Florian Malecki, SonicWall: 'sólo el 25% de las empresas está trabajando para cumplir la GDPR'

  • Seguridad

Florian Malecki SonicWall

Florian Malecki, international product marketing director de SonicWALL, explica las nuevas obligaciones de las empresas ante la nueva reglamentación europea sobre protección de datos.

Esta entrevista es parte de las realizadas para la elaboración del reportaje En Portada de IT User de febrero de 2017. Puedes descargarte la revista aquí.

En 2018 entra en vigor la nueva ley europea de protección de datos.  ¿Qué implicaciones va a tener para todas las empresas?

La Regulación General de Protección de Datos es una ley creada por la UE para fortalecer y unificar la protección de datos de los individuos dentro de los países miembro que tendrá una serie de implicaciones para las empresas de toda Europa. Como se trata de una revisión de las organizaciones, los procesos y los flujos de trabajo, conducirá a una mayor transparencia entre las empresas y el público sobre los datos sensibles que han almacenado. En España, sólo 1 de cada 4 encuestados de la encuesta RGPD de SonicWall dice que están trabajando en un plan para cumplir con la RGPD, lo que significa que el otro 75% no sólo podría ser vulnerables a sufrir brechas de seguridad en la actualidad, sino que también podría enfrentarse a importantes multas en el futuro.

¿Cuáles son los principales aspectos que deben tener en cuenta los negocios con esta nueva normativa?

Hay una serie de requisitos para las empresas asociados al RGPD que incluyen (pero no se limitan a):

• Contratación de un director de protección de datos (DPO). La posición puede ser desempeñada por una persona a tiempo completo, por un empleado con otras responsabilidades o por una agencia externalizada

• Tener la capacidad de gestionar el acceso a las aplicaciones que permiten el acceso a los datos personales de los ciudadanos de la UE - particularmente datos no estructurados

• Tener un permiso de acceso correcto para hacer su trabajo y nada más. Las tecnologías adecuadas de gestión de acceso y de identidad que facilitan este nivel de control incluyen autenticación de múltiples factores, acceso remoto seguro, seguridad adaptativa basada en riesgos, gestión de contraseñas granular y control total sobre credenciales y actividades de usuarios privilegiados

• La necesidad de informar a la autoridad pertinente sobre determinados tipos de infracciones de datos y, en algunos casos, a las personas afectadas.

La nueva ley, ¿va a conllevar nuevas herramientas tecnológicas para su cumplimiento?

El cumplimiento no requiere nada nuevo cuando se trata de requisitos de seguridad de TI. Muchas de las herramientas necesarias para cumplir con los requisitos de GDPR ya existen: se trata de la protección de datos con seguridad de red, IAM, DLP, encriptación y un aumento en los niveles de informes y visibilidad. Sin embargo, lo que veremos cada vez más son empresas que implementan estas tecnologías con el fin de garantizar el cumplimiento antes de que la RGPD entre en vigor.

¿Cuál sería, en su opinión, la infraestructura tecnológica básica que deben tener todas las empresas para cumplir con esta normativa?

Las empresas necesitan desplegar firewalls de próxima generación para reducir la exposición de la red a las amenazas cibernéticas, disminuir el riesgo de fugas de datos que podrían conducir a un incumplimiento, que tendrían como resultado severas sanciones bajo la vigencia de la RGPD, entregar las pruebas forenses requeridas para probar el cumplimiento y ejecutar soluciones apropiadas después de una brecha de seguridad. Además, las empresas deben facilitar el acceso móvil seguro para fomentar el flujo seguro de datos, al mismo tiempo que permiten a los empleados acceder a las aplicaciones corporativas y a la información que necesitan de la manera que prefieren y con los dispositivos que elijan.

¿Es una buena respuesta a las actuales necesidades empresariales, especialmente a nivel tecnológico?

La RGPD es un reglamento que está diseñado para fortalecer y unificar la protección de datos para los individuos dentro de la UE. A medida que los gobiernos se preocupan cada vez más por la reglamentación de los datos, es fundamental disponer de una única legislación en toda la UE para garantizar que todas las empresas operen al mismo nivel, sin importar dónde operen. Desde una perspectiva tecnológica, a medida que se recopilan más datos gracias a tendencias crecientes como la Internet de las Cosas (IoT), es más importante que nunca que estos datos se mantengan a salvo y que las empresas cumplan con ciertos niveles de seguridad.

¿Corre Europa (y con ella las empresas del Viejo Continente) el riesgo de quedar a la cola de la innovación si no somos tan flexibles como EE.UU.? ¿Por qué?

Por el contrario, este reglamento impulsará la innovación en herramientas que reduzcan las amenazas a la ciberseguridad y la exposición de los datos personales de los clientes. La seguridad mejorada también permitirá a las empresas decir "sí" a nuevas iniciativas estratégicas y a las tecnologías innovadoras que los empleados pueden necesitar, sin por ello comprometer la protección de datos. Esto sólo puede significar una mejora para las empresas y un importante avance para sus clientes.

Puedes leer el resto de las entrevistas en estos enlaces:

'El Reglamento busca consolidar la política de privacidad en las empresas', Acens

'La innovación no está reñida con la defensa de la privacidad y la protección de datos', Mar España, AEPD

'Cuando se trabaja con algo tan sensible como los datos, es indispensable que haya garantías legales', Check Point

'La tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento', NetApp

'Sin seguridad, no habrá confianza en la innova