GDPR y Ciberseguridad

Por algún motivo, hay quien prefiere correr riesgos antes que asumir sanciones

Efectivamente, me estoy encontrando -no seré el único- con empresas y profesionales muy implicados en adaptarse urgentemente a los requerimientos del GDPR, pero que están dejando “para otro momento” el afianzamiento de la seguridad de sus sistemas informáticos. Me inclino a creer que es por puro miedo a las sanciones millonarias a las que podrían tener que hacer frente, pero están olvidando una cosa: adaptarse a GDPR requiere también securizar los sistemas… Recordemos que, si no lo están, vamos a estar obligados más veces de las que nos gustaría a informar (a la AEPD) y comunicar (a los afectados) cualquier brecha de seguridad que suframos. GDPR y Ciberseguridad están destinadas a ir siempre de la mano.

El “pero”: en ningún momento se indica la calidad de protección frente a los ataques externos que deben asumir las empresas.

Y aquí es donde está el origen de la disyuntiva, de la elección: se prefiere correr riesgos antes que asumir sanciones (sean en forma de apercibimiento o multa). Está claro que no se está obrando de una manera consecuente, ya que dejar para otro momento el blindaje de los sistemas informáticos expone a éstos a ataques de diversas formas (phishing, ransomware, virus, troyanos…) que pueden dejar la información que almacenamos al descubierto y en manos no deseadas; una brecha de seguridad en toda regla, ¡vaya!

Por eso, nuestra recomendación es, por supuesto, adaptarse al GDPR (teníamos 2 años para hacerlo y siempre apuramos hasta el final del plazo), pero sin obviar que hemos de proteger nuestros sistemas frente a la pérdida o robo de datos, utilizando los métodos que hoy en día están al alcance de cualquiera:

  • Protección de todos los equipos informáticos (incluidos los dispositivos BYOD que traemos de casa, como tabletas o smartphones) con una herramienta eficiente y de acreditada solvencia frente a los ciberataques; nosotros recomendamos el uso de AppGuard, que nadie ni nada ha sido capaz de vencer en más de 10 años.
  • Política proactiva de Backup, que permita levantar rápidamente los sistemas en caso de una avería o corrupción de la información, incluso sobre un hardware diferente. 
  • Formación básica en Ciberseguridad de los usuari@s que, al fin y al cabo son quienes manejan los equipos que pueden verse afectados o incluso ser el vector de un posible ataque. 

Si queremos no hacer frente a sanciones y, además, tener nuestros datos a buen recaudo, no hemos de conformarnos únicamente con cumplir a rajatabla los preceptos de GDPR; hay que ir más allá y considerar el nuevo reglamento como un mínimo a cumplir.

¿Qué puede ser de nuestra empresa si sufrimos una fuga de información? De momento, si procede, asumir sanciones; pero ¿en qué situación queda nuestra reputación si hemos de comunicar a todos nuestros clientes, proveedores o prospectos que sus datos han quedado expuestos? ¿Y que hay de toda nuestra información que se pueda haber perdido?

Y la pregunta más dura: ¿Cuánto tiempo puede resistir una empresa abierta en esas circunstancias?
 Josep Miquel Fèlix i Zahonero

One thought on “GDPR y Ciberseguridad

  1. Estoy de acuerdo con lo que dices. En mi empresa estamos ahora liados con lo de la nueva LOPD y la verdad es que es verdad que estamos dejando para otro momento el tema de la seguridad que según dices está muy ligado al de la protección de datos.
    Hemos tenido dos ataques de ransomware y la verdad es que no hemos hecho mucho por prevenir un tercero.
    Contactaré contigo por correo porque me interesa la propuesta de seguridad y formación que haces.
    Gracias por la información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.