La protección del dato es cosa de todos

Nos podría parecer, por el bombardeo informativo de los últimos meses, que esto de la privacidad es reciente, que la necesidad de proteger los datos de los usuarios es cosa de la GDPR, de obligado cumplimiento desde mayo de 2018. Pero no, fue el 26 de abril de 2006 cuando el Consejo de Europa decidió establecer el 28 de enero como el Día de la Protección de Datos aprovechando que la Convención de protección de datos de Europa, conocida como Convention 108, fue abierta para su firma.

Este contenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.

La Convención para la protección de las personas con respecto al procesamiento automático de datos personales, o Convention 108, es un tratado del Consejo de Europa de 1981 que protege el derecho a la privacidad de las personas y que ya tenía en cuenta el creciente flujo a través de las fronteras de los datos personales que se someten al procesamiento automático.  Desde 1985, esta convención de protección de datos se ha actualizado y se ha agregado un nuevo instrumento sobre inteligencia artificial. En todo caso, desde 2016 está en vigor la Ley General de Protección de Datos, también conocida como GDPR, siendo de obligado cumplimiento desde el 25 de mayo de 2018.

El caso es que desde 2006 se conmemora el Día Internacional de la Protección de Datos, desarrollándose actividades dirigidas a concienciar a los ciudadanos sobre la importancia de proteger su privacidad. Aseguran desde Sophos que los usuarios siguen siendo poco conscientes de lo vulnerables que pueden ser sus datos personales, y recuerdan que el 41% de las víctimas ciberataques sufren filtraciones de datos. “El deterioro de la privacidad ha facilitado la vida de los malos”, dice Corey Nachreiner, CTO de WatchGuard Technologies, tras asegurar que la privacidad de los datos nunca ha sido tan importante para los consumidores y las empresas por igual; “con nuestros datos personales tan fácilmente accesibles a través de las plataformas de redes sociales y distribuidos libremente a través de Internet, los hackers pueden utilizarlos en nuestra contra. Aprovechando la información personal disponible, pueden crear mensajes creíbles de phishing o de spear phishing, descifrar nuestras contraseñas y mucho más”.

Al respecto de la privacidad y los usuarios, propone Sophos una serie de consejos que van desde escoger contraseñas más seguras; no pinchar en todos los enlaces que se reciban por correo electrónico; desconfiar de las redes WiFi gratuitas, y utilizar sistemas de protección. Dice Corey Nachreiner que el primer paso para mejorar la privacidad es “simplemente reconocer que esto es un problema” y apunta a que más allá de nuestra propia responsabilidad como usuarios, hay un mayor compromiso por la privacidad de los datos, como lo demuestra GDPR o la recientemente promulgada Ley de Privacidad del Consumidor de California, que demuestra, además, que los Estados están aumentando la presión sobre las empresas para que protejan los datos de los usuarios.

Respecto a GDPR reflexiona Daniel Fried, director general y vicepresidente sénior, EMEA y Worldwide Channels de Veeam, que “su impacto ha sido realmente significativo. Hasta la fecha, asegura el directivo, GDPR ha recaudado casi 429 millones de euros en sanciones, “y actúa como firme recordatorio constante para cualquier negocio que procesa datos de ciudadanos europeos, haciendo entender que se aplican sanciones por no adherirse a los requisitos de la normativa en materia de privacidad de datos”.

Para Adenike Cosgrove, Estratega de Ciberseguridad de Proofpoint, el Día Internacional de la Protección de Datos ofrece una buena oportunidad a las organizaciones para dar un paso atrás y considerar si realmente están haciendo lo suficiente para mantener seguros los datos de sus clientes frente a las amenazas actuales; “el hecho de que una empresa cumpla con la normativa no significa necesariamente que esté haciendo todo lo posible para proteger los datos personales de sus clientes”, dice Cosgrove, añadiendo que el panorama actual de las ciberamenazas ha cambiado drásticamente, y los ciberdelincuentes utilizan ataques sofisticados y selectivos basados en ingeniería social para sacar provecho de las vulnerabilidades humanas. “Una seguridad simplemente ‘adecuada’ no es suficiente. La defensa contra estas amenazas requiere de una estrategia igualmente sofisticada para la dotar de seguridad permanente a las personas, los procesos y la tecnología”, afirma la estratega de seguridad de Proofpoint.

Aseguran desde Veeam que las organizaciones deben fomentar una cultura de la transparencia en el modo en el que se hace uso de los datos, y especialmente durante este periodo de transición. “No todo el mundo en una empresa puede ser un experto en protección de datos, pero todos los empleados sí que deben valorar y comprender los principios básicos”, dice Daniel Fried.

Para el Director General de Veritas en España, el Día Internacional de la Protección de Datos sirve como recordatorio de que las empresas son cada vez más responsables de la protección de datos ante los reguladores y los consumidores. “Y también es una buena oportunidad para que los CIOs y los Responsables de Protección de Datos destaquen el tema de la privacidad de los datos a la junta directiva de su empresa, o incluso para que implementen actividades internas especialmente dedicadas, como la capacitación de los empleados o las pruebas de phishing para asegurar que los empleados sean educados continuamente sobre el papel vital y protagonista que juegan en la protección de los datos de su compañía”.

“Podríamos ensalzar el Día internacional de la Protección de Datos como un evento destacado puntual, pero es importante señalar que la privacidad de la información es una prioridad esencial que hay que mantener durante todo el año”, concluye José Manuel Petisco, Director General, Veritas Iberia

Estado de la protección de datos corporativos en España

A finales de 2019 lanzaba Kingston los resultados de un informe que analizaba tanto el estado actual de la seguridad de los datos en el ámbito corporativo como los principales riesgos y desafíos a los que se enfrentan las empresas. Entre las principales conclusiones que durante el pasado año el 73% de las compañías españolas sufrió al menos una brecha de seguridad, de las que una de cada cinco admitió haber experimentado entre tres y cinco brechas de filtración de información.

No parece, no obstante que estos datos preocupen a las empresas teniendo en cuenta que casi un tercio de las empresas españolas apenas destina un 20% del presupuesto del departamento a proteger la información que almacenan, frente a un 8% que destina, al menos, la mitad del presupuesto de su departamento.

Según el informe, a pesar de la obligación de cumplir con el GDPR, todavía muchas compañías tienen problemas para garantizar la seguridad de la información que almacenan. En este sentido, el estudio de Kingston señala que la mayoría de los CIOs españoles cree que contar con nuevos productos de almacenamiento seguro (65%) y la formación de los empleados (57%), son las últimas prioridades en la inversión en materia de protección de la información.

Ante este escenario, desde Kingston ponen el foco en el hecho de que el artículo 32 de GDPR obliga a cifrar los datos. El estudio de la compañía señala que, si bien la mayoría de las empresas (84%) utilizan el cifrado por software como medida de salvaguardia, el sistema de protección a través de hardware no tiene mucho calado. 

La privacidad es cosa de todos

Está claro que las empresas deben gestionar los datos de los usuarios de manera rigurosa, pero los propios usuarios tienen un papel importante cuando se trata de proteger los datos. Al respecto una noticia publicada recientemente en los medios: La versión gratuita de Avast vendía datos de navegación de los usuarios.

Lo que para muchos era un escándalo, para otros muchos, sobre todo los que tienen un pie en el mundo ciber, no deja de ser un titular sin demasiada importancia. La investigación, realizada por Motherboard y PCMag detectó que la versión gratuita de Avast, que utilizan millones de usuarios en todo el mundo, vender datos de navegación “altamente sensibles” a través de una empresa subsidiaria llamada Jumpshot.

Si bien se ha detectado que muchos no sabían que Jumpshot estaba vendiendo sus datos, la investigación reconoce que Avast exigió a los usuarios que aceptaran el intercambio de datos. Y los usuarios aceptaron.