• 21 millones

    de seguidores diarios

  • Líder de Prensa

    digital en España

  • Una amplia gama

    en revistas líderes en su segmento

Noticias

Protección de datos en la era digital

EXPANSIÓN ha organizado, junto con HP y Symantec, un observatorio para poner en común un pacto justo en la transferencia de información que reemplace al 'Safe Harbour'.

El acuerdo legal sobre la protección en la transferencia de datos, que reemplazará al Safe Harbour, podría estar aprobado antes de verano. Lo anunció la comisaria europea de Justicia, Vera Jourova, al referirse al nuevo protocolo en materia de la transferencia transatlántica de datos personales denominado Privacy Shield. Se trata de un asunto crucial para miles de empresas tanto de EEUU como de Europa que, desde el 6 de octubre del año pasado, cuando el Tribunal de Justicia de la UE invalidó el acuerdo Safe Harbour, se encuentran en un vacío legal. "La caída de Safe Harbour ha sido un trauma", señaló Gianluca D’Antonio, director de servicios de seguridad de la información y gestión de riesgos tecnológicos de FCC durante el Observatorio organizado por EXPANSIÓN, HP y Symantec sobre Protección de datos en la era digital. Para D’Antonio, esta situación genera indefinición y un trabajo interno de revisión sobre cómo quedan aquellos contratos que se ven afectados. "Y en nuestro caso no es una tarea fácil porque operamos en 26 países de los que casi 20 están fuera de Europa". 

Precisamente, la estrategia de mirar más allá de la legislación propia y de la UE y analizar la normativa del resto de países "nos ha ayudado a marcar determinada estrategia desde mucho tiempo atrás", comentó Andreu Bravo, responsable de la seguridad en los sistemas de la información de Gas Natural Fenosa. "Pensar en las situaciones de riesgos que se podían producir en los países que nos prestan determinados servicios, nos llevó, en los últimos años, a evitar hacer transferencias internacionales, evitando precisamente que la legislación americana, –porque hablar de Safe Harbour es hablar de Estados Unidos–, pudiera en cualquier momento exigir el acceso a información privada de ciudadanos españoles o de cualquier otro país de nuestro grupo empresarial".

De lo que se trata, afirman los participantes, es de la protección de datos y, en este sentido, no hay una estrategia completa, de extremo a extremo, por parte de las empresas. "No hay una clasificación de datos, no creo que el 80% del Ibex 35 disponga de una clasificación de información porque no están del todo concienciados de la necesidad de proteger los datos internos", explicó Karen Gaines, country lead Iberia de HP Enterprise Security Services. 

El country manager de Symantec en España y Portugal, Carlos Ferro, consideró positivo apoyar este tipo de regulaciones porque la protección, especialmente de los datos personales, es parte del derecho fundamental. "Cualquier regulación que armonice su tratamiento va a permitir asegurar la reputación de una empresa que va a estar más protegida por lo que ofrecerá más garantías".  

Stefan Schuster, director de proyectos en el área de competitividad TIC de Tecnalia, habló de la legislación en el sentido de que no existe un marco legal igual en toda Europa. "Hay un vacío legal desde que se invalidó Safe Harbour, y necesitamos un marco común para proteger los datos y garantizar la privacidad. La parte que le queda a las empresas para contrarrestar y prepararse para este nuevo viaje es, desde luego, la tecnología. Nosotros abogamos por establecer la protección a través de la encriptación, de fin a fin, como la forma más segura de garantizar que nadie pueda acceder a datos sensibles". 

Para Eduardo Di Monte, director de continuidad de negocio y seguridad de Agbar, habría que empezar a trabajar para cambiar a una estrategia basada en el dato de seguridad puro y duro, "de tal forma que, independientemente de donde esté el dato, se pueda encriptar, enmascarar, en función del tipo de acceso e independientemente del dispositivo".

Respecto a la gestión del dato en sí y la regulación, Iván Sánchez, director de seguridad de la información de Sanitas, comentó que, a pesar de haber provocado incertidumbre que la normativa sobre la que se basaban ciertos procesos de transferencia se hubiera derogado, "lo que se echa en falta es la homogeneización regulatoria que nos ayude a soportar la transformación digital y los riesgos que eso conlleva". 

Pero, además, la seguridad tiene que aportar un valor al negocio, un valor exacto desde el punto de vista del servicio que está prestando la empresa. "Yo creo que éste es el camino", señaló Di Monte, a lo que Schuster añadió que las disciplinas de ingeniería aún no están a la altura en lo que se refiere a los requisitos de seguridad. "Ahí está la clave. Hay que pensar en sistemas resilientes a todos los niveles para poder desarrollar metodologías más seguras", añade. 

La protección del dato es para Symantec un derecho fundamental. "Por esta razón", dijo Carlos Ferro, "estamos liderando la ayuda a empresas en todos los ámbitos, desde la identificación de datos confidenciales y críticos, la prevención frente a amenazas y la detección y respuesta a incidentes de seguridad". 

"Porque la experiencia nos dice", opinó Karen Gaines en este sentido, "que cuando ha existido una brecha de seguridad y se hace pública, la empresa pierde, como mínimo, un 30% de su valor bursátil".  

A pesar de que el entorno físico en el que vivimos es relativamente seguro, cuando se habla del ciberespacio, ya no existen fronteras. "La mayoría de las aplicaciones del móvil, de momento, no interactúan con nuestro entorno vital pero, esto va a cambiar y, en 2018, el 90% de las aplicaciones de un smartphone sí lo harán. Por lo tanto, la superficie vulnerable a un ataque se va a multiplicar por 10.000", aseguró Gianluca D’Antonio.

"Pero lo bueno es que tenemos conciencia de los riesgos y de la situación en que vivimos", dijo Andreu Bravo. "Todos sabemos que lo que estamos haciendo tiene una base ciber a la que se debe aplicar regulación, legislación, buenas prácticas, valoración de riesgos y estrategia". 

"Estamos en un punto de mejora. Incluso, el Foro Económico Mundial declara la ciberseguridad como uno de los cinco riesgos para la seguridad mundial en el futuro. El mensaje ha calado y las empresas que apuestan por la seguridad, como un valor añadido, lo verán reflejado en su reputación".