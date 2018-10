La empresa Analysis Database CRM es experta en el Reglamento Europeo de Protección de Datos. Este nuevo Reglamento (que entró en vigor el 25 de mayo de 2016 y es de obligado cumplimiento desde el 25 de mayo de este año) «modifica en un 80% los procedimientos de adaptación de las entidades privadas y públicas a la protección de Datos», tal y como explica su gerente, Carlos Alberto Hernández. «Antes –subraya Hernández– la entidad titular o responsable de los datos tenía la obligación de dar de alta sus ficheros

en la Agencia Española de Protección de Datos (AEPD) y desarrollar, al tiempo, un Documento de Seguridad. Entre otros aspectos, se firmaban contratos de Tratamiento de Datos con empresas externas que proporcionaban servicios o ayudaban a desarrollar una determinada actividad a la empresa titular, y por tanto, con acceso a sus datos. Los casos más comunes son los servicios de asesoría laboral-fiscal; la empresa encargada

de lo servicios informáticos; gestores de redes sociales, videovigilancia,

departamentos de márketing, etc. Además de la relación con empresas y servicios externos, internamente, la empresa debía informar y firmar con sus empleados un documento, con las finalidades y reservas de uso de datos de clientes. Además, se redactaban los conocidos textos legales, los llamados

derechos ARCO (de Acceso, Rectificación, Cancelación y Oposición). Todas, absolutamente todas las Medidas de Seguridad se basaban en la naturaleza del dato, existiendo tres niveles: básico, medio y alto. Para cada nivel, se exigía unas acciones de seguridad». Sin embargo, este panorama

se ha visto totalmente modificado con la entrada del nuevo Reglamento Europeo que es de obligado cumplimiento en todos los países europeos, reconocido por la Agencia Española de Protección de Datos (AEPD), se

asienta en dos pilares: el consentimiento inequívoco o expreso por parte del interesado y las medidas de seguridad concretas y efectivas puestas en

marcha por parte de la empresa o institución privada o pública. «Porque con el nuevo Reglamento, la naturaleza del dato no es lo relevante, sino el riesgo, probable o previsible, que tiene o puede llegar a tener ese dato si llega a otras manos», insiste Carlos A. Hernández.«Que esto es así, se comprueba

fácilmente en un dato no menor: los llamados derechos ARCO han pasado a denominarse derechos SOPLAR: desaparece la cancelación, y se añaden los

derechos de Portabilidad, Supresión y Limitación». El enfoque pues ha cambiado, y las empresas deben preocuparse por la seguridad total

de sus datos. No se trata sólo de firmar un expediente lleno de papeles, se deben evaluar los datos y sus riesgos, porque las medidas de seguridad deben ser las apropiadas. Y se deja a la empresa la labor de evaluación e impacto del desarrollo de medidas que impidan o dificulten las brechas de seguridad. Por esta razón, Analysis Database CRM se ha unido a IPS Auditores Informáticos, empresa de Salamanca experta en Ciberseguridad, representada por José Aurelio García.

¿Qué debemos entender por Ciberseguridad, un vocablo que aún nos rechina un poco? José Aurelio García explica, que «Los datos son los elementos

más valiosos de cualquier entidad. Protegerlos y salvaguardarlos es clave. Para ello está la ciberseguridad». La ciberseguridad es el conjunto de herramientas, políticas, directrices, acciones y tecnologías que pueden utilizarse para proteger los activos de una organización y a sus usuarios en el cibermundo. El cibermundo comprende los dispositivos informáticos conectados, los usuarios, las aplicaciones y/o servicios, los sistemas de comunicación, etc. Toda la información transmitida y/o almacenada en el entorno ciber debe mantener unas garantías de seguridad. Teniendo en cuenta que en informática y en internet no existe nada 100% seguro, la empresa, máxima responsable de la custodia de los datos, debe mantener una seguridad acorde con los activos de la organización y los usuarios; y debe combatir las debilidades o riesgos de seguridad que están presentes y son bien conocidos. De no hacerlo, la empresacaería en una infracción, que será castigada con una multa administrativa. La información, tal y como señala José Aurelio García, «se

ha convertido en el nuevo El Dorado para los ciberdelincuentes. Nuevas formas de infección, como Wannacry o Petya, cifran la información de

nuestros equipos, impidiendo acceder a los mismos. Si queremos acceder a la información, nos solicitan un rescate económico, basado en pago con monedas virtuales, como Bitcoin, por ejemplo. En muchos casos, incluso pagando el rescate, no se llega a recuperar la información ». Esas formas víricas han paralizado empresas y usuarios de todo el mundo, son ataques

mundiales, que llegan a nuestras empresas, y salen en los periódicos cada vez con más frecuencia. Dejando de lado los ataques de ‘ransomware’, a menor escala, la pérdida de información viene dada bien por un agente interno o bien externo. En el primer caso, tenemos a los propios empleados, a personas ajenas que acceden al establecimiento, custodias defectuosas, sin política de destrucción de datos y de soportes, etc. En los agentes externos tenemos, entre otros, los denominados ataques dirigidos, diseñados en exclusiva para romper la seguridad de las empresas y obtener el botín más preciado: su información. Por esta razón, se hace imprescindible asegurar y proteger la información. «Un estudio de Ciberseguridad a una entidad —explica J.A. García— permite atacarla interna y externamente, descubriendo las

vulnerabilidades que tiene y proponiendo una serie de medidas de mejora. Luego se implantan esas medidas y se desarrolla un informe final, que queda a disposición de la AEPD, para ejercer la responsabilidad en caso de quiebras o brechas de seguridad, puesto que se han tomado las medidas apropiadas. Si las unimos con un plan de custodia de datos, un plan de destrucción de datos, la posibilidad de un Código de Conducta y formación para los empleados con acceso a datos de carácter personal, habremos asegurado

la información y podremos demostrar la aplicación de recursos en nuestros datos». Haciendo un símil, Hernández apunta: «el nuevo Reglamento

de Protección de Datos quiere que compremos las tiritas y el betadine antes de que se produzca la herida, y nos preparemos así para el futuro. Por eso

hemos buscado al mejor partner. Nuestra alianza con IPS Auditores Informáticos permitirá a Analysis Database CRM ampliar sus servicios y ofrecer una mejora importante en la custodia de la información».