Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información

¿Cumplir con GDPR sin invertir en seguridad?

  • Seguridad

seguridad empresarial cert

Numerosos estudios en los últimos meses han puesto de relieve la preocupación de las empresas por cumplir con el Reglamento General de Protección de Datos, cuya aplicación empezará el próximo mes de mayo por parte de las autoridades comunitarias. Preocupación sí, pero parece ser que no viene acompañada por la inversión necesaria en lo que a seguridad se refiere.

  Quizá te interese...

Lo ha sacado a la luz un informe de Trend Micro, que dice que sólo un 63% de las empresas cuentan con un proceso de notificación de brechas de seguridad, y sólo la mitad, un 51%, ha aumentado la inversión de seguridad en TI antes de la entrada en vigor del GDPR.

Según esta investigación, una cuarta parte se queja de la “falta de suficiente protección en seguridad TI” y en una proporción muy similar de la “falta de seguridad de datos eficiente”. Solo el 31% de las empresas encuestadas asegura haber invertido en cifrado, a pesar de ser una de las pocas tecnologías nombradas en GDPR y también son pocas, en torno a un tercio, las que han destinado partidas presupuestarias a la Prevención de Pérdida de Datos (33%) o a tecnologías avanzadas diseñadas para detectar intrusos en la red (34%).

Por otro lado, un 25% afirma que los recursos limitados son el mayor desafío para el cumplimiento y explican las razones que hay detrás de esta falta de inversión.

Además de la falta de inversión en seguridad, el informe también revela que solo el 37% de las organizaciones mundiales han invertido en programas de concienciación y educación del personal.

Por otro lado, según Trend Micro, muchas empresas no están preparadas para manejar los nuevos requisitos a la hora de notificar una infracción dentro del plazo de 72 horas establecido por la ley. Según su informe, el 21% de los encuestados asegura tener un proceso formal para notificar solo a la autoridad de protección de datos. Sin embargo, el artículo 34 de GDPR establece que las personas también deben ser notificadas si una infracción supone un alto riesgo para sus derechos y libertades. Alrededor del 6% asegura no tener ningún proceso implementado, mientras que un 11% no sabe si lo tiene o no.

Otra de las preocupaciones de los encuestados se centra en los preparativos para apoyar el llamado “derecho al olvido”, parte clave de GDPR.

Aunque el 77% de los participantes en el estudio a nivel mundial asegura tener los procesos adecuados para atender las solicitudes de los clientes sobre los datos personales gestionados por la organización, el tratamiento de los datos manejados por terceros es otra cosa diferente. En este sentido, el 36% de las organizaciones asegura no conocer o no tener procesos/tecnologías implementados para manejar solicitudes olvidadas de datos recogidos por agencias de terceros, proveedores cloud (32%) y partners (32%).

La firma ha encuestado para este informe a más de 1.000 responsables de la toma de decisiones de empresas con más de 500 empleados en todo el mundo: en Reino Unido, EE.UU., Francia, Italia, España, Países Bajos, Alemania, Polonia, Suecia, Austria y Suiza.