GDPR y Ciberseguridad

Por algún motivo, hay quien prefiere correr riesgos antes que asumir sanciones

Efectivamente, me estoy encontrando -no seré el único- con empresas y profesionales muy implicados en adaptarse urgentemente a los requerimientos del GDPR, pero que están dejando “para otro momento” el afianzamiento de la seguridad de sus sistemas informáticos. Me inclino a creer que es por puro miedo a las sanciones millonarias a las que podrían tener que hacer frente, pero están olvidando una cosa: adaptarse a GDPR requiere también securizar los sistemas… Recordemos que, si no lo están, vamos a estar obligados más veces de las que nos gustaría a informar (a la AEPD) y comunicar (a los afectados) cualquier brecha de seguridad que suframos. GDPR y Ciberseguridad están destinadas a ir siempre de la mano.

El “pero”: en ningún momento se indica la calidad de protección frente a los ataques externos que deben asumir las empresas.

Y aquí es donde está el origen de la disyuntiva, de la elección: se prefiere correr riesgos antes que asumir sanciones (sean en forma de apercibimiento o multa). Está claro que no se está obrando de una manera consecuente, ya que dejar para otro momento el blindaje de los sistemas informáticos expone a éstos a ataques de diversas formas (phishing, ransomware, virus, troyanos…) que pueden dejar la información que almacenamos al descubierto y en manos no deseadas; una brecha de seguridad en toda regla, ¡vaya!

Por eso, nuestra recomendación es, por supuesto, adaptarse al GDPR (teníamos 2 años para hacerlo y siempre apuramos hasta el final del plazo), pero sin obviar que hemos de proteger nuestros sistemas frente a la pérdida o robo de datos, utilizando los métodos que hoy en día están al alcance de cualquiera:

  • Protección de todos los equipos informáticos (incluidos los dispositivos BYOD que traemos de casa, como tabletas o smartphones) con una herramienta eficiente y de acreditada solvencia frente a los ciberataques; nosotros recomendamos el uso de AppGuard, que nadie ni nada ha sido capaz de vencer en más de 10 años.
  • Política proactiva de Backup, que permita levantar rápidamente los sistemas en caso de una avería o corrupción de la información, incluso sobre un hardware diferente. 
  • Formación básica en Ciberseguridad de los usuari@s que, al fin y al cabo son quienes manejan los equipos que pueden verse afectados o incluso ser el vector de un posible ataque. 

Si queremos no hacer frente a sanciones y, además, tener nuestros datos a buen recaudo, no hemos de conformarnos únicamente con cumplir a rajatabla los preceptos de GDPR; hay que ir más allá y considerar el nuevo reglamento como un mínimo a cumplir.

¿Qué puede ser de nuestra empresa si sufrimos una fuga de información? De momento, si procede, asumir sanciones; pero ¿en qué situación queda nuestra reputación si hemos de comunicar a todos nuestros clientes, proveedores o prospectos que sus datos han quedado expuestos? ¿Y que hay de toda nuestra información que se pueda haber perdido?

Y la pregunta más dura: ¿Cuánto tiempo puede resistir una empresa abierta en esas circunstancias?
 Josep Miquel Fèlix i Zahonero