La cantidad de datos que Administraciones, instituciones y empresas guardan de cada uno de nosotros en sus sistemas digitales ha crecido exponencialmente, y la protección de este activo, muy codiciado por los ciberdelincuentes, resulta cada vez más compleja. Asegurar su integridad, seguridad y correcto tratamiento exige a las organizaciones, además de soluciones tecnológicas, el desarrollo de una cultura que va más allá de la protección de la información.

A medida que avanza la digitalización resulta clave proteger la identidad digital de las personas, un objetivo cada vez más complejo si se tiene en cuenta que esta información ya no solo se encuentra en unos pocos grandes repositorios, sino que está distribuida y tiene extensiones en múltiples dispositivos.

A esta dispersión se suma la hiperconectividad de los sistemas y el creciente uso de tecnologías basadas en cloud, una realidad que se ha intensificado con el teletrabajo y la utilización masiva de sistemas de videoconferencia. Todo esto provoca que los datos personales puedan compartirse fácilmente y quedar fuera del control de los ciudadanos y las autoridades.

La identidad digital es muy codiciada por los ciberdelincuentes: según Forrester, el 80% de las brechas de seguridad tienen que ver con credenciales tales como contraseñas, tokens, claves o certificados. Además, está relacionada con muy diversos delitos, desde la suplantación de identidades a través de ingeniería social y la extorsión por publicación de datos sensibles hasta la venta ilegal de datos a terceros y el uso de información personal bancaria para todo tipo de fraudes.

El cumplimiento pasa por la combinación equilibrada de tecnología y de una estrategia de evaluación de riesgos

Tampoco hay que olvidar su utilización para dañar la imagen o la reputación de compañías competidoras. La fuga de datos, con impacto directo en la reputación de las empresas involucradas, tiene además un alto precio. Se estima que el coste medio de las fugas de datos es de 3,92 millones de dólares.

Los líderes digitales de las compañías conceden cada vez mayor importancia al cumplimiento de los estándares de privacidad y protección de datos. Así se desprende de nuestro informe CGI Voice of Our Clients, en el que el 20% de los responsables que mencionan estar obteniendo resultados de sus estrategias de transformación digital dan prioridad a la privacidad, 14 puntos porcentuales por encima de aquellas organizaciones que no están recogiendo los resultados esperados.

El revulsivo del RGPD

Para garantizar esta protección existen diferentes regulaciones. Mientras que en Estados Unidos no hay una legislación completa ni unificada y se aplican distintas leyes, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, en vigor desde el 25 de mayo de 2018, es la norma internacional más exigente, completa y garantista. Por su parte, el Reino Unido mantiene —tras el Brexit— una ley de protección de datos ligeramente modificada; y otros países, como Brasil, China, Corea o Israel, tienen sus propias legislaciones. De este modo, como es la norma más restrictiva, las multinacionales han optado mayoritariamente por acogerse al RGPD para asegurar el cumplimiento en todos los lugares y circunstancias.

El RGPD incorpora los principios de gestión responsable, garantía de cumplimiento y rendición de cuentas

Alineado con la cultura de cumplimiento que promueven otras normas europeas, el RGPD incorpora los principios de gestión responsable, garantía de cumplimiento y rendición de cuentas (principio de accountability). De ahí la obligación de nombrar un delegado de protección de datos (DPO, por sus siglas en inglés), responsable de liderar, coordinar y supervisar el cumplimiento de la norma y de velar por la protección de la privacidad de las personas cuyos datos trata la organización.

Además, el RGPD, mediante el principio privacy by design & by default, incorpora la cultura de la prevención que exige programar una revisión previa al desarrollo de un nuevo proceso de negocio, actividad o implementación de sistemas o aplicaciones que impliquen o afecten al tratamiento de datos personales.

Asimismo, refuerza la gestión responsable de la seguridad al exigir evaluaciones de impacto como medida de control, lo que obliga a establecer un procedimiento y desarrollar un análisis previo del impacto en los sistemas. La norma requiere igualmente implantar medidas de seguridad suficientes para garantizar la protección, expresa el deber de cuidado necesario y recomienda prácticas como la pseudonimización y el cifrado de los datos.

Estrategia, tecnología y concienciación

CGI en España cuenta con un nutrido equipo de seguridad TI y ciberseguridad —con alrededor de un centenar de efectivos— y gestionamos más de medio millón de identidades al año. Entendemos que el cumplimiento pasa por dos elementos: en primer lugar, la combinación equilibrada de soluciones tecnológicas específicas; en segundo, la implantación de una estrategia de evaluación de riesgos que ha de estar dirigida por el negocio, y que implica un ejercicio de concienciación y asunción de responsabilidades.

Entre las soluciones que aseguran el cumplimiento del RGPD y posibilitan la gestión de la identidad digital en diferentes entornos se incluyen soluciones de encriptación, que permiten cifrar la información sensible —o de carácter personal— en bases de datos y sistemas de ficheros, pero también en documentos ofimáticos y sistemas en la nube. Además, son esenciales las soluciones para enmascarar y pseudonimizar datos, destinadas a trabajar en entornos de pruebas, formación y sistemas de analítica sin relacionar las identidades con sus datos.

El cumplimiento pasa por la combinación de soluciones tecnológicas y una estrategia de evaluación de riesgos dirigida por el negocio

Otros aliados de primer orden son las soluciones para la gestión y trazabilidad de los accesos a los sistemas y bases de datos (para conocer, monitorizar y gestionar quién, cuándo y cómo accede a la información) y las de gestión del ciclo de vida de los usuarios y de las credenciales. Esto permite asegurar que solo puedan acceder a información personal o sensible aquellos que, por su función, están autorizados; una autorización que perderán si cambian de función o abandonan la organización.

También hay que destacar los sistemas inteligentes de detección y prevención de amenazas, especialmente las soluciones dirigidas a detectar el fraude y medir el nivel de riesgo de que se produzcan accesos indeseados a información sensible. Con el fin de mitigar estos riesgos es posible aplicar, por ejemplo, políticas de acceso restringido o de autenticación biométrica.

Del mismo modo, y en línea con el principio privacy by design & by default, también son fundamentales las herramientas que permiten verificar la seguridad del software y detectar vulnerabilidades en el código durante las fases de desarrollo y pruebas. Esta capacidad ayuda a prevenir brechas de seguridad en las nuevas aplicaciones expuestas a Internet, que podrían poner en riesgo los datos personales gestionados.

Monitorización y gestión proactiva

Todas estas medidas complementan y amplían el concepto de seguridad tradicional del perímetro, del cloud y de los dispositivos que almacenan información, con una especial atención a smartphones y tabletas. Son fundamentales, pero no bastan para cumplir con el RGPD. Es necesario implementar sistemas de monitorización y alertas de seguridad, además de gestionar cualquier incidente de forma temprana para cumplir también con la obligación de informar a afectados y autoridades en los tiempos que fija la norma.

En definitiva, se trata de implantar una cultura de la seguridad y de la protección de la información, algo que exige que empleados y colaboradores se hagan responsables del carácter de la información que manejan en cada momento. Para ello, tan fundamental es la concienciación como la formación continua.