¿Qué nos espera a nosotros?

En nuestra nota de la semana pasada, comentamos que había una buena y una mala noticia respecto a los ciber-incidentes de 2017. En ese caso, comentábamos que la mala noticia era que los esfuerzos que hacen las empresas hoy en día para ciber-protegerse son insuficientes. Esto se basó en varias encuestas y trabajos publicados. Y las encuestas y trabajos que refuerzan este resultado siguen.

Uno de ellos es el informe publicado por una importante aseguradora internacional, que afirma que el 75% de las empresas en Reino Unido, Estados Unidos, y Alemania no posee el conocimiento para defender sus empresas de ciber-ataques. El relevamiento fue realizado en un universo de más de 3000 entrevistados de empresas ubicadas en los mencionados países. El informe cita que solamente el 11% de las empresas se auto clasificaron como "expertas" en todos los aspectos de ciber-seguridad, mientras que el 16% se consideró experta en estrategia o en ejecución, pero no en ambos rubros.

En esta época, en las que las ciber-amenazas están cada vez más presentes y se materializan con cada vez peores efectos; en esta época en las que no sólo los jóvenes técnicos que operan los datacenters o que conforman los equipos de ciber-seguridad, sino aún el personal directivo pertenecen a la generación de "millenials" y además "hackers" (cuya filosofía es la de eat-sleep-patch-repeat)... es muy difícil creer que tantas empresas no cuenten con las mínimas medidas de seguridad para enfrentar estas amenazas. Pero es lo que realmente ocurre.

Será por eso que en particular la Unión Europea está desde hace 4 años trabajando denodadamente en una dura y completísima legislación que obligue a empresas y organismos públicos pertenecientes a la UE a adoptar un conjunto de medidas de seguridad necesarias para proteger los datos personales de sus ciudadanos. La norma, que se pondrá en vigencia el 25 de mayo de este año, se denomina EU GDPR (Reglamentación General de Protección de Datos de la Unión Europea) y fue desarrollada "con el objetivo de unificar y normalizar las leyes de protección de datos en toda la Unión, proteger y habilitar la privacidad de todos los ciudadanos de la UE y rediseñar la forma en que las organizaciones tratan la privacidad de los datos".

Con esta nueva reglamentación, se pretende obligar a empresas y organizaciones a adoptar las medidas de seguridad que las mismas no han adoptado hasta el momento de forma voluntaria. Se espera que de esta forma, los niveles de ciber-seguridad en toda la Unión se incrementen considerablemente y que las pérdidas por ciber-ataques disminuyan en consecuencia.

En la otra mitad del hemisferio norte, también están preocupados por las consecuencias técnicas y legales que tendrá esta ley para sus negocios cuando intenten recolectar datos personales de potenciales clientes del otro lado del océano.

Ok, pero estamos hablando de países del primer mundo, ¿qué es lo que queda para nosotros pobres mortales de este lado alejado del planeta? ¿Estamos tan expuestos como ellos?

La respuesta a esta pregunta es: “¡SÍ!”. Internet es una sola, y todos estamos conectados. ¿Vamos a tomar en algún momento como ellos la decisión proactiva de considerar en serio la ciber-seguridad y dotar a nuestras organizaciones de las medidas mínimas necesarias para no sufrir daños irreparables en caso de un ciber-desastre?

Sólo el tiempo lo dirá, pero lo que es cierto es que estamos cada vez más conectados, cada vez más vulnerables, cada vez más expuestos pero además, cada vez menos protegidos.

Tal vez; puede ser que esta iniciativa de la UE nos toque de costado. Tal vez, gracias al ruido que seguramente provocará la GDPR en Europa y en las empresas que funcionan en estos lares pero con origen allí, generen una moda que muchos otros quieran copiar. Ojalá. Todos vamos a estar mucho más ciber-seguros si eso ocurre.

Nota por Carlos Benitez