A principios de este mes hemos conocido la primera multa impuesta a una empresa por incumplir la GDPR europea. Sancionada en Alemania, ascendió a 20.000 euros, como consecuencia de la filtración de 808.000 direcciones de correo y más de 1,8 millones de “nombres de usuario”, con sus respectivas contraseñas. Conocidos los datos, surge casi automáticamente la siguiente pregunta: la penalización ¿es lo suficientemente disuasoria?
Aunque una pérdida de 20.000 euros siempre es dolorosa, en principio no parece capaz de impulsar por sí sola la adopción de cambios importantes en las organizaciones, en materia de ciberseguridad. Sobre todo, en el caso de que la infracción haya sido cometida por una organización cuyo tamaño permita asumir el pago de esa cantidad (o similar) sin que ello ocasione un desequilibrio significativo en sus cuentas.
Hacer esta observación no implica solicitar una revisión al alza de las sanciones monetarias. Más bien pretende poner el acento en la idea de que el impulso por garantizar la seguridad de los datos en las empresas, no debería responder al pistoletazo de salida de una carrera por evitar sanciones, ya que ello supondría la adopción de una postura reactiva y no proactiva, que es lo conveniente.
Sanciones y medidas reactivas
Lo más sensato y prudente, para una entidad que sufre un ataque de consecuencias similares, sería adoptar las máximas precauciones con el fin de evitar un contratiempo similar en el futuro; más aún si su modelo de negocio depende directa y exclusivamente de los datos, algo cada vez más frecuente en cualquier sector de la producción, como consecuencia de la creciente digitalización de las sociedades más avanzadas.
Ahora bien, con demasiada frecuencia la respuesta a este tipo de contratiempos se presenta desde una óptica reactiva. Ello implica que, una vez identificadas y corregidas las brechas de seguridad, recuperados los datos y restablecidos los procesos de negocio, la instalación de nuevas tecnologías no se plantee como una prioridad en la organización.
¿Por qué? Porque, con frecuencia, se apuesta por estrategias de ciberseguridad cortoplacistas, a partir, eso sí, de varios factores de peso. A saber; la inversión inmediata necesaria para acometer los cambios (en dinero, tiempo y recursos humanos), las posibilidades de sufrir ciberataques con una frecuencia “realmente” peligrosa y la cuantía de las pérdidas directas que resultarían de padecerlos.
Las sanciones entrarían dentro de ese cálculo de pérdidas directas, siendo tan solo un factor más, entre otros, dentro de esa ecuación a resolver en favor de los intereses más acuciantes de la organización.
Procesos y control: la Ciberseguridad en un doble aspecto
No está de más recordar que cuando, por falta de previsión o descuido, se produce la filtración de los datos personales de una gran cantidad de clientes, las pérdidas monetarias derivadas de una sanción no son lo más relevante. El daño a la confianza entre cliente-proveedor tiene repercusiones a largo plazo, más difíciles de calcular pero no menos dañinas para el negocio.
En el contexto económico actual, la relación entre el desarrollo del negocio y la gestión de los datos es cada vez más estrecha, lo que implica un cambio en el rol que han de asumir tanto los proveedores de TI como los CIO. Este pasa por disponer de información que ayude a ambos a asumir cierto grado de responsabilidad en tareas que vayan más allá de lo meramente técnico. En lo que se refiere a la ciberseguridad, eso significa que a la obligada atención que han de prestar al despliegue tecnológico que permita el cumplimiento de la GDPR europea debe acompañar una comprensión del porqué de esa labor y de sus implicaciones para el negocio.
No obstante, en la sexta Encuesta Global de CIOs 2018 de Logicalis se refleja un contraste importante con relación al impacto de GDPR en las organizaciones, reflejado en un 71% de CIOs encuestados, 21% mencionan haber recibido algún tipo de incidencias y el 6% amenazas contundentes.
El informe completo de la Global CIO Survey 2018 puede descargarlo aquí.