Como inicio de este artículo, me gustaría darle importancia a la idea sobre la cual gira el mismo al completo: La información y los datos que maneja una empresa, es uno de sus mayores activos y este debe ser protegido de la mejor manera posible teniendo en cuenta las tecnologías utilizadas para su tratamiento.
A estas alturas, ya casi todas las organizaciones son conocedoras de la nueva normativa que afecta a la protección de los datos personales. Existe infinidad de información acerca del Reglamento General de Protección de Datos, además de la recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. Ahora bien, hay un cierto desconocimiento en cuanto al modo en el que las empresas deben adecuarse a dicha normativa.
Gran parte del problema reside en una falta generalizada de cultura de cumplimiento normativo, sobre todo cuando se trata de asuntos que se consideran tangenciales a la actividad de las organizaciones y que, en muchos casos, lo vemos más como un imperativo legal que como una oportunidad para la empresa.
Además, la anterior Ley Orgánica de Protección de Datos, de 1999, no tenía en cuenta el desarrollo digital en el que estamos inmersos ahora, donde las organizaciones están obligadas a digitalizarse para seguir siendo competitivas.
Con la nueva normativa, pasamos a modelos de gestión muy específicos para cada empresa que, además de ayudar a la organización a cumplir con lo especificado en relación a la protección de los datos personales que ésta trata, nos obliga a realizar un análisis pormenorizado de los diferentes riesgos y amenazas que tendremos que tener en cuenta en los diferentes tratamientos que vamos a efectuar con dichos datos.
Tenemos que pensar en la seguridad de la información, antes de acometer procesos de gestión de la misma
El Reglamento General de Protección de Datos establece un principio muy importante que es el de “privacidad por defecto y desde el diseño” y es a partir de este, donde encontramos los principales beneficios para las empresas. Tenemos que pensar en la seguridad de la información, antes de acometer procesos de gestión de la misma.
En nuestra opinión, ninguna organización debería afrontar un proceso de digitalización sin haber implantado previamente un sistema de gestión de la misma, que valore todos los riesgos y las amenazas y que establezca controles lógicos que mitiguen la posibilidad de que estas se produzcan.
Antes se implantaban políticas para proteger datos personales, pero ahora, además de esto, debemos tener en cuenta los riesgos a los que exponemos la información en su captura, su almacenamiento, en sus cesiones, gestión, incluso en su destrucción.
Hoy en día, la digitalización de nuestro entorno ha provocado que los riesgos para las organizaciones de exponer su información se hayan multiplicado exponencialmente.
En la actualidad, sólo un 30 % de las organizaciones dispone de un sistema de protección de datos eficaz, que cumpla con las recomendaciones de la Agencia Española de Protección de Datos. La Agencia nos referencia a estándares de alto nivel tipo ISO, de gestión del riesgo y de cumplimiento normativo, como fuente de inspiración para nuestros modelos a implantar.
¿Qué está pasando en nuestro entorno?, pues que, excepto ese grupo del 30 % que esta concienciado con la norma, el resto o no tienen nada implantado aún, o han implantado modelos genéricos no eficaces, con la falsa creencia que cualquier documento cumple con los requisitos, sin comprobar si verdaderamente sirven para el propósito para el que se implantaron.
La cultura de cumplimiento en las organizaciones debe derivar en diseñar e implantar sistemas de gestión que no sean meros documentos estáticos y que sólo se revisan de auditoría en auditoría. Deben ser sistemas vivos, que generen evidencias y que permitan probar la efectividad del mismo, en los que esté implicada toda la organización e impulsados por los líderes de las mismas.
La era digital ha conllevado un aumento dramático de los riesgos y las amenazas a las que se ven expuestas las empresas. El uso de herramientas digitales se ha convertido en algo tan habitual, que no analizamos convenientemente los riesgos anexos a este uso.
Todas las organizaciones trabajan en entornos digitales (ordenadores, tabletas, teléfonos móviles, etc.). Los trabajadores de la empresa, se conectan a las redes Wifi de las organizaciones con sus propios medios, de los cuales no tenemos conocimiento de su nivel de seguridad ni de si tienen, o no, virus instalados. Damos nuestras claves de Wifi a visitas para que se conecten con sus ordenadores en las reuniones que se promueven, siendo la misma Wifi que está conectada al servidor principal. No auditamos los equipos de nuestros colaboradores que se conectan a nuestros servidores, etc. Esta es sólo una pequeña muestra de posibles riesgos, pero son muchos más e INCIBE (Instituto Nacional de Ciberseguridad) ha publicado una serie de guías digitales, donde poder evaluar los diferentes riesgos a los que se enfrenta una organización. Podéis encontrarlos en su página web www.incibe.es
La era digital ha conllevado un aumento dramático de los riesgos y las amenazas a las que se ven expuestas las empresas
Esto no significa que se deban implantar modelos de gestión de la protección de datos extremadamente complejos. Cada organización deberá implantar el modelo que mejor se adecue a sus necesidades, teniendo en cuenta que al menos cumplan con los siguientes requisitos:
- Debe involucrar a toda la organización.
- Que se haga un inventario de los diferentes archivos con información y datos personales que maneja la organización.
- Se deben evaluar los riesgos y las amenazas a los que se ve expuesta la información en función del tratamiento que vaya a tener y de los medios que se empleen para dicho tratamiento.
- Se deben generar controles y procedimientos que den respuesta a dichas amenazas y minimicen el riesgo de que estas se produzcan.
- Se debe formar al personal en la materia y en los riesgos que deben tener en cuenta en el desarrollo de sus funciones para proteger la información con la que trabajan. No olvidemos que la principal fuente de incidencias se produce por desconocimiento o negligencia nuestra.
- Debe ser auditable periódicamente para comprobar su efectividad y valorar la aparición de nuevas amenazas que deban controlarse.
- Las medidas y el modelo deben ser sencillos y adaptados a la realidad de la organización para facilitar su adaptación. De nada sirve diseñar medidas que no se puedan llevar a cabo porque, por ejemplo, bloqueen la actividad de las organizaciones.
- En caso de incidente, deben ayudar a poder probar que se ha actuado con la diligencia debida y que hemos tratado de poner los medios para que eso no ocurra.
- Se debería contar con el asesoramiento de un experto.
Pensemos en un ejemplo real, porque creo que es la mejor manera de ayudar a enfocar la idea principal:
En una empresa que maneja gran cantidad de datos personales e información relevante, los cuales suponen una ventaja competitiva frente a sus rivales, uno de sus empleados, decide abrir su correo personal desde un ordenador de la organización, que está conectado al servidor principal. Casualmente, tiene un email, de una empresa de transportes, indicándole que tiene pendiente de recoger un paquete y que para conocer más detalles, debe abrir un enlace. Ese enlace es un virus que encripta toda la información del servidor y que se propaga al resto de equipos. La empresa, trata de recuperar la información de la copia de seguridad, pero como nunca se ha comprobado el estado de dicha copia, está corrupta…y esto, en pocos minutos, se ha convertido en la peor de las pesadillas. Hay que decir que la empresa tenía olvidado un bonito manual de protección de datos en la estantería.
Para finalizar, hay que dejar claro que no existe una seguridad al 100%, pero es posible mitigar las amenazas que pueda sufrir nuestra empresa implantando una protección de datos adecuada a los datos que se traten dentro de la organización y a los medios que utilicemos para ello.
