Cada vez se producen más ciberataques contra organizaciones. Los datos personales se han convertido en un negocio y muchos cibercriminales están dispuestos a hacerse con ellos. Un nuevo Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento a partir del próximo 25 de mayo. ¿Estarán entonces nuestros datos más protegidos?
La nueva normativa impone a las organizaciones la obligación de garantizar la seguridad de los datos de carácter personal, aplicando las medidas necesarias para evitar cualquier daño y respondiendo a las amenazas de manera proactiva. De modo que a partir del próximo día 25 serán las empresas, así como sus proveedores, los que tengan la obligatoriedad de implantar las medidas técnicas y organizativas que garanticen un nivel adecuado de protección.
De hecho, el RGPD, en su artículo 33, obliga a notificar los ciberataques cuando supongan una brecha de seguridad, es decir, que los datos personales queden expuestos, dentro de las primeras 72 horas desde que ocurre el fallo, a la Agencia Española de Protección de Datos. “Toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos conservados o tratados de forma, o la comunicación o acceso no autorizado a dichos datos”, concreta la nueva normativa.
Además, aquellas organizaciones que realicen tratamientos de datos a gran escala o que manejen datos categorizados como “sensibles”, tendrán que tener un Delegado de Protección de Datos, conocido por sus siglas en inglés Data Protection Officer (DPO), una nueva figura que puede pertenecer a la propia empresa o ser contratado de manera externa, encargada de velar porque la nueva normativa se cumpla.
De modo que ahora la responsabilidad en materia de seguridad está en manos de las empresas, que se tienen que encargar de hacer un análisis de riesgo en cada caso. Las multas por el no cumplimiento pueden llegar hasta los 20 millones de euros o del 4% del total de la facturación anual de una organización.
LOS EMPLEADOS SON CLAVES EN LA CIBERSEGURIDAD
Aunque el nuevo RGPD obliga a realizar un análisis y mapa de riesgos con el fin de aplicar las medidas que se consideren más apropiadas para proteger los datos y minimizar las amenazas, muchas organizaciones no tienen en cuenta que la falta de concienciación de los propios empleados puede ser el caballo de Troya de los ciberataques.
De hecho, la gran mayoría de fugas de información se producen “sin querer”, es decir, por falta de atención y formación de los empleados. Fue justo lo que pasó con WannaCry, que infectó a varias grandes empresas e instituciones a través de los equipos de sus propios trabajadores.
Desde Welleness Telecom, empresa experta en ciberseguridad, encargada de gestionar Andalucía CERT (el centro de la Junta de Andalucía que se encarga de luchar contra los ciberataques y prevenir que ocurra cualquier incidente), explican que “es fundamental invertir formación para los empleados para que sean conscientes de los posibles peligros a los que se enfrenta una compañía en materia de ciberseguridad y así poder implantar los protocolos adecuados para evitarlos”.
De hecho, la formación en ciberseguridad para los empleados y el hecho de que conozcan las opciones que ofrece la tecnología es algo en auge dentro del mundo empresarial. “La prevención, pasa siempre por la formación, por ejemplo, muchos ataques vienen porque algún empleado conecta algún dispositivo que no debe” explican desde Wellness Telecom.
El nuevo RGPD, cuyo objetivo es proteger a los ciudadanos contra el uso fraudulento de sus datos personales, también es una oportunidad de ahorrar costes de almacenamiento, actualizar protocolos y de simplificación de procesos, pero también un buen momento para poner al día a las empresas en temas de ciberseguridad.
