El GDPR: una oportunidad para mejorar en ciberseguridad

El marco legal español ha venido marcado durante los últimos 20 años por la LOPD y sus reglamentos de desarrollo. El primero del año 1999 y el vigente del 2007, no siempre requerían la intervención de expertos en diseñar sistemas de información, porque se indicaban instrucciones tan concretas sobre las medidas de seguridad tecnológica que no dejaban espacio a la creatividad.

A menudo unas interpretaciones simplistas daban por buenas medidas de seguridad como, por ejemplo: hacer una copia de seguridad de los datos semanales; situación que podía parecer ridícula de proponer, durante la última década, cuando los mecanismos tradicionales de copias de seguridad dejaban paso a nuevas técnicas; pero las instrucciones tan detalladas del reglamento limitaban su promoción.

En cambio, en el GDPR se dejan de mencionar medidas tecnológicas concretas y se solicitan Evaluaciones de Impacto en la Privacidad (PIA), para que cada entorno deba evaluar, de forma anticipada, las garantías que ofrecerá el tratamiento que se desea realizar. Como resultado de la evaluación, se crearán análisis de riesgos, con estrategias de mejora. Ciclos de vida continuados que significaran la puesta en marcha de todas las tecnologías de privacidad mejorada (PETs) que estén al alcance de la entidad embrionario del diseño.

Genís Margarit, Ingeniero de Telecomunicación. Grupo de Trabajo Seguridad de la Información de Telecos.cat.

Por eso los profesionales expertos pueden adaptarse, aprovechar y asumir un cambio de rol. Lejos de marcar con cruces un checklist de indicadores, los análisis de riesgos solicitan ‘el papel en blanco’ y aportar sabiduría al diagnóstico desde cero, sin prejuicios ni recetas copiadas.

El nivel de expertise exigirá un elevado conocimiento de los entornos de los usuarios, y garantizar que se acaben implementado todas las medidas que mejoren la privacidad de los tratamientos.

El reglamento español permitió empezar la cultura de la privacidad. Pero después de dos décadas; es muy positivo dar un nuevo paso que promueva elevar el nivel de exigencia sobre los sistemas de información. Con la consecuencia de que los responsables no se veían motivados para implementar mecanismos de seguridad que las plataformas ya ofrecen desde hace años.

Por ejemplo, todos los expertos gestionan entornos de escritorio Microsoft Windows, y esto conlleva que la administración de redes Microsoft sea una habilidad indispensable. Pero son raros los casos dónde se haya promovido la creación de una infraestructura interna de clave pública y privada que ya podría permitir:

• A nivel de redes Microsoft: Un cifrado nativo de todas las comunicaciones de la red.
• A nivel de sistemas Windows: El doble factor de autentificación de los usuarios.
• A nivel de Microsoft Office: La implementación de los derechos digitales en todos los documentos corporativos sensibles.

Afortunadamente el reglamento europeo sacude profundamente la conciencia de los expertos para que conozcan las tecnologías que puedan mejorar la privacidad y así brindar servicios con más garantías que promuevan su uso e incrementen la confianza de la ciudadanía. No perdamos la oportunidad de recibir al GDPR como el mejor aliado para dar un salto cualitativo para el incremento de la ciberseguridad.