Actualidad del Sector TIC 196

Nuestra entrega semanal de noticias destaca el impacto que tendrá en las compañías americanas y en la ley de vigilancia del gobierno estadounidense el nuevo pacto entre EEUU y la Unión Europea en materia de transferencia de datos. Para cerrar el post, un informe de Strategy Analytics, del que se desprende que sólo el 7% de los departamentos de TI dedica más de la mitad de su tiempo a seguridad, destacando que con la llegada de IoT la situación se torna realmente alarmante.

Si la semana pasada recogíamos el cambio de nombre de Safe Harbour a Privacy Shield y cómo van las negociaciones al respecto, esta semana resumimos lo que deben saber las empresas.

Después de varios años preparando un reglamento que estandarice y asegure correctamente los datos personales de los usuarios entre compañías de la Unión Europea y EEUU, por fin hay una propuesta en firme para regularizar la transferencia de datos. Anteriormente ya existía un pacto entre EEUU y el gobierno europeo, el conocido Safe Harbor que tantos quebraderos de cabeza ha dado en estos años, no solo a los gobiernos, sino a las propias compañías desde que se pusiese en marcha en el año 2000. Hace unos meses, la propia Unión Europea invalidaba el tratado: éste proporcionaba una cobertura a todas las empresas que transfiriesen datos personales a terceras compañías (habitualmente coladeros de datos personales poco claros).

A pesar de la gran expectación con la que las compañías han estado esperando este nuevo acuerdo, hay una importante probabilidad de que nunca llegue a implementarse: los vigilantes de la privacidad en Europa ya han advertido que no se puede confiar en que otorgue protección legal en un futuro próximo, o quizá nunca; el pacto continúa sin estar claro y todavía no hay nada por escrito.

¿Qué pueden esperar las empresas?
Julie Brill, comisaria de la Comisión Federal de Comercio, ha aclarado varios puntos sobre el nuevo tratado durante el debate de la fundación Information Technology and Innovation (ITIF): “El nuevo tratado va a tardar en llevarse a cabo, todavía hay que escribirlo de forma clara y detallada para pueda entenderlo todo el mundo”, advirtió Brill durante la charla. “Esto llevará mucho más que cuando se aprobó el Safe Harbour; recordemos que la Unión Europea tiene un papel consultivo, supervisa el acuerdo y lo votará para aprobarlo, al igual que tienen que hacer cada uno de los miembros de la UE”, ha añadido.

Como pronto, las autoridades europeas acabarán en abril con el análisis legal, según el grupo de trabajo del artículo 29. Mientras, las empresas seguirán siendo responsables de sus actos frente al reglamento anterior, por lo que deben seguir cumpliendo con las normativas del Safe Harbour.

Si finalmente se aprueba el nuevo reglamento de trasferencia de datos entre EE.UU., y la Unión Europea, las empresas deberán examinar cuidadosamente los nuevos requisitos, de forma que puedan asegurar que los cumplen cuando coincidan en respaldarlo. “Deben entender dónde se meten al apoyar el reglamento”, especifica Brill.

Puntos calientes del acuerdo
Uno de los grandes cambios que más problemas puede traer a las empresas es la transferencia siguiente de datos; se da en las transferencias en las que se exportan datos de Europa a EEUU, y de ahí a una tercera parte. El nuevo acuerdo prestará mucha atención a estos casos para garantizar que la empresa que los recibe por segunda vez también tratará los datos de forma adecuada.

La probabilidad de retroactividad acecha al tratado: Brill no ha especificado si hay alguna voluntad de aplicar el nuevo reglamento de forma retroactiva una vez aprobado, aunque Timothy Edgar, el primer director de libertades civiles y privacidad que ha tenido EE.UU, ha advertido a las empresas: “Las compañías que forman parte del acuerdo Safe Harbour deben continuar con el compromiso de privacidad que aceptaron, ya que el nuevo reglamento es muy similar”, ha explicado por email. “Al no tener ningún detalle sobre el nuevo pacto las empresas deberían comprobar con sus abogados que están cumpliendo todos los requisitos que exigirá el reglamento”, añade Edgar. También recomienda a las empresas encriptar los datos que reciban de la UE ya que las regulaciones de protección de datos solo aplican a transferencias de información personal en formato identificable.

Qué puede detener el tratado
Timothy Edgar, ante el revuelo y las dudas que está creando el tratado, ha señalado la posibilidad (ya mencionada antes) de que no llegue a firmarse ninguna nueva regulación. “Estados Unidos no planea cambiar la ley de vigilancia”, ha señalado el exdirector; esto podría ser el problema principal para formalizar el acuerdo, ya que el Tribunal de Justicia Europa ha determinado que esta ley no protege adecuadamente los datos personales europeos.

“Los comisarios de protección de datos de la UE están aguantando de momento las amenazas al respecto, pero en los próximos meses estarán preguntando si el nuevo reglamento es suficientemente bueno”, sentencia Edgar. “La Comisión Europa puede estar satisfecha con las promesas del gobierno estadounidense respecto a cómo serán tratados los datos personal europeos por sus agencias de inteligencia, pero eso no significa que los comisarios de datos (o los tribunales europeos) si lo estén”. Y sin concordancia entre estos, el acuerdo no llegará a buen puerto.

La seguridad en las empresas todavía tiene que mejorar. Sobre todo ahora que se están comenzando a implantar nuevas tendencias tecnológicas, como el Internet de las Cosas. El informe de Strategy Analytics tiene en cuenta al Internet de las Cosas, y resalta que la gran mayoría de los departamentos destina un 20% de su tiempo a proteger redes y datos.

Sobre el impacto de este fenómeno de dispositivos conectados en el ámbito corporativo la consultora ha desvelado en su informe, “IoT 2016 Security Threats and Trends: Perilous, Porous and Pernicious”, que 7 de cada 10 departamentos de TI sólo emplean un 20 % de su tiempo a temas de seguridad. Esto es, a proteger sus redes y la información que manejan. De hecho, se sabe que el porcentaje de departamentos que destinan a ello más del 50% de su tiempo es sólo del 7%.

Cerca de tres quintas partes de las compañías analizadas habrían sufrido alguna brecha a lo largo del último año. O, al menos, podrían haberla experimentado. Y la misma cifra busca culpables en la dejadez o el descuido de los usuarios finales, que son el mayor peligro para las redes del Internet de las Cosas. Algo más dos quintas partes mete en la ecuación al malware.

Desde la consultora, alertan de que esos resultados “suponen una gran llamada de atención”. “Los entornos IoT aumentan exponencialmente el tamaño del vector de ataque dado que las empresas tienen muchos más dispositivos, puntos finales y aplicaciones que asegurar. Las implementaciones IoT pueden suponer un negocio potencialmente muy arriesgado”. Además, el 44% de las empresas que han sido hackeadas no fue capaz de determinar la fuente o el tipo de ataque de seguridad o la duración de la infracción, lo que es alarmante”.