Con la entrada en vigor del Reglamento General de Protección de Datos (GDPR), efectivo el 25 de mayo de 2018, las empresas de todo el mundo deberían estar preparándose para actuar en consecuencia. Sin embargo, una reciente investigación de Trend Micro Incorporated ha encontrado que los ejecutivos “no están realizando una aproximación a la regulación con la seriedad requerida, repercutiendo en un exceso de confianza en términos de cumplimiento”.
A pesar de que se ha percibido un grado de concienciación, hay cierta confusión en cuanto a qué Información Personal de Identificación (PII) necesita ser protegida. De los encuestados en este estudio, el 64% desconocía que la fecha de nacimiento de un cliente es considerada PII. Además, el 42% no clasificaría las bases de datos de email marketing como tal, el 32% no considera las direcciones físicas y el 21% tampoco ve la dirección de correo electrónico del cliente como PII.
Estos resultados indican que las compañías no están tan preparadas o seguras como creen que lo están. Sin embargo, los datos proporcionan a los hackers todo lo que necesitan para cometer robo de identidad, y cualquier organización que no proteja adecuadamente esta información corre el riesgo de ser multada.
Según la investigación, sorprende que el 66% de los participantes parece estar despreocupado con la cantidad con que podría ser multado si no dispone de las medidas de protección de seguridad necesarias preparadas. Sólo el 33% reconoce que hasta el 4% de su volumen de negocios anual podría verse sacrificado.
Además, el 66% de los negocios cree que la reputación y el daño al valor de la marca son el mayor obstáculo en caso de incumplimiento, con el 46% de los encuestados afirmando que esto tendría el mayor efecto entre los clientes existentes. Estas actitudes son especialmente alarmantes considerando que las empresas podrían ser cerradas en caso de producirse una violación.
"Invertir en equipamiento de vanguardia y emplear políticas de protección de datos debe ser visto como una sabia y acertada práctica de negocio, no una carga operativa", explica Rik Ferguson, vicepresidente de investigación de seguridad de Trend Micro.
La empresa especializada en soluciones de ciberseguridad también ha descubierto que las compañías no saben con certeza quién es responsable de la pérdida de datos de la UE por parte de un proveedor de servicios estadounidense. Solo el 14% identifica correctamente que la pérdida de datos es responsabilidad de ambas partes, el 51% cree que la multa es para los propietarios de datos de la UE, mientras que 24% considera que el proveedor de servicios estadounidense es el culpable.
Asimismo, las empresas tampoco están seguras de quién debe hacerse cargo de garantizar el cumplimiento de la regulación. El 31% cree que el CEO es el responsable de cumplir con GDPR, mientras que el 27% considera que el CISO y su equipo de seguridad debe tomar la delantera. Solo el 21% de esos negocios cuentan realmente un alto ejecutivo involucrado en el proceso GDPR.
El estudio revela, además, que solo el 34% de las empresas ha implementado capacidades avanzadas para identificar intrusos, 33% ha invertido en tecnología de prevención de fugas de datos y 31% ha empleado tecnologías de cifrado.
