Batalla contra el cibercrimen: el nuevo Reglamento General de Protección de Datos de la UE

Blog

Categorías

Como comentamos en nuestra entrada anterior en el blog, el nuevo Reglamento General de Protección de Datos (GPDR) de la Unión Europea será efectivo en 2018. Los países miembros tendrán plazo hasta entonces para adaptar su normativa. Todas las empresas y organismos que trabajen con datos personales tendrán que adaptar su infraestructura IT y sus procesos para cumplir con los nuevos requisitos.

La nueva reglamentación es una oportunidad para tener más control y conocimiento de los ataques informáticos que involucren información de identificación personal (PII en sus siglas en inglés). Un reciente informe indica que un 25% de empresas han sufrido en el último año un ciberataque, de los cuales solo una tercera parte lo denunció a las autoridades.

Actualmente, hay una gran proporción de empresas que no detectan los ataques y el acceso de terceros a información sensible. Pueden pasar meses antes de que descubran que se produjo un ataque.

Un gran desafío es entender cómo y dónde se recoge la PII, así como su procesamiento y almacenamiento. Bases de datos, información de recursos humanos y de software financiero constituyen registros claramente identificados. Trabajar la estrategia de seguridad para esta información es complejo aunque bien entendido. No obstante, hay otro tipo de registros como el acceso a redes sociales o banca online por ejemplo, que también producen PII (identificaciones de acceso, cookies o geolocalización) que quedan registrados en el sistema o en la aplicación. Como hay obligación de conservar estos logs durante años (dependiendo de la regulación), también se deberá revisar cómo se protegen estos datos, que pueden ser atacados y ofrecer mucha información sobre los usuarios.

A partir de la aplicación de la GDPR, las compañías y organizaciones tendrán que implementar un método para recoger esta información en forma segura, encriptada y anónima, para que la misma no pueda ser relacionada con un individuo. De esta manera un hacker no podría conectar la información con la persona física.

En paralelo, deberán desarrollar métodos para detectar rápidamente ataques o comportamientos inusuales, monitorizando en tiempo real si hay, por ejemplo, accesos no autorizados a cuentas de usuarios. Si se produce un ataque, la empresa responsable deberá indicar cómo y cuándo se ha producido el ataque, cuáles han sido los datos afectados por el mismo y qué medidas se han adoptado para afrontar la situación.

La nueva normativa establece claramente que dichos ataques deben ser reportados inmediatamente, dando un plazo máximo de 72 horas desde que se conoce el suceso. Se han establecido multas en relación al volumen de facturación de la empresa, que pueden alcanzar el 4% de los ingresos anuales.

El objetivo primordial de la nueva normativa es que las empresas realicen un esfuerzo para adoptar realmente las medidas de seguridad necesarias para que esa información registrada de los usuarios esté a buen recaudo.