La protección de datos ha sido el punto fuerte de Alcatraz durante los últimos 15 años, no en vano su solución LOPDGEST es el equivalente al contaplus de la protección de datos. Esta herramienta ya cuenta con más de 140.000 implantaciones o adaptaciones hechas en España, afirma Jesús Fernández, director de ciberseguridad de Alcatraz.Y, aunque en este sentido van a dirigirse hacia el cumplimiento de otras normativas, la compañía está derivando hacia nuevas líneas de productos de ciberseguridad o de telecomunicaciones.
¿Cómo puede llevar a cabo una empresa un correcto tratamiento de los datos? De dos maneras, reconoce: desde un punto de vista más normativo y restrictivo, se puede imponer normas para evitar que las compañías comercialicen los datos de los usuarios o de sus clientes, limitando el mal uso que se pueda hacer con ellos. Por otro lado, la gestión del derecho a la privacidad de los consumidores, garantizando el derecho a la privacidad..
Considera que se debería avanzar más hacia normativas que regulen el derecho a la privacidad en detrimento de las restrictivas, algo que se va a mejorar con la GDRP.
[jwplayer player=»1″ mediaid=»17809″]
La realidad de la LOPD en España
Al ser una normativa restrictiva, las empresas lo han percibido más como algo que tienen que cumplir por obligación que algo que les otorga un beneficio. No han percibido las ventajas que tiene vender a sus clientes lo eficientes que son con la privacidad de los datos, el hecho de ofrecerles servicios de mayor calidad, al garantizar el derecho a la privacidad. Esto ha hecho que a las empresas les haya costado adaptarse de forma mayoritaria a esta normativa y que las que se adaptan lo hagan más por miedo a una sanción económica. Así,
en España más del 75 % de las empresas está incumpliendo la LOPD, 12 años después de su implantación. Muchas por desconocimiento, otras por imposibilidad, porque saben que ltienen que cumplir pero no les aporta valor. Esto hace que cuando tienen que reducir costes lo primero que reduzcan sea esto. Prefieren asumir el riesgo de no cumplir.
Mayores infracciones
En cuanto a las infracciones que se comenten, recuerda que hay muchos incumplimientos con las cámaras de vigilancia. Y es que la ley ha ido ampliando el número de datos personales. Si antes solo lo eran el nombre, dirección o teléfono, ahora se ha ampliado a las imágenes de las cámaras o la IP del PC, por poner algunos ejemplos.
El CIO y la LOPD
¿Cuál es la implicación del CIO en la misma? Jesús Fernández comenta que el tratamiento de datos de carácter personal es una decisión que tiene que ver con la filosofía de la empresa. Si desde la dirección se decide que es importante y que la quiere abordar, cómo gestionar la privacidad de los datos de los clientes se puede tratar con mayor o menor rigor. Cuando no hay mucho interés se delega en el departamento encargado del cumplimiento normativo o el departamento legal en las más grandes. En las pequeñas, el departamento que lleva las normativas de calidad se ocuparían de esto, como una normativa más que tienen que cumplir. En el peor de los casos, se lo encargan al departamento de informática.
En definitiva, recuerda que “es más una filosofia a nivel de compañia a la hora de decidir cómo gestionar la privacidad de los datos de los clientes y cómo lo vendemos hacia los mismos”.
En cuanto al CIO, recuerda que debería ser la persona que implemente las medidas técnicas para proteger la información cuando la información está dentro de los sistemas de la empresa. Aunque los datos de carácter personal están en muchos sitios y formatos y esto excede a esta figura directive. Por lo tanto, está limitado a la información, en formato digital, a la informacion de los sistemas.
Y para las empresas que además cuentan con un CDO y un CISO, la responsabilidad debe ser compartida, expone. Y es que con el GDRP se va a requerir una nueva figura: el Data Protection Officer, que será quien se encargue de velar por la protección de los datos de carácter personal de forma transversal en toda la compañía.
Su papel en la transformación digital
¿Qué ha supuesto la LOPD para la transformación digital de las empresas? El primer paso para establecer los derechos de privacidad del consumidor, responde. En cuanto al GDPR significará una evolución muy significativa, al ser la primera norma que va a armonizar la gestión de datos personales en todos los paises europeos, aunque opina que es más importante que nos permita unificar a Europa y América y establecer unos requisitos mínimos en protección de datos. En norteamérica no existen estas limitaciones, aclara, por lo que si Google hubiera nacido en un garage en España, habría sido ilegal. “No hubiera cumplido la normativa y habría tenido que cerrar”.
El papel de Alcatraz
El nuevo reglamento entra en vigor el año que viene. ¿Cómo está preparando Alcatraz a las empresas? Informándolas sobre el cambio que llega y preparando sus herramientas para adaptarlas a los nuevos requisitos, aunque Fernández comenta que estamos en un momento de vacío legal porque todavía no sabemos mucho de este reglamento. Hay una parte que queda a criterio de cada uno de los países que tienen que definir cómo se va a adaptar localmente. En este momento la agencia de protección de datos está definiendo cómo se va a modular en España.
“Estamos concienciando a las empresas de que el data protection es importante, de que el derecho a la privacidad se va a regular”, explica. “Que la normativa cada vez va a requerir más trabajo para hacer de la privacidad de la gestión de datos más eficiente. Se va a requerir un análisis de riesgos para determinar lo importante que puede ser proteger los datos en cada uno de los casos”, Es más, reconoce que va a ser el cambio más significativo que ha habido en protección de datos desde el nacimiento de la LOPD.
El big data y la protección
Las empresas que manejan más datos de los usuarios serán las que más trabajo tengan con la nueva directiva europea. Y las que menos, las compañías que no tienen modelos de negocio donde vendan o compartan los comportamientos de uso de sus clientes.
En un mundo en el que cada vez hay más datos, Jesús Fernández opina que el big data es la siguiente evolución de la tecnología. Algo que considera que no se puede parar. El desarrollo de la tecnología siempre es positivo y siempre irá evolucionando”. Es más, advierte que nunca una normativa ha conseguido frenar el desarrollo de una tecnología porque las normativas son nacionales y la tecnología internacional. “Tenemos que trabajar por desarrollar el derecho a la privacidad del consumidor y apoyar el desarrollo de las nuevas tecnologías, que son las que nos van a llevar a plantearnos qué nuevos requisitos y reglamentos tenemos. Si no desarrollamos el big data, tal vez no tenga sentido desarrollar el derecho a la privacidad porque no hay tecnología que nos permita escuchar las conversaciones”.
La importancia del análisis de riesgos
Entre las características que tiene que tener una herramienta tecnológica de protección de datos destaca el análisis de riesgos. En este sentido reconoce que no hay mucha metología de análisis de riesgos y donde se está haciendo se hace mal y de una forma poco eficiente. “Es difícil llevar un análisis de riesgos que sea efectivon y que permita identificar aquellas áreas y grupos de negocio donde hay un mayor peligro para la privacidad de los datos y cuáles no, explica.
Herramientas de Alcatraz
¿Qué ofrecen desde Alcatraz y cuáles son las herramientas que una empresa debería implantar?
En este momento confirma que están trabajando en el desarrollo de la próxima herramienta. Cuentan una suite muy avanzada de protección de datos basadas en los actuales requerimientos de la LOPD para pyme, micropyme, automatizadas, semiautomatizadas, herramientas para la gran cuenta y para el sector púlico,
Su reto pasa por avanzar todas esas herramientas hacia la evolución de la directiva europea y para ello están trabajando sobre todo en el módulo de análisis de riesgos para que sea sencillo de abordar por parte de las mismas.
“Tratamos de ser muy específicos, de tener muchos verticales para que sea fácil de llevar la adaptación a cada tipo de empresa”, asegura. “Que cada sector y cada vertical tenga la herramienta que necesita”.
Pero, además de en la LOPD están centrados en la seguridad. El año pasado adquirieron la parte SOHO de Bitdefender. “Desde hace tres años estamos inmersos en el lanzamiento de una nueva división de ciberseguridad que lanzamos en octubre del año pasado. Es una división basada en productos de ciberseguridad para pymes. Queríamos focalizarnos en las pequeñas y medianas empresas porque vimos un nicho de mercado que nadie está cubriendo y no queríamos competir con otras empresas que ya están haciendo ciberseguridad”. En octubre del año pasado lanzaron la suite con tres productos:
“Disaster discovery”: soluciones que existían en la gran cuenta. Son soluciones que permiten levantar un datacenter cuando se ha caído, en cuestión de horas, pero llevado a la pyme. La forma de recuperar un ordenador o un servidor rápidamente.
La segunda herramienta es un sistema de protección de la información basado en un IRM: la evolución de los sistemas de cifrado. Incorporan una capa de seguridad dentro de la propia documentación con el fin de mantener el control de toda la documentación, incluso cuando ya se ha compartido se mantiene la propiedad de la información.
La última pata que han incorporado es data protect con el que se protege toda la informacion que contienen los equipos. Con los productos de Bitdefender se protegen todos los dispositivos móviles de amenazas de malware, ransomware y phishing.
INMA ELIZALDE
