Si hay algo que persiguen las compañías cuando miran al futuro es transmitir confianza. Esta se ha convertido en el objetivo compartido por excelencia, sobre todo, a medida que el impulso de nuevas tecnologías ha migrado la actividad a entornos digitales, en los que el tratamiento y análisis de datos es crucial para optimizar y personalizar experiencias. Sin embargo, este proceso entraña una mayor exposición a los riesgos. Y es que sufrir una brecha de seguridad no solo pone en riesgo la continuidad de negocio, sino que puede llevar a una grave crisis reputacional.
A esto se suma un entorno geopolítico convulso que ha incrementado el riesgo de sufrir incidentes y, por tanto, ha provocado que las compañías sean más conscientes de la necesidad de blindarse contra estos riesgos. Tanto es así que el 64% de los encuestados en el 2022 KPMG CEO Outlook considera la ciberseguridad como una de sus prioridades estratégicas. Además, en los últimos años estamos asistiendo a la proliferación de normativas que suponen un reto añadido en el correcto tratamiento, difusión y análisis de datos.
En este sentido, al comenzar un nuevo ejercicio, surge la siguiente pregunta: ¿cuáles son las áreas en las que las compañías deberán dirigir sus esfuerzos en materia de privacidad y ciberseguridad de cara al nuevo año? Reunimos los 7 retos más relevantes para el 2023.
El primero de ellos es, sin duda, adoptar una actitud proactiva, con medidas de carácter preventivo en la propia fase de diseño de la plataforma, aplicación o medio. Una premisa que permitirá, como explica Javier Aznar, socio de Technology Risk de KPMG en España, “dotar de una mayor madurez al proyecto, reducir la inversión destinada a la fase de concepción y aumentar el ROI significativamente respecto a si esta labor se realiza en etapas posteriores”. Para conseguirlo, es fundamental la coordinación de los equipos de seguridad y privacidad porque, aunque se trata de conceptos diferentes, pueden y deben complementarse. Y han de hacerlo desde etapas tempranas.
Y es que, aunque la ISO 31700 no será un estándar de conformidad, se trata de un avance en materia de privacidad ya que está concebida para poder ser implementada en cualquier tipo de empresa, independientemente de su tamaño.
Aunque la práctica totalidad de las organizaciones ya cuentan con un programa de privacidad, la clave es ir más allá, y pasar de automatizar procesos de gestión en determinados proyectos a abordarlo desde el ‘business as usual’. Es decir: utilizar soluciones tecnológicas que permiten automatizar procesos, eficientarlos y agilizarlos y disponer de un reporting actualizado, además de mejorar el flujo de trabajo dentro de la propia organización.
Y es que, de cara al futuro, “no hay duda de que este es el camino: trabajar en la automatización de los procesos de gestión, ya sea de los registros de actividades, evaluaciones de impactos, controles para encargados de tratamiento o valoración de medidas en las transferencias internacionales, entendiendo las soluciones tecnológicas como el medio para impulsar este cambio y nunca como una finalidad en sí mismas”, apunta Javier Aznar.
Un desafío crucial para las compañías en el ámbito de la privacidad es el cumplimiento de la regulación, que en 2018 vivió un punto de inflexión con la entrada en vigor del Reglamento General de Protección de Datos (RGPD). La Unión Europea requiere a las compañías la adopción de medidas dirigidas a reducir los riesgos y asegurar el cumplimiento del principio de limitación de la conservación, el derecho a la supresión y el bloqueo de datos, así como garantizar la anonimización efectiva de los datos.
Estos proyectos son complejos, ya que deben tener en cuenta otro tipo de regulaciones que afecten a la información, pero, en palabras de Javier Aznar “es un camino que hay que recorrer sí o sí puesto que las autoridades de control están poniendo especial foco en este ámbito y creemos que es una palanca clara para demostrar la responsabilidad de las compañías con los datos que manejan y aplicar soluciones tecnológicas que permitan acelerar su adopción”.
En un entorno cada vez más digital, interconectado y globalizado, adquieren especial relevancia los denominados riesgos de tercera parte. De hecho, la encuesta ‘Third Party Risk Management Outlook’, realizada por KPMG, confirma la preocupación de las compañías sobre los riesgos de los terceros con los que se relacionan suponen para ellas. El 70% de los encuestados considera la gestión de estos riesgos una de las prioridades estratégicas para el desarrollo de su negocio, y, para el 60%, los fallos y errores cometidos por externos suponen el mayor riesgo reputacional para sus entidades. Además, los principales foros de privacidad y seguridad de la información sitúan a la gestión de riesgos de terceros como una de las que más preocupan a las áreas de seguridad de la información y de gobierno TI de las organizaciones.
En definitiva, “la gestión de los riesgos derivados de los terceros con los que una compañía trabaja es un aspecto clave, ya sea por requisitos legales, por necesidades de marcos de seguridad o de buenas prácticas internacionales. Por eso, es necesario desplegar un proceso que garantice un entorno de control durante todo el ciclo de vida de dicha colaboración y contar con enfoques que se adapten a las necesidades de nuestros clientes”, subraya Javier Aznar.
A pesar de todo ello, es fundamental comprender que, por desarrollada que esté la estrategia de protección y seguridad de datos, en la práctica es imposible alcanzar el riesgo cero. Por ello, es crucial identificar y actualizar los principales vectores de riesgo. “El objetivo de una estrategia adecuada en materia de privacidad y seguridad es, en primer lugar, ser conscientes del nivel de exposición actual, para así conocer y optimizar los sistemas de control existentes y las capacidades de respuesta”, explica Javier Aznar. De esta forma, la compañía reducirá, en la medida de lo posible, el potencial impacto sobre los activos de la compañía ante un potencial incidente.
Pese al temor a ciberataques externos, lo cierto es que la mayoría de los incidentes de seguridad se generan dentro de la propia compañía, consecuencia de errores no intencionados. La causa puede estar en una falta de concienciación, o de formación y entrenamiento de los empleados. Es entonces cuando surge la necesidad de definir una estrategia para adoptar una cultura organizativa consistente y emprender acciones de formación y medidas de concienciación (en materia de privacidad, seguridad y ciberseguridad) para los empleados.
Las organizaciones están implementando nuevas tecnologías para optimizar procesos y mejorar el servicio. Estas tecnologías generan riesgos de privacidad que precisan de la adopción de mayores garantías y medidas de seguridad reforzadas. Destaca el auge de empresas que operan en el metaverso, el uso de inteligencia artificial, la tecnología blockchain, la computación cuántica, 5G, temas de ESG, entre otros avances. Así, por ejemplo, las entidades que deseen estar presentes en el Metaverso deben cumplir con unos requisitos fundamentales de privacidad (deber de información y consentimiento expreso para determinadas categorías de datos, políticas de privacidad claras, completas y comprensibles, en las cuales de especifique el uso que se dará a los datos personales de los interesados, así como las finalidades perseguidas con estos tratamientos).
En definitiva, de cara al nuevo ejercicio, las áreas en las que poner foco y los retos en materia de privacidad y ciberseguridad siguen más vigentes que nunca. El auge de los riesgos, con la sofisticación y aumento de los ataques, la mayor exposición de las compañías, para las que el dato es un activo fundamental, y la proliferación de normativas y requerimientos legales hacen de la gestión de datos un elemento estratégico para el tejido empresarial.
Deja un comentario