GDPR, un serio toque de atención para todos nosotros

GDPR, un serio toque de atención para todos nosotros

GDPR BITDEFENDER

Tengo que confesar desde el principio que esta opinión reflejará dos perspectivas: la de auditor y profesional de seguridad, por un lado, y la de fabricante de soluciones de seguridad que incluyen características de privacidad y confidencialidad.

Una vez hecha la confesión, entremos directamente en el asunto: el 25 de mayo de 2018 será de obligado cumplimiento el nuevo Reglamento Europeo de protección de Datos; la versión revisada y actualizada que genera un marco unitario para el tratamiento de la protección de datos en todos los países UE.

Aparte del interés que genera para los legisladores, que tienen que alinearse al GDPR y a los organismos de control que se van a crear, el nuevo reglamento es importante para el gremio de consultores y auditores porque está generando mercado para nuevos servicios. Además de la burocracia y el papeleo que va a introducir, todos los involucrados esperamos que el nuevo Reglamento genere una oportunidad nueva para las empresas privadas y las organizaciones públicas de tomar en serio el tratamiento de datos de sus usuarios, empleados y proveedores. Es un reto, pero igualmente es una gran oportunidad para: hacer un análisis serio a los procesos de negocio (artículos 44-50); ver cómo se generan, procesan y transmiten los datos privados y empezar a tomar medidas para su protección -que esperemos vayan un paso más allá de la designación de un Data Protection Officer- (art 37-39); y para mantener un registro.

Y, si hacen este análisis, por qué no ir un paso más allá, examinando los procesos internos y actividades, desde la perspectiva de la seguridad, pensando en implantar un sistema de gestión (o al menos hacer un análisis de los riesgos de seguridad e implementar controles para disminuirlos a un nivel adecuado).

No todo lo relativo a la seguridad de la información significa tecnologías y costes extra, muchas veces las medidas organizativas son más eficientes que muchos productos. Además, el GDPR insiste en la necesidad de la formación del personal en su artículo 39. Por eso, un programa de Security Awareness puede reducir muchos riesgos, además de involucrar y preparar al personal en la protección de los activos informacionales.

Desde la perspectiva de un fabricante de seguridad innovador, que ha hecho de la protección de la experiencia digital su misión, ponemos muchas esperanzas en la implantación correcta y coherente del GDPR. Creemos que la gente se tomará aún más en serio la responsabilidad de proteger sus sistemas, infraestructuras y organizaciones con soluciones modernas y eficaces, sin dejar al azar los datos de los clientes o empleados. Confiamos en que los presupuestos reflejen esta necesidad, si no por impulso interno, al menos por el temor a las multas que se anuncian importantes (por no hablar de los daños de imagen asociados).

Anticipamos que muchas empresas van a pensar de nuevo sus procesos, y es posible que este Reglamento sea un impulso determinante para la adopción de la transformación digital y la consolidación de los datos en datacenters y en la nube. Como proveedor destacado de seguridad para el datacenter moderno, hyperconvergence y la nube hibrida, esperamos ser partícipes de esta evolución, porque sabemos que podemos aportar valor y una seguridad eficaz.

La obligación de informar sobre las incidencias que afectan la confidencialidad de los datos (art. 33 y 34. Rec. 85-88) supondrá que muchas organizaciones “discretas” deban informar de sus brechas de seguridad y cooperar con las autoridades y la industria. Pero, lo más importante es que tendrán que tomar precauciones que hoy en día descartan. Lo hacen porque, actualmente, si ocurre una incidencia nadie les obliga informar de que ha pasado algo grave. Tomemos como ejemplo las incidencias del último año, culminando con WannaCry, cuando empresas grandes han negado haber sufrido ataques o que los datos de sus clientes y empleados hayan sido secuestrados o extraídos.

Aparte de esto, esperemos que la responsabilidad de poner medidas para proteger los datos impulse a los consejos de administración a pensarlo dos veces cuando rechazan proyectos de inversiones necesarias en infraestructuras de seguridad (art. 32).

Quiero añadir una tercera perspectiva, la de usuario conectado y con sus datos en posesión de gigantes como Google, Apple o Facebook. Me alegro de que finalmente estas empresas súper poderosas, que controlan no solo nuestros datos sino también nuestras vidas digitales – con sus proyectos de correlación avanzada de Big Data–, nos tengan que tomar en serio cuando les pedimos que controlen a quién revelan nuestros datos y cómo influyen en nuestras decisiones.

 

Horatiu Bandoiu

ISO 27001 LA,
Channel Marketing Manager Bitdefender

Logo Bitdefender

Comments

Comentarios desactivados