Este último objetivo del ataque, es decir, la difusión incontrolada de datos personales y las responsabilidades de los controladores de estos datos, hace que el nuevo Reglamento añada requisitos muy rigurosos referentes a la ciberseguridad (i.e. notificación de brechas de seguridad, seguridad por defecto y por diseño, etc.), lo que está cambiando radicalmente las medidas de Seguridad de las organizaciones.
Además, a este Reglamento de obligado cumplimiento para los Estados Miembros y para todos los operadores de datos que tengan relación con la Unión Europea, se hace referencia en multitud de normas (i.e. Ley de Protección Privada, Ley de Servicios de la Sociedad de la Información, Directiva NIS, Norma EN 50518 para Centrales Receptoras de Alarma, etc.). A esta situación se añade la presencia diaria de dispositivos capaces de recoger nuestros datos, almacenarlos y procesarlos, como demuestra la figura adjunta.
En esta situación, ¿que deben hacer las empresas? A mi modo de ver, hay tres actividades relativamente sencillas que deben hacerse sin más tardar:
1. Formación sobre el Reglamento y sus obligaciones técnicas. Hay mucha formación legal pero es necesario incluir los requisitos técnicos a los que obliga GDPR.
2. Valoración de la situación actual, cumpliendo uno de los requisitos de GDPR, como es la Evaluación de Impacto de la Privacidad (PIA en sus siglas en inglés).
3. Certificación de la instalación y de las aplicaciones utilizadas, ya que en este caso es la prueba objetiva de que la instalación es fiable y se han puesto las medidas adecuadas para salvaguardar el servicio y la organización.
Desgraciadamente, el "el riesgo 0" no existe, pero con estas medidas es posible minimizarlo...
Recomiendo, además el Libro Blanco publicado por INCIBE, Red.es y Haiwei sobre un entorno IoT seguro...¡Utilísimo teniendo en cuenta la omnipresencia de dispositivos en nuestra vida diaria!
