La gran mayoría de las pymes y las grandes empresas de la Unión Europea desconoce las reglas y cómo prepararse para cumplir el nuevo Reglamento General de Protección de datos, conocido como GDPR por sus siglas en inglés, que entrará en vigor en mayo de 2018, según se desprende de una encuesta global llevada a cabo por Dell.
El 82 % de los profesionales encuestados de las áreas comerciales y de TI encargados de la seguridad de los datos, tanto en las pymes como en las grandes empresas, está preocupado por el cumplimiento del reglamento. Sin embargo, el 80 % afirma que o bien sabe muy poco o no tiene nada de información respecto al GDPR.
Menos de un tercio de las empresas siente que está preparado para cumplir esta normativa y cerca del 70 % de los encuestados dice que no está preparado o no sabe si su empresa está preparada para aplicarla a día de hoy. Y solo un 3 % de ellos cuenta con un plan para su implementación.
Por países, los alemanes son los que se sienten más preparados para la implementación del GDPR (un 44 %), mientras que los encuestados en Benelux (Bélgica, Holanda y Luxemburgo) son los que afirman estar menos preparados (sólo un 26 %). Más del 75 % de los encuestados fuera de Europa indica que o no están preparados o no saben si lo están.
Otro dato que arroja la encuesta es que el 97 % de las empresas no han establecido un plan para cumplir con el GDPR en 2018.
Además el 79 % no sabe o no ha sido informado sobre las sanciones a las que se enfrentarían si el reglamento hubiera entrado en vigor este año pasado.
El estudio también indica que la mayoría de las empresas no se sienten bien preparadas en las distintas modalidades de seguridad para cumplir el reglamento. Más del 60 % de las empresas encuestadas en Europa no están preparadas o no saben si lo están para cuando entre en vigor el nuevo reglamento. Cerca del 70 % de las pymes europeas encuestadas afirmó que o no está preparada o no sabe si lo está para los requisitos establecidos en el GDPR.
Sólo el 21 % se siente bien preparado para la gestión de accesos, una medida de seguridad clave en reglamento; menos de la mitad se sienten bien preparados para cualquier aspecto de la seguridad que afecte al GDPR.
Más del 90 % de los encuestados afirmaron que sus prácticas actuales no cumplirían los requisitos del GDPR; aunque más del 80 % asegura que está bien o de algún modo preparado con su actual tecnología de seguridad para el e-mail.
Más del 65 % afirma que está bien o de algún modo preparada con su tecnología de firewall de nueva generación (NGFW por sus siglas en inglés).
Consejos
Ante esta situación, Dell ha preparado una serie de consejos para que las empresas puedan comenzar a prepararse para cumplir la normativa. Uno de ellos es contratar a un responsable de protección de datos, ya que es un requisito del reglamento. Este puesto lo puede desempeñar un empleado de la empresa o se puede externalizar. Aquí es donde los integradores de sistemas o resellers tienen la oportunidad para ofrecer esta actividad como un servicio.
Otro de los consejos es el despliegue de una sólida solución de gestión de identidades para los accesos. La gestión del acceso a las aplicaciones que permiten el acceso a los datos personales de los ciudadanos de la UE — concretamente a los datos no estructurados — es un factor fundamental para la seguridad de los datos y el respeto del GDPR. El proveedor aconseja la familia One Identitiy de soluciones para la gestión de identidad y acceso que permite cumplir con la exigencia de la norma.
El control de los gestión de los accesos es otro requisito y entre las tecnologías que facilitan este nivel de control destacan la autentificación multifactorial, el acceso remoto seguro, la seguridad basada en riesgos y adaptativa, la gestión de contraseñas granular y el control completo de las credenciales y las actividades de usuarios privilegiados.
Otra recomendación es la protección del perímetro con cortafuegos de última generación para reducir la exposición de la red a las ciberamenazas. Los cortafuegos de última generación Dell SonicWall son una de las opciones que pueden utilizar las empresas.
También aconseja facilitar el acceso móvil seguro con el fin de potenciar el flujo seguro de los datos para que los empleados puedan acceder a las aplicaciones y a los datos que necesitan de la manera que prefieran y en los dispositivos de su elección.
El último consejo es garantizar la seguridad del e-mail, ya que para cumplir con todos los requisitos del GDPR se tiene que controlar y tener visibilidad de toda la actividad por e-mail para atenuar las amenazas y otros ataques, pero a la vez ofreciendo un intercambio seguro de los datos.
“Este nuevo reglamento ofrece unos derechos uniformes respecto a la protección de datos en toda UE y, para actuar de conformidad, tanto las organizaciones europeas como las de fuera de Europa que hacen negocios allí deberán adoptar un modelo de seguridad por capas centrado en el usuario y adaptativo en torno a la prevención, la detección, la respuesta y la predicción. Para respetar el nuevo reglamento, se necesitan soluciones de seguridad que permitan evitar ataques, detectar una presencia potencialmente peligrosa en las redes, responder rápidamente a dicha amenaza e informar sobre la salud de las redes en tiempo real”, señaló Patrick Sweeney, vicepresidente de gestión de productos y marketing de Dell SonicWall.