Mayo de 2018 será recordado por empresas e internautas como la fecha en la que nuestros datos en la red comenzaron a estar a buen recaudo. Una directiva europea, la 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, conocida como directiva NIS, y un reglamento europeo, el de protección de datos, conocido como GDPR, se encargan de ello.
La directiva NIS, poco conocida hasta el momento, afecta a las organizaciones públicas y privadas prestatarias de servicios esenciales y digitales dentro de la Unión Europea. Contribuirá a la formalización de la colaboración entre las mismas en la gestión de cibercrisis y la recuperación ante ciberincidentes, actuando con una capacidad preventiva superior a la actual.
El reglamento europeo de protección de datos es más popular. La publicación de numerosos informes, alertando del bajísimo porcentaje de compañías preparadas para cumplir con el GDPR, se ha encargado de ello. El caso de Facebook ha puesto de relieve la auténtica realidad sobre el tratamiento de nuestros datos, empezando por la mínima sensibilidad que tenemos los ciudadanos hacia nuestra privacidad en el mundo digital, y acabando con el comercio indiscriminado sin escrúpulos.
Ahora bien, no parece que los 600.000 euros de sanción máxima por infracción de la LOPD actual sea lo suficiente disuasoria para las empresas. Sin embargo, el GDPR anuncia multas de hasta 20 millones de euros o el 4% de la facturación del infractor, convirtiéndose en un aviso muy serio a las grandes organizaciones.
Uno de los aspectos del GDPR que resultará especialmente impactante en las organizaciones españolas, es la obligación de que el responsable del tratamiento de los datos notifique sus incidentes, en un plazo no superior a las 72 horas, a la Agencia Española de Protección de Datos. Es decir, la “violación de la seguridad de los datos personales”. Las repercusiones económicas y el daño reputacional que este hecho puede suponer son más que evidentes. Basta con pensar en los recientes acontecimientos protagonizados por Facebook.
Si a estas alturas del año hay empresarios y directivos que se preguntan qué es el GDPR o ¿estamos preparados?, es muy probable que sus organizaciones no hayan llegado a tiempo al día de hoy, fecha de obligado cumplimiento. Sin embargo, seguramente su situación de partida no sea tan mala.
Es probable que su nivel de cumplimiento de la LOPD de 1999 sea bastante razonable y hayan contado con un gabinete jurídico para abordarlo. Ese gabinete puede asesorarles también para el GDPR, sobre lo que la nueva normativa obliga, aclarando aspectos tales como si se necesita disponer de un delegado de protección de datos, cómo recabar el consentimiento inequívoco, o quién puede ayudar a realizar un análisis de riesgo sobre los datos personales. De hecho, se constata un incremento en las competencias tecnológicas de los bufetes y en los servicios que ofrecen en esta materia.
Las compañías especializadas en ciberseguridad pueden también colaborar en aquellas medidas técnicas que requieran una alta especialización. Dos de los retos de las organizaciones son pues el cumplimiento de la legislación sobre ciberseguridad, y cuantificar el retorno de la inversión a realizar para ello, en servicios y soluciones tecnológicas. La percepción que impera es de puro gasto, y no faltan razones para ello, ya que aunque existen estudios rigurosos acerca del impacto económico de un incidente, solo es factible aspirar a reducir al máximo la probabilidad de que ocurra.
Se escucha con cierta frecuencia la queja de que invertir en ciberseguridad es tirar el dinero, pero si se dispone de 1 euro para invertir, recomendamos que sea en la gestión de vulnerabilidades. Todos los ciberincidentes, en especial los ataques intencionados, se aprovechan de una vulnerabilidad no resuelta de los sistemas. Por ello, mejor que intentar paliar los efectos adversos de un ciber incidente una vez producido, tiene más sentido solucionar la vulnerabilidad de forma preventiva, antes de producido el daño y las consiguientes pérdidas económicas y reputacionales. Según distintos informes, el coste para una gran empresa de no invertir en ciberseguridad se estima entre 400.000 y 700.000 euros.