2018 ha sido un año histórico para el cumplimiento de la normativa. La atención se ha centrado firmemente en la protección de datos y las organizaciones han tenido que reevaluar todos sus procesos de tratamiento de datos para cumplir con el recientemente introducido GDPR.
No cabe duda de que esta legislación ha sido el catalizador del cambio, pero el preocupante aumento de los ciberataques también ha puesto de manifiesto la importancia de salvaguardar los valiosos datos de los clientes.
A medida que los ataques se vuelven más sofisticados, las organizaciones tienen que ser más proactivas en su enfoque de la ciberseguridad para asegurarse de que están equipadas para hacer frente a estas amenazas en evolución.
Esto significa defender agresivamente los datos que poseen y tomar todas las medidas necesarias para asegurarse de no ser la próxima empresa violada que salte a las primeras páginas de las noticias.
A pesar de este compromiso con la mejora de la seguridad de los datos, hay una serie de problemas que las organizaciones pueden encontrar en el próximo año y que suponen una amenaza para su cumplimiento continuo.
Los cinco principales problemas de regulación y cumplimiento de la normativa informática a los que se enfrentarán las organizaciones en 2019
GDPR
El25 de mayo entró en vigor el tan publicitado RGPD, que sienta las nuevas bases de cómo las organizaciones procesan y manejan los datos en el futuro. La legislación ha modernizado las normas de protección de datos y ahora ofrece a las personas un mayor control sobre quién recopila y procesa sus datos, para qué se utilizan y cómo se protegen.
Las organizaciones deben ser capaces de demostrar el cumplimiento de la legislación o enfrentarse a fuertes multas de hasta el 4% de la facturación global anual o 20 millones de euros. Las multas también dependerán de la gravedad de la infracción y de si las organizaciones han tomado medidas para demostrar que cumplen la normativa.
Sin embargo, el25 de mayo no fue en absoluto el punto final del RGPD. Demostrar el cumplimiento del RGPD es un proceso continuo y las organizaciones tendrán que identificar y abordar continuamente los riesgos de privacidad y seguridad para asegurarse de que no caen en la legislación.
Reglamento sobre la privacidad electrónica
Las organizaciones han pasado los últimos seis meses poniéndose al día con el GDPR y ya tienen que prepararse para un nuevo reglamento de la UE que exigirá el mismo cumplimiento de la legislación comunitaria.
Se espera que el Reglamento sobre privacidad electrónica se aplique en los próximos 6 a 12 meses y que aborde los avances de la tecnología y se centre específicamente en la privacidad individual relacionada con las comunicaciones electrónicas. Incluirá los datos de los sitios web, los SMS, el correo electrónico, las redes sociales, los blogs, las aplicaciones, la VoIP, el vídeo, la mensajería de las redes sociales y los dispositivos IoT.
Aunque hay cierto solapamiento entre el RGPD y el Reglamento sobre privacidad electrónica, la diferencia fundamental es que el RGPD abarca el tratamiento de los datos personales en todas sus formas, mientras que el Reglamento sobre privacidad electrónica se refiere a las comunicaciones electrónicas. Las organizaciones tendrán que demostrar el pleno cumplimiento de la legislación o enfrentarse a las mismas multas elevadas impuestas por el RGPD.
El Reglamento sobre privacidad electrónica se aplicará a todos y a cualquier país que suministre servicios de comunicación electrónica a la UE, pero se espera que afecte a algunos sectores con más fuerza que a otros. Sectores como el del marketing, la publicidad y los medios de comunicación no podrán enviar material promocional a los clientes sin su consentimiento previo.
Terceros proveedores de servicios
La ciberseguridad y el cumplimiento de la normativa se han convertido en prioridades clave para las organizaciones, sin embargo, un área que tiende a pasarse por alto es la de sus terceros. En los últimos años, se ha convertido en la norma que las organizaciones utilicen una serie de proveedores externos diferentes para apoyar las funciones empresariales principales, y a menudo muchas de estas partes tendrán acceso a los sistemas y datos internos de una empresa. Esta interconectividad supone un enorme riesgo para la seguridad y el cumplimiento de la normativa de una organización.
Las organizaciones pueden disponer de sistemas de seguridad y defensa férreos, pero los piratas informáticos son muy conscientes de que la forma más fácil de saltarse estas defensas es aprovechar las vulnerabilidades de los sistemas de terceros. Normalmente, estos proveedores no cuentan con las mismas defensas de ciberseguridad sólidas y constituyen un punto débil fácil de atacar.
Algunos de los mayores ciberataques de la historia son el resultado de infracciones de terceros y una encuesta reciente realizada por Soha Systems descubrió que el 63% de todos los ciberataques podían atribuirse directa o indirectamente a terceros.
En el futuro, las organizaciones tendrán que evaluar su ciberseguridad desde múltiples ángulos y asegurarse de que sus proveedores externos cumplen las directrices y los sistemas adecuados. En virtud del RGPD, las organizaciones están ahora obligadas legalmente a garantizar a los reguladores que sus proveedores de servicios externos cumplen con la nueva normativa al disponer de buenos controles de ciberseguridad y privacidad.
Empleados
Los empleados pueden ser su mayor activo, pero también son su eslabón más débil. Los ciberdelincuentes suelen apuntar a los empleados de una organización, ya que son la forma más fácil de infiltrarse en un sistema.
El88% de todas las violaciones de datos pueden atribuirse a un error humano, por lo que es vital que las organizaciones inviertan en una formación de alta calidad sobre ciberseguridad que permita al personal reconocer el importante papel que desempeñan en la protección de los datos sensibles de la empresa.
La formación no sólo instruirá al personal sobre la gama de amenazas a las que se enfrentan internamente, sino que también abordará los riesgos de ciberseguridad a los que se enfrentan cuando trabajan a distancia. El trabajo a distancia puede suponer un grave riesgo de seguridad que puede dejar la red, los sistemas y los dispositivos informáticos de una organización muy vulnerables a los ataques. La información contenida en los dispositivos móviles es extremadamente valiosa para los ciberdelincuentes, que aprovecharán cualquier fallo de seguridad para robar estos datos sensibles.
Una formación eficaz en materia de ciberseguridad educará al personal, reducirá la posibilidad de que se produzcan violaciones de datos y ayudará a crear una cultura de mayor cumplimiento de la seguridad.
Gestión de software
Para que las organizaciones cumplan la normativa, deben defender cada punto de acceso para garantizar que los hackers no puedan penetrar en sus sistemas. Una de las principales causas de los ciberataques son los sistemas sin parches. Constantemente se descubren nuevas vulnerabilidades y, a menos que se apliquen parches, los piratas informáticos las aprovecharán para entrar en una red.
La aplicación de parches garantizará que todos los programas informáticos utilizados en una organización estén actualizados con las versiones más recientes publicadas por el fabricante. Las organizaciones deberán ser proactivas en su enfoque de la aplicación de parches para asegurarse de que son capaces de detectar cualquier vulnerabilidad antes de que lo haga un hacker.
MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.
