Documento de seguridad de la información: retos, normativa y soluciones

La protección de la información sigue siendo uno de los mayores retos de la ciberseguridad a nivel mundial. La seguridad de la documentación y la privacidad de los datos se han convertido en cuestiones de máxima urgencia a afrontar por cualquier organización empresarial. No puede faltar el documento de seguridad.

El robo y/o secuestro de la información continúa siendo un quebradero de cabeza para todos los responsables de seguridad. Día a día crecen los casos conocidos de robos de credenciales y de datos confidenciales, los casos de secuestro de la información (ransomware), dejando patente la falta de protección de los archivos, de los datos y documentos confidenciales, de los diseños o de la propiedad intelectual, entre las numerosas casuísticas susceptibles de ataque. Son informaciones y datos vitales para la continuidad del negocio, y que adicionalmente pueden ocasionar graves daños a la reputación de la empresa, como sabemos, también clave para cualquier tipo de organización.

El problema no solo tiene su origen en el exterior de las organizaciones (hackers), sino también en su interior (personas insatisfechas). Esto enfrenta a los responsables de seguridad a adoptar soluciones que no siempre ayudan a resolver ambos sentidos del problema, con el coste en tiempo e inversiones que ello supone.

En general, las empresas centran sus esfuerzos en desarrollar su negocio, incrementar sus resultados, y apenas toman en consideración las necesidades de ciberseguridad, dedicando pequeños o nulos esfuerzos a la seguridad y privacidad de sus datos, o a crear el documento de seguridad.

Las autoridades han motivado la actualización de normativas y regulaciones que contribuyan a tomar conciencia a empresas y personas. También han instado a reforzar los mecanismos de protección y seguridad de la documentación a las empresas, tomando en consideración los siguientes factores:

• la necesidad de presencia global de las organizaciones.
• la necesidad de homogeneizar y estandarizar las reglas para la protección de los datos y la privacidad.
• la conciencia de los riesgos para las personas y las empresas.

Buen ejemplo de ello es el Reglamento general de protección de datos (GDPR) que amplía y estandariza las reglas de protección de datos en toda la Unión Europea. Se publicó el 4 de mayo de 2016, y entrará en vigor el 25 de mayo de 2018, para cualquier organización que opere en la UE y procese los datos personales de sujetos de la UE.

En su aplicación para las organizaciones, el Reglamento general de protección de datos (GDPR):

• permite a las personas de la UE controlar qué información personal sobre ellos se retiene y cómo se utiliza.
• cubre todos los datos personales que, directa o indirectamente, identifican o hacen a una persona identificable.
• las organizaciones tienen la obligación de notificar las infracciones de datos en 72 horas.
• define reglas estrictas para obtener el consentimiento para el procesamiento legal de datos.
• otorga a los reguladores poderes para garantizar el cumplimiento de las normas del GDPR.

Adicionalmente, su incumplimiento conlleva sufrir grandes sanciones de hasta 20 millones de euros o el 4% de la facturación mundial total anual, la magnitud que sea superior. Estos valores pueden suponer la supervivencia de una empresa.

En este contexto, los responsables de Ciberseguridad de las empresas, encargados también de mitigar los riesgos, tienen un doble objetivo:

• evitar el robo y/o secuestro de los datos
• actuar con la diligencia debida para evitar sanciones

Aún cuando estos objetivos se nos pueden antojar complejos y costosos de cumplir, hoy en día la tecnología nos ayuda con soluciones que contribuyen a conseguir ambos propósitos. Lo que se logra es tratar simultáneamente las dos caras del problema, en sus vertientes externa e interna. Son dinámicas rápidas de implantar, incluso en medianas y grandes organizaciones, y con inversiones de unas pocas decenas de euros al año por empleado.

El Programa Superior de Ciberseguridad y Compliance de ICEMD, El Instituto de la Economía Digital de ESIC, dota a los profesionales de conocimientos y experiencias para afrontar el reto de la ciberseguridad en sus empresas o proyectos. Más información e inscripciones aquí.