Panda publica una guía de anticipación a GDPR

Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR) el próximo 25 mayo de 2018, las exigencias para empresas que manejen datos de consumidores europeos aumentan y ocurre lo mismo con organizaciones e instituciones públicas que almacenen datos de ciudadanos de la UE.

También puedes leer... Spectre Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Diferentes estudios constatan que un elevado porcentaje de empresas no están listas para cumplir con esta normativa, lo que puede ser aprovechado por los ciberdelincuentes, según Panda Security.

El especialista en seguridad destacaba hace apenas un mes en su informe de tendencias de seguridad que 2018 será intenso en ataques a empresas y precisamente una de las causas será este nuevo reglamento. “Además de prepararse para cumplir con GDPR, las organizaciones deben ser conscientes de que los cibercriminales podrían ver esta nueva regulación como una oportunidad para sacar mayor provecho de sus ataques, exigiendo un rescate”, advierte.

Las empresas deben tener en cuenta que esta regulación supone prestar especial atención a la gestión de datos y, además, no respetar la obligatoriedad de notificar los incidentes de seguridad podría acarrear multas cuantiosas. 

Ejemplos de posibles ciberchantajes
GDPR obliga a las organizaciones a mantener en regla la información de sus empleados y clientes. Esta información personal adquiere el nombre de PII (Personally Identifiable Information), y las violaciones a dicha privacidad son especialmente relevantes en el nuevo reglamento. Los cibercriminales, al darse cuenta del valor de la PII, pueden tomarla de rehén para luego amenazar con reportar la brecha de seguridad a las autoridades responsables del cumplimiento del GDPR. En caso de que no reciban el dinero exigido y procedan a filtrar la información, las empresas se enfrentarán a graves problemas, tanto de multas como de reputación.

Según Panda, esta estrategia de presión también puede ser empleada por ciberactivistas para que se atiendan sus demandas. En vez de recurrir a una extorsión económica, los hacktivistas que descubran una brecha de seguridad en una empresa que no refleja los ideales que defienden, podrían aprovecharla para chantajear a esa compañía, exigiendo cambios en sus políticas empresariales. Y lo mismo ocurre con instituciones gubernamentales, que podrían ser extorsionadas por hacktivistas para exigir cambios sociales o para dar visibilidad a su ideología.

El nuevo reglamento otorga a los ciudadanos europeos el derecho al olvido así que en cualquier momento un consumidor podrá solicitar que su información sea borrada, eliminada de la base de datos empresarial o de cualquier otro soporte de información perteneciente a una empresa. No cumplir con esta demanda del consumidor entraña riesgos muy severos. Por ejemplo, un ciberatacante podría exigir una contraprestación económica si logra acceder a una base con datos que debieron ser eliminados por la empresa.

“La mejor respuesta a esta situación es estar adecuadamente preparado y protegido”, considera Panda. Por ello, ha preparado la Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo para facilitar la transición y comprender tanto las oportunidades como las amenazas.