Asegurar presupuesto, obstáculo para protección de datos
Recientemente conmemoramos el 13° Día Internacional de la Privacidad de Datos y no imagino mejor momento para hablar sobre nuestras responsabilidades con la información personal de terceros y de su protección. Con la implementación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) europeo, el asunto ganó mayor relevancia, pero las empresas aún avanzan a pasos lentos para adecuarse.
Las empresas latinoamericanas con operación en Europa ya deberían estar actuando de conformidad con la Ley General de Protección de Datos (LGPD) e, independientemente de eso, prácticamente todos los países de la región cuentan con una similar. Hay también proyectos de ley en tramitación en el legislativo con el objetivo de implementar reglas más rígidas como la europea. Este es el caso de Chile, Colombia y Brasil, siendo este último el más avanzado con la aprobación de la ley 3.709 de 14/08/18.
En mi opinión, regionalmente todavía hay (poco) plazo para adecuarse, pero lo que más me preocupa es el riesgo de multas por la LGPD europea, ya que ese continente es responsable del 50% de las inversiones directas en Brasil y del 33.5% de inversiones extranjeras directas en México.
En 2018, Uber recibió una multa de $1.2 millones de dólares del Reino Unido y de Holanda, y este valor se suma al acuerdo con el gobierno norteamericano totalizando $133 millones de dólares por la fuga de datos de 2016. La semana pasada, Francia multó a Google con 50 millones de euros por violar la ley de privacidad. Incluso considerando valores proporcionales, una multa del 4% de la facturación (índice europeo) es extremadamente alta para las empresas latinoamericanas.
El primer paso para cualquier empresa ahora debe ser la evaluación de sus procesos con respecto a la recolección, procesamiento y almacenamiento de información de terceros. Este análisis -que tardará meses en completarse, dependiendo de la complejidad de la empresa- es la clave para definir prioridades y próximos pasos. Un segundo análisis que se debe hacer es en relación a la protección de estos datos y qué tanto se necesita que este tema sea tomado más en serio. Incluso después de WannaCry en 2017, todavía hay empresas que descuidan la seguridad de la información y prueba de ello fueron las numerosas filtraciones de datos que vimos en 2018: Facebook, Tivit y Marriott International, solo por nombrar algunos.
La amplia base de datos creada por los cibercriminales fue responsable del fuerte crecimiento de las campañas de phishing en América Latina, incluyendo a México, que aumentaron respectivamente 115% y 120%, en comparación con 2017, según nuestros analistas de seguridad. En promedio, se identificaron 192 mil ataques de phishing por día en la región y estos mensajes son responsables de permitir el acceso a la información personal sin el uso de códigos maliciosos. Los ataques con malware crecieron 14.5% en el mismo período, mientras que México registró un crecimiento del 35%, con una media de 3.7 millones de ataques al día.
Recuerde que ahora la empresa pasa a ser responsable de la seguridad de los datos y tendrá que demostrar que su estructura es adecuada para garantizar la integridad de la información. En este sentido, nuestra investigación mostró que 78% de los directores de seguridad de la información (CISO) en América Latina consideran las violaciones de seguridad inevitables2 y las infraestructuras complejas y la movilidad son las principales preocupaciones. Para entender este desafío de forma sencilla, basta ver cuántas empresas han adoptado esquemas de home office últimamente. Al acceder a archivos remotamente, es más sencillo que un cibercriminal comprometa la infraestructura, ya que el ser humano es siempre el eslabón más débil de la cadena.
Por supuesto, hay tecnología para evitar esto. Una solución de control del tráfico web puede bloquear hasta 95% de las amenazas antes de que lleguen al equipo – en otras palabras, esto limita o reduce drásticamente el factor humano. Incluso, esta tecnología ayuda a tener mayor control sobre la salida de información de la empresa, permitiendo bloquear el compartir (o fuga) de ciertos tipos de archivos. Y con las políticas y configuración correctas, es posible aplicar este control y bloqueo a nivel dispositivo, principalmente en los móviles, que son responsables del 15%1 de los casos de intercambio indebido de datos.
Estoy seguro de que esto no es nuevo para ningún CISO. El gran desafío de los directores de seguridad en América Latina es cambiar la percepción de los líderes de las empresas. Históricamente, solo se ha tomado en serio la inversión en seguridad tras una violación o filtración de datos drástica. Desgraciadamente, antes de eso, la negociación busca siempre el precio más bajo, ya que es difícil asegurar el dinero cuando no se puede garantizar que no haya fugas. Y aquí es donde las regulaciones desempeñan un papel esencial, pues una legislación en vigencia es usada por 38% de los CISO para justificar presupuesto cuando no es posible presentar un retorno tangible. Espero que, con la claridad acerca de los posibles daños a la empresa y la LGPD, podamos juntos proteger la privacidad y la seguridad de la información de clientes, socios y proveedores.