Medidas de ciberseguridad que Europa obliga a adoptar a las empresas

Estas medidas incluyen la obligación de implantar cifrado y sistemas de doble factor de autenticación incluso sobre datos considerados de nivel básico, cuando el riesgo lo exija. Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde Europa, como explica la empresa de seguridad informática ESET en un comunicado.

ESET, junto con el gabinete de abogados especializados en derecho tecnológico Abanlex, ha creado una 'Guía sobre el Reglamento General de Protección de Datos', con la que pretende ayudar a sus clientes a cumplir con la regulación europea. 'Las medidas de seguridad informática correctamente implantadas aportan un considerable nivel de seguridad y de protección frente a los ataques informáticos', afirma Josep Albors, director del laboratorio de ESET España.

Albors asegura que 'el cifrado robusto y los sistemas de doble factor de autenticación son pilares fundamentales de la seguridad y su incorporación en la empresa es económicamente asequible y demuestra beneficios inmediatos desde el primer momento'. Por ello, y con motivo del 'Día de la Protección de Datos', desde ESET han querido explicar lo que supone la nueva normativa y la necesidad de su implantación para garantizar la seguridad.

ROBOS DE INFORMACIÓN CORPORATIVA

Mediante ataques informáticos, una importante cantidad de información confidencial, datos personales y secretos comerciales son sustraídos a diario. Por este motivo, las empresas de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información.

Sin embargo, desde el lado del cliente, las empresas que cifran son sumamente escasas, debido a que muchas de ellas carecen incluso de sistemas antivirus y, en muchas ocasiones, ignoran que están sufriendo brechas de seguridad a través de las cuales son sustraídos los datos que deben custodiar.

La normativa europea en materia de cifrado, así como el reglamento español de desarrollo de la Ley Orgánica Protección de Datos, otorga a las empresas la posibilidad de elegir entre las siguientes dos opciones: opción de cifrado y opción alternativa al cifrado convencional.

La primera opción consiste de un sistema profesional de cifrado robusto, como DESlock, la herramienta que facilita el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas de todos los tamaños.

Por su parte, la opción alternativa al cifrado convencional se refiere a cualquier otro mecanismo, como la esteganografía o el espectro ensanchado, que garantice que la información no sea inteligible ni manipulada por terceros.

Ahora, como explican desde ESET, con el nuevo Reglamento General de Protección de Datos de la Unión Europea, se establecen varios niveles de empresas que deben o pueden implantar medidas de cifrado:

El primer nivel lo componente los cifrados obligatorios. Los Estados determinan las categorías de datos y de tratamientos que exigen el establecimiento de sistemas de cifrado a las empresas que los gestionan. En España, el ejemplo más práctico de esta indicación lo encontramos en la obligatoriedad del cifrado sobre los datos de nivel alto, entre los que están aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical.

Por otro lado, las empresas tienen que implantar, de forma obligatoria, sistemas de cifrado en caso de que voluntariamente se hubieran adherido a un código de conducta que lo exija, o si el cifrado es requisito en el certificado que muestren como acreditación.

Además, determinadas empresas, por el tipo de tratamiento que realizan a los datos, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Estas empresas son, entre otras, las que tratan con datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.

También se habla de cifrados convenientes. Las empresas que hayan implantado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, pueden decidir no informar a sus usuarios sobre la intrusión. En cambio, aquellas empresas que no cifren están obligadas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.

Por último, se establecen cifrados voluntarios, por los que la empresa que almacena secretos comerciales, información confidencial o datos disociados, siempre que no haya una norma que la obligue a cifrarlos, puede establecer medidas de cifrado para aumentar la seguridad sobre los mismos.

Por otro lado, con el Reglamento General de Protección de Datos, todas las empresas están obligadas a notificar las brechas de seguridad, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos exitosos no autorizados para poder realizar la notificación en plazo. Además, se establece la obligación de comunicar determinados detalles de la brecha a las personas cuyos datos se hayan podido ver afectados de alguna forma.

En caso de que la AEPD resuelva sancionar, se podrían llegar a imponer multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.