Un nuevo modelo de privacidad llega con el GDPR, impuesto por la Unión Europea. Un reglamento adaptado al entorno digital que trata de que los ciudadanos recuperen el control de sus datos. Para dar a conocer la nueva normativa, Secure&IT, compañía especializada en seguridad 360 grados, con el fin de que las empresas protejan su información, organizó su tercera jornada de ciberseguridad: “Seamos prácticos, medidas de organizativas y técnicas de adecuación a GDPR”, en Madrid.
“El cumplimiento normativo adquiere un color especial en este momento, al apuntar todas las leyes en la misma dirección”. Así se expresaba Francisco Valencia, director general de Secure&IT en su tercera jornada de ciberseguridad: “Seamos prácticos, medidas de organizativas y técnicas de adecuación a GDPR”. Con la misma, la seguridad ha dado un paso por delante de la tecnología, aseguraba. Una norma que nos hace más seguros al concienciar a las personas y establecer corporativos de seguridad, aunque según algunos informes, casi el 60 % de las empresas españolas no cuentan con un plan para afrontar esta nueva normativa, que será de obligado cumplimiento en mayo de 2018. Por ello, Valencia aconsejó a las empresas ponerse a trabajar ya en la adecuación de la norma que nos dice qué obligaciones tenemos que cumplir, pero no cómo hacerlo.
Silvia Barreda, inspectora jefe de la sección técnica de la Policía Nacional, mostraba su preocupación por que estamos siendo víctimas de incidentes pero no nos preocupamos por quién está detrás de los mismos. Los ciberdelincuentes nos invaden con intrusiones, ataques de denegación de servicio, bonets, ciberespionaje o competencia desleal, por poner algunos ejemplos, ante los que buscamos una seguridad defensiva, resiliencia y respuesta o mitigación, pero la inspectora jefe se preguntaba qué está pasando para que no hablemos de capturar a aquellos que están detrás de los mismos. “Y más en un momento en el que el cibercrimen mueve más dinero en el mundo que el tráfico de drogas”.
Recordó que el cibercrimen puede llegar a millones de víctimas, ideando cualquier tipo de ataque. “Es muy fácil infectarnos en Linkedin”, apuntó, “enviándonos un documento maligno con el que nos pueden robar la información de nuestras empresas. “Algo muy rentable porque se pueden esconder”, denunció.
Comentó que el menor daño que nos pueden hacer es el reputacional, comparado con el robo de la información. Sin embargo, opina que no percibimos el riesgo potencial del cibercrimen.
Los maleantes aprovechan las vulnerabilidades de aquellos que no responden con los requisitos mínimos en ataques masivos o dirigidos. En un mundo, el de Internet, en el que el 95 % de los ataques persiguen conseguir dinero. Y en el que la escena del crimen es el CPD de la empresa.
¿Cómo responder a los incidentes? Contando con un equipo de personas que sepan cómo actuar ante los mismos, respondió.
Aconsejó, antes de tomar medidas, elaborar un alcance de daños, la pérdida de registros, los lapsos temporales inasumibles… en un tiempo no mayor a las 24 o 72 horas. Además, apuntó a la obligación de informar o formar a los usuarios y contar con planes de respuesta. Hay que establecer un sistema de detección en tiempo real, soporte 24 x 7 para resolver y codificar los incidentes.
Pero, sobre todo, advirtió que no se debe esperar a que ocurran estas cosas. “Estamos a tiempo de implementar procedimientos para evitar incidentes y poner medidas de seguridad para minimizarlos”, concluyó.
El aumento de las sanciones
Del repaso que Luis Cisneros, compliance consultant de Secure&IT, realizó sobre el GDPR podemos destacar que este reglamento va a aplicarse a empresas con domicilio en la Unión Europea y a personas físicas, con independencia de su nacionalidad o residencia. Y, mientras la LOPD excluía a determinados profesionales autónomos o apoderados, el GDPR no.
Una de las cosas que cambian es la forma de obtener el consentimiento, que tiene que ser expreso, al tiempo que se introduce la seguridad proactiva y se añade el derecho al olvido.
¿Qué ocurre con el consentimiento que ahora tenemos? Según el experto, cualquier consentimiento tendrá que volver a solicitarse, por lo que habrá que volver a contactar con los clientes.
También se incluyen dos nuevos niveles de datos: los biométricos y los genéricos. En cuanto a las medidas de seguridad que implantábamos, Cisneros resaltó que solo son válidas si desde el análisis de riesgos detectamos que deben seguir existiendo.
Por otro lado, comentó que hay que aplicar medidas antes del inicio del tratamiento y que estas medidas se deciden en base al resultado del análisis del riesgo.
Sanciones
Con el nuevo reglamento, las sanciones contra las empresas que incumplan la normativa aumentan. Así lo aseguró Sonia Martín, directora de servicios profesionales de Secure&IT. También cambia el importe de las sanciones.
El importe de las sanciones, advirtió Cisneros. Sanciones que pueden llegar a los 10 millones de euros o el 2 % del volumen del negocio en algunos casos, y en otros a 20 millones o el 4 % del volumen. En ambos casos se va a escoger la mayor cuantía, reconocía.
Entre las primeras figuran la falta de obtención del consentimiento paterno cuando se ofrecen servicios de la Sociedad de la Información. La falta de implementación de medidas de seguridad apropiadas. La no realización de una evaluación de impacto relativa a la protección de datos o no designar a un delegado de protección de datos, así como no notificar las violaciones de seguridad, por poner algunos ejemplos.
Entre las segundas la falta de cumplimiento de los principios básicos del tratamiento. No atender o no facilitar el ejercicio de los derechos de los interesados. El incumplimiento de las normas del estado miembro. No permitir el acceso a la autoridad de control a datos personales o locales para el ejercicio de sus poderes de investigación, o no cumplir una orden de la autoridad de control en el ejercicio de sus poderes correctivos, entre otros.
¿Cómo cumplir la normativa? Aconsejó, en el análisis de riesgos, ver cuánto dinero pierden los usuarios de los datos, si sus datos se ven vulnerados. Además, hay que tener claras las medidas que se van a aplicar. Y, aunque reconoce que la ley no obliga a hacer una auditoría, dice que el sentido común sí porque de esa auditoría saldrán puntos de mejora.
INMA ELIZALDE
