GDPR, un año después

Esos dos años supieron a poco, y el año extra aún no ha conseguido que la regulación se haya implantado, que las empresas estén cómodas con una regulación que les obliga a tomar conciencia de que la seguridad no es una opción, que los datos son el activo más valioso y que la privacidad debe estar en primera línea.

Este contenido fue el tema de portada del número de Mayo de la revista IT Digital Security, disponible desde este enlace.

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Casi desde los comienzos de la normativa España se sentía eufórica: la LOPD, Ley Orgánica de Protección de Datos, española había preparado a las empresas locales para GDPR. En vigor desde 1999 la ley española ha sido un referente para muchos países europeos. A pesar de ello, a estas alturas son pocas las empresas españolas que están preparadas para GDPR. Uno de los grandes cambios es la amplitud de miras de esta última. Pablo Fernández Burgueño, cofundador de Abanlex y nombrado recientemente Corporate Compliande officer en SmartHC, menciona el carácter pragmático del reglamento al asegurar que busca la utilidad práctica de la aplicación de medidas de seguridad sobre el tratamiento de datos personales. Es decir, deja a los obligados las medidas que consideren más apropiadas; “por ejemplo, en lugar de indicar si se tiene que aplicar un tipo determinado de candado físico o un sistema de identificación por retina para acceder a documentos en formato físico, la norma tan solo impulsa a aplicar las medidas que el obligado considere suficientes”, dice Fernández Burgueño. Ese matiz, valorar qué medida es suficiente, es donde radica uno de los principales retos de GDPR.

Docente y jurista especializado en ciberseguridad y privacidad, Fernández Burgueño tiene claro que cumplir con GDPR exige tres requisitos: concienciación, conocimiento y tiempo. El primero se va consiguiendo poco a poco, el segundo requiere una especialización profunda en protección de datos por medio de la práctica, que muy pocos poseen, y el tercero es, quizá, el más escaso: tiempo. “Adecuar una actividad empresarial a la normativa de protección de datos exige que una persona altamente concienciada y con conocimiento profundo sobre la materia dedique una cantidad importante de jornadas no solo a la generación de documentación o a la implementación inicial de medidas, sino a la adecuación constante a lo largo del tiempo”.

GDPR afecta a todo el tejido empresarial y no solo a las empresas de más de 250 empleados, que en realidad sólo representa el 0,2% del total. La norma deben cumplirla casi tres millones de empresas y autónomos, sociedades no registradas, asociaciones, comunidades y a un importante número de influyentes y usuarios profesionales de redes sociales. Además, no solo obliga a sujetos españoles, sino a los de cualquier parte del mundo que cumplan alguno de los requisitos indicados en la norma, como, por ejemplo, que reciban datos personales de algún obligado europeo para su tratamiento. El objetivo de la norma es proteger a las personas, con independencia de quien trate sus datos personales y es por ello por lo que el rango de obligados es tan amplio como el derecho hoy permite.

Menciona Fernández Burgueño a FACILITA o la Herramienta de Autodiagnóstico como alguna de las propuestas que AEPD o el INCIBE han puesto a disposición de las empresas para ayudarles a cumplir con la regulación. No basta con conocer su existencia porque lo importante, para quien la utilice, es “estar en disposición de comprender el alcance de cada una de las recomendaciones que se extraigan de ellas y tener conocimiento suficiente como para elegir, implementar y configurar las medidas de seguridad adecuadas en la empresa, con el objetivo de mantenerlas actualizadas, ampliarlas o sustituirlas por unas mejores ante cambios sustanciales o con el paso del tiempo. Y esto se espera tanto de una gran empresa en la ciudad como del panadero del pueblo. Casi nada”, asegura el nuevo COO de SmartHC.

Un año después, ¿qué hemos aprendido?

“Creemos que pocas entidades cumplen al 100% pero la mayoría han dado pasos importantes para un cumplimiento total. Especialmente las grandes empresas han dado pasos decididos en cuanto al cumplimiento; las pequeñas empresas están en general menos concienciadas”, asegura Juan Jesús Merino Torres, National Channel Country Manager de BitDefender, cuando le preguntamos si, un año después de ser de obligado cumplimiento, la empresa española está al día con GDPR. La opinión es compartida por la gran mayoría del mercado. Ignacio Gilart, CEO de WhiteBearSolutions, afirma que “si bien es cierto que las medianas y grandes organizaciones han cumplido en su gran mayoría con la adaptación, muchas pequeñas organizaciones no han cumplido ni son conscientes del impacto de no hacerlo”.

“Queda camino por recorrer”, “lo importante es que la carrera del Reglamento ya ha empezado y todos formamos parte de ella”, “la empresa española no está cumpliendo con el reglamento a pesar de que celebramos las mejoras que ha supuesto”; “el cumplimiento no es un destino, sino un viaje”, son algunas de las reflexiones de los expertos consultados.  Parece claro que cuando se habla de empresas grandes la situación está más controlada, pero el panorama en las pymes es algo distinto. “Antes del 25 de mayo, fecha de entrada en vigor del GDPR, se percibía un gran interés, que se ha traducido en una mayor sensibilización en cuanto al tratamiento de la información, especialmente desde una perspectiva tecnológica. Sin embargo, a pesar de este interés inicial, la realidad es que muchas pymes siguen estando más o menos como al principio”, dice Carlos Vieira, Director general de WatchGuard para España y Portugal, añadiendo que no se ha evolucionado mucho en la implementación de tecnologías y políticas que refuercen la protección de datos (probablemente por cuestiones de escasez de recursos), pero sí se ha avanzado más en el nivel de concienciación y en la obligación de proteger los datos personales, ser más cuidadosos a la hora de compartir determinado tipo de información y con quién.

Un año después, hemos aprendido… “que cumplir con esta nueva normativa incomoda a algunos y no es del agrado de otros”, dice Jesús Rodríguez, CEO de Realsec. La segunda lección aprendida “es que para llevar a cabo el cumplimiento normativo del GDPR es necesario contar de una metodología que facilite el cumplimiento del GDPR y su seguimiento en el tiempo.  Así como formar y sensibilizar a las personas que manejan los datos personales de la importancia de hacer un uso y tratamiento de los datos que observe la norma”, añade el directivo.

Para José de la Cruz, director técnico de Trend Micro para la región de Iberia, “principalmente hemos aprendido a identificar los activos críticos que pueden verse afectados por esta normativa, así como las tecnologías adecuadas para protegerlos. Ahora hay que continuar fomentando un poco más la inversión”, asegura.

Ramsés Gallego, Strategist & Evangelist de Symantec menciona un cambio de perspectiva para la protección de la información, un cambio de enfoque para la salvaguarda de información sensible como el principal aprendizaje que este primer año de GDPR nos ha dejado. La compañía, que prefiere hablar de RGPD, dice que el reglamento “ha sido instrumental en definir el primer paso -fundamental- para la defensa de datos críticos: la evaluación de impacto en privacidad (PIA - Privacy Impact Assessment - por sus siglas en inglés). Está situado es el corazón de la ley y supone el paso definitivo para comprender -primero- qué tipo de información 'vive' en la entidad, por dónde viaja, quién tiene acceso a ella... y, en consecuencia, cuál es el factor de exposición, qué riesgos suponen esos flujos de información y accesos; se trata, como el nombre indica, de una evaluación para comprender el impacto de no portarse adecuadamente en el trato de esa información”.

Estos primeros 12 meses “nos han mostrado que tener una disciplina en el manejo de la información también promueve que las empresas puedan dar un servicio mejor a sus clientes en lo que se refiere a términos de trasparencia y respeto de la privacidad del dato. Esto se refleja también en la información de las empresas que hoy es la "Digital IP" (propiedad intelectual digital), el verdadero patrimonio de las empresas que hay que cuidar con mucha atención”, dice Enrico Raggini, CEO de Spamina.

Para Antonio Ramos, Socio Fundador LEET Security, el aprendizaje ha sido justo que para cumplir con el reglamento “no podemos limitarnos a realizar una serie de cambios en los clausulados y pensar que ya hemos terminado”. Y añade que cumplir con el reglamento supone cambiar la manera de interactuar con las personas e integrar en todos nuestros procesos los principios de debida diligencia en el tratamiento y de responsabilidad sobre los datos que gestionamos.

¿Qué ha mejorado con GDPR?

Las autoridades se siguen esforzando por ofrecer información, herramientas, guías e instrucciones que hagan más fácil ordenar los tratamientos en las empresas. En la búsqueda del cumplimiento, las empresas mejoran las garantías sobre protección de datos, protegen los negocios, impulsan la calidad y aumentan la generación de beneficios en el mercado. Durante el primer año de obligado cumplimiento las empresas han aprendido una importante lección, que la protección de datos es una materia de extraordinaria complejidad, asegura Pablo Fernández Burgueño, quien añade que el Reglamento ha mejorado el conocimiento general sobre los derechos que tiene toda persona física. “Ahora la protección de datos comienza a verse como una película, y no como una foto fija”, lo que lleva a las empresas a destinar recursos para elegir las medidas de seguridad. Pero el mayor salto adelante “se ha dado gracias a la responsabilidad proactiva; “ante la dificultad en el cumplimiento del Reglamento, que no es cosa leve, muchas empresas documentan ahora sus mejores esfuerzos por cumplir”. Y es que según el COO de SmartHC, se ha comprobado que el cumplimiento completo “no es que sea complejo, es que es imposible. Por tanto, poder demostrar que la empresa aplicando sus mejores esfuerzos es quizá uno de los mayores logros del Reglamento”.

Mejorar la comunicación en Internet y, por lo tanto, la experiencia del usuario es una de las mejorar que GDPR ha dejado un año después, en opinión de Ignacio Gilart, CEO de WhiteBearSolutions, quien añade que ahora las organizaciones deben proporcionar una información concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo a los interesados, en relación con sus datos personales y el procesamiento de los mismos.

“Hemos visto en muchas entidades buenas iniciativas en el área de inventario y gestión de los activos de información y especialmente en el proceso de Incident Response”, dice Juan Jesús Merino, de BitDefender, mientras que José de la Cruz, destaca que un año después GDPR ha mejorado la concienciación tanto de empresas como del usuario final acerca de la importancia de los datos de carácter personal, así como “el interés por parte de las empresas en soluciones de seguridad para proteger dichos datos”.

Habla también de sensibilización Jesús Rodríguez. Para el CEO de Realsec, la principal mejora proporcionada por GDPR es una mayor sensibilización de la importancia de hacer un uso adecuado de los datos personales y del impacto que tiene el incumplimiento en cuanto a la vulneración de los derechos constitucionales de las personas. “En la era digital pienso que es relevante y de suma importancia proteger los datos de las personas”, asegura el directivo. 

En opinión de Carlos Vieira, de WatchGuard, se ha mejorado la sensibilización sobre cómo tratar, almacenar y gestionar los datos personales, “y se han visto mejoras en algunas empresas que han implementado las medidas necesarias desde el punto de vista tecnológico para estar mejor preparadas para el cumplimiento de la norma. Pero insisto, queda mucho por hacer en el área de procedimientos, metodologías y tecnología”.

Ramsés Gallego es más generoso al hablar de las mejora que la normativa ha aportado al mercado. Menciona la necesidad de contar con un/a Delegado/a de Protección de Datos; de la obligación de comunicar una fuga de datos -en menos de 72 horas desde que se conozca el hecho; de una mejora en la concienciación de la necesidad de proteger y defender información, y en la comprensión de conocer quién tiene acceso a qué información, en todas las plataformas, en todo momento y todo ello es una mejora sustancial frente a situaciones anteriores y procedimientos más burocráticos que efectivos (como, por ejemplo, declarar los ficheros con información personal en la Agencia). “Se ha mejorado, en resumen, la comprensión de la realidad empresarial en protección de datos y las medidas técnicas y organizativas que se deben poner en marcha”, dice el directivo de Symantec.

“GDPR ha devuelto al propietario del dato su manejo y uso. Cosa que hasta el momento no estaba del todo contemplado en la manera de hacer los negocios en la nueva era digital”, dice Enrico Raggini, de Spamina, añadiendo que GDPR ha dado a las empresas europeas un posicionamiento de relevo en el contexto global, sobre todo con respecto a los gigantes tecnológicos.

Habla Antonio Ramos, de LEET Security de mejoras desde el punto de vista de los afectados y desde el punto de vista de las empresas. En opinión de este directivo ha mejorado notablemente el régimen de responsabilidad, “lo que hace que las empresas se tomen mucho más en serio lo que hacen con nuestra información. Desde el punto de vista de las empresas, “creo que lo más relevante es la aplicación global a todo el mercado europeo”. Y entrando en aspectos más técnicos señala que un aspecto que en principio podría ser positivo, como el establecimiento de medidas de protección en función del riesgo, dada la poca madurez de las compañías en este sentido, “ha generado más penas que alegrías, porque las organizaciones se han sentido “desvalidas” sin un marco concreto al que atenerse para proteger los datos”.

GDPR como dinamizador del mercado de seguridad

GDPR ha removido más conciencias que presupuestos. Se frotaban las manos las empresas de seguridad con una normativa que parecía impulsar un mercado que, aun así, goza de buena salud. ¿Ha sido así? El reglamento, ¿ha impulsado el negocio de seguridad tanto como se esperaba?

Dice Pablo Fernández Burgueño que no parece que la normativa sea un aliciente, como tampoco lo son las posibles multas. Asegura el experto que las empresas con capacidad económica y una profunda concienciación sí implementan, actualizan y mantienen medidas de seguridad adecuadas, pero que esto no es la tónica en España. “Muchas empresas comprenden el problema y quieren implementar soluciones, pero no disponen de recursos para ello, ni capacidad para lograrlos a corto plazo, por lo que dan prioridad al mantenimiento del negocio; y muchas de las que sí disponen de capacidad económica, o no comprenden el problema o lo desprecian ante la posibilidad de seguir destinando recursos a los medios de producción tradicional”. En todo caso, el mercado de seguridad está en alza y gracias a GDPR “veremos empresas más seguras y, por ende, personas mejor protegidas”.

Para Juan Jesús Merino Torres, National Channel Country Manager de BitDefender para España, “GDPR ha impulsado algunas áreas, entre cuales destacaríamos la compra de soluciones de Endpoint Detection and Response (EDR) y el desarrollo de soluciones de control de identidades y privilegios”. Además, se ha notado un incremento en la demanda de soluciones de protección para los dispositivos móviles, de seguridad para las infraestructuras híbridas (las que incluyen alguna instancia en la nube) y, lo evidente, una demanda para las soluciones de cifrado del disco duro y de gestión de parches.

“GDPR ha actuado como dinamizador de proyectos de ciberseguridad en las organizaciones”, asegura Ignacio Gilart, que amplía la visión afirmando que los proveedores de servicios cloud llevan tiempo adecuando sus negocios a la nueva normativa, “lo que ha permitido generar más confianza en este tipo de servicios y hacer crecer la adopción de los mismos como elemento catalizador de la transformación digital de las organizaciones”.

Manos optimista es José de la Cruz, quien asegurando que GDPR ha fomentado el interés y necesidad de inversión en seguridad, y que este interés ha impulsado indudablemente el mercado “quizás no de la manera que se esperaba puesto que las organizaciones están efectuando una inversión progresiva”. Jesús Rodríguez es de opinión similar; asegura el directivo que “GDPR no ha respondido al impulso del negocio de la seguridad en la forma en que se esperaba”, explicando que la normativa no establece la obligatoriedad de implantar mecanismos o medidas técnicas de seguridad específicas, sino que éstas pueden ser necesarias como consecuencia de un análisis de riesgos, cuyo fin es salvaguardar la confidencialidad e integridad de los datos personales; “la mayoría de las empresas adecuadas o en proceso de adecuación al GDPR, han invertido e invierten, únicamente, en adoptar aquellas soluciones o medidas internas que les permita, sin excesivo entusiasmo, cubrir el expediente”.  

Habla Ramsés Gallego, Strategist & Evangelist de Symantec, de un mayor impulso de proyectos e iniciativas para proteger la información, aunque los presupuestos “en nuestro país en este sentido siguen siendo restrictivos, inferiores a lo preciso”. Reconoce igualmente que dada la profundidad del reglamento no se puede hacer todo en un primer momento, “no existe un 'Big Bang' que haga, de la noche a la mañana, cubrir todo lo indica el RGPD y, por ello, las empresas deben priorizar (tras el descubrimiento de lo que indique la evaluación de impacto en privacidad que mencionábamos anteriormente)”.

Menciona el directivo la buena acogida que ha tenido el 'mapeo' de soluciones de la compañía, con todos y cada uno de los artículos del reglamento, “y ello facilita a la empresa española la comprensión de qué pretendía el regulador con esa medida y con qué solución tecnológica se puede/debe cubrir esa expectativa de protección”. Y habla de “una aproximación 'de plataforma', completa, coherente tecnológica y estéticamente, es la solución para proteger cada entorno ya que el RGPD pretende proteger datos sensibles allí donde existan (nube, dispositivos móviles, datacenters, cabinas de almacenamiento, bases de datos, puesto de trabajo...) y un acercamiento que abrace todo ello se ve beneficiado por la visibilidad que aporta a los clientes”.

Dice Enrico Raggini, CEO de Spamina, una empresa que ofrece soluciones de seguridad web y para el correo electrónico, que en ámbito de actuación GDPR no ha significado un impulso realmente significativo, pero sí se está viendo “que cada vez más va a tener un impacto directo con algunos tipos de productos como el archivado, el cifrado de correo y la prevención de fuga de información (Data Loss Prevention)”.

Diferente es el caso de LEET Security, una empresa calificadora del nivel de seguridad de los servicios TIC. “En nuestro caso particular, sí que ha supuesto un avance significativo porque antes del reglamento sólo las empresas más maduras y con un mayor nivel de subcontratación eran las que trabajaban en implementar procesos de gestión de riesgos de terceros/proveedores y en aplicar mecanismos de supervisión a los niveles de seguridad de sus proveedores”; sin embargo, desde la entrada en vigor del reglamento y, en particular, derivado del nuevo artículo 28 de encargados de tratamiento, todas las compañías se han dado cuenta de que tienen que supervisar a sus encargados y que no pueden hacerlo sobre la base de unos simples cuestionarios que no aportan garantías (a menos que vayan acompañados de una declaración responsable) o de las certificaciones existentes (la ISO27001 no certifica cuánto de seguro es un servicio/proveedor) y están acudiendo de manera recurrente a nuestros servicios de calificación LEET Security. Además, el desarrollar un mecanismo específico les obligaría, no sólo al esfuerzo de desarrollarlo, sino a asumir los costes futuros de realizar las evaluaciones de cumplimiento de toda su cadena de valor (y en algunos casos estamos hablando de varias decenas de compañías).

Se han cerrado más operaciones de cifrado, especialmente en la parte de comunicaciones VPN, que es un área en el que en WatchGuard estamos viendo más solicitudes, y de cifrado de endpoints, pero una vez más, dista de las expectativas iniciales”, dice Carlos Vieira, country manager de WatchGuard para España y Portugal. Explica el directivo que GDPR ha sido un elemento que ha permitido abrir la puerta al mundo de la seguridad a muchas empresas, pero no ha sido tan determinante como algún otro evento de seguridad como el ransomware (pensemos en los estragos que causó Wannacry), las oleadas de phishing, los ataques de suplantación de identidad en los mensajes de correo electrónico, etc.