El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos, más conocido por sus siglas RGPD (o GDPR en inglés). Durante los dos años anteriores - el Parlamento Europeo aprobó el RGPD en 2016 - las empresas de todo el mundo se apresuraron a cumplirlo. Las multas podrían ascender a 20 millones de euros, o el 4% de los ingresos anuales de la empresa en todo el mundo (lo que sea más alto). Tenía sentido comercial estar preparado.

Dieciséis meses después de su promulgación, podemos evaluar lo que ha ocurrido. Según Enforcement Tracker, que mantiene una lista de multas RGPD impuestas dentro de la Unión Europea, 21 países han aplicado multas:

Alemania, Austria, Bélgica, Bulgaria, Chipre, Dinamarca, España, Francia, Grecia, Hungría, Italia, Letonia, Lituania, Malta, Noruega, Polonia, Portugal, Reino Unido, República Checa, Rumania, Suecia.

Es importante señalar que la lista proporcionada por Enforcement Tracker no está completa ya que no todas las multas se hacen públicas (tal vez la legislación debería cambiarse para que todos sean tratados de la misma manera). Las tres multas principales ascienden a 365 millones de euros.

Las multas se imponen a personas y empresas de todo tipo de sectores: empresas privadas, municipios, partidos políticos, hospitales. Van desde grandes empresas de medios de comunicación y bancos hasta un restaurante de kebab y un oficial de policía.

Desde el punto de vista empresarial, el RGPD puede parecer poco útil. Las empresas no sólo tienen que preocuparse por la interminable ola de ciberataques, sino que las autoridades también pueden ir tras ellos si se convierten en víctimas. Si miramos más de cerca las multas y las razones que hay detrás de ellas, vemos que varias de ellas comparten la misma raíz. Las multas se reparten por razones tales como:

  • "Malos arreglos de seguridad en la compañía"
  • "También debería haber hecho más para asegurar sus sistemas"
  • "Falta de medidas de seguridad básicas"
  • "Acceso irrestricto a todos los archivos de los pacientes"
  • "Medidas de seguridad insuficientes"

Cualquier empresa puede sufrir una violación de datos. Hoy en día es importante notar que es responsabilidad de cada empresa proteger los activos, y uno de los activos más valiosos son los datos. La mayoría de los atacantes van tras el dinero y, como cualquier negocio, calculan el retorno de la inversión. Si la seguridad es laxa, los delincuentes pueden robar datos a bajo costo para obtener un gran retorno de la inversión.

Unos pocos pasos sencillos pueden proteger a las empresas tanto de los ciberataques como de las multas RGPD. (Es desafortunado que ambos puedan parecer amenazas para las empresas. Creceremos más allá de eso.)

Proteja todos sus dispositivos: Es posible que tenga la tentación de instalar una solución de seguridad en sus equipos, y eso es todo. Si bien esto es un paso en la dirección correcta, todos los dispositivos deben estar protegidos: teléfonos inteligentes, routers y cualquier otro dispositivo que pueda utilizarse como punto de entrada a la red de su empresa. Todos ellos deben ser protegidos y controlados.

Parcheo: Asegúrese de que todo el software que utiliza en su empresa esté actualizado. Esto incluye el sistema operativo, todos los programas instalados, controladores, firmware, etc. Los ciberdelincuentes utilizarán cualquier agujero de seguridad conocido para entrar. Esto incluye no sólo los ordenadores, sino también todos los dispositivos conectados a la red.

Control de dispositivos: Su red es su responsabilidad, y por lo tanto nadie debería poder entrar en ella sin su permiso. Se deben establecer políticas que definan cuándo y bajo qué circunstancias los dispositivos pueden entrar en la red.

Trabajo a distancia: Es más popular que nunca trabajar desde casa, lo que significa que las empresas permiten a los empleados acceder a su red desde cualquier parte del mundo. Las redes privadas virtuales son una solución segura. Recuerde habilitar la autenticación de dos factores para asegurarse de que, incluso si las credenciales son robadas, se pueda evitar el acceso no autorizado. Se pueden crear y asignar diferentes perfiles VPN a los usuarios para darles acceso a los recursos de red que necesitan, pero no a toda la red.

Escritorio remoto: Es común en muchas empresas utilizar el escritorio remoto para acceder a una estación de trabajo o servidor específico y controlarlo desde otro lugar. Eso está bien, siempre y cuando sólo sea accesible a las personas que ya están en nuestra red interna.

Tenemos que asumir que, tarde o temprano, nuestra red se verá comprometida. Debemos actuar en consecuencia y buscar actividades sospechosas. Deberíamos realizar pruebas de penetración periódicas, encontrar los puntos débiles y seguir las recomendaciones para solucionarlos.

Sin embargo, no necesitamos ver las multas del RGPD como inevitables. A medida que las naciones se instalan en una aplicación más estandarizada, las empresas pequeñas y grandes podrán respirar un poco más fácilmente. Las buenas prácticas de ciberseguridad serán recompensadas. Las empresas seguras que se beneficien de una seguridad sólida también cumplirán con lo que inicialmente parecía una ley aterradora.

 

Publicado en www.infratech.es el 10-10-2019

Autor: Luis Corrons para blog.avast.com - Luis Corrons es un evangelista de seguridad en Avast. Luis se mantiene al tanto de las últimas noticias de ciberseguridad, malware y la red oscura. Le gusta explicar problemas de seguridad complejos utilizando un lenguaje que todos puedan entender, al mismo tiempo que entretiene a su público. Luis es un veterano de la industria de la seguridad, habiendo trabajado en Panda Security durante casi veinte años antes de unirse a Avast. Luis es uno de los oradores más destacados de la industria, hablando en eventos como HackInTheBox, APWG, AVAR, Virus Bulletin y Security BSides.

Traducido por Infratech Solutions. Artículo original: https://blog.avast.com/making-sense-of-gdpr