La seguridad es un aspecto fundamental en nuestra vida, y para ello el Estado utiliza los cuerpos y fuerzas de seguridad. Evitar los perjuicios patrimoniales y personales es una de las maneras de conseguir seguridad, pero esto es algo que en la empresa no siempre se valora de la misma manera. En concreto, hablamos de la seguridad empresarial en el sentido de los datos y la información relevante. Esto es algo que se ha puesto de manifiesto con el Reglamento General de Protección de datos que ha elevado con bastante acierto la obligación de las empresas por crear entornos seguros para proteger los datos sensibles.
Los tiempos en los que obtener información de manera fácil han pasado, y aunque sea incómodo en muchas de las situaciones diarias, debemos de concienciarnos de que la seguridad de los datos es un valor en lugar de una dificultad. Tanto para las empresas como para los consumidores deben de acostumbrarse a esta situación, pero sin duda está siendo beneficiosa.
Gracias al Reglamento General de Protección de datos vamos a evitar que los datos más sensibles (que contienen información sobre la ideología religiosa, política, gustos, datos médicos o cualquier otro tipo de información personal) queden enclaustrados por la empresa a la que se los cedemos y para el uso que se los cedemos.
Y esto puede ser difícil de entender, ¿porqué debemos de prestar tanta atención a los datos? La res puesta es muy simple, los datos ofrecen información sobre una persona que puede ser utilizada no en solo en contra de la empresa sino en contra del cliente. Vamos a ver a continuación porqué la ciberseguridad se erige como un pilar fundamental en las empresas.
Qué es la ciberseguridad
La ciberseguridad, de conformidad a la Resolución UIT-T X.1205 sobre aspectos generales de la ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT), se puede definir como: el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno.
Debido a la poca concreción de esta definición, es más adecuado utilizar la propuesta por la Asociación de Auditoría y Control de los Sistemas de Información (ISACA): Protección de activos de información (cualquier dato con valor para la organización) a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.
Dentro de este concepto, cabe concretar los tres elementos básicos de esta materia: Vulnerabilidad: defecto o fallo del sistema informático que puede permitir a un atacante comprometer su seguridad o llevar a cabo acciones indebidas; amenaza: toda acción que explota una vulnerabilidad del sistema para causar un efecto negativo: caída o indisponibilidad, funcionamiento incorrecto, sustracción o pérdida de información; y riesgo: probabilidad de que se produzca un incidente de seguridad, es decir, que una amenaza se aproveche de una vulnerabilidad para producir un daño o efecto negativo sobre el sistema.
No disponer de un un entorno empresarial seguro puede suponer una ruptura en las obligaciones de custodia del los datos que regula el Reglamento General de Protección de Datos. De conformidad a los artículos 24 y 32 del Reglamento Europeo de Protección de datos (RGPD), el responsable del tratamiento, en este caso la empresa o la organización, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño y respondiendo por todos daños que sufran esos datos.
En definitiva, para cumplir con las obligaciones impuestas en materia de protección de datos, es necesario dotar a esos datos de unas medidas de seguridad adecuadas, y crear un procedimiento o protocolo que permita minimizar el riesgo, genere una cultura de cumplimiento y dote a la organización de un sistema de alertas e incidencias.
Para proteger los datos y RGPD hay que contar con empresas expertas que puedan aplicar soluciones si nosotros no disponemos delos medios para ello. Inforges es una de las consultoras expertas más reputadas en el sector de la ciberseguridad, con más de 40 años realizando consultoría y proyectos globales para pequeñas, medianas y grandes empresas.