En mayo de 2017, The Economist apareció con un titular de primera página que proclamaba que «el recurso más valioso del mundo ya no es el petróleo, sino los datos».
Se centró en la recopilación y el uso de datos por parte de la gran tecnología y argumentó que la economía de datos exige un nuevo enfoque de las normas antimonopolio.
Estaremos todos de acuerdo con la idea de que los datos se refieren al recurso más valioso del mundo en el mundo (valga la redundancia) en el que vivimos hoy, pero más que al petróleo, se parece más al uranio. Tiene poder y energía, pero demasiado puede ser potencialmente explosivo. De hecho, pensar en los datos como si fueran uranio, podría ser una buena forma de abordar la protección de datos.
¿Cómo se manejan estos datos?
No esperaríamos ninguno de nosotros que nuestro personal manejase uranio sin precaución o sin el equipo de protección adecuado, como si fuésemos Homer. Del mismo modo, debemos educar a nuestro personal para que maneje los datos con igual cuidado y debemos equiparlos con herramientas necesarias para ello.
Numerosos estudios han encontrado que la mayor amenaza de protección de datos para una empresa es la que abandona la empresa al final del día: su personal. La amenaza interna, como se sabe, supera a todas las demás.
Si nuestro personal manipulase combustible nuclear, esperaríamos que lo hicieran con el máximo cuidado. Con los datos, incluso después de extensos programas de educación y capacitación, la tentación puede ser tomar atajos o pasar por alto los procedimientos adecuados para terminar antes. Por esta razón, la facilidad de uso es tan importante en términos de seguridad como la funcionalidad.
El problema es que el ámbito de la ciberseguridad está extremadamente fragmentado y, por lo general, se espera que comprendamos cómo usar una serie de herramientas diferentes.
Afortunadamente, organizaciones como Lenovo se centran exactamente en este desafío, reuniendo una selección de las mejores herramientas de seguridad de la talla de Intel y Microsoft en una única cartera integrada llamada ThinkShield y haciendo que sea más fácil de usar.
Por otra parte, la realidad es que no siempre se puede confiar en que los usuarios sepan lo que deben hacer. Tampoco se puede supervisar cada uno de los movimientos, pero con herramientas como la anteriormente citada, no sólo obtenemos una seguridad integral, sino que también estamos en un paquete más fácil de entender y usar por los usuarios.
La concentración de datos
Gran parte del enfoque de la publicación de The Economist estaba en la cantidad de datos que ciertos jugadores estaban recopilando y los riesgos que ello conllevaba. Sostuvo que se necesitaban nuevas reglas antimonopolio para abordar dicha concentración de datos en manos de unos pocos.
Nuevamente, esto hace que los datos se parezcan mucho más al uranio que al petróleo, ya que todos los combustibles nucleares son relativamente seguros en pequeñas cantidades. Sin embargo, una vez que tenemos una masa crítica, «pum».
¿Cuál es la respuesta?
Cualquier persona de la industria nuclear está familiarizada con la planificación de escenarios y los ejercicios de simulación. Realizan simulacros regulares para capacitar al personal sobre cómo lidiar con catástrofes. Pocas empresas se dan cuenta de que RGPD exige la necesidad de un proceso para probar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento. En otras palabras, si no se ejecuta o planifica este escenario de ejercicios de simulación, entonces no cumplimos el GDPR.
La mayoría de las empresas tienen equipos internos de seguridad, al igual que los equipos legales y de RRPP, pero cuando ocurre una violación, los equipos internos necesitarán ayuda. Por eso es buena idea trabajar con especialistas que trabajen con nuestros equipos internos.