo seguro desde el que conectarse, trate de cambiar todas las contraseñas de red. Este proceso deberá repetirlo una vez eliminado el malware.

4. Proceda a realizar una limpieza de virus completa de todos los sistemas, o si fuera necesario, reinstale el sistema operativo.

Estas son las medidas básicas de prevención:

1. El antivirus debe estar siempre actualizado.

2. No abrir archivos adjuntos cuyos orígenes sean desconocidos.

3. Evitar abrir emails de supuestas facturas. Comprobar las URL adjuntas.

4. No realice descargas de 'software' ilegales.

5. Tener siempre una copia de seguridad de sus datos.

tracking