lunes, 11 de diciembre de 2017

Pensando en la multa

Pisar el acelerador a fondo es la primera reacción cuando se realiza un trayecto en coche y por alguna razón se lleva el tiempo pegado a los talones. En caso de tomar conciencia de lo que se está haciendo, el primer pensamiento que suele venir a la mente es el coste de la multa o incluso la manera de evitarla. La existencia de sanciones penaliza un comportamiento que, no sólo peligroso, puede ser también mortal. 

En el sector de la ciberseguridad cuando hablamos de multas, lo que viene a nuestra cabeza es el GDPR y su inminente llegada a las empresas, y con ella las sanciones. A la hora de hablar de regulaciones es importante destacar la voz de la experiencia a través de la entrevista que NNT, proveedor de soluciones de seguridad cibernética, realizó a David Froud. Con más de 18 años de experiencia en seguridad de la información, incluido el cumplimiento normativo, la privacidad y protección de datos, David Proud actualmente desempeña el cargo de Líder de Proyecto para varios clientes de Fortune/FTSE,  realizando cientos de evaluaciones in situ a nivel mundial.

Cuando hablamos de las regulaciones GDPR hay que tener en cuenta que el tiempo juega en contra y que el momento para realizar las implementaciones comienza  a ser cada vez más escaso. Hasta el momento, estaba extendido el hecho de que esta nueva regulación acarrearía multas por incumplimiento de hasta el 4% de los ingresos globales, pero David Froud aporta algo de luz sobre este tema y despeja dudas: “Desafortunadamente, ahí (con el objetivo de evitar las multas) es donde comienzan la mayoría de las organizaciones, ¡y todos cometen un error! Veo esta retórica inductora de pánico en casi todas las publicaciones de ciberseguridad y, bajo mi punto de vista, deberían informarse mejor.” A pesar de ser una información extendida, Froud nos explica que no es cierta: “Los hechos reales actualmente son que, primeramente el GDPR gira por debajo del 95% respecto a hacer cumplir el derecho a la privacidad, ya que la pérdida de privacidad no es posible a través de la violación de datos. En segundo lugar, las multas máximas para cualquier organización son el 2% de su "facturación anual", incluso ante la pérdida más atroz de datos por incumplimiento, no del 4%, como se está diciendo. Por último, las multas son totalmente discrecionales, y un programa de seguridad apropiado reducirá significativamente cualquier multa impuesta.” Pero lo que David Froud intenta dejar claro es que a pesar de desmentir el bulo sobre las multas, no es eso lo que debe preocupar a las empresas. 

A la hora de aclarar dudas en lo que concierne a la regulación GDPR, David Froud parece tenerlo claro: “En primer lugar, la seguridad de los datos no es igual a la privacidad. Del mismo modo que la pérdida de datos por incumplimiento no equivale, en sí misma, a una pérdida de privacidad. Es lo que hace con los datos robados que tienen las implicaciones de privacidad. Además, la seguridad de los datos representa menos del 5% de las 778 líneas de todos los artículos de GDPR, y PCI DSS es, en mi opinión ciertamente sesgada, no más del 33% de un verdadero programa de seguridad.”  

Es importante dar voz a la opinión de un experto en el campo de la seguridad y la regulación acerca del mejor enfoque a seguir a la hora de emprender un proyecto GDPR: “El punto más importante que se debe afrontar es que la mayor parte del GDPR se refiere a obtener el consentimiento explícito para los datos personales recopilados (u otros factores legítimos de interés), y sólo usar esos datos para fines en línea con los permisos recibidos.” Esta afirmación incita a un replanteamiento del objetivo final del GDPR y cómo debe influir en las empresas y sus estrategias: “Como tal, la regulación GDPR debe enfocarse como un proyecto de gobierno corporativo, no como un proyecto de seguridad cibernética. Mi punto de vista sería aclarar este entendimiento primero, luego establecer un equipo dentro de la organización con la administración de un experto en privacidad pero que incluya ventas, marketing, recursos humanos y, por supuesto, informática y seguridad de la información.”

Resulta sorprendente la falta de información, o incluso la existencia de información errónea, acerca de unas regulaciones que deberían estar implantadas en tan breve espacio de tiempo. Cuando los expertos ofrecen su opinión acerca de regulaciones, aconsejan atrasar las multas GDPR al final de la lista de preocupaciones. Un programa de seguridad apropiado disminuirá los niveles de riesgo, hecho que desde luego debería ser mucho más importante que una sanción.

0 comentarios:

Publicar un comentario