El Día Europeo de la Protección de Datos ofrece una buena oportunidad a las organizaciones para dar un paso atrás y considerar si realmente están haciendo lo suficiente para mantener seguros los datos de sus clientes frente a las amenazas actuales. Mientras que las leyes y regulaciones sobre protección de datos, como el Reglamento General de Protección de Datos de la UE, han ayudado a incluirlo en las principales agendas y han obligado a las organizaciones a pensar de forma diferente sobre cómo mantener los datos seguros, éste es sólo el punto de partida.

El hecho de que una empresa cumpla con la normativa no significa necesariamente que esté haciendo todo lo posible para proteger los datos personales de sus clientes. Por ejemplo, en virtud del Reglamento General de Protección de Datos, el principio de integridad y confidencialidad establece que las organizaciones deben implementar “controles de seguridad adecuados” para salvaguardar los datos personales. Sin embargo, lo más importante es que el reglamento no define lo que significa realmente “adecuado”.

Una organización podría argumentar que implementar una protección antivirus básica y formar al personal en materia de protección de datos es lo ‘adecuado’ – esto puede ser técnicamente conforme a la normativa, pero ¿es realmente suficiente para mantener los datos personales de los consumidores, clientes y proveedores a salvo de ataques maliciosos y filtraciones de datos?

El panorama actual de las ciberamenazas ha cambiado drásticamente, y los ciberdelincuentes utilizan ataques sofisticados y selectivos basados en ingeniería social para sacar provecho de las vulnerabilidades humanas. Una seguridad simplemente “adecuada” no es suficiente. La defensa contra estas amenazas requiere de una estrategia igualmente sofisticada para la dotar de seguridad permanente a las personas, los procesos y la tecnología.

El cumplimiento de la normativa suele considerarse como un simple ejercicio de verificación de un listado de puntos a cubrir y puede estar abierto a la interpretación, por lo que el cumplimiento de normativas como el Reglamento General de Protección de Datos no debería ser el principal motor de la seguridad. El cumplimiento es un paso importante en el proceso, ya que puede ayudar a una organización a descubrir lagunas críticas en su seguridad actual, pero sólo debe considerarse como un punto de partida en el camino hacia una verdadera protección de datos y seguridad de la información.

Más allá de verificar una casilla de conformidad o cumplimiento, las organizaciones necesitan implementar las mejores prácticas de la industria, comprender su perfil de riesgo individual e implementar estrategias de seguridad centradas en las personas.

About Author

Adenike Cosgrove

Deja un comentario