¡Hoy es el Día de la protección de datos! Un día dedicado a crear concienciación sobre la importancia de la privacidad de datos en todo el mundo. Este día se ha hecho más popular desde la entrada en vigor del RGPD. Hoy reflexionamos sobre la definición de lo que constituyen los datos personales y cómo protegerlos a nivel personal y empresarial. Retrocedamos en el tiempo para entender por qué se instauró un día como este.
¿Sabía que el código ‘secreto’ de desbloqueo de todos los misiles nucleares Minuteman estadounidenses se configuró durante casi 20 años en el marco de la Guerra Fría con el increíblemente sencillo código de ocho ceros 00000000?
Hoy en día, pensamos que es un disparate. El campo de la seguridad de los datos ha evolucionado de forma radical con Internet y la digitalización. Ha traído consigo una explosión de datos de dimensiones inimaginables (los expertos estiman que en 2020 el mundo habrá acumulado unos 44 zettabytes de datos). Todos estos datos también conllevan la necesidad de proteger este recurso.
¿Cuántos datos se crean cada día? Raconteur, World Economic Forum, WhistleOut(Youtube), Gamesindustry.biz, Techjury, WhistleOut(Gaming)
Los datos representan riqueza y, como toda riqueza, atraen el interés de los delincuentes. Cada 39 segundos se produce un ciberataque en el mundo. Las filtraciones de datos pusieron al descubierto 36.000 millones de registros en el primer semestre de 2020.
La privacidad de los datos es mucho más que una buena práctica, es la ley.
La protección de datos es una buena práctica que garantiza no solo la seguridad de la propiedad intelectual de su empresa (precios, descripciones, fórmulas etc.), sino también la protección de sus clientes, proveedores y empleados frente a perjudiciales filtraciones de datos. Sin embargo, las nuevas normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD), logran que la protección de datos sea algo más que una buena práctica y se convierta en un requerimiento legal.
Así mismo, en otras partes del mundo existen diferentes normativas similares al RGPD.
Repaso de las multas relacionadas con el RGDP en 2020
De lo que no cabe duda es de que el año 2020 ha sido estricto. La Unión Europea (UE) ha hecho públicas unas sanciones en materia de protección de datos por valor de 518,5 millones de euros aproximadamente.
Desde 2018, las autoridades europeas que velan por la protección de datos han impuesto un total de 272 millones de euros en concepto de multas. Las autoridades con las multas más elevadas son GPDP (Italia) y BfDI (Alemania), que impusieron más de la mitad de estas sanciones.
Un caso relevante fue la multa de la Oficina del Comisionado de Información del Reino Unido contra British Airways por una filtración de datos en 2018, que fue reducida de 183 millones de libras esterlinas a 20 millones de libras esterlinas en consideración a la pandemia de la COVID-19 y su devastador impacto en el sector aéreo. Aun así, sigue siendo la cuarta multa más alta jamás registrada en relación con el RGPD.
La mayor multa se ha impuesto en Francia. La CNIL (Francia) impuso una sanción de 50 millones de euros a Google por la falta de transparencia en la recopilación de datos de las personas afectadas y su utilización para fines de publicidad dirigida.
SAP, un objetivo importante para los ciberataques
Los sistemas SAP® no son ajenos a la obligación de cumplimiento. En realidad, SAP ha informado que “...el 77 % de los ingresos por transacciones en todo el mundo pasan por un sistema SAP...". Esto convierte al RGPD en un tema muy importante en el landscape SAP.
Para hacer frente a estos retos de seguridad en SAP, EPI-USE Labs ha desarrollado una gama de soluciones que reducen el riesgo.
Opciones de privacidad de los datos en sistemas de producción
Data Privacy Suite combina soluciones para localizar y redactar información de identificación personal (PI) en todo su entorno SAP para cumplir con los artículos 15 y 17 del RGPD. Muchas organizaciones empiezan con una limpieza masiva de datos para eliminar aquellos que ya no tienen base legal.
Minimización y anonimización de datos en sistemas que no son de producción
El acuerdo sobre el tratamiento de datos de SAP establece que “el Cliente no otorgará a SAP el acceso a los sistemas del Licenciatario o a la información personal (del Cliente o de cualquier tercero) a menos que dicho acceso sea esencial para la prestación de los Servicios de SAP. El cliente no almacenará ningún dato personal en entornos que no sean de producción.” Esto significa que SAP no se hace responsable en el caso de que se encuentre algún dato confidencial desprotegido en sistemas que no son de producción. EPI-USE Labs recomienda utilizar Data Sync Manager™ para copiar solo los datos que se necesiten para las pruebas y convertir en anónimos todos los datos confidenciales mediante Data Secure™.
Supervisión proactiva de los riesgos
Como se ha mencionado al principio, las amenazas externas e internas a los sistemas de ataque informático son una realidad. Si tiene visibilidad de lo que ocurre en toda su infraestructura de TI, podrá identificar los ataques en el momento en que estos se produzcan y podrá detenerlos mediante la inteligencia artificial (IA) integrada. Splunk Enterprise Security es líder del mercado en la detección y resolución de amenazas. EPI-USE Labs ha desarrollado un conector para Splunk y SAP. Conocemos a fondo el modelo semántico avanzado de SAP, que impulsa nuestra consolidada suite de optimización del lanscape SAP para grandes empresas: Data Sync Manager. El marco Cenoti se basa en la misma tecnología y se integra de forma nativa en Splunk Enterprise Security y su modelo de información común (CIM).
Más información sobre Cenoti
Riesgo de acceso y cumplimiento de la normativa
Otro aspecto importante de la seguridad en SAP es permitir el acceso a datos confidenciales solo a las personas que los necesitan. SAP cuenta con roles y autorizaciones y su gestión puede ser una tarea titánica. Es conveniente que haya una separación de funciones para dificultar las actividades fraudulentas. Por ejemplo, Crowe UK estima que el fraude representa el 40 % de toda la ciberdelincuencia en el Reino Unido. Descubra por qué el GRC centrado en el negocio es la mejor solución para asegurarse de obtener el máximo valor.
Descubra más sobre la seguridad de SAP en el próximo grupo virtual de usuarios de EPI-USE Labs.
