WannaCry demuestra la inseguridad de las empresas ante el GDPR

/in /by

Cada vez falta menos tiempo para la implantación del GDPR. Y las amenazas no cesan. La última, Bad Rabbit. Lo cual demuestra que, si cualquier amenaza de este tipo volviera a reproducirse en menos de un año, muchas empresas deberían hacer frente a sanciones por incumplir lo previsto en aquella normativa. Y esto lleva a una conclusión: la necesidad de que las empresas refuercen sus sistemas de seguridad.

bad-rabbit-ransomware-screen_2

Wannacry, Petya, Bad Rabbit… Las amenazas ya se bautizan como ocurre con los huracanes, y se recuerda a una u otra por los daños causados, al igual que hacemos con estos ciclones tropicales. La evidencia es esa: las amenazas son cada vez más dañinas y surgen con tanta rapidez como se propagan. En el caso de Bad Rabbit, por ser el último en aparecer, en menos de 24 horas afectó a cerca de 200 objetivos localizados en Rusia, Turquía, Alemania o China, por citar algunos países. De nuevo, la globalidad. Es decir: ningún país —ni empresa u organismo— está libre de ser objeto de cualquier tipo de amenaza.

Y el protagonista puede ser cualquiera. Basta con nombrar el ejemplo de ‘Gaza Cybergang’, un famoso grupo que permanece inactivo desde 2012 y que se ha vuelto a reactivar según los expertos de Kaspersky Lab. En aquella fecha sus objetivos fueron embajadas, empresas gasísticas y medios de comunicación en la región de Oriente Medio y Norte de África. Eso fue en 2012. Ahora hablamos de cinco años después, y dichos analistas confirman que aquel grupo ha comenzado a armarse con nuevas herramientas maliciosas.

Puede ser aquél o cualquier otro grupo, pero la posibilidad de ser víctima de una amenaza está ahí. Y los datos e información están entre sus apetencias favoritas. Saben lo que cuestan, el valor que tienen para una empresa, y también lo que estarían dispuestas a pagar por recuperarlas en caso de pérdida.

Eso, ahora, pero el daño económico puede agravarse si nos atenemos a la normativa que entrará en vigor el próximo mes de mayo de 2018: el GDPR. Su artículo 32 es claro al respecto: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Y eso significa que cualquier empresa que se vea afectada por cualesquiera de las amenazas mencionadas en este artículo podría ser considerada culpable por permitir, como expresa la normativa. “Un tratamiento no autorizado o ilícito” de los datos regulados. En el caso de Wannacry, por poner un ejemplo, fueron muchas las empresas que sufrieron una violación de sus datos personales. Y, por recordar, las sanciones establecidas por el GDPR pueden suponer el 4% del volumen de negocio anual de la empresa, o bien hasta 20 millones de euros.

¿Cómo evitar tanto las multas como los daños? La solución es evidente: estableciendo las mejores prácticas de seguridad posibles por parte de la empresa. Prácticas que siempre han tenido éxito a la hora de proteger a las empresas frente a amenazas como Wannacry, por citar un ejemplo. Es decir, soluciones específicamente diseñadas para proteger tanto los datos como la información de la empresa. Pero también concienciar y educar a los empleados de la empresa a la hora de tratar los datos e información que manejan, y muy especialmente con sus dispositivos portátiles. Ellos son, en la mayoría de las ocasiones, la principal puerta de entrada de las amenazas en la empresa. Y cuanto mayor sea su concienciación, mejor para ellos y también para aquélla.

//www.ciberseguridadintegral.es