El cumplimiento del GDPR es un gran reto en seguridad para 2018

De acuerdo con IDC Spain, tan sólo el 10% de las empresas españolas están preparadas para cumplir con el GDPR. A nivel global, Crowd Research Partners relata en su informe “EU GDPR Report” que aunque un 90% de las organizaciones están familiarizadas con este marco regulatorio, un 30% de las organizaciones no están todavía listas para adoptar la nueva regulación.

Además, Panda Security advierte de cómo los ciberdelincuentes pueden obtener beneficios de este nuevo marco regulatorio, a través de lo que ha denominado la compañía “Ciberchantaje”.

El GDPR es uno de los grandes retos del 2018

La compañía Bitglass realizó una serie de predicciones en materia de seguridad para el año 2018. Entre ellas, destacó el factor humano en la ciberseguridad.

“Los errores humanos son el mayor riesgo de seguridad que afrontan las empresas en 2018”, alertó el CEO de la compañía, Rich Campagna. “Las empresas están expuestas porque los empleados pueden compartir archivos de forma externa, acceder a datos de dispositivos móviles no gestionados y revelar sus credenciales a usuarios malintencionados. El año que viene, las empresas que no hayan modernizado sus soluciones de seguridad para abordar estas preocupaciones sufrirán inevitablemente una brecha de seguridad”.

También destacó que las contraseñas corporativas, el CEO declara que habrá una tendencia hacia “una autenticación de múltiples factores y una gestión de identidad dinámica. Estas capacidades avanzadas identificarán los inicios de sesión sospechosos y los bloquearán antes de que ocurra una infracción”. Por tanto, estos mecanismos de seguridad se volverán más estrictos para evitar las brechas de seguridad, lo que obligará a los ciberdelincuentes a sofisticar ataques como el phishing.

Por otro lado, tecnologías emergentes como el machine learning comenzarán a ser utilizadas por los atacantes, buscando mejorar el alcance y la potencia de sus malware. Campagna advierte que esto podría resultar letal para las compañías.

Pero, uno de los grandes retos a los que se enfrentarán las empresas en materia de seguridad este nuevo año es la entrada en vigor del GDPR. Esto se debe, entre otras cuestiones, a que las empresas actualmente no están preparadas. Muchas desconocen cómo mantener un adecuado cumplimiento normativo, destacando en áreas relacionadas con el cloud y la seguridad de datos en estas plataformas, lo que dará lugar a una oleada de sanciones en consecuencia.

“Las primeras sanciones económicas en virtud de la nueva ley harán que les entre prisa por lograr su cumplimiento. Una o más de las compañías que no lo hagan pueden ir a la bancarrota” dijo el director en la región de EMEA, Eduard Meelhuysen.

Un 30% de las compañías no están preparadas

El GDPR supondrá que las compañías hagan cambios en sus políticas y tecnologías de seguridad, que presten una mayor atención a la gestión de datos, especialmente a los relativos a clientes.

Pero, de acuerdo con una encuesta realizada por Crowd Research Partners, aunque un 90% de las organizaciones están familiarizadas con este marco regulatorio, un 30% de las organizaciones no están todavía listas para adoptar la nueva regulación. Aunque para más de la mitad de ellas (65%), el cumplimiento de este marco normativo es una prioridad, aunque difiere dependiendo de la industria.

Las principales industrias interesadas especialmente en cumplir el marco normativo son las relacionadas con la tecnología, la energía y los servicios financieros, estando entre las tres primeras prioridades.

Otra encuesta realizada por Commvault llega a una conclusión similar. De acuerdo con la compañía, el 87% de los CIOs encuestados reconocen que sus políticas actuales, así como sus procedimientos suponen riesgos dentro de este nuevo marco regulatorio. Y, el 58% de los encuestados estadounidenses opina que se impondrán sanciones a sus compañías en consecuencia del GDPR. Además, sólo el 21% tiene conocimiento práctico del GDPR y tan sólo un 17% entiende el impacto que supondrá este marco legislativo a su compañía.

Pero, entre las principales barreras para su adopción, está en primer lugar la falta de presupuesto, que afecta al 32% de los encuestados. En segundo lugar, el 29% no tiene un conocimiento suficiente de la regulación, y un 28% no posee personal experto en materias relacionadas.

Para tratar de suplir estas carencias y encaminarse en el cumplimiento normativo, casi la mitad de las empresas (49%) tiene planeado realizar un inventario de los datos de los usuarios, así como un mapeo de las categorías protegidas por la GDPR. Además, un 31% diseñará aplicaciones y bases de datos para tener habilitada una privacidad de datos determinada, así como, la realización de auditorías para rastrear registros de datos fraudulentos con información personal (28%).

Sin embargo, el 50% de las empresas encuestadas destinará menos del 5% del presupuesto TI de seguridad al cumplimiento de las políticas GDPR.

Sólo un 10% de las empresas españolas cumplen con el GDPR

En España sólo el 10% de las empresas cumplen con el GDPR. Sin embargo, la mayor parte está tratando de realizar los cambios necesarios para acoger el nuevo marco legislativo. Prueba de ello es que un 25% de las empresas españolas declaran que tienen ya una planificación consolidada orientada a asegurar el cumplimiento, aunque sigue habiendo una gran mayoría (65%) que no ha programado una estrategia que asegure entrar dentro de la regulación.

En contraste, el 18% de las organizaciones europeas ­–especialmente Alemania, cuyo porcentaje asciende al 26%–­ ya cumplen con la legislación. En segundo lugar se encuentra Reino Unido (24%), seguido por Italia (20%).

“Sin embargo, la situación es cada vez más positiva, ya que una de cada 3 empresas españolas considera la nueva regulación como una ventaja competitiva o una oportunidad para mejorar la eficiencia o la revisión del gobierno de la información”, apunta Laura Castillo, analista senior de IDC Research España.

¿A qué se debe esto? De acuerdo con IDC Spain, la primera razón es que no se ve como prioritario en el 56% de los casos. También los recursos son limitados para un 49% de las empresas españolas y un porcentaje considerable (42%) desconocen parte de esta legislación, a pesar de que la gran mayoría ha oído hablar de ella (96%), el 59% presenta grandes dudas tan importantes cómo qué datos deben proteger, cómo gestionarlos, qué medidas de seguridad son necesarias, etc., que dificultan mucho la labor de planificación y aplicación.

Es un problema más reputacional que económico

Commvault informó de que sólo un 12% comprende cómo afectará el GDPR al cloud computing, y muchos temen añadir un nuevo factor de riesgo al implantar esta tecnología. A pesar del claro desconocimiento, desde IDC resaltan que algo más de la mitad (53%) de las organizaciones van a implantar soluciones cloud. Pero, muchas empresas han decidido que van a migrar sus servicios a proveedores en España (23%), Europa (4%) o a datacenters propios (6%).

“Es muy importante que los usuarios de servicios cloud sean conscientes de que no se puede subcontratar la responsabilidad del cumplimiento de GDPR a un proveedor de servicios.  Eso no exime a los proveedores de aplicar las medidas de seguridad necesarias y comunicárselo a sus clientes”, subrayan desde la consultora.

De hecho, este desconocimiento ha impulsado a que el 90% de las organizaciones reconozcan que van a recurrir a la ayuda de empresas externas. A la hora de decidir a quién acudir, la especialización es un factor clave, sobretodo en soluciones relacionadas con la seguridad local y el enfoque legal. Por tanto, la ayuda más demandada provendrá de consultoras que estén especializadas en riesgos (39%), organizaciones de servicios TI locales (36%) y bufetes de abogados (35%).

IDC también resalta que el cumplimiento del nuevo marco regulatorio tiene un factor más reputacional que económico, debido a que un 80% de los usuarios que sienten que sus datos personales pueden ser vulnerados declaran que no volverán a confiar en la compañía.

“GDPR regula la recopilación, el almacenamiento y el uso de “datos personales”, es decir, cualquier información que sirva para identificar a una persona natural. Esto abarca desde conceptos tan fácilmente identificables como el nombre o el email, pero también una dirección IP, la información procedente de cookies”, explican desde IDC Research España.

Pero, si quieren transmitir seguridad a los clientes, las empresas necesitarán controlar los “datos oscuros”, es decir, aquellos que las empresas no tienen visibilidad al tratarse de contenido desestructurado o duplicado, que pueden ser hasta el 70-80% de los datos. Además, la pérdida de datos también puede dificultar la visión de seguridad, siendo un reto para poco más de la mitad de las compañías (53%).

“Para ello es fundamental las iniciativas de formación y concienciación de los empleados”, dijo Laura Castillo de IDC Research España.

Sin embargo, tampoco se puede negar el factor económico, ya que las sanciones pueden ser de hasta 20 millones de euros o el 4% de la facturación mundial.

El GDPR podría dar lugar a “ciberchantaje”

A pesar de todos los beneficios y prevención de riesgos que parece que traerá el nuevo marco legislativo, Panda Security resalta que también puede traer algunas amenazas contra la seguridad.

La GDPR obliga a las empresas a notificar cualquier incidente relacionado con la seguridad de la información, no hacerlo se traduce en grandes sanciones económicas. Además de mantener en regla la información PII (Personally Identifiable Information), es decir, la información de sus empleados y clientes. De acuerdo con Commvault, el 18% de las empresas declara tener la capacidad para eliminar datos de todas sus plataformas de información y sólo un 9% opina que será capaz de anonimizar datos de forma óptima y un 8% dudan tener la capacidad de transferir datos a otras empresas cuando un cliente se lo pida.

Esto, podría hacer que los ciberdelincuentes vieran la oportunidad de hacer “ciberchantaje” es decir, pedir rescate a las empresas por la información robada y si la empresa no accede, amenazar con informar a los responsables del cumplimiento normativo del GDPR.

Por tanto se suman tres amenazas: la propagación de la información PII, las multas que podrían venir de la falta de cumplimiento normativo de la compañía, así como, las consecuencias reputacionales derivadas del incidente. Y, aunque la empresa acceda al ciberchantaje, no tiene seguridad de que la información no será propagada ni que el chantaje termine ahí.

Además, los hacktivistas pueden ver su propio beneficio en la nueva regulación. Ya que, aquellas empresas o instituciones que localicen con brechas de seguridad que podría poner en duda su cumplimiento normativo pueden utilizar el ciberchantaje para obligarlas a realizar cambios en sus políticas.

Otro caso que advierte Panda Security está relacionado con el derecho al olvido y la obligación a notificar, mediante la cual un cliente puede solicitar la eliminación de sus datos de cualquier soporte de información perteneciente a la empresa. Esto podría producir que los ciberatacantes trataran de buscar bases donde aparezca información de clientes que supuestamente debería haber sido eliminada con el objetivo de recibir una compensación económica.

Esto es grave, ya que según Commvault, sólo un 16% de las empresas encuestadas creen que podrán encontrar los datos de los clientes de forma inminente en virtud de ese derecho y un 5% declara que no serán capaces de encontrar todos esos datos. A la mayoría de las empresas (36%) les llevaría horas, a un 25% días y a un 18% semanas.

Cierto es que la obligación para notificar este tipo de accidentes comienza cuando la empresa es consciente de que ha sufrido un incidente, pero este chantaje podría resultar una batalla a contrarreloj con los ciberatacantes.