De acordo com a IDC Spain, apenas 10% das empresas espanholas estão preparadas para cumprir o RGPD. Globalmente, os parceiros de pesquisa de multidão Estados em seu “relatório de GDPR da UE” que, embora 90% de organizações estão familiarizados com este quadro regulamentar, 30% das organizações ainda não estão prontas para adotar o novo regulamento.
Além disso, a Panda Security adverte sobre como os cibercriminosos podem lucrar com este novo quadro regulamentar, através do que apelidou a empresa “Cyberchantaje”.
O RGPD é um dos grandes desafios da 2018
A empresa Bitglass fez uma série de previsões de segurança para 2018. Entre eles, destacou o fator humano na cibersegurança.
“Os erros humanos são o maior risco de segurança que as empresas enfrentam em 2018”, disse o CEO da empresa, Rich Campagna. “As empresas são expostas porque os funcionários podem compartilhar arquivos externamente, acessar dados de dispositivos móveis não gerenciados e divulgar suas credenciais para usuários mal-intencionados. No próximo ano, as empresas que não modernizaram suas soluções de segurança para abordar essas preocupações inevitavelmente sofrerão uma violação de segurança. “
Ele também salientou que as senhas corporativas, o CEO afirma que haverá uma tendência para “autenticação multifator e gerenciamento dinâmico de identidades. Esses recursos avançados identificarão logons suspeitos e os bloqueará antes que ocorra uma violação“. Portanto, esses mecanismos de segurança se tornarão mais rigorosos para evitar violações de segurança, forçando os cibercriminosos a ataques de sofisma como phishing.
Por outro lado, tecnologias emergentes, como aprendizado de máquina, começarão a ser usadas por invasores, buscando melhorar o escopo e o poder de seu malware. Campagna adverte que isso pode revelar-se letal para as empresas.
Mas um dos grandes desafios de segurança que as empresas enfrentarão neste novo ano é a entrada em vigor do RGPD. Isto é devido, entre outras questões, ao número despreparado de empresas. Muitos não têm conhecimento de como manter a conformidade adequada, destacando-se em áreas relacionadas à nuvem e segurança de dados nessas plataformas, levando a uma onda de sanções em conformidade.
As primeiras sanções econômicas a nova lei fará com que eles sejam apressado para alcançar o cumprimento. Uma ou mais empresas que não podem ir à falência “, disse o diretor da região EMEA, Eduard Meelhuysen.
Uma das 30% empresas não está preparada
O RGPD envolverá empresas que fazem alterações em suas políticas e tecnologias de segurança, prestando maior atenção ao gerenciamento de dados, especialmente aqueles relacionados aos clientes.
Mas, de acordo com uma pesquisa conduzida pelos parceiros de pesquisa de multidão, enquanto 90% das organizações estão familiarizados com esse quadro regulamentar, 30% das organizações ainda não estão prontas para adotar o novo regulamento. Embora para mais da metade deles (65%), a conformidade com este quadro regulamentar é uma prioridade, embora difere dependendo da indústria.
As principais indústrias particularmente interessadas em cumprir o quadro regulamentar são as relacionadas com a tecnologia, a energia e os serviços financeiros, estando entre as três principais prioridades.
Outra pesquisa conduzida pela CommVault chega a uma conclusão semelhante. Segundo a empresa, 87% dos CIOs pesquisados reconhecem que suas políticas atuais, bem como seus procedimentos, colocam riscos dentro desse novo quadro regulatório. E, 58% dos inquiridos dos EUA acreditam que as sanções serão impostas às suas empresas como resultado do RGPD. Além disso, apenas 21% tem conhecimento prático do RGPD e apenas um 17% compreende o impacto que este quadro legislativo irá representar para a sua empresa.
Mas, entre as principais barreiras à sua adoção é, em primeiro lugar, a falta de orçamento, que afeta 32% dos entrevistados. Em segundo lugar, 29% não tem conhecimento suficiente da regulamentação, e um 28% não tem pessoal qualificado em assuntos relacionados.
Para tentar preencher essas lacunas e abordar a conformidade, quase metade das empresas (49%) planeja inventariar dados do usuário, bem como mapear as categorias protegidas pelo GDPR. Além disso, um 31% projetará aplicativos e bancos de dados para ter uma determinada privacidade, bem como auditoria para rastrear registros de dados fraudulentos com informações pessoais (28%).
No entanto, 50% das empresas pesquisadas gastarão menos de 5% da conformidade do orçamento de ti de segurança com as políticas do GDPR.
Apenas 10% das empresas espanholas cumprem o RGPD
Em Espanha, apenas 10% das empresas cumprem o RGPD. No entanto, a maior parte está a tentar fazer as alterações necessárias para acolher o novo quadro legislativo. Prova disso é que um 25% das empresas espanholas declaram que já têm um planejamento consolidado que visa garantir a conformidade, embora ainda exista uma grande maioria (65%) que não tenha programado uma estratégia que assegure que eles entrem no regulamento.
Em contrapartida, 18% das organizações europeias – especialmente a Alemanha, que é 26% já em conformidade com a legislação. Em segundo lugar está o Reino Unido (24%), seguido pela Itália (20%).
“No entanto, a situação é cada vez mais positiva, uma em cada 3 empresas espanholas considera o novo regulamento como uma vantagem competitiva ou uma oportunidade para melhorar a eficiência ou rever o governo da informação”, diz Laura Castillo, analista sênior da IDC Research Australia.
O que é isto tudo? De acordo com a IDC Espanha, a primeira razão é que não é visto como uma prioridade em 56% dos casos. Também os recursos são limitados para 49% das companhias espanholas e uma porcentagem considerável (42%) não sabem parte desta legislação, embora a maioria vasta tenha ouvido sobre ele (96%), 59% levanta grandes dúvidas tão importantes quanto que dados devem proteger, como gerenciá-los, quais medidas de segurança são necessárias, etc., o que torna muito difícil o planejamento e a implementação.
É um problema mais reputacional do que uma economia
A CommVault relatou que apenas um 12% entende como o GDPR afetará a computação em nuvem e muitos temem adicionar um novo fator de risco ao implementar essa tecnologia. Apesar da clara ignorância, a IDC ressalta que pouco mais da metade (53%) das organizações implantará soluções em nuvem. Mas, muitas empresas decidiram que migrarão seus serviços para fornecedores em Espanha (23%), Europa (4%) ou para seus próprios datacenters (6%).
“É muito importante que os usuários de serviços de nuvem estejam cientes de que a responsabilidade pela conformidade com o GDPR não pode ser terceirizada para um provedor de serviços. Isso não isenta os fornecedores de aplicarem as medidas de segurança necessárias e comunicá-los aos seus clientes “,ressaltem a partir da consultoria.
Na verdade, essa ignorância levou a 90% das organizações reconhecendo que eles vão recorrer à ajuda de empresas externas. Quando se trata de decidir a quem recorrer, a especialização é um factor-chave, especialmente em soluções relacionadas com a segurança local e a abordagem jurídica. Portanto, a ajuda mais demandada virá de consultores especializados em risco (39%), organizações locais de serviços de ti (36%) e escritórios de advocacia (35%).
A IDC também enfatiza que o cumprimento do novo quadro regulamentar tem um fator mais respeitável do que o econômico, porque 80% de usuários que sentem que seus dados pessoais podem ser infringidos dizem que não confiarão na empresa novamente.
“O GDPR regula a coleta, o armazenamento e o uso de” dados pessoais “, ou seja, qualquer informação que sirva para identificar uma pessoa singular. Isso varia de conceitos tão facilmente identificáveis como nome ou e-mail, mas também um endereço IP, informações de cookies “, explicar da IDC Research Espanha.
Mas se quiserem transmitir segurança aos clientes, as empresas precisarão controlar “dados escuros”, ou seja, aquelas que as empresas não têm visibilidade quando se trata de conteúdo não estruturado ou duplicado, que pode ser até 70-80% dos dados. Além disso, a perda de dados também pode dificultar a visão de segurança, tornando-se um desafio para pouco mais de metade das empresas (53%).
“Isso é essencial para a formação de funcionários e iniciativas de conscientização”, disse Laura Castillo da IDC Research Espanha.
No entanto, o factor económico também não pode ser negado, pois as sanções podem ser de até 20 milhões euros ou 4% em volume de negócios global.
O GDPR pode levar a “ciberchantagem”
Apesar de todos os benefícios e prevenção de riscos parece que o novo quadro legislativo trará, Panda Security destaca que também pode trazer algumas ameaças de segurança.
O GDPR obriga as empresas a relatar quaisquer incidentes relacionados à segurança da informação, não fazendo isso resulta em grandes penalidades econômicas. Além de manter as informações de PII (informações de identificação pessoal) a fim de manter as informações para serem as informações de seus funcionários e clientes. De acordo com a CommVault, as 18% empresas declaram que eles têm a capacidade de excluir dados de todas as suas plataformas de informação e apenas 9% opiniões que eles serão capazes de anonimizar os dados de forma otimizada e uma dúvida 8% para ter a capacidade de transferir dados para outras empresas quando um cliente pede.
Isso pode fazer com que os cibercriminosos vejam a oportunidade de fazer “chantagem cibernética”, ou seja, resgate a empresas por informações roubadas e, se a empresa não acessar, ameaçar informar os gerentes de conformidade do GDPR.
Portanto, três ameaças são adicionadas: a disseminação de informações de PII, as multas que poderiam vir da falta de conformidade da empresa, bem como as conseqüências da reputação decorrentes do incidente. E mesmo se a empresa concordar com a chantagem cibernética, não é certo que a informação não será propagada ou que a chantagem terminará lá.
Além disso, os hacktivistas podem ver o seu próprio benefício no novo regulamento. Como essas empresas ou instituições que localizam violações de segurança que poderiam colocar em questão sua conformidade podem usar o email para forçá-los a fazer alterações em suas políticas.
Outro caso que a Panda Security adverte está relacionado com o direito a ser esquecido e a obrigação de notificar, pelo qual um cliente pode solicitar a exclusão de seus dados de qualquer suporte de informação pertencente à empresa. Isso pode resultar em invasores cibernéticos tentando encontrar bases onde as informações do cliente aparece que é suposto ter sido removido, a fim de receber compensação financeira.
Isto é grave, uma vez que, de acordo com a CommVault, apenas 16 das empresas pesquisadas acreditam que eles serão capazes de encontrar dados de clientes iminentemente esse direito e um 5 declara que não será capaz de encontrar todos os dados. A maioria das empresas (36%) levaria horas, 25% dias e 18% semanas.
Verdade, a obrigação de relatar tais acidentes começa quando a empresa está ciente de que sofreu um incidente, mas esta chantagem pode resultar em uma batalha de tempo de julgamento com os atacantes cibernéticos.
