GDPR: la ciberseguridad como una forma de riesgo comercial y no como un problema técnico
Laura Jiménez, directora regional de Darktrace en América Latina:
El 25 de mayo entró en vigencia el Reglamento General de Protección de Datos, mejor conocido como GDPR, por sus siglas en inglés. Su aplicación sienta un precedente global debido al carácter extraterritorial de la ley, así como también el alcance tan significativo, su ambición y las grandes sanciones en caso de incumplimiento. Tiene la intención de establecer la protección de datos personales como un derecho fundamental del individuo, al requerir que las organizaciones busquen el consentimiento claro e inequívoco de los usuarios sobre cómo se pueden usar sus datos y por cuánto tiempo.
México no ha sido evaluado por la Comisión Europea como un país «seguro» en términos de protección de la privacidad de los usuarios y la seguridad de los datos personales. En este contexto, algunas empresas mexicanas deben prepararse para cumplir con el GDPR y responder de ser necesario. De acuerdo al estudio de Consumidores de privacidad de datos mundiales Veritas 2018, realizado en junio de 2018, se generó una encuesta para 12,500 personas, poco más de 1 de cada 5 (31.5%) usuarios mexicanos creen que la mayoría de las empresas no saben cómo proteger sus datos personales. Nueve de cada 10 (92,2%) usuarios expresaron su preocupación por la protección de sus datos personales. Con el GDPR, ahora se vuelve un tema prioritario que la compañía aborde estas preocupaciones.
Aunque en 2017 el 87% de las filtraciones de datos ocurrieron en minutos, el 68% de éstas no se descubrieron durante meses, según el reporte de Investigación de filtraciones de datos de Verizon 2017. En este contexto, las empresas están luchando con la forma en que pueden notificar a las autoridades dentro de las 72 horas posteriores al descubrimiento de una filtración de datos a fin de cumplir con la regla de notificación de incumplimiento del GDPR.
La detección temprana de amenazas, junto con la capacidad de investigar y comprender rápidamente una amenaza, son elementos críticos de la capacidad de cumplimiento de una empresa. Al identificar comportamientos genuinamente sospechosos en contra de su sentido cambiante de comportamiento «normal», la tecnología de Darktrace notifica a las empresas sobre las amenazas tan pronto como surgen. Esto no solo ayuda para notificar dentro de 72 horas establecidas, sino que si las empresas actúan lo suficientemente rápido pueden evitar una violación de datos en su totalidad.
Parece que muchas empresas no saben por dónde empezar cuando hablamos de cumplir con el GDPR, pero es, en esencia, un llamado para una mejor capacidad de toma de decisiones y una mejor protección de datos. Esto está en línea con las preferencias de los consumidores. Como se indica en el estudio de Consumidores de privacidad de datos mundiales Veritas 2018, los consumidores mexicanos tienen la intención de recompensar a las compañías que protegen adecuadamente sus datos: el 73% menciona que gastaría más dinero en organizaciones en las que confía para cuidar sus datos. El 31,3% está dispuesto a gastar hasta un 25% más con empresas que toman en serio la protección de datos.
El mayor temor de los consumidores y las empresas son las amenazas que no conocemos, lo que nos lleva a la necesidad de considerar la defensa cibernética de la Inteligencia Artificial debido a su detección y respuesta automatizadas ante los primeros signos de amenazas. La entrada en vigor del GDPR debería hacernos pensar en la ciberseguridad como algo más que un problema técnico a resolver, deberíamos pensar también en que es una forma significativa de riesgo comercial. Una multa por incumplimiento del reglamento podría eliminar los ingresos de una empresa más pequeña, obligándola a salir del mercado.
En esta nueva era, es esencial cambiar nuestra visión, evolucionar y adaptar nuestros sistemas a nuevas regulaciones, nuevas tecnologías y nuevas amenazas. Darktrace se fundó con la visión de cambiar la forma en que las empresas piensan sobre la ciberseguridad. Nuestra fortaleza es la provisión de un sistema inmune para la seguridad cibernética, proporcionando a las organizaciones una protección interna evolutiva y la capacidad de luchar contra las amenazas que penetran en la red. Ya que el cumplimiento del GDPR hace que la protección de datos y la detección temprana de amenazas sea más importante que nunca, es fundamental que las empresas adopten un enfoque proactivo y prospectivo.
