Este 25 de mayo se cumplirán ya dos años desde que entró en vigor el Reglamento General de Protección de Datos (GDPR), cuyo propósito es garantizar la privacidad y protección de datos personales de los ciudadanos de la Unión Europea que sean recopilados por cualquier organismo a nivel mundial.
Para las organizaciones de todo el mundo que manejan datos de ciudadanos y empresas europeos, acatar esta normativa ha implicado entrar en una dinámica de mejores prácticas –con toda la complicación que ello representa–, pues GDPR requiere un proceso continuo de iniciativas y actividades que forman parte de los modelos de negocio hoy y en el futuro.
Por experiencia propia, y como lo hemos documentado desde hace dos años,[1] no se trata sólo de la implementación de tecnologías: si bien éstas juegan un papel principal, adicionalmente se requiere una combinación de flujos de procesos, formación interna y trabajo colaborativo entre los diferentes departamentos de la organización, para asegurar el cumplimiento del reglamento.
Esta disposición nos ha llevado, primero que nada, a ser conscientes de los datos que tenemos, su volumen, nivel de prioridad y ubicación, así como de quiénes tienen acceso a ellos.
Como muchas amenazas provienen del interior de las empresas, la protección de la infraestructura, tanto física como a nivel de software, y los planes de restauración y recuperación ante desastres, son vitales.
En este sentido, hay que tener presente que la protección de los datos va más allá de la seguridad: además de tener firewalls, anti-malware y otras tecnologías similares, hay que contar con respaldo, recuperación y replicación inteligentes, y ejecutar políticas de restricción de red y control de accesos basado en roles, entre muchas otras.
No todas las organizaciones lo han logrado. A lo largo de estos dos años, muchas han fallado ante GDPR, lo que les ha valido en cuantiosas multas. De acuerdo con Panda Security[2], el año pasado ya tuvieron lugar las primeras multas millonarias, con Marriot International (Reino Unido) y Google LLC (Francia) entre las afectadas.
La multa más alta relacionada con GDPR que se conozca hasta el momento es la de British Airways (Reino Unido), aplicada por la Oficina de Información del Comisionado (ICO)[3] nacional por una filtración de datos en la que se comprometió la información de alrededor de 500,000 clientes, debiendo pagar 183.39 millones de libras (casi 230 millones de dólares).
Lo cierto es que se trata de un problema común: según una encuesta de Bitdefender[4], seis de cada 10 negocios en el mundo han sufrido al menos una filtración de datos en los últimos 3 años, y el 36% de los que no han sido víctimas de ciberataques, creen que podrían haber enfrentado alguno sin saberlo.
Está demostrado que lo más conveniente es incrementar la inversión en privacidad y protección de datos, así como en estrategias que faciliten la recuperación de información, aunque el negocio se apoye en las más complejas infraestructuras (que incluyen uso de nubes diversas, centros de datos e instalaciones on-premise).
La mejor opción hasta ahora es implementar una Gestión de Datos en la Nube, que permite cubrir todo el trayecto de los datos brindando seguridad y garantizando su disponibilidad, a través de la orquestación y la automatización.
Sin duda, el cumplimiento de GDPR es un ejercicio muy útil y enriquecedor por el orden que brinda a las organizaciones. Este reglamento ha catapultado la privacidad de datos hacia nuevos niveles, al revolucionar esta práctica y llevarnos a las compañías de todo tipo a innovar en la forma en que protegemos, gestionamos y reportamos nuestra información.
[1] “GDPR: Una visión general de las 5 lecciones aprendidas por Veeam en nuestro propio recorrido hacia el cumplimiento normativo”, Veeam.
[2] “El GDPR en 2019: el año de la multa millonaria”, Panda Security.
[3] “Intention to fine British Airways £183.39m under GDPR for data breach”, ICO.
[4] “Six in every ten businesses have suffered a data breach in the last three years”, Bitdefender
__________________________
Por Abelardo Lara, Country Manager de Veeam en México
