Trend Micro IoT Security ofrece soporte para Mentor Automotive ConnectedOS™

A medida aumentan las capacidades de los coches conectados y estos se vuelven más inteligentes, los requisitos de seguridad para los sistemas automovilísticos se encuentran también en constante crecimiento. Los ataques recientes, dirigidos principalmente a los sistemas de bloqueo de puertas y frenos, han demostrado la vulnerabilidad de los coches inteligentes o smart cars, hasta el punto de que algunos fabricantes se han visto obligados a retirar ciertos modelos.

Trend Micro IoT Security es compatible con Mentor Automotive ConnectedOS™ de Mentor, una compañía de Siemens. Mentor Automotive ConnectedOS™ está desplegado en muchos sistemas de infoentretenimiento en el vehículo (IVI) y en sistemas de información al conductor (Cluster) para una variedad de fabricantes de automóviles.

“Los dispositivos IoT plantean inmensos desafíos para todas las industrias, ya que abren nuevas áreas de ataque a los delincuentes. La seguridad efectiva para IoT debe implementarse en todos los niveles, en el dispositivo, así como en la red y el servidor”, explica Eva Chen, cofundadora y CEO de Trend Micro. “Con IoT Security como soporte de Mentor Automotive ConnectedOS ™, estamos listos para incorporar la seguridad desde el primer momento y asegurarnos de que no sea solo una opción de última hora”.

Trend Micro IoT Security es una solución de seguridad para dispositivos IoT que se conectan fuera del vehículo con comunicaciones IP en sistemas operativos de propósito general. Reduce los riesgos de seguridad al adoptar la solución en la fase de diseño y desarrollo. Esto ofrece mayor seguridad general para el coche conectado dados los agujeros de las vulnerabilidades que se producen con las medidas de protección cerradas, que permiten a los atacantes acceder al sistema.

“El soporte de Trend Micro para Mentor Automotive ConnectedOS™ nos ayudará a abordar de manera más efectiva las crecientes preocupaciones de nuestros clientes del sector de la automoción sobre la seguridad del sistema”, indica Michael Ziganek, director de infoentretenimiento de la unidad de negocio de automoción de Mentor.

Las funciones principales de Trend Micro IoT Security son:

  • Detección de riesgos
    • Identificación de riesgos utilizando detección de anomalías
    • Verificación de la integridad del archivo
    • Detección de vulnerabilidades
  • Protección del Sistema
    • Control de acceso
    • Detección de intrusiones
    • Parches virtuales
  • Visibilidad de la seguridad
    • Cuadro de mandos de seguridad y consola de gestión

Mentor ha realizado demostraciones de Trend Micro IoT Security ejecutándose en Mentor Automotive ConnectedOS™ en las recientemente clausuradas ediciones de:

Además, entre los días 9 y 12 de enero de 2018 en Las Vegas, USA, Mentor estará en CES 2018 Mentor Hospitality Suite, Westgate Hotel: http://www.ces.tech/
(Por favor, contacte con Mentor en embedded_events@mentor.com para concertar una visita a stand)

Para más Información sobre Trend Micro IoT Security, por favor, visite: https://www.trendmicro.com/us/iot-security/.

Para obtener más información sobre las vulnerabilidades presentadas por los dispositivos IoT, consulte este estudio:

https://www.trendmicro.com/vinfo/us/security/threat-intelligence-center/internet-of-things

Trend Micro adquiere Immunio y extiende la seguridad de la nube híbrida al ciclo de vida DevOps

La adquisición y el desarrollo interno reducen aún más los controles de seguridad

Trend Micro Incorporated anuncia la adquisición de Immunio, compañía con sede en Montreal, Canadá, pionera en el ámbito de la seguridad de aplicaciones web en tiempo real.

A medida que las empresas crean y despliegan aplicaciones cada vez más rápido y en todas partes, desde la nube hasta los contenedores, cualquier retraso en el ciclo de vida de DevOps puede provocar, a su vez, demoras en todo el negocio. Con la adquisición de Immunio, Trend Micro resuelve esta problemática ya que amplía las capacidades de su solución Hybrid Cloud Security, con nuevas funcionalidades que le permiten extender su oferta de seguridad para la nube híbrida brindando protección automatizada a lo largo de todo el ciclo de vida de DevOps, abarcando todas las fases del desarrollo de herramientas y aplicaciones.

“Estamos entusiasmados con la adquisición de la tecnología de protección de aplicaciones de Immunio, su equipo de expertos en seguridad de aplicaciones y sus clientes”, comenta Bill McGee, vicepresidente senior y director general de Hybrid Cloud Security en Trend Micro. “Los cambios tecnológicos, como el cloud computing y las plataformas de contenedores, permiten un desarrollo de aplicaciones más rápido. La seguridad de aplicación en tiempo de ejecución de Immunio permite a nuestros clientes aumentar la protección contra vulnerabilidades de software dentro de las aplicaciones que están desarrollando”.

Trend Micro también está mejorando sus capacidades de seguridad específicas para contenedores soportando escaneo de imágenes del contenedor, lo que permite identificar y resolver los problemas de seguridad antes del envío a producción. Los clientes podrán escanear imágenes en el registro del contenedor para que los equipos de desarrollo puedan solucionar los problemas antes del despliegue y aplicar las capacidades de protección en tiempo de ejecución en función de los hallazgos de las imágenes. Estas funciones estarán disponibles de forma general en abril de 2018.

Según Gartner, en 2019 más del 70% de las iniciativas empresariales DevSecOps habrán incorporado seguridad automatizada para vulnerabilidades y escaneo de configuración para componentes de código abierto y paquetes comerciales, en comparación con menos del 10% registrado en 2016.

Las nuevas capacidades de Trend Micro encajan y se ajustan perfectamente en el ciclo de vida de DevOps, con Immunio proporcionando detección temprana y protección contra vulnerabilidades en las aplicaciones y escaneado de imágenes de contenedores, lo que permite la publicación y protección de imágenes de contenedores seguros. El resultado de esta combinación son aplicaciones seguras y resistentes, y mejoras notables en las operaciones en tiempo de ejecución, ya sea que se encuentren en entornos on-premise o en la nube pública.

Para McGee, “muchos de nuestros clientes más avanzados han adoptado las prácticas de ciclo de vida de DevOps y están utilizando Trend Micro Deep Security de manera automatizada para brindar protección a servidores y aplicaciones. Estos nuevos avances incrementan la protección que ofrecemos y garantizan que las organizaciones pueden continuar desarrollando e implementando.

 

Radiografía de las empresas españolas ante GDPR

El 73% de las organizaciones desconoce la cuantía de las multas a las que se expone si incumple el GDPR, según Trend Micro

 

  • Los altos directivos eluden la responsabilidad del GDPR en el 57% de las empresas españolas 
  • El 68% de los encuestados en España no sabe que las bases de datos de email marketing contienen PII y para el 32% de las empresas el principal desafío es no contar con la suficiente protección en seguridad TI 
  • El 20% de las organizaciones afirma que una multa “no causaría molestias” en su negocio si se descubre una violación de datos, mientras que para el 5% supondría la banca rota

178 días son solo los que nos separan de la aplicación del Reglamento General de Protección de Datos de la UE (GDPR), que supondrá una revolución en la manera en que las empresas recopilan, almacenan, tratan y comparten los datos personales de sus clientes y colaboradores. Sin embargo, los informes continúan revelando que las organizaciones simplemente no han avanzado lo suficiente para estar listas para su cumplimiento. El GDPR es un intento único por actualizar y armonizar las leyes de privacidad de datos de los 28 estados miembros de la UE y adecuarlas a la era digital, pero las empresas siguen sin careciendo de una orientación específica sobre cómo “se deben proteger los datos de todos en todas las transacciones”, lo que genera incertidumbre respecto a cuál es el mejor enfoque y cómo comenzar.

Conocimiento del GDPR

En el caso de España, los consejos de administración no están tratando el GDPR con la seriedad requerida, lo que conlleva a que haya un exceso de confianza en lo que respecta al cumplimiento. Esta es la principal conclusión que se extrae del último estudio que Opinium Research ha realizado para Trend Micro, y en el que se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de empresas de todo el mundo.

La investigación pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR, con el 100% de los directivos españoles encuestados sabiendo que debe cumplir con la regulación, y prácticamente la mayoría asegura haber leído sus requisitos (95%). Además, el 82% de las empresas nacionales está convencida de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.

A pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los ‘datos personales’ que se necesitan proteger. De los participantes en el estudio en España, el 68% no sabía que la fecha de nacimiento de un cliente se debe considerar como un dato personal, lo que contrasta con que solo una cuarta parte (24%) de los líderes empresariales españoles no clasificaría las bases de datos de email marketing como datos personales; incrementándose la proporción a  tres de cada diez (29%) en el caso de una dirección postal; y a casi uno de cada diez (15%) si hablamos de la dirección del correo electrónico de un cliente. Con esta información sin proteger, las empresas están poniendo en bandeja a los hackers los motivos para cometer robos de identidad. Por tanto, cualquier organización que no esté protegiendo correctamente su información corre el riesgo de ser multada.

Por tanto, las compañías de España confían más en sus defensas que sus homólogas de otros países, y también se toman la delantera en su capacidad para identificar datos personales. Según la media global que arroja el estudio, seis de cada diez empresas (64%) no considerarían la fecha de nacimiento de un cliente como dato personal, lo que les coloca 4 puntos por detrás de España. Además, cuatro de cada diez (42%) no clasificarían las bases de datos de email marketing como datos personales, es decir, 18 puntos por detrás de los líderes empresariales españoles.

Por su parte, el 90% de las compañías participantes en el estudio afirma contar con un proceso formal para notificar a la autoridad de protección de datos un incidente de seguridad dentro del plazo de las 72 horas que marca la nueva ley. Sin embargo, el 25% de las que han confirmado disponer de este protocolo dice que evita notificar a los clientes la existencia de una brecha de seguridad.

Cuánto cuesta no cumplir

Cuando se trata de sanciones, las empresas españolas podrían recibir una sorpresa. Tres cuartos (73%) desconocen la cuantía de la multa a la que se podrían enfrentar, y solo una cuarta parte (27%) reconoce que podrían ver sacrificada entre el 2% y el 4% de su facturación anual global. Si bien el promedio mundial no parece mucho más prometedor, pues la investigación apunta a que el 66% de los encuestados no parece estar preocupado por la cantidad con la que podría ser sancionado, mientras que un tercio (33%) conoce las multas que conlleva la nueva ley.

En España el 20% de las empresas afirma que una multa “no les importaría o no les causaría demasiado inconveniente”, pero estas actitudes pueden cambiar una vez que estén al tanto de las verdaderas consecuencias financieras de una infracción, llegando a provocar incluso el cierre del negocio.

Cuando se les preguntó cuál sería el mayor impacto en caso de incumplimiento, el 82% de las organizaciones en España cree que la reputación y el daño al valor de la marca son el mayor obstáculo en caso de incumplimiento, y algo más de la mitad (52%) aseguró que tendría un mayor impacto entre los clientes existentes. El 30% afirmó temer que las perspectivas de nuevo negocio se vieran afectadas, mientras que 17% considera que la multa tendría el mayor impacto.

“La falta de conocimiento en lo que rodea al GDPR que han demostrado las organizaciones en este estudio es asombrosa. Las fechas de nacimiento, las direcciones de email, las bases de datos de marketing y las direcciones postales son información crítica de los clientes, y es preocupante que todavía existan tantas compañías españolas no lo sepan, a pesar de que se muestren tan confiadas”, explica David Sancho, responsable de investigación de Trend Micro en Iberia. “Si las empresas no protegen esta información, no están respetando una normativa inminente, ni a sus clientes, por tanto, indudablemente no están listos para cumplir con el GDPR”.

Pero la confusión no termina aquí. Trend Micro preguntó a las empresas españolas sobre quién debería rendir cuentas ante una pérdida de datos de la UE por parte de un proveedor de servicios estadounidense. Solo una cuarta parte (25%) de los directivos entrevistados ha sabido identificar correctamente que la responsabilidad recae en ambas partes, un porcentaje mejor que la media global (14%). El 43% de las organizaciones de nuestro país piensa que la multa recaerá en el propietario de la información de la UE, mientras que algo más de una cuarta parte (28%) cree que solo el proveedor de servicios de EE.UU. tendría la culpa.

¿Quién debe garantizar el cumplimiento de GDPR?

Llama la atención también que las empresas en España tampoco están seguras de quién debería hacerse cargo de garantizar el cumplimiento de la regulación. De los encuestados, el 22% cree que el CEO debe ser responsable de liderar el cumplimiento del GDPR, mientras que el 12% de los participantes considera que debe ser el CISO y su equipo de seguridad quienes deberían tomar la iniciativa. Sin embargo, solo el 12% de esas organizaciones cuenta realmente con un alto ejecutivo involucrado en el proceso de GDPR, lo que marca una diferencia de 9 puntos por debajo de la media (21%). No obstante, la mayoría de las empresas españolas (66%) tiene al departamento de TI liderando este proceso, mientras que solo el 19% tiene a un miembro de la junta directiva involucrado.

“A tan solo escasos seis meses de que entre en vigor, el GDPR debería ser la mayor preocupación de los consejos de dirección. Pero las conclusiones que se extraen de este estudio sugieren que todavía se trata de un proyecto faraónico en los consejos de administración. Si las organizaciones no toman en serio el reglamento, podrían estar expuestas una multa que supone una parte importante de los ingresos globales. Ahora, la tarea de los directivos de nivel C es ver el GDPR como una cuestión más de negocio que de un problema de seguridad, antes de que llegue a esa etapa”, señala Sancho.

“Prepararse para el GDPR supone una tarea tremenda que abarca desde invertir en tecnologías innovadoras y de última generación hasta implementar políticas de notificación y protección de datos. Pero esta preparación no servirá de nada si las empresas no entienden a qué datos se aplica esta ley y qué partes son las responsables. En este sentido, todavía hay una brecha educativa en toda la industria, y es necesario abordarla, y eso que España es el país que más esfuerzos y recursos ha destinado a la formación y concienciación de los empleados (56%) de todos los participantes en el estudio a nivel mundial”, continua el responsable de investigación de Trend Micro en Iberia.

Con amenazas que llegan a diario bajo diferentes tipos y formas, las organizaciones no solo carecen de experiencia y conocimiento para combatirlas, sino que también se necesita tecnología intergeneracional. El GDPR establece que las empresas deben implementar tecnologías de vanguardia para combatir los riesgos a los que se enfrentan. En este sentido, de todos los países participantes en esta investigación, España es el que lidera la implementación de nuevas políticas de protección de datos (46%), así como de tecnologías avanzadas para identificar intrusos en las redes como medida de precaución (45%), situándose once puntos por encima de la media mundial. Por su parte, el 35% ha optado por desplegar tecnologías de cifrado y el 34% ha invertido en soluciones de prevención de fugas de datos (DLP).

El compromiso de Trend Micro con el cumplimiento del GDPR comienza con su seguridad intergeneracional XGen™, que protege los datos personales a través de toda la empresa. Esta tecnología está optimizada para todos los entornos en los que se pueden almacenar datos, ya sea física y virtualmente, en la nube o en contenedores. XGen es una estrategia y una plataforma que abarca a todas las soluciones de Trend Micro, permitiéndolas estar conectadas a alertas y reportando brechas de datos en el mismo momento en que se producen. Este enfoque proporciona a las empresas las herramientas más modernas que el GDPR exige.

“La protección se ha convertido en una prioridad y la seguridad de la información debe contar con procedimientos para detectar un problema, saber manejar y controlar una brecha, remediar las consecuencias de esa violación e informar a las partes interesadas sobre el problema y su respectiva solución. Este nuevo enfoque del tratamiento de datos derivado de la nueva normativa europea requerirá que las compañías tengan una organización interna específica y medidas adaptadas para responder a las directivas impuestas por la ley”, concluye David Sancho.

 

El ransomware WannaCry pone de manifiesto fallos de seguridad graves antes de la llegada del GDPR

10 julio 2017

Después de que corrieran ríos de tinta sobre el tema, las empresas afectadas de todo el mundo han podido contener por fin el WannaCry.  Pero, por ahora, no parece haber intención de dejar caer este asunto en el olvido. De hecho, podemos aprender de las numerosas lecciones que ha dejado este ataque informático sin precedentes: ¿por qué ha sido tan eficaz? ¿Qué soluciones y técnicas va a hacer falta poner en práctica para evitar que se repita?

Lamentablemente, las empresas afectadas por el WannaCry deberán hacer frente a sanciones punitivas si este incidente se volviera a producir dentro de un año.  En efecto, la entrada en vigor del reglamento europeo de protección de datos personales o RGPD se acerca rápidamente y genera entre las empresas la necesidad de reformar sus sistemas de seguridad informática.

¿Violación de datos personales o ransomware?

En primer lugar, no queda claro si relaciona un ataque de ransomware con la ley europea de protección de datos personales. Después de todo, los datos de las empresas afectadas por WannaCry estaban cifrados y no se robaron.

No obstante, repasemos con más atención el contenido del RGPD:

El artículo 4.12 establece:

“[…] se entenderá por […]violación de la seguridad de los datos personales[…] toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Los hackers responsables del WannaCry han tenido acceso a los datos de los clientes de forma ilícita y, seguramente, una vez cifrados, los destruyeron.

Encontramos algo similar en el artículo 5.1:

«Los datos personales serán: […] f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”)».

Además, el artículo 32 declara que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas “apropiadas” para garantizar un nivel de seguridad adecuado al riesgo».

Y añade: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

El WannaCry podría haberse evitado

¿Cómo ha afectado WannaCry a las empresas? No haber arreglado un fallo conocido del protocolo SMB (CVE-2017-0144) de Windows permitió que los responsables del ataque depositaran el malware destructor en el sistema infectado y cifraran los archivos de la empresa con 176 extensiones, entre ellas, las que utilizan Microsoft Office, las bases de datos, los archivos, los archivos multimedia y un gran número de lenguajes de programación. Y, por supuesto, entre esos archivos se encontraban los datos importantes de los clientes regulados por el RGDP.

Entonces, ¿qué significa esto para los legisladores? Para empezar, que todas las empresas que tratan con datos de clientes que se vieran afectadas por el WannaCry podrían haber sido consideradas culpables por haber permitido el “tratamiento no autorizado o ilícito” de los datos regulados. De hecho, técnicamente, esas empresas han sufrido una violación de datos personales —incluso aunque no se robase ningún dato— por la pérdida de dichos datos o por su destrucción debido a un ataque de ransomware. Y lo que es aún peor: al parecer, había disponible una actualización de seguridad de Microsoft varias semanas antes de que se produjera el ataque. Se puede pensar entonces que las empresas afectadas no han seguido el ritmo de la implementación de actualizaciones y no han adoptado las medidas de seguridad adecuadas a la vista de los riesgos evidentes, incluso disponiendo de un parche virtual que brindaba la opción de proteger los sistemas no corregidos y de controlar así los problemas de seguridad de las aplicaciones.

Invertir en un sistema de seguridad eficaz

Las empresas afectadas por este ataque pueden dar testimonio del devastador impacto de WannaCry.  No obstante, si los hechos hubiesen acontecido un año más tarde, habrían sido perseguidas por la no conformidad con los principios del RGPD, y habrían recibido sanciones que podrían suponer el 4 % del volumen de negocio anual y hasta 20 millones de euros. Asimismo, también habrían estado obligadas a notificar la violación de los datos a las autoridades competentes cuanto antes y, a ser posible, en el plazo de las 72 horas posteriores al descubrimiento de la incidencia. Algo que, ya de por sí, habría tenido un impacto aún más negativo en su reputación y en los costes derivados de este ataque.

Si junio marca la cuenta atrás para la entrada en vigor del RGPD, el mensaje que hay que difundir es bien simple: las mejores prácticas de seguridad han tenido éxito al proteger a las empresas frente al WannaCry y, a partir del 25 de mayo de 2018, seguirán ayudándolas a evitar las sanciones económicas directas del RGPD.

Fuentes relacionadas:

  1. Ransomware WannaCry/WCry: Plusieurs pays touchés par cette cyber-attaque de grande ampleur
  2. Las PYME y el almacenamiento de datos

¿Cómo impactará GDPR en las empresas fuera de la UE?

Por José Battat, director general de Trend Micro para España y Portugal

Los ciberataques copan cada vez más titulares, afectan tanto a negocios como a personas, y lo que los hackers buscan es robar datos confidenciales y realizar pagos rápidos. Las técnicas son cada vez más sofisticadas para evitar la detección, convencer a los usuarios de descargar archivos maliciosos y extorsionar a las empresas para que paguen por recuperar sus datos. Con los años, las brechas han enseñado a usuarios individuales y responsables de empresas muchas lecciones, pero las organizaciones deben prepararse para las posibles amenazas del futuro. De acuerdo con una investigación de PricewaterhouseCoopers, los ciberdelincuentes están incrementando el uso de estafas de phishing e incluso están comprometiendo dispositivos móviles para acceder a áreas más sensibles dentro de las redes corporativas.

Todos los integrantes de una organización son responsables de proteger los datos de clientes y empresas, pero los resultados de los esfuerzos de seguridad varían. La protección se ha convertido en una prioridad y las instituciones gubernamentales están creando sus propias iniciativas para garantizar que todas las empresas sigan protocolos cibernéticos. Recientemente, la Unión Europea lazó el Reglamento General de Protección de Datos, que tendrá impacto en todas las transacciones dentro de los estados miembros de la UE. Echemos un vistazo más de cerca al GDPR y cómo afectará a las empresas fuera de la UE.

Reglas y consecuencias del GDPR

El GDPR incluye disposiciones para proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones dentro de los 28 estados miembros de la UE, y regula la exportación de datos personales fuera de la UE. Las compañías solo podrán almacenar y procesar datos personales cuando un individuo lo consienta y no podrá retenerlos por más tiempo de lo necesario. La información debe ser portable de una compañía a otra y debe ser borrada si se requiere. GDPR también contempla la notificación obligatoria de las brechas de datos y los motivos para una investigación adicional.

Habrá nuevos roles establecidos bajo el GDPR para ayudar a mantener, procesar y proteger los registros de datos personales. Los procesadores de datos gestionan los registros de datos de cualquier empresa que realiza actividades con esta información, haciéndolos responsables de las infracciones. Los controladores son los responsables de garantizar que los contratistas externos cumplan con las regulaciones de GDPR. Finalmente, se elige un oficial o responsable de protección de datos para supervisar la estrategia de seguridad de datos y el cumplimiento del GDPR.

Esperar podría costarle… y mucho
El cumplimiento de estos requisitos probablemente supondrá una gran inversión y un replanteamiento de la estrategia comercial actual. Las empresas deben poder mostrar que están listas para cumplir con el nuevo reglamento antes del 25 de mayo de 2018. Si no se cumplen las normas, el GDPR exige sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, la que sea mayor.

Con multas tan altas se pone a las organizaciones en una posición difícil. La mayoría de las empresas con sede en Estados Unidos esperan invertir entre 1 y 10 millones de dólares para cumplir con los requisitos de GDPR, y el 9% cree que gastará por encima de estos márgenes, según se publica en algún medio. La legislación cambia en gran medida la forma en que los datos personales de los clientes se almacenan, procesan y protegen, pero no define qué es realmente un nivel razonable de protección. Los altos objetivos y los grandes vacíos que aún existen dentro del GDPR pueden dar mucho margen de maniobra cuando se trata de evaluar las multas por las brechas de datos y por incumplimiento, lo que se suma a una situación ya desafiante.

El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación

Las organizaciones tienden a optar por la postura de “esperar y ver” para determinar cómo se aplican las reglas antes de seguir adelante con una respuesta. De hecho, el 50% de las empresas afectadas por el GDPR no cumplirán plenamente el plazo, según Gartner. Mientras el método reaccionario puede haber funcionado en el pasado, un enfoque pasivo provocará multas masivas por incumplimiento y la pérdida de negocio. Las empresas deben estar listas para GDPR desde el primer día. El colaborador empresarial Patrick Lastennet señaló que GDPR ayudará a ganar más negocios en Europa si se toman medidas preventivas para proteger los datos. El GDPR se debe concebir como las mejores prácticas para mitigar los riesgos y garantizar que la coordinación y el esfuerzo estén disponibles desde el principio.

Pasos a seguir ahora

El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación. De hecho, podría ponerlos en una posición de desventaja competitiva si no cumplen. En cambio, los responsables empresariales deben tomar medidas definitivas ahora para cumplir con el plazo de entrada en vigor de la ley y hacer que su infraestructura sea segura para los datos personales de todos los clientes.

En primer lugar, será necesario auditar los datos que maneja la empresa. Averiguar qué datos tiene, dónde y por qué, será esencial para saber cuánto tiempo debe mantenerse la información y los procesos utilizados para eliminarla. Por ejemplo, se requiere que la información de pacientes médicos se almacene durante un período de tiempo diferente a los datos financieros. El colaborador de InformationWeek, Martin James, señaló que una solución de base de datos ayudará a proporcionar una vista única de sus datos, aportando visibilidad total. Este tipo de sistema también se puede utilizar para programar la eliminación de datos e identificar cualquier actividad inusual.

Los directivos también deberán rehacer los formularios de consentimiento y divulgación para clientes comerciales. Mantener una estrategia coherente para todos los consumidores ayudará a cumplir con la evolución normativa y rastrear las preferencias individuales. Los interesados necesitarán aprobar cada caso de uso de su información, incluidos los perfiles y los propósitos del big data. Ser transparente sobre a dónde van los datos y para qué se utilizan será esencial para atraer y autorizar aprobaciones y establecer relaciones más sólidas con los consumidores.

Al auditar sus propias capacidades, también será necesario evaluar a los proveedores y sus acuerdos de nivel de servicio. Las vulnerabilidades de terceros fueron la causa de algunos de los ataques más importantes, incluida la brecha de Target. Si un tercero no puede demostrar que cumple con el GDPR, será ilegal que trabaje con los datos de la UE. Evite multas y busque proveedores que se comprometan con el nivel de seguridad necesario.

“Considere hacer que los estándares del GDPR sean el estándar para su empresa en todo el mundo”, escribió James. “Eficiencia de datos mejorada, mejor protección de datos, mejores relaciones y confianza con los clientes: todos estos aspectos tienen el potencial de situar a su empresa a la vanguardia y protegerla mejor contra futuras brechas de datos”.

GDPR podría ser el primer paso en una nueva era de requisitos cibernéticos. No deje para mañana lo que pueda hacer hoy. Para obtener más información sobre cómo proteger los sistemas y cumplir con el “Estado del arte de la seguridad” de manera efectiva.

Fuente: http://www.revistabyte.es/actualidad-byte/impactara-gdpr-las-empresas-la-ue/