Protección de datos en Internet: Nueva propuesta de la Comisión Europea

Hace más de una semana, la comisaria Europea Viviane Reding expuso el problema y la propuesta claramente: “El objetivo de la reforma es reforzar los derechos personales en Internet e impulsar la economía digital europea”. La propuesta europea busca que los usuarios de internet sepan claramente lo que transmiten y para qué. Se trata de educar al usuario y de que se le haga recapacitar y meditar antes de enviar a la red datos personales o confidenciales corporativos.

Se impondrán sanciones de hasta un millón de euros o una multa de entre un 2% y un 5% del volumen de negocio de una empresa que infrinja la ley. Éstas, aunque parezcan sanciones elevadas, no lo son tanto, si se conocen casos reales como el de Max Schrems, quien amparándose en una directiva europea, pidió a Facebook que le hicieran llegar toda la información que tenían sobre él. La sorpresa fue cuando Facebook le hizo entrega de un CD, con más de 1.200 documentos, que incluían transcripciones de ‘chats’, peticiones de amistad, notificaciones de eventos, estatus y fotos, entre otros, que él había eliminado.

A partir de ese momento, se empezó a imponer el “derecho al olvido” de los usuarios,  que obliga a las empresas de redes sociales como la citada anteriormente, a borrar completamente de todos sus sistemas la información de los usuarios que se den de baja. Pero esto es algo que en la mayoría de las ocasiones no ocurre…Muchas veces nos preguntamos: ¿de dónde han obtenido mis datos? El caso de Max Schrems es un ejemplo de millones de situaciones similares.

Las sanciones por el incumplimiento de ésta y otras reformas relacionadas con el cumplimiento de las leyes de protección de datos, obligan a muchas empresas a tener que aprovisionarse de soluciones que de alguna manera bloqueen el envío de información personal, confidencial y sensible fuera de su gateway corporativo. Las medidas deben ser tomadas de forma ágil, rápida y eficiente. Sin duda nos enfrentamos a un nuevo desafío que supone un punto de inflexión en la concepción que tenemos de la seguridad y en cómo debe gestionarse por todos los agentes implicados, desde las corporaciones hasta el usuario final. Debemos ser más conscientes de lo que implica gestionar la información y atenernos a las consecuencias de hacer un mal uso de la misma, ya sea directa o indirectamente.

Adelantarse al futuro: el deber de los fabricantes de seguridad

Llegados a este punto, es un hecho que el trabajo de los fabricantes de seguridad no termina nunca, puesto que para que se cumplan estas premisas debemos adaptarnos a las circunstancias creando herramientas lo más flexibles, sencillas y efectivas posible, que garanticen mayor control de los datos y una mayor protección para la privacidad de los usuarios. No es una tarea fácil. Nos encontramos en momentos difíciles económicamente y, además de que las soluciones que se propongan deben cumplir con las premisas anteriores, han de ser económicas y aportar un ROI rápido.

Pero esto no tiene que suponer un hándicap. La industria debe continuar evolucionando hacia un modelo de seguridad más inteligente inspirado en un panorama de seguridad cambiante, cuyo núcleo radique en los datos y en un marco anti-hacker. Además, debe crear mejores alternativas de seguridad centradas en los datos para la era post-PC, donde los usuarios necesitan tener más visibilidad al mismo tiempo que deben estar seguros sobre quién accede a su información, cuándo, dónde y cómo, y más cuando el viaje a la nube que están iniciando muchos usuarios y empresas  lleva asociado el riesgo de perder datos y por ende, pérdidas económicas, de reputación y ahora, con la nueva ley de protección de datos, nuevos castigos.

A día de hoy ya existen tecnologías y herramientas que gozan de madurez en el mercado y cuya finalidad principal es evitar la fuga de información sensible a través de cualquier canal de comunicación (correo electrónico, web, dispositivos USB, CD-ROM, copiar y pegar, impresoras…). A través de un agente de configuración, el administrador puede crear una política de prevención de fuga de información eficaz de forma guiada y en cuatro sencillos pasos. Las soluciones de Prevención de Fuga de Datos (DLP) para los puestos de trabajo se basan en una arquitectura cliente-servidor. El servidor central es el elemento principal donde pueden configurarse las políticas de DLP y la monitorización. Es ahí donde se define cómo se identificará la información confidencial. Mediante patrones diseñados con expresiones regulares, palabras clave, parámetros de fichero o fingerprints, es posible localizar cualquier tipo de dato en cualquier puesto de trabajo de la red y evitar que éste pueda salir del dispositivo por cualquier vía.

Esta propuesta resulta igualmente válida y eficaz si el usuario sale fuera de la red corporativa, ya que el software residente en el PC tiene capacidad de inspeccionar y reconocer la política de DLP y hacerla efectiva allá donde quiera que esté conectado dicho PC o dispositivo.

Normalmente las herramientas y soluciones que implementan funcionalidades de Data Loss Prevention cuentan con funcionalidades de reporting y logging avanzadas que permiten informar al administrador sobre el intento de violaciones de políticas de fuga de datos. Incluso, existen soluciones que permiten realizar análisis forenses sobre la información que se ha intentado extraer del endpoint o de la red en contra de la política de fugas de la compañía. Estas notificaciones pueden configurarse para ser enviadas por email o incluso por SMS. De este modo se garantiza tener conocimiento de que dicha fuga se ha producido, de forma inmediata. Esto es especialmente importante si tenemos en cuenta que en la nueva ley se contempla la posibilidad de que la empresa que ha sufrido la fuga de datos deba informar de ello en un plazo de 24 horas.

Las cada vez más estrictas normativas, los mayores niveles de concienciación por parte de empresas y usuarios, así como la efectividad de las propuestas por parte de la industria de la seguridad, se traduce en que tanto las pymes como grandes corporaciones españolas están mostrando un gran interés por implementar soluciones como la descripta anteriormente. Y las predicciones nos dicen que 2012 será un año en el que las empresas empezarán a invertir seriamente en soluciones DLP por todas las razones expuestas.

En resumen, creemos que esta nueva reforma tiene como objetivo beneficiar al usuario de Internet; especialmente al de las redes sociales para evitar que sus datos personales y confidenciales circulen por Internet sin control.