El Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés), llegó arrasando en mayo de 2018 y parece que, aparte de algunas sanciones que tuvieron mucha prensa, las empresas no están teniendo mayores problemas. ¿Pero es esa la realidad o estamos frente a un elegante cisne, tranquilo sobre el agua pero sacudiendo las patas bajo la superficie?
Podemos afirmar que las empresas y los empleados ahora son mucho más conscientes del RGPD y de la necesidad de proteger la Seguridad de los datos que procesan. La mayoría de las personas, tanto consumidores como empleados, también comprenden que tienen derechos sobre los datos personales que comparten con las empresas. Nosotros (como procesadores de datos) no poseemos los datos personales, solo se nos permite usarlos si tenemos una base legal para hacerlo. Los tomamos prestados con el permiso de su propietario, que es quien mantiene el control sobre ellos, no al revés. Y eso es algo bueno, ¿verdad?
Sin embargo, he descubierto que muchas empresas tienen conceptos diferentes de lo que significa “seguro” y podrían hacer mucho más de lo que están haciendo para garantizar la integridad y Seguridad de los datos. Afortunadamente, Fortra tiene experiencia en esta área y puede trabajar con las empresas para mejorar su postura de Seguridad en lo que respecta a gestión de datos. Hablaremos sobre eso más adelante.
Multas de ICO (Information Commissioner´s Office) por incumplimiento del RGPD
Algunas personas con las que he hablado tienen la sensación de que, desde que el RGPD reemplazó a la Directiva de Protección de Datos (Data Protection Act), se han impuesto muy pocas sanciones. Eso no es así, pero hay un buen motivo para que tengan esa sensación. Ahora llegan menos casos a los titulares de las noticias porque existe un proceso bien definido para notificar las sospechas de filtraciones de datos, así como obtener ayuda para gestionarlas.
Resulta interesante que, cuando las filtraciones terminan en multas, se sanciona también a las personas, no solo a las empresas.
Entre las entidades sancionadas en el Reino Unido se encuentran órganos de las Fuerzas de Seguridad del Estado, la Agencia Tributaria y la Fiscalía del Estado, así como algunos nombres conocidos. El RGPD está lejos de ser ineficaz y ha demostrado tener gran importancia.
En los primeros 12 meses de vigencia del RGPD, se recibieron más de 200.000 denuncias y se impusieron sanciones por más de 56 millones de Euros, como podemos confirmar en la lista actualizada de las multas y los avisos de incumplimiento del RGPD publicada por la Oficina del Comisionado de Información (ICO) de Reino Unido.
Algunos casos de filtraciones de datos que han llegado a los titulares son: Facebook, British Airways, el aeropuerto de Heathrow y Google, cuyas multas ascendieron a 50 millones de euros.
¿Qué ocurrirá después del Brexit?
Con el Reino Unido listo para abandonar la Unión Europea (UE) el 31 de diciembre de 2020, muchas empresas se preguntan qué pasará a continuación.
En lo que queda de año, se seguirá igual. El RGPD sigue totalmente vigente mientras se llevan a cabo las negociaciones para establecer una relación diferente con la UE. Habrá que considerar las formas en que los datos pueden cruzar las fronteras y la ICO es un recurso fantástico para ayudar a las empresas a planificar este aspecto.
¿Qué sucederá al final del período de transición? No puedo predecir el futuro, pero lo más probable es que la nueva (?) Ley de Protección de Datos adoptará todos los principios establecidos en el RGPD. Eso significa que las empresas que ya lo cumplan tendrán que hacer muy poco esfuerzo adicional, o ninguno. El mensaje por ahora es que las empresas deben seguir haciendo todo lo posible para asegurarse de que los datos estén protegidos, y contar con procesos de Seguridad Informática en caso de que se produzca una filtración.
Cómo reducir el riesgo de filtraciones de datos
El primer paso en este proceso es comprender dónde están las vulnerabilidades. A través de su línea de productos Core Security, Fortra ofrece servicios de tests de penetración (pen testing) para que las empresas puedan identificar los riesgos y las vulnerabilidades de sus defensas de Ciberseguridad. Los tests de penetración también ayudan a validar la efectividad de los procesos internos en caso de filtración.
El siguiente paso es comprender qué información se comparte, dónde y cómo se comparte dentro de la organización y en la cadena de suministro. ¿Los empleados utilizan aplicaciones de IT en las sombras (shadow IT), como Dropbox y WeTransfer, para transferir información? Si es así, ¿cómo se aseguran las empresas de que estas transferencias no contengan información que incumpla el RGPD? Fortra cuenta con una solución que permite a las empresas compartir información de forma segura y proteger la información crítica.
Combinando la solución de Transferencia Segura de Archivos, GoAnywhere MFT, y Clearswift Secure ICAP Gateway, las compañías pueden automatizar la detección y limpieza de la información sujeta al RGPD. De esta manera se reduce el riesgo de errores humanos y la empresa mantiene el control de la información que comparte.
La encriptación es una forma eficaz de garantizar la protección de los datos en reposo, conforme a los requisitos del RGPD. Fortra cuenta con una solución que agrega acceso y administración basados en roles para proteger la información confidencial almacenada en las bases de datos de IBM i. Powertech Encryption evita que usuarios internos no autorizados o hackers externos obtengan acceso a información confidencial.
Otra importante área de riesgo es la información que se comparte por correo electrónico e Internet. Para que tengan el máximo nivel de protección de datos en esos canales sin interferir con la actividad diaria, Fortra ofrece a las empresas las soluciones de email y web gateway de Clearswift. Éstas utilizan un motor de inspección de contenido en profundidad para detectar y retirar en tiempo real el contenido confidencial que entra y sale de la organización, incluidos los datos que haya en imágenes y documentos escaneados, para que solo circulen versiones limpias.
Por último, las empresas tienen que asegurarse de que los empleados no puedan compartir ni filtrar información accidentalmente mediante dispositivos extraíbles. Fortra dispone de una solución para aumentar la Seguridad de los datos y asegurar el cumplimiento de normativas de los endpoints. La solución Clearswift Endpoint Data Loss Prevention ofrece a las empresas control y visibilidad de los datos en reposo y retira automáticamente la información confidencial que se escribe o se lee en dispositivos USB (datos en movimiento), por ejemplo.
Consejos para cumplir con RGPD
Queremos ayudarlo a cumplir con los requisitos de GDPR, incluyendo cómo evitar el acceso no autorizado a su información y encriptación de datos (tanto en reposo como en movimiento). Agende sin compromiso una consulta gratuita de 30 minutos para recibir asesoramiento de un especialista de Fortra en la normativa.
