Juan Leal Cárdenas, director general de Lexmark Ibérica.
El próximo 25 de mayo de 2018 comenzará a aplicarse el nuevo Reglamento General de Protección de Datos (GDPR) en todos los Estados miembros de la Unión Europea. A partir de ese momento, todas las empresas, organizaciones y agencias de gobierno dentro de la Unión Europea deberán asegurarse de que su infraestructura de TI es compatible y se ajusta a los requerimientos necesarios para cumplir con la nueva normativa.
Las empresas no solo deben aplicar la normativa, sino que necesitan poder demostrar con claridad cómo sus procesos cumplen con ésta, así como documentar las decisiones que adoptan para proteger los datos personales.
Pero, ¿entendemos realmente lo que implica el GDPR? y ¿qué tienen que hacer las empresas para estar preparadas?
En primer lugar, según la Ley Orgánica de Protección de Datos (LOPD), los datos de carácter personal están definidos como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Esto es importante para poder identificar qué es lo que se considera como datos personales. La información que podría llevar a la identificación de una persona ahora incluye cualquier tipo de dato, desde detalles económicos, culturales o de salud mental hasta la información de los números de teléfono, direcciones IP o los nombres en redes sociales. Además, las empresas y organizaciones tendrán ahora un máximo de 72 horas para informar sobre infracciones en los datos personales, ya que de no hacerlo podrían enfrentarse a multas significativas.
Dentro del debate acerca de cómo se puede ajustar la infraestructura de TI para cumplir con este nuevo reglamento, un punto importante ha sido la protección de los datos cuando se trata de la impresión. Después de todo, las brechas de seguridad de datos no siempre son producto de los grandes ciberataques que hemos visto recientemente, como WannaCry o Petya. Un documento impreso en manos incorrectas también puede suponer una brecha de seguridad, y suele ser más común de lo que uno podría pensar.
Problemas habituales relacionados con la impresión
Las vulnerabilidades en la seguridad de la impresión van desde problemas avanzados en la encriptación hasta un sencillo error humano. Por ejemplo, muchas empresas desconocen que los datos personales a menudo se transfieren sin codificar a través de la red de la empresa al imprimir y también se almacenan sin codificar en los servidores o incluso en el disco duro de la propia impresora.
Además, en muchas ocasiones no se establecen flujos de trabajo alternativos que eviten que información confidencial termine en las manos equivocadas. Sin flujos de trabajo alternativos, cualquier información personal podría acabar en impresoras situadas en ubicaciones no seguras. Incluso un documento dejado desatendido en la bandeja de salida de una impresora podría significar que la información no está adecuadamente protegida.
Por supuesto, estos son solo algunos de los riesgos potenciales que las empresas pueden encontrar al intentar proteger sus datos en la impresión. Es inevitable que surjan nuevos desafíos a medida que la tecnología, como por ejemplo el IoT, continúe avanzando e interviniendo en los procesos empresariales diarios. Es innegable que las empresas se enfrentan a una situación complicada para garantizar el cumplimiento del nuevo reglamento GDPR.
Cómo mantener segura la flota de impresoras
En resumen, las empresas deben considerar la seguridad de la impresión como una parte vital de sus procesos de planificación de TI y enfocar sus esfuerzos en tres áreas esenciales: los dispositivos, la red y los documentos.
Lo primero son los dispositivos. Muchas organizaciones continúan utilizando dispositivos de impresión antiguos y poco seguros. La mejor defensa es implementar funciones de acceso seguro que restrinjan quién puede usar los dispositivos de impresión, utilizando controles de acceso de usuario predefinidos.
En cuanto a la red, con el uso creciente de dispositivos móviles y la necesidad de apoyar iniciativas de movilidad dentro de la empresa, los departamentos de TI deben lograr un equilibrio entre proporcionar a los usuarios las herramientas necesarias para aumentar su eficiencia al tiempo que minimizan los riesgos de intrusión a través de las redes y las múltiples conexiones. Para conseguirlo, se deberían incluir, por ejemplo, certificados digitales, filtrado de puertos, filtrado de direcciones IP y control de acceso basado en roles, entre otras medidas de seguridad.
La tercera y última área a tener en cuenta son los documentos. Se pueden evitar impresiones maliciosas en un dispositivo configurándolo para que solo permita trabajos de impresión si el usuario está autenticado. También se puede incorporar el control de acceso a las instalaciones por autenticación con tarjeta, soluciones de liberación de la impresión y supervisión de documentos segura. Estas soluciones ofrecen gran visibilidad de los documentos físicos y reducen las responsabilidades asociadas con las posibles amenazas internas.
Por último, es importante que las empresas consideren la seguridad como una parte integral de todo su hardware de impresión y no solamente en el software y la infraestructura de TI. A partir de mayo de 2018, un documento impreso sin control que caiga en manos equivocadas puede resultar tan peligroso y costoso como un ciberataque. La UE advierte de multas de hasta 20 millones de euros o del cuatro por ciento del volumen de negocios anual de una empresa (la cifra que sea mayor). Por lo tanto, es primordial que las empresas trabajen para evitar que situaciones como esta se hagan realidad.
A medida que se acerca la fecha límite para adaptarse al GDPR, las empresas deben definir cómo gestionar los datos personales que recopilan, tanto externamente de sus clientes como internamente de sus empleados. Básicamente, es hora de que las empresas se aseguren de que el cumplimiento de las leyes de protección de datos abarque desde la seguridad web hasta la bandeja de salida de su impresora.
