La aprobación por parte de la Unión Europea del Reglamento General de Protección de Datos – o GDPR (General Data Protection Regulation), por sus siglas en inglés- en abril del año pasado supuso un cambio de paradigma en el enfoque de la legislación en este ámbito.
Hasta ahora, la normativa de protección de los datos personales había hecho especial hincapié en regular el uso que se hace de los mismos. Sin embargo, el GDPR aborda en profundidad una problemática que se ha fraguado poco a poco a lo largo de los últimos años: cómo almacenar los datos y gestionar el acceso a los mismos de una forma segura.
Ya no se trata meramente de instaurar firewalls, sino de contar con soluciones de gestión de identidades y accesos, y adoptar una actitud preventiva centrada en las personas.

La nueva realidad en la gestión de la información corporativa

Hace menos de una década, la gestión de los datos se realizaba de una manera relativamente sencilla. La mayor parte de la información era almacenada en bases de datos estructuradas, cuyo acceso estaba restringido al ingreso de unas determinadas credenciales.
Ahora, la realidad es totalmente distinta. Los datos se crean y almacenan de forma desestructurada en servidores locales o en la nube, con la continua intervención de usuarios finales que demandan una eficaz gestión del acceso y uso de los mismos.

El desafío.

Las organizaciones afrontan el desafío de lograr la mayor eficiencia en la gestión de los datos, sin poner en peligro la seguridad de los mismos. Y aquí es donde entra en juego el GDPR.
Este reglamento se une a un específico grupo de normas como la LOPD o la PCI DSS (Payment Card Industry Data Security Standard). Al otro lado del Atlántico, podemos encontrar normas sectoriales como la HIPAA (Health Insurance Portability and Accountability Act) o la Ley Sarbanes-Oxley, aplicadas al ámbito sanitario y financiero respectivamente.

Consecuencias del incumplimiento normativo

Actualmente, nos encontramos en el periodo de transición previsto hasta el 25 de mayo del 2018, cuando el GDPR se volverá de obligado cumplimiento. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

Conviene señalar que, al contrario de las directivas europeas, esta norma no requiere de trasposición nacional, por lo que será de plena aplicación a todas las organizaciones que dispongan y procesen datos de carácter personal.
Las consecuencias directas o indirectas de su incumplimiento son graves, llevando consigo infracciones que deben ser muy tenidas en cuenta por parte de las organizaciones.
Elevadas sanciones económicas
Las sanciones previstas por la GDPR pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación de la empresa.
Obligatoriedad de hacer públicas las violaciones de seguridad
La norma se basa en el principio de transparencia, por lo que obliga a publicar las violaciones de seguridad que pueda sufrir la organización, así como comunicarlo a los afectados en un plazo de 72 horas.
Daño a la reputación de la organización
Las brechas de seguridad que, hasta ahora, solían llevarse con discreción se pueden convertir en una grave merma de la reputación y credibilidad de una organización víctima de un ataque a la seguridad de su información.
Brechas de seguridad
Obviamente, el incumplimiento normativo puede dar lugar a una mayor incidencia de las brechas de seguridad sufridas por la organización.

La propuesta de WhiteBearSolutions en materia de seguridad ante posibles ataques

El Reglamento General de Protección de Datos prevé exenciones a las penalizaciones y a la obligatoriedad de la publicación de la brecha de seguridad siempre y cuando se cumplan una serie de condiciones.
De acuerdo con la Norma, el responsable del tratamiento de los datos deberá haber “adoptado medidas de protección técnicas y organizativas apropiadas, y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos”.

En este sentido, y en el caso de haberse producido una adquisición ilegítima de la información, las soluciones desarrolladas por WhiteBearSolutions, WBSAirback y WBSVision, ofrecen tecnologías de cifrado y pseudonimización, respectivamente, que garantizan que la información no pueda ser utilizada.
Por tanto, si tu organización aún no ha adoptado este tipo de medidas y se produce un ataque contra la seguridad de la información, no estaría exenta de responsabilidad. No obstante, no hay que olvidar que las medidas adoptadas no pueden ser contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Causas del incumplimiento normativo

Desgraciadamente, el proceso de adaptación por parte de las organizaciones está teniendo lugar de una forma lenta e ineficaz. Esto se explica por múltiples motivos, entre los que destacan los que se detallan a continuación.

Elevado TCO
Buena parte de las soluciones disponibles en el mercado orientadas a la gestión de identidades y el backup de datos se caracteriza por un elevado coste de despliegue y mantenimiento.
Si a esto le añadimos el hecho de que muchos proyectos carecen de la planificación adecuada, se explica el alto índice de fracaso en la instauración de una infraestructura suficiente para la adecuada gestión de la información en las empresas.
Este es un tema que he tratado asiduamente en diferentes artículos. La pesadilla de las soluciones GdI on-premise empieza al calcular el TCO… pero no termina nunca. Te recomiendo leer:

Que no te engañen con el TCO: Todo lo que necesitas saber de los proyectos GdI para evitar imprevistos

¿Cómo puede ayudarte WhiteBearSolutions? Con la democratización en el acceso a las herramientas.

WhiteBearSolutions ofrece una serie de valores inherentes a su idiosincrasia como compañía especializada en soluciones de seguridad basadas en tecnologías de código abierto:
• Gracias al uso de tecnologías open source, nuestros productos reducen drásticamente el TCO de las herramientas. WBSAirback y WBSVision están basadas en Bacula Enterprise y OpenLDAP, respectivamente.
• Nuestra arquitectura se basa en formato appliance, por lo que el despliegue de la herramienta es más rápido y eficiente.
• Nuestro modelo de pago por servicio está asociado a suscripciones de soporte basadas en SLAs, ofreciendo así mayor transparencia y flexibilidad de costes.
• Hacemos posible la interoperabilidad e integración con otras aplicaciones mediante el uso de tecnologías API REST.

Ausencia de información y conocimiento

A pesar del volumen de información que se genera en torno al GDPR, aún existe un importante número de organizaciones que desconocen los detalles de la normativa, incluso las multas asociadas a su incumplimiento, que será obligatorio en tan solo 6 meses.
Durante todo el año pasado, he hecho un importante esfuerzo para proporcionar toda la información que es necesaria para implantar con éxito soluciones de backup y gestión de identidades. Te recuerdo los recursos que tienes a tu alcance para un conocimiento más amplio acerca de las soluciones imprescindibles en cualquier plan desarrollado para el cumplimiento del GDPR.

Manual de buenas prácticas para la implantación de un sistema de gestión de identidades
8 Métricas y Ratios imprescindibles para supervisar el gobierno de identidades en tu organización
7 preguntas que necesitas hacerte antes de implantar un sistema de gestión de identidades
8 Preguntas que un CIO debe hacerse antes de contratar un servicio de backup

Ausencia de concienciación

Por supuesto, todo proceso de transformación digital requiere la involucración del equipo directivo y de los responsables del tratamiento seguro de la información. Para ayudarte en este viaje, te recomiendo las siguientes lecturas:

Webinar: Qué es la Gestión de Identidades y su relevancia para 2017
7 Errores de Gestión de Identidades que pueden costar una fortuna a tu empresa
Advertencia: Por qué necesitas calcular el impacto económico de un desastre de IT
¿Cómo calcular el coste económico de un Desastre de IT y el presupuesto para un DRP?
Señales inequívocas de que necesitas un sistema de gestión de identidades

En definitiva, dotar a tu organización de las herramientas adecuadas de gestión de identidades y respaldo de datos supone dar un paso de gigante en la seguridad de la información y del cumplimiento eficaz de la normativa vigente.

La entrada Cómo cumplir con la nueva normativa de protección de datos mediante herramientas de GdI y backup aparece primero en Gaceta Tecnológica.

Gaceta Tecnológica