A fondo: Reflexiones de la industria tecnológica en el Día de la Protección de Datos

Concienciar sobre el valor de los datos. Y, más concretamente, sobre la necesidad de protegerlos. Ese es el objetivo del Día Internacional de la Protección de Datos, que año tras año se celebra el 28 de enero.

Hace casi cuatro décadas se firmó el Convenio número 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. En su día fue, tal y como destacan desde este organismo comunitario, “el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos”. Marcó un antes y un después. Desde entonces se ha ido avanzando en la materia y establecido logros, como la reciente aprobación del Reglamento General de Protección de Datos (RGPD) o el tema del derecho al olvido, antes no reconocido.

El mundo está cada vez más basado en datos y se encuentra cada vez más conectado. Los datos han constituido a su alrededor todo un negocio a partir del cual nacen empresas, aplicaciones y casos de uso. Mientras, la expansión de internet y la llegada de tecnologías como el 5G, que este año empezará a dejarse notar con mayor fuerza, introducen más complejidad e incrementan los retos en materia de protección de la información. Un uso inadecuado de los datos puede ser fatal, facilitando la tarea a unos ciberdelincuentes siempre pendientes de las últimas tendencias y que innovan para ganar dinero a costa de los usuarios.

El impacto del RGPD

Según Entelgy Innotec Security, división de ciberseguridad de Entelgy, las empresas tienden a incurrir en incumplimientos sobre cookies y la capacidad reconocida a los usuarios para ejercer sus derechos como propietarios de los datos. En España, un año después de la entrada en vigor del RGPD, solamente el 14 % de las páginas web había adaptado el uso de cookies. Y, a nivel global, todavía serían mayoría las empresas que no contestan en plazo cuando alguien intenta ejercer su derecho respecto al uso de sus datos personales. Y esto es preocupante.

Entelgy también detecta fallos en la definición de políticas de privacidad internas en las organizaciones y en su preparación frente a nuevas amenazas, por ejemplo, con el uso de sistemas operativos que no reciben actualizaciones y están expuestos a la explotación de vulnerabilidades.

En este sentido, Laura Burillo, consultora de seguridad de Entelgy Innotec Security, anima a mentalizarse sobre la gravedad del asunto y apunta que “cumplir con la normativa es una forma de optimizar recursos, ya que será mucho más costoso, tanto técnica como económicamente, intentar solucionar los problemas una vez que se hayan producido”. Hay que aplicar siempre las actualizaciones de software y respetar todo lo marcado por la ley. “En la protección de datos, la seguridad debe ser una constante que dure todo el ciclo de vida de los datos”, apunta Burillo, que explica “que no es un producto, es un conjunto de procesos, de personas y de tecnología en incesante evolución”.

Algunas recomendaciones

Para evitar problemas a los usuarios, y a sí mismos, miembros de la industria tecnológica como ESET y acens han publicado una serie de recomendaciones que toda empresa que se precie, independientemente de su tamaño, debería seguir. Lo primero es usar software de seguridad actualizado y preparado para ataques como los zero-day, de ransomware o criptojacking, que tan de moda se han puesto últimamente. Esto significa también instalar antivirus en los dispositivos móviles corporativos. Ambas firmas tecnológicas aconsejan elegir contraseñas únicas y complejas para cada cuenta online, implementar la autenticación de doble factor en todos los servicios que sea posible, como el email, evitar las redes wifi públicas y hacer copias de seguridad frecuentes.

Otras medidas efectivas serían cifrar información que se considere especialmente sensible, descargar aplicaciones solo de fuentes oficiales y, en general, no usar herramientas de terceros en los que no se confía del todo (incluyendo la nube), no seguir enlaces sospechosos, habilitar el aviso de nuevo inicio de sesión, comprobar que la conexión usa HTTPS, no dar demasiados datos al activar un servicio, borrar la información no necesaria, capacitar a los empleados y notificar sobre intrusiones recibidas.

“La empresa debe involucrar a todos los trabajadores y no de forma puntual, por lo que debe invertir tiempo y recursos en formarles”, señala Pedro Vignau, DPO en acens. “Además, es fundamental cooperar con el propietario de los datos para informar al cliente que debe saber en todo momento cómo se tratan sus datos y cómo ejercitar sus derechos”. Su compañero en acens Fernando Serrano, responsable del Departamento de Seguridad, añade que, “si tratas datos de carácter personal”, lo mejor es confiar “en proveedores con un Sistema de Gestión de la Seguridad implementado y certificado”.

Josep Albors, que se encarga de las tareas de concienciación e investigación en ESET España, advierte de que, “con demasiada frecuencia” los propios “usuarios se despreocupan de su propia información personal y aceptan sin miramientos que terceros utilicen, analicen e incluso se lucren con sus datos personales, algo que es necesario que cambie radicalmente”.

Para transformar esta realidad, bastaría con seguir pasos básicos como informarse sobre las novedades en seguridad, comprobar si el correo electrónico que se utiliza se ha visto comprometido por una brecha de seguridad (algo que se puede hacer a través del servicio de haveibeenpwned.com) y denunciar en caso de que alguien esté abusando sobre el control de datos que no le pertenecen. ESET recuerda que se puede contactar con la Agencia Española de Protección de Datos para ello.

Una responsabilidad compartida

“Si bien la responsabilidad de proteger los datos de los consumidores recae sobre las empresas, también debe servir como advertencia para los consumidores, ya que son ellos quienes pueden tomar el control de sus propios datos definiendo las preferencias online que tienen a su disposición”, concuerda José Manuel Petisco, director general de Veritas Technologies. Todas las partes que se posicionan alrededor de los datos tienen su cuota de responsabilidad en el uso que se hace de la información.

En su caso, los líderes de TI “deben emplear este aniversario como si de una jornada de reflexión se tratase, para revisar hasta qué punto sus estrategias actuales en protección de datos son adecuadas y suficientes”, asesora Petisco. “Siempre se debe considerar el empleo de un software que pueda automatizar la salvaguarda y la recuperación de los datos en cualquier lugar de la organización y que, al mismo tiempo, garantice la disponibilidad de las aplicaciones críticas para el negocio las 24 horas del día, los 7 días de la semana”. Además, nunca es tarde para insistir en la importancia de la privacidad ante la junta directiva de las empresas o para implementar medidas correctivas.

“El Día Internacional de la Protección de Datos nos sirve como recordatorio práctico del gran valor que tiene la información en la economía digital actual y por qué necesitamos que sea protegida”, dice el directivo de Veritas. “Los hackers están incrementando el uso de ataques cada vez más sofisticados para exigir que las compañías paguen un rescate. Además, el auge de las redes sociales, la banca online y el eCommerce implica que el rastro de nuestra huella digital es más amplio y peligroso de obviar que nunca”.

En el mismo sentido se pronuncia Adenike Cosgrove, estratega de Ciberseguridad en Proofpoint, que ve este día como “una buena oportunidad” para que las organizaciones den “un paso atrás” y comiencen a “considerar si realmente están haciendo lo suficiente para mantener seguros los datos de sus clientes frente a las amenazas actuales”.

“Mientras que las leyes y regulaciones sobre protección de datos, como el Reglamento General de Protección de Datos de la UE, han ayudado a incluirlo en las principales agendas y han obligado a las organizaciones a pensar de forma diferente sobre cómo mantener los datos seguros, éste es sólo el punto de partida”, opina Cosgrove. “El hecho de que una empresa cumpla con la normativa no significa necesariamente que esté haciendo todo lo posible para proteger los datos personales de sus clientes”.

“Por ejemplo, en virtud del Reglamento General de Protección de Datos, el principio de integridad y confidencialidad establece que las organizaciones deben implementar ‘controles de seguridad adecuados’ para salvaguardar los datos personales”, pero “no define lo que significa realmente ‘adecuado’. Una organización podría argumentar que implementar una protección antivirus básica y formar al personal en materia de protección de datos es lo ‘adecuado'” y, de hecho, se adecúa “técnicamente” a la norma. Sin embargo, “¿es realmente suficiente para mantener los datos personales de los consumidores, clientes y proveedores a salvo de ataques maliciosos y filtraciones de datos?”, se cuestiona la experta de Proofpoint.

“El panorama actual de las ciberamenazas ha cambiado drásticamente, y los ciberdelincuentes utilizan ataques sofisticados y selectivos basados en ingeniería social para sacar provecho de las vulnerabilidades humanas. Una seguridad simplemente ‘adecuada’ no es suficiente”, cree ella. “La defensa contra estas amenazas requiere de una estrategia igualmente sofisticada para la dotar de seguridad permanente a las personas, los procesos y la tecnología”.

Cosgrove defiende que “el cumplimiento de normativas como el Reglamento General de Protección de Datos no debería ser el principal motor de la seguridad”. Su apuesta es que, “más allá de verificar una casilla de conformidad”, lo que tienen que hacer las empresas es “implementar las mejores prácticas de la industria, comprender su perfil de riesgo individual e implementar estrategias de seguridad centradas en las personas”.

Lo que nos deparará 2020

Durante este año “continuaremos viendo nuevos desarrollos regulatorios en torno a la privacidad de datos”, prevé Jorge Martínez, director regional de OpenText para Iberia. “Hasta ahora, la mayoría de las organizaciones han centrado sus esfuerzos en la información estructurada, pero también deben ser capaces de comprender qué información personal identificable se encuentra en los documentos de datos textuales. Los datos e informaciones archivados, en particular, son una preocupación especialmente constante para la mayoría de las empresas”, indica. “Por eso, las soluciones impulsadas por IA serán fundamentales para localizar datos confidenciales y gestionarlos a través de flujos de trabajo automatizados”.

Para que en el futuro los problemas sean menos problemas, el líder de OpenText considera “imprescindible que las organizaciones establezcan prácticas internas de gobernanza de datos para determinar quién es responsable de la seguridad de los datos y de las políticas de toda la empresa, lo que puede incluir la creación de equipos que combinen conocimientos técnicos y normativos”.