Solo una de cada tres empresas está preparada ante un posible ciberataque

Hace ahora tres años, entró en vigor en la Unión Europea quizá la normativa internacional más estricta en materia de protección de datos. Nos ha sorprendido que 36 meses después aún haya muchas empresas que ni siquiera conocen si les afecta el llamado Reglamento General de Protección de Datos (RGPD). De esta manera aparece reflejado en un informe que acaba de publicar la compañía especializada en ciberseguridad CrowdStrike. Hay varias conclusiones que invitan a la reflexión: sólo un 34% cuenta con protocolos específicos en caso de ser atacada. Como curiosidad, un 8% de las empresas cree que ese reglamento no les afecta y dos de cada diez ni siquiera saben si tienen que cumplirlo.

Se supone que las empresas tienen que informar de brechas en sus bases de datos a la autoridad pertinente en 72 horas desde que el ataque es descubierto, pero este estudio revela que tres de cada diez empresas que ha sido víctima de un ciberataque no lo hacen. Casi la mitad de las empresas europeas -un 43% de ellas- cree que puede ser objetivo de un ciberataque y, sin embargo, sigue ignorando sus obligaciones para informar de los ataques. Siguen subestimando las capacidades de los cibercriminales. De hecho, poco más de la mitad -el 55%- se considera preparada ante un evento de seguridad.

Pese a ese panorama, desde esta firma también ven puntos positivos desde la aplicación de esta normativa en la Unión Europea. “El objetivo del RGPD para proteger los derechos de protección de datos y las obligaciones para quienes trabajan con datos personales ha conseguido un importante éxito, sobre todo porque ha llevado la protección de datos a los Consejos de Administración”, explica Drew Bagley, vicepresidente de CrowdStrike para el área de privacidad. “Sin embargo, se ha usado demasiada energía en los últimos tres años discutiendo sobre cómo restringir los flujos de datos entre fronteras cuando las mayores amenazas a la protección de datos llegan desde ciberataques sofisticados”. En opinión de este experto, es en este punto donde el RGPD brilla debido a las exigencias que impone a las empresas sobre la puesta en marcha de políticas de ciberseguridad que sirvan para proteger los activos de un riesgo. “A lo que me refiero es a que las organizaciones deben priorizar la ciberseguridad como parte de su estrategia de mitigación de riesgos dentro del RGPD”, añade Bagley.

Para este responsable de ciberseguridad, esta normativa europea también ha influido en varios desarrollos legislativos sobre protección de datos en todo el mundo y muchas organizaciones han mejorado la forma de manejar sus datos gracias a este reglamento. Le preguntamos al vicepresidente de CrowdStrike si cree que deberían de implantarse nuevas medidas para garantizar el cumplimiento del Reglamento General de Protección de Datos. “Las organizaciones deben recordar que el RGPD se basa en principios y, por lo tanto, cumplir con él es un proceso interactivo: no existe el ya está cuando hablamos de protección de datos. Cumplir con el reglamento exige a las organizaciones poner en marcha procesos apropiados de evaluación y protección de las actividades relacionadas con sus datos”. ¿Serían necesarias nuevas sanciones entonces? “Las sanciones de la UE en los últimos tres años dejan claro que las amenazas relacionadas con la ciberseguridad son uno de los mayores problemas a la hora de cumplir con el RGPD, por lo que es importante que las empresas inviertan en tecnologías apropiadas para mitigar los riesgos actuales. Los ataques tipo ransomware-as-a-service o basados en autenticación no se previenen con enfoques tecnológicos que no cumplen con el reglamento, por lo que es difícil de imaginar cómo una empresa puede admitir que cumple el RGPD si no cuenta con tecnologías de protección antes ciberataques. Los gobiernos nacionales deben seguir alertando sobre los riesgos y sobre la recompensa que puede suponer cumplir con el reglamento”, concluye.