Día Europeo de la Protección de Datos: ¿una fecha para concienciar o para reaccionar?

El 28 de enero se celebra el Día Europeo de la Protección de Datos, una fecha fijada en 2006 por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la UE,  para informar y concienciar los derechos y obligaciones de las empresas y ciudadanos en materia de salvaguarda de datos. Una efeméride necesaria porque “la protección de datos es cada vez más importante en nuestro entorno debido al rastro que dejamos a nuestro alrededor mediante el uso directo o indirecto de la tecnología. Sin embargo, vemos con demasiada frecuencia cómo los usuarios se despreocupan de su propia información personal y aceptan sin miramientos que terceros utilicen, analicen e incluso se lucren con sus datos personales, algo que es necesario que cambie radicalmente”, ha señalado Josep Albors, responsable de concienciación e investigación de ESET España. “

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Como ha explicado José Manuel Petisco, director general de Veritas, “el Día Internacional de la Protección de Datos nos sirve como recordatorio práctico del gran valor que tiene la información en la economía digital actual y por qué necesitamos que sea protegida. Los hackers están incrementando el uso de ataques cada vez más sofisticados para exigir que las compañías paguen un rescate. Además, el auge de las redes sociales, la banca online y el e-commerce implica que el rastro de nuestra huella digital es más amplio y peligroso de obviar que nunca”.

Para este directivo, esta fecha sirve como recordatorio de que las empresas son cada vez más responsables de la protección de datos ante los reguladores y los consumidores. Y también es una buena oportunidad para que los CIOs y los Responsables de Protección de Datos destaquen el tema de la privacidad de los datos a la junta directiva de su empresa, o incluso para que implementen actividades internas especialmente dedicadas, como la capacitación de los empleados o las pruebas de phishing para asegurar que los empleados sean educados continuamente sobre el papel vital y protagonista que juegan en la protección de los datos de su compañía.

Con motivo de esta jornada, OpenText ha querido dar también su visión sobre la importancia de una adecuada gestión de los datos que permita a empresas e instituciones cumplir con la normativa y, al mismo tiempo, ganarse la confianza de sus clientes.

Jorge Martínez, director regional de la firma para Iberia, ha destacado la relevancia de las normativas en este campo. “En 2020 continuaremos viendo nuevos desarrollos regulatorios en torno a la privacidad de datos, aunque ya hemos podido ver cómo se han aprobado e implementado regulaciones recientes como GDPR en Europa. Pese a que estas regulaciones tienen diferencias inherentes, el objetivo general de las normas de privacidad de datos es garantizar a los consumidores el derecho a saber cómo y qué tipo de información personal identificable se recopila, y poner a su disposición la opción de emprender acciones legales en caso de que se incurran en daños por brechas o violaciones de la seguridad de los datos”, ha dicho.

En su opinión, la mayoría de las organizaciones han centrado sus esfuerzos en la información estructurada, pero también deben ser capaces de comprender qué información personal identificable se encuentra en los documentos de datos textuales y les recomienda que establezcan prácticas internas de gobernanza de datos para determinar quién es responsable de la seguridad de los datos y de las políticas de toda la empresa, lo que puede incluir la creación de equipos que combinen conocimientos técnicos y normativos.

Por su parte, los expertos de Entelgy Innotec Security han identificado los cuatro aspectos que las empresas incumplen cuando tienen que proteger nuestros datos: éstos tienen que ver con las cookies, los plazos de respuesta a los usuarios, protegerse debidamente de las ciberamenazas y la necesidad de tener una política interna de datos. 

En el caso de Sophos, la firma ha optado por reunir cinco consejos para mantener los datos personales a salvo de ciberataques: proteger las contraseñas, no pinchar en enlaces recibidos por email sin antes realizar comprobaciones, proteger el móvil de las cargas USB públicas, desconfiar de la redes WiFi públicas y emplear antivirus en los dispositivos móviles.

Petisco ha aprovechado la efeméride para recordar que todos somos responsables parcialmente del buen uso de la información, ya que “si bien la responsabilidad de proteger los datos de los consumidores recae sobre las empresas, también debe servir como advertencia para los consumidores, ya que son ellos quienes pueden tomar el control de sus propios datos definiendo las preferencias online que tienen a su disposición”.

Aunque este día sirve para ensalzar la importancia de proteger los datos, el ejecutivo ha sugerido que "la privacidad de la información es una prioridad esencial que hay que mantener durante todo el año".

En la misma línea se ha manifestado María Campos, vicepresidenta de Cytomic. “El Día Internacional de la Protección de Datos pone de manifiesto la importancia que debe tener la gestión de la información dentro de las empresas e instituciones. En este sentido, durante el último año hemos podido ver cómo grandes entidades han sufrido brechas de datos que les han generado no sólo un grave daño reputacional, sino también graves pérdidas económicas. Esto implica que la ciberseguridad empresarial debe constituir un pilar clave de prevención para que este tipo de sucesos no ocurran", ha dicho.

Proofpoint, el actor más crítico con las empresas
A través de su estratega de ciberseguridad para los mercados internacionales, Adenike Cosgrove, Proofpoint ha dicho que “el Día Europeo de la Protección de Datos ofrece una buena oportunidad a las organizaciones para dar un paso atrás y considerar si realmente están haciendo lo suficiente para mantener seguros los datos de sus clientes frente a las amenazas actuales”.

Y es que, según esta experta, aunque las  regulaciones sobre protección de datos, como la normativa europea de protección de datos (GDPR), han ayudado a que las empresas se planteen cómo mantener los datos seguros, son es sólo el punto de partida. “El hecho de que una empresa cumpla con la normativa no significa necesariamente que esté haciendo todo lo posible para proteger los datos personales de sus clientes”, señala, y pone como ejemplo, que, en virtud de GDPR, el principio de integridad y confidencialidad establece que las organizaciones deben implementar "controles de seguridad adecuados" para salvaguardar los datos personales. Sin embargo, lo más importante es que el reglamento no define lo que significa realmente "adecuado". 

Cosgrove reflexiona sobre ello y dice que "Una organización podría argumentar que implementar una protección antivirus básica y formar al personal en materia de protección de datos es lo 'adecuado' - esto puede ser técnicamente conforme a la normativa, pero ¿es realmente suficiente para mantener los datos personales de los consumidores, clientes y proveedores a salvo de ataques maliciosos y filtraciones de datos?”

El panorama actual de las ciberamenazas ha cambiado drásticamente, y los ciberdelincuentes utilizan ataques sofisticados y selectivos basados en ingeniería social para sacar provecho de las vulnerabilidades humanas. Una seguridad simplemente "adecuada" no es suficiente. La defensa contra estas amenazas requiere de una estrategia igualmente sofisticada para la dotar de seguridad permanente a las personas, los procesos y la tecnología. Por eso, ha instado a  las organizaciones a “implementar las mejores prácticas de la industria, comprender su perfil de riesgo individual e implantar estrategias de seguridad centradas en las personas”.