Una experta en ciberseguridad nos da su punto de vista sobre el RGPD, señalando que no basta con quedarse en el cumplimiento de la norma. Protegerse de las ciber amenazas requiere de una estrategia ‘sofisticada’
Ayer se cumplieron 39 años desde la firma del primer tratado internacional en materia de protección de datos de carácter personal. El Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal nació con la finalidad de garantizar, en cada Estado parte, a cualquier persona física, sea cual fuera su nacionalidad o residencia, el respeto del derecho a la vida privada con respecto al tratamiento, a través de un soporte informático, de los datos de carácter personal correspondientes a su persona.
En referencia a esto, Proofpoint, compañía líder en ciberseguridad que protege los activos más importantes y de mayor riesgo para organizaciones y empresas: las personas, nos ofrece su visión a través Adenike Cosgrove, Estratega de Ciberseguridad:
«El Día Europeo de la Protección de Datos ofrece una buena oportunidad a las organizaciones para dar un paso atrás y considerar si realmente están haciendo lo suficiente para mantener seguros los datos de sus clientes frente a las amenazas actuales.
Mientras que las leyes y regulaciones sobre protección de datos, como el Reglamento General de Protección de Datos de la UE, han ayudado a incluirlo en las principales agendas y han obligado a las organizaciones a pensar de forma diferente sobre cómo mantener los datos seguros, éste es sólo el punto de partida.
Cuando cumplir con el RGPD no basta
El hecho de que una empresa cumpla con la normativa no significa necesariamente que esté haciendo todo lo posible para proteger los datos personales de sus clientes. Por ejemplo, en virtud del Reglamento General de Protección de Datos, el principio de integridad y confidencialidad establece que las organizaciones deben implementar ‘controles de seguridad adecuados’ para salvaguardar los datos personales. Sin embargo, lo más importante es que el reglamento no define lo que significa realmente ‘adecuado’.
Una organización podría argumentar que implementar una protección antivirus básica y formar al personal en materia de protección de datos es lo ‘adecuado’ – esto puede ser técnicamente conforme a la normativa, pero ¿es realmente suficiente para mantener los datos personales de los consumidores, clientes y proveedores a salvo de ataques maliciosos y filtraciones de datos?
El panorama actual de las ciberamenazas ha cambiado drásticamente, y los ciberdelincuentes utilizan ataques sofisticados y selectivos basados en ingeniería social para sacar provecho de las vulnerabilidades humanas. Una seguridad simplemente «adecuada» no es suficiente. La defensa contra estas amenazas requiere de una estrategia igualmente sofisticada para la dotar de seguridad permanente a las personas, los procesos y la tecnología.
El cumplimiento de la normativa suele considerarse como un simple ejercicio de verificación de un listado de puntos a cubrir y puede estar abierto a la interpretación, por lo que el cumplimiento de normativas como el Reglamento General de Protección de Datos no debería ser el principal motor de la seguridad. El cumplimiento es un paso importante en el proceso, ya que puede ayudar a una organización a descubrir lagunas críticas en su seguridad actual, pero sólo debe considerarse como un punto de partida en el camino hacia una verdadera protección de datos y seguridad de la información.
Más allá de verificar una casilla de conformidad o cumplimiento, las organizaciones necesitan implementar las mejores prácticas de la industria, comprender su perfil de riesgo individual e implementar estrategias de seguridad centradas en las personas.