Según un estudio de
Trend Micro, más de un 20% de las empresas no cumple con la notificación de
incumplimiento de los requisitos
Menos de dos tercios
(63%) de las multinacionales tienen un proceso de notificación de brechas de
seguridad para sus clientes, mientras que solo la mitad ha aumentado la
inversión de seguridad en TI antes de la entrada en vigor del GDPR, a pesar de
las quejas del personal técnico, según un informe de Trend Micro.
El líder mundial en
ciberseguridad ha encuestado a más de 1.000 responsables de la toma de
decisiones de empresas con más de 500 empleados en todo el mundo: en Reino
Unido, EE.UU., Francia, Italia, España, Países Bajos, Alemania, Polonia,
Suecia, Austria y Suiza.
La investigación de
Trend Micro revela que solo el 51% de los encuestados ha aumentado las
inversiones en seguridad para facilitar el cumplimiento de la normativa, a
pesar de que una cuarta parte se queja de la “falta de suficiente protección en
seguridad TI” (25%) y de una “falta de seguridad de datos eficiente” (24%),
como los mayores desafíos para los esfuerzos de cumplimiento.
Menos de un tercio
(31%) de los encuestados asegura haber invertido en cifrado, a pesar de ser una
de las pocas tecnologías nombradas en el GDPR. Al mismo tiempo, algunas organizaciones
han destinado partidas presupuestarias a la Prevención de Pérdida de Datos
(33%) o a tecnologías avanzadas diseñadas para detectar intrusos en la red
(34%).
Por otro lado, un 25%
de las empresas afirma que los recursos limitados son el mayor desafío para el
cumplimiento y explican las razones que hay detrás de esta falta de inversión.
“El GDPR es claro en
cuanto a que las organizaciones deben encontrar tecnologías de última
generación para ayudar a repeler las ciberamenazas y mantener seguros los datos
y sistemas clave. Es preocupante que los responsables de IT no tengan los
fondos o no puedan encontrar las herramientas adecuadas para abordar el
cumplimiento”, explica José de la Cruz, director técnico de Trend Micro Iberia.
“Las organizaciones necesitan una defensa en profundidad que combine la unión
intergeneracional de herramientas y técnicas, desde el endpoint a la red y el
entorno de cloud híbrida”.
Además de la falta de
inversión en seguridad, el informe también revela que solo el 37% de las
organizaciones mundiales han invertido en programas de concienciación y educación
del personal.
La ventana de 72 horas
El informe también
revela que muchas empresas no están preparadas para manejar los nuevos
requisitos a la hora de notificar una infracción dentro del plazo de 72 horas
establecido por la ley.
El 21% de los encuestados
asegura tener un proceso formal para notificar solo a la autoridad de
protección de datos. Sin embargo, el artículo 34 del GDPR establece que las
personas también deben ser notificadas si una infracción supone un alto riesgo
para sus derechos y libertades
Alrededor del 6%
asegura no tener ningún proceso implementado, mientras que un 11% no sabe si lo
tiene o no.
Otra de las
preocupaciones de los encuestados se centra en los preparativos para apoyar el
llamado “derecho al olvido”, una parte clave del GDPR.
Aunque el 77% de los
participantes en el estudio a nivel mundial asegura tener los procesos
adecuados para atender las solicitudes de los clientes sobre los datos
personales gestionados por la organización, el tratamiento de los datos
manejados por terceros es otra cosa diferente.
Alrededor de un
tercio (36%) de las organizaciones asegura no conocer o no tener
procesos/tecnologías implementados para manejar solicitudes olvidadas de datos
recogidos por agencias de terceros, proveedores cloud (32%) y partners (32%).
Fuente: diarioti.com