¿De quién es este trabajo y es realmente posible?


La Encuesta generada por proveedores de tomadores de decisiones de TI sobre diversos aspectos de la empresa Seguridad cibernética El paisaje es un pilar del periodismo de seguridad, que abarca desde phishing, botnets, malware y ransomware, hasta seguridad en la nube , Los ataques internos y, por supuesto, la ley de la Unión Europea (UE) en vigor durante casi 18 meses (GDPR).

El GDPR ha estado en funcionamiento durante casi 18 meses. Las grandes corporaciones, especialmente British Airways y la cadena de hoteles Marriott, han recibido multas sustanciales de la Oficina del Comisionado de Información (ICO), y varias han sido multadas solo en las últimas semanas. estudios separados comisionados por compañías como Egress, ManageEngine y Capgemini han informado sobre el tema.

Sin embargo, desde la lectura más superficial de los datos de estas encuestas, se entiende ampliamente que los puntajes de cumplimiento autoinformados son generalmente diferentes.

Capgemini, por ejemplo, dijo que el 28% de las empresas cumplían y el 30% estaban cerca de ello. Egress, por otro lado, dijo que el 48% de los tomadores de decisiones se adhieren a sus directrices y el 42% en gran medida, un número ligeramente más optimista. Sin embargo, su informe también encontró que más del 30% de los encuestados habían perdido el cumplimiento desde mayo de 2018 en la lista de prioridades .

ManageEngine, por su parte, declaró que el 56% de las pequeñas y medianas empresas (PYME) dijeron que cumplían plenamente y el 36% trabajó en ello, en comparación con el 70% de las empresas que informaron cumplimiento y el 28% Se trata de trabajo en curso.

La sensación de que ahora cumplían con las regulaciones era menor que el número que indicaba que eran una queja antes de que llegara el GDPR.

Entonces, ¿qué hay detrás de las diferentes estadísticas? Donde esta la verdad ¿Y cómo se ve realmente el cumplimiento del GDPR?

En un evento convocado por ManageEngine con ocasión de la publicación del Tercer Informe Anual sobre el estado de TI en el Reino Unido en 2019 400 tomadores de decisiones participaron en cada PYME y empresa en junio de 2019 – Un panel de especialistas en seguridad y privacidad discutió algunos de los hallazgos de la compañía con respecto al GDPR y, primero, resultó que no hay respuestas claras a estas preguntas.

"DSGVO no siempre está bien definido en blanco y negro: si te involucras, te das cuenta de que hay diferentes formas de interpretarlo e implementarlo", dice Sridhar Iyengar, Director Gerente Europeo de la empresa matriz de ManageEngine, Zoho.

Ian Fish, Presidente del Oficial de Seguridad y Privacidad de la British Computer Society (BCS) dijo: "Recibirán respuestas diferentes porque el GDPR no contiene regulaciones en muchas áreas. Es un requisito, lo que debe hacer, pero los detalles reales no son obligatorios. "

Pero eso podría ser algo bueno, agregó Fish". El RGPD fue escrito para tratar de hacerse un poco a prueba de futuro, y eso significa que no hay reglas, quizás sea un ejemplo Cómo otras áreas de la ley podrían seguir el ritmo del avance de la tecnología ".

Bob Tarzey Analista independiente estuvo de acuerdo y dijo:" El GDPR no es un reglamento, por lo que no puede cumplirlo sin embargo, trate de asegurarse de que sus procesos comerciales cumplan con los requisitos del Reglamento ".

Distintos enfoques

Giles Watkins, Presidente Nacional Británico de la Asociación Internacional de Profesionales de la Privacidad (IAPP), dijo un problema central que explica cómo las personas diferentes imaginan el cumplimiento cuando siguen las reglas.

"Hay tres burbujas – P privacidad, identidad y seguridad ", dijo. "La gente piensa que es lo mismo, pero no lo son. Hay mucha superposición, pero son disciplinas muy diferentes. "

Watkins explicó que la privacidad se desestimó por primera vez de la profesión legal y se integró en TI, mientras que la seguridad en el mundo de TI comenzó y la identidad en algún lugar entre ambos se debe a la interacción de las personas con TI.

"Esto significa que si le pregunta a una persona de TI, un abogado o un representante de servicio al cliente si cumplen con las pautas de GDPR, obtendrá diferentes respuestas", dijo. "Obtienes respuestas increíblemente diferentes. Creo que eso es parte de lo que hay detrás, a quién le preguntas. "

Afortunadamente, aquellos que responden a estas encuestas parecen responder honestamente las preguntas, al menos tan bien como pueden". El IAPP recientemente realizó y realizó su propia Encuesta de Gobierno de Seguridad La firma de consultoría EY, donde el 43% de los encuestados dijo que solo "cumplió" con el GDPR, dijo que Watkins dijo que en realidad estaba gratamente sorprendido de lo abierta que era la mayoría de las personas sobre su disposición, especialmente entre los CISO y otros Profesionales de seguridad cuyos trabajos están en juego por violar al empleador.

"La verdad es que las compañías probablemente han descubierto lo que necesitan hacer y se sienten cómodas. Tienen un plan", dijo Watkins. Pero agregó que implementar un plan de cumplimiento DSGVO adecuado llevará años porque es diverso, en parte se trata de cambios internos, en parte sobre la estandarización, en parte sobre la validación de datos, en parte sobre el desmantelamiento de sistemas heredados, y estas no son cosas que pueden suceder de la noche a la mañana.

¿El resultado de esto? Los expertos en seguridad no necesariamente deben entrar en pánico cuando ven informes sobre el cumplimiento del GDPR.

De hecho, es muy poco probable que una empresa pueda llegar a un punto en el que pueda decir con seguridad que es . cumple con GDPR. ¿Por qué debería ser eso? Se refiere a cómo se han gestionado los datos en las empresas hasta ahora.

"La tarea más difícil número uno para cumplir con el GDPR es encontrar datos no estructurados", dijo. "¿Sabemos lo que tenemos y dónde está?"

La respuesta a esta pregunta "no está completa", dijo Watkins, debido a una variedad de factores, tales como: Sistemas heredados que no hablan con nadie más, múltiples sitios con diferentes copias de seguridad e instalaciones de TI ocultas con datos que nadie sabía que existían.

De hecho, este también fue uno de los hallazgos de los datos de la encuesta de Capgemini, que mostró que una de cada tres empresas calificó el equipo de patrimonio como el mayor desafío para el GDPR.

Aunque existen herramientas que pueden buscar en estos repositorios de datos y encontrar exactamente lo que las compañías tienen de ninguna manera son perfectas, y todavía hay mucho análisis manual que hacer, dijo Watkins.

"Está sucediendo y está cambiando constantemente, necesita actualizarse todo el tiempo, no es un ejercicio único", dijo. "Eso significa que necesitará muchos recursos para realizar el RGPD y muchos recursos para permanecer allí".

"Esta es la pieza costosa, y muchas personas pagan consultores por muchos de estos proyectos, alegando que cumplen, pero tan pronto como lo hacen, gradualmente dejan de cumplir, y ese es el verdadero desafío".

Watkins agregó: "Me sorprendería mucho si una organización cumple con los requisitos, pero ¿entienden lo que deben hacer y confían en que están en el camino correcto? Estos números son más altos".

Uno futuro positivo para el GDPR

De hecho, los números del IAPP parecen sugerir que la inversión en el GDPR se está aplanando gradualmente, aunque todavía es alta, ya que los expertos en seguridad están cada vez más seguros de que tienen la suya

También es importante tener en cuenta que hay algunas indicaciones aisladas de que el ICO adopta internamente la posición de que realmente no espera que todos se unan al DSG VO se adhiere al agua, pero si ve evidencia de un plan y progreso hacia una meta, será menos intencional imponer la penalidad máxima del 4% de las ventas si una empresa se lesiona porque tuvo mala suerte a pesar de sus mejores esfuerzos. La complacencia, por otro lado, es castigada.

Kevin Duffy, copresidente de Cyber ​​and Convergence en Security Institute La asociación de profesionales de seguridad profesional más grande de Gran Bretaña y director gerente de reputación La compañía de gestión Cyber ​​Rescue ve evidencia de que el DSGVO ha otorgado estimular el cambio cultural dentro de las organizaciones y, por lo tanto, tienen el potencial de ser enormemente efectivas.

"Cuando era niño, hubo un cambio cultural porque entró una ley. Mis padres tuvieron que decirme que me pusiera el cinturón de seguridad", dijo. "Me siento como cada uno de nosotros ahora, cada vez que nos sentamos en el auto, sea legal o no, nos atamos".

"El RGPD ayuda a las empresas a reconocer que tienen TI oculta y datos que están en riesgo. Podrían recibir una multa del 4% de las ventas y su reputación podría verse afectada.

"Cuando la cultura cambia cada vez, una tienda presenta una nueva plataforma o servicio, y en algún momento comienza. ¿Deberíamos abrocharnos el cinturón? "



Software servicio tecnico de Cea Ordenadores