Las empresas no conocen el nuevo Reglamento General de Protección de Datos de la UE
Dell ha presentado los resultados de una encuesta global sobre el nuevo Reglamento General de Protección de Datos, GDPR, de la Unión Europea.
En el informe se demuestra que en las pymes y grandes empresas hay un desconocimiento general acerca del mismo, cómo prepararse para él y la repercusión de su incumplimiento para la seguridad de los datos y los resultados de negocio.
Concebido para reforzar la protección de los datos personales de todos los ciudadanos de la UE, el nuevo reglamento entrará en vigor en mayo de 2018 y afectará a las empresas de todos los tamaños, en todas las regiones y sectores. Aquellas que no se ajusten totalmente al reglamento, cuando éste entre en vigor, podrán enfrentarse a importantes sanciones, a brechas potenciales en su seguridad y por tanto a un menoscabo en su reputación.
Los resultados de la encuesta muestran que el 82% de los profesionales de las áreas comerciales y de TI encargados de la seguridad de los datos, tanto en las pymes, como en las grandes empresas están preocupados con el cumplimiento del nuevo reglamento. Pese a que la mayoría de estos profesionales muestran su preocupación con el cumplimiento, los encuestados muestran un desconocimiento general de la norma y que, o bien no están preparados para ella o no piensan que vayan a estarlo cuando entre en vigor:
· Más del 80% de los encuestados afirman que o bien saben muy poco o no tienen nada de información respecto al GDPR.
· Menos de un tercio de las empresas sienten que están preparadas para el GDPR a día de hoy.
· Cerca del 70% de los profesionales de las áreas comerciales o de TI afirman que no están preparados o no sabe si su empresa está preparada para aplicar el GDPR a día de hoy, y tan solo un 3% de ellos cuentan con un plan para su implementación.
· Por países, los alemanes son lo que se sienten más preparados para la implementación del GDPR (un 44%), mientras que los encuestados en Benelux (Bélgica, Holanda y Luxemburgo) son los que afirman estar menos preparados (tan solo un 26%).
· Más del 75% de los encuestados de fuera de Europa comentan que o bien no están preparados para el GDPR, o no saben si lo están.
· Casi todas las empresas (un 97% de ellas) no han establecido un plan para cumplir con el GDPR en 2018.
Los resultados de la encuesta también reflejan que, aunque las empresas se dan cuenta de que el incumplimiento del GDPR puede tener un impacto tanto en la seguridad de los datos como en sus resultados, no tienen claro ni el alcance de los cambios que deberían implantar, ni la severidad de las sanciones por incumplimiento o como estos cambios legislativos pueden afectar a su negocio. Por otra parte, el 79% de los encuestados han afirmado que no sabían o no habían sido informados de cómo sus empresas se habrían enfrentado a sanciones en cuanto a su estrategia de privacidad de datos si el reglamento hubiera entrado en vigor este año pasado:
· Del 21% de los encuestados que afirmaron que tendrían que enfrentarse a una sanción si el reglamento entrara hoy en vigor, el 36% piensa que tan solo supondría una sencilla reparación o desconocen la posible sanción.
· Cerca del 50% creen que se enfrentaría a una sanción económica moderada o que la forma de subsanar el problema sería bastante asequible.
· Cerca del 25% esperan cambios importantes en sus prácticas de seguridad de datos y en su tecnología.
Otras de las conclusiones clave del estudio muestran que la mayoría de las empresas no se sienten bien preparadas en las distintas modalidades de seguridad para cumplir con el reglamento:
· Menos de la mitad de los encuestados se sienten bien preparados para cualquier aspecto de la seguridad que afecte al GDPR.
· Tan solo el 21% se siente bien preparado para la gestión de accesos, una medida de seguridad clave para el reglamento.
· Más del 60% de las empresas encuestadas en Europa no están preparadas o no saben si lo están para cuando entre en vigor el nuevo reglamento. Cerca del 70% de las pymes europeas encuestadas afirmaron que o no están preparadas o no saben si lo están para los requisitos establecidos en el GDPR.
· Más del 90% de los encuestados afirmaron que sus prácticas actuales no cumplirían los requisitos del GDPR.
· Más del 80% asegura que están bien o de algún modo preparadas con su actual tecnología de seguridad para e-mail en su empresa.
· Cerca del 60% afirma que están bien o de algún modo preparadas con su actual tecnología de gobierno de accesos.
· Más del 80% afirma que están bien o de algún modo preparadas con su tecnología de gestión de accesos.
· El 65% afirma que están bien o de algún modo preparadas con su tecnología de firewall de nueva generación (NGFW por sus siglas en inglés).
Las buenas prácticas ayudan a aplicar de forma correcta los requisitos del nuevo reglamento y a evitar las posibles consecuencias derivadas del incumplimiento.
El Parlamento y el Consejo Europeo aprobaron este año el Reglamento General de Protección de Datos de la UE, que entrará plenamente en vigor en 2018. A continuación ofrecemos una serie de consejos y estrategias para que las empresas respeten las disciplinas de seguridad necesarias para esta normativa y, de esta forma, protejan los datos personales de los clientes y eviten las pérdidas de datos, las posibles multas y, por tanto, la pérdida de reputación por no respetar la nueva legislación:
· Contratar a un responsable de protección de datos. Se trata de un requisito del reglamento. El puesto puede ser a tiempo completo, lo puede desempeñar un empleado con otras responsabilidades o una empresa externa. La ventaja es que este puesto se puede ofrecer como servicio, así que algunos integradores de sistemas o resellers podrían ofrecer este servicio para ampliar su negocio.
· Desplegar una sólida solución de gestión de identidades para los accesos. La capacidad de gestionar el acceso a las aplicaciones que permiten el acceso a los datos personales de los ciudadanos de la UE — concretamente a los datos no estructurados — es un factor fundamental para la seguridad de los datos y el respeto del GDPR. Esta modalidad de gestión suele requerir la revisión periódica de los derechos de acceso por parte de los responsables del área de negocio y la certificación (o recertificación) de que los permisos están alineados con sus funciones y no comprometen la seguridad de los datos. La familia One Identity de soluciones para la gestión de identidad y acceso ofrece este nivel de visibilidad y control.
· Controlar la gestión de accesos. Con el objeto de cumplir con la GDPR, los empleados y contratistas deben contar con el permiso de acceso correcto para desempeñar sus funciones y nada más. Entre las tecnologías de gestión de la identidad y acceso que facilitan este nivel de control destacan la autentificación multifactorial, el acceso remoto seguro, la seguridad basada en riesgos/adaptativa, la gestión de contraseñas granular y el control completo de las credenciales y las actividades de usuarios privilegiados.
· Proteger el perímetro. Desplegar cortafuegos de última generación para reducir la exposición de la red a ciberamenazas, atenuar el riesgo de filtraciones de datos que pudieran provocar una vulneración de datos, lo que conllevaría fuertes sanciones contempladas en el reglamento, y ofrecer las opiniones expertas requeridas para demostrar la conformidad y ejecutar las medidas de reparación adecuadas tras producirse una vulneración. Los cortafuegos de última generación Dell SonicWALL protegen frente a las amenazas emergentes y ofrecen una inspección profunda de los paquetes, descifrado e inspección en tiempo real de las sesiones SSL, Sandboxing multi-motor adaptativo y un control y visualización total de las aplicaciones.
· Facilitar el acceso móvil seguro. Potenciar el flujo seguro de datos cubiertos, al tiempo que se permite a los empleados acceder a las aplicaciones y a los datos de la empresa que necesitan, de la forma que prefieran y en los dispositivos de su elección. Incrementar la seguridad de los datos (al tiempo que se eliminan las obstrucciones de acceso) combinando componentes de identidad, variables de dispositivos y factores temporales (hora, lugar, etc.), para ofrecer un enfoque adaptativo basado en los riesgos que garantice el acceso adecuado todo el tiempo, en todo momento, sin dejar de mejorar la protección de datos y el cumplimiento del GDPR.
· Garantizar la seguridad del e-mail. Para cumplir los requisitos del nuevo GDPR, lograr el control y la visibilidad totales de la actividad por e-mail para atenuar la amenaza del phishing y otros ataques relacionados a la información protegida, sin dejar de ofrecer un intercambio seguro de datos sensibles y confidenciales.