Como recuerda Eset, la empresa europea de seguridad, con la nueva normativa una brecha de seguridad puede conllevar una multa de hasta 20 millones de euros o el 4% de la factuación de la empresa atacada. Para evitar estos males mayores Eset ha publicado un extenso documento de trabajo con el que pretende ayudar a sus clientes a cumplir con la estricta regulación europea de protección de datos que será de obligado cumplimiento a partir del 25 de mayo de 2018.
En la Guía sobre el Reglamento General de Protección de Datos, descargable desde http://gdpr.eset.es y elaborada en colaboración con el gabinete de abogados especializados en derecho tecnológico, Abanlex, se especifican las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, autónomos y Administración Pública, entre otros.
Estas medidas incluyen la obligación de implantar cifrado y sistemas de doble factor de autenticación incluso sobre datos considerados de nivel básico, cuando el riesgo lo exija. Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde Europa.
“Las medidas de seguridad informática correctamente implantadas aportan un considerable nivel de seguridad y de protección frente a los ataques informáticos”, afirma Josep Albors, director del laboratorio de Eset España. “El cifrado robusto y los sistemas de doble factor de autenticación son pilares fundamentales de la seguridad y su incorporación en la empresa es económicamente asequible y demuestra beneficios inmediatos desde el primer momento”.
Mediante ataques informáticos, una importante cantidad de información confidencial, datos personales y secretos comerciales son sustraídos a diario. Por este motivo, las empresas de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información. Sin embargo, desde el lado del cliente, las empresas que cifran son sumamente escasas, debido a que muchas de ellas carecen incluso de sistemas antivirus y, en muchas ocasiones, ignoran que están sufriendo brechas de seguridad a través de las cuales son sustraídos los datos que deben custodiar.
Las empresas que hayan implantado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, pueden decidir no informar a sus usuarios sobre la intrusión. En cambio, aquellas empresas que no cifren están obligadas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.
Por otro lado, con el Reglamento General de Protección de Datos, todas las empresas están obligadas a notificar las brechas de seguridad, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos exitosos no autorizados para poder realizar la notificación en plazo. Además, se establece la obligación de comunicar determinados detalles de la brecha a las personas cuyos datos se hayan podido ver afectados de alguna forma.
