Si bien las vulneraciones de datos acaparan titulares en todo el mundo, en todas las industrias se ha dado la voz de alarma sobre el impacto negativo que las vulneraciones de datos pueden tener sobre las empresas y sus clientes, ahora hay incentivos adicionales para que las organizaciones mantengan sus datos seguros. Deberían “amar” sus datos y no deberían percibirlo como una tarea compleja y tediosa. Toda organización debe garantizar que sus procesos, su formación y su cultura se centren en reconocer y respetar el valor de sus datos. También debe tener una clara dirección dentro de la organización, en la figura de un data protection officer (DPO), que trabaje junto a un responsable de seguridad de la información (CISO).
Sin embargo, la responsabilidad no recae solo sobre las organizaciones auditoras encargadas de determinar qué conforma el nivel correcto de protección de datos. Los gobiernos y los legisladores establecen y hacen cumplir las normas cada vez más exigentes.
En mayo de 2018, la introducción del Reglamento General de Protección de Datos (GDPR) será el último ejemplo de una nueva regulación impuesta sobre la forma en la que las organizaciones gestionan y usan sus datos, específicamente los de los consumidores y clientes. Y aunque se trata de un reglamento de la UE, su impacto se dejará sentir en cualquier organización que realice negocios en la UE.
Para las compañías que no cumplan con GDPR, enfrentándose a duras sanciones económicas de hasta el 4% de su facturación global, sería fácil asumir que todas se han unido para garantizar el cumplimiento. Sin embargo, Gartner ha pronosticado que el 50 por ciento de las compañías no llegará a la fecha límite de GDPR.
Por supuesto, aunque con la imposición de las leyes específicas puede ser un proceso minucioso en su adaptación a los procesos y sistemas TI, la necesidad más amplia de continuar revisando, refinando y mejorando continuamente las medidas existentes de seguridad y cumplimiento, debería estar integrada en las formas de trabajo de todas las empresas que gestionan datos valiosos (Seguridad en el Diseño y por Defecto). Esto no debería llevar a las empresas a evaluar si están haciendo lo suficiente para proteger sus datos solo por el hecho de que haya una nueva regulación.
Entonces ¿Cómo afrontarían las empresas a esta tarea? En el corazón de GDPR hay un claro enfoque a la evaluación, prevención y detección, y estas son útiles, aunque sean puntos de partida de alto nivel para todas las empresas que buscan proteger sus datos y tratarlos con respeto y responsabilidad.
Evaluar: la evaluación es crucial (lo que conocemos por Análisis inicial que solemos trasladar a Servicios Profesionales externos). Muchas organizaciones han crecido de forma gradual, con líneas de negocio trabajando de forma aislada, e introduciendo sus propias aplicaciones y procesos. De manera similar, algunos empleados pueden, con el tiempo, eludir las reglas y políticas de modo que tenga sentido para ellos, pero socavando la protección y el cumplimiento de los datos. Las organizaciones necesitan tener una foto precisa de los problemas que afrontan antes de poder solucionarlos.
Prevenir: una vez que las organizaciones saben dónde residen sus datos y cómo se usan, deben ser capaces de establecer y aplicar reglas que permitan implementar soluciones de seguridad que eviten acciones no autorizadas. Esto incluye la protección contra amenazas dentro y fuera de la organización, ya sean accidentales o maliciosas. El siguiente paso es tomar medidas para evitar que cualquier persona ajena a la organización, o cualquier persona sin acceso privilegiado, pueda utilizar datos confidenciales. El cifrado es una herramienta altamente efectiva para lograr esto, al igual que la tokenización, el enmascaramiento de datos, la anonimización y los controles de acceso robustos. Las empresas también deben revisar los datos que utilizan para comprender qué controles son los más adecuados para cada circunstancia. Por ejemplo, la anonimización de los datos de los clientes puede tener poco impacto en su utilidad para analizar las tendencias de ventas, pero reduce drásticamente la sensibilidad de esos datos.
Detectar: la vigilancia es una parte vital de las mejores prácticas de cumplimiento y seguridad. La automatización puede jugar un papel importante en la identificación de comportamientos anómalos y la implementación de medidas de auditoría y monitorización, basadas en los criterios de amenaza establecidos. Los sistemas deben poder realizar evaluaciones inteligentes de quién está accediendo a la información, así como de cuándo y por qué, y basar las respuestas en criterios de amenaza pre-acordados, como bloquear a un usuario antes de que pueda acceder, mover o usar datos confidenciales.
GDPR supone además conferir a los sistemas TI y por ende a los procesos de negocio, de medidas que los hagan confiables. Más que nunca, esto supone una gran ventaja diferencial respecto a la competencia. Aquellos sistemas TI confiables por parte del usuario final, redundarán en un uso masivo y por tanto en la mejora de la reputación de la marca. Está claro, si no nos fiamos, nos cambiamos a la competencia…hoy más que nunca, el usuario tiene la decisión y por tanto, el derecho y la obligatoriedad a ser tratado con respeto.
Además cumpliendo GDPR, tendremos la capacidad para explorar realmente todo el valor de los datos. Porque el cumplimiento es el punto de partida para el éxito digital, no un fin en sí mismo. En una economía basada en datos, el cumplimiento es una necesidad y además un diferenciador. La forma en que las empresas usen sus datos para identificar información valiosa, diseñar nuevos modelos de negocio y ofrecer mejores servicios personalizados a sus clientes será lo que los distinga y lo que haga que amen sus datos aún más.