Advertencia: "La extorsión del RGPD" podría dañar su negocio. ¡Esto es lo que debe hacer!
Publicado: 2019-01-12La mayoría de los líderes empresariales con sede en los EE. UU. están al menos algo familiarizados con el RGPD (Reglamento general de protección de datos de la UE). Aunque este amplio conjunto de regulaciones de datos está diseñado para proteger la privacidad de los ciudadanos en la Unión Europea, también afectará significativamente a las empresas de los EE. UU. . También es probable que conduzca a un nuevo y costoso delito cibernético: "extorsión GDPR".
¿Cómo afectarán las regulaciones de datos basadas en la UE a las empresas en los EE. UU.? ¿Qué es la extorsión del RGPD? ¿Cómo pueden protegerse las empresas? Estas son las preguntas que abordaré en este artículo.
RGPD en pocas palabras
Como el conjunto de regulaciones de seguridad de datos más completo de la historia (99 artículos organizados en 11 capítulos, para ser exactos), el RGPD está causando sorpresa y ansiedad en todo el mundo.
Esto se debe a que la captura de datos de los clientes ayuda a las empresas de todas las industrias a mejorar el marketing, las ventas, el servicio al cliente y muchos otros esfuerzos. Ahora, gracias al RGPD, las empresas tienen que recopilar datos con mucho más cuidado.
GDPR les da a los ciudadanos de la UE algo que no existe en los EE. UU.: el derecho a la privacidad de los datos personales. ¿Qué tipo de normas se incluyen en este conjunto de leyes? Aunque GDPR se vuelve bastante complejo, aquí hay un breve resumen.
El derecho de un ciudadano de la UE a la privacidad de los datos ahora supera el interés de las empresas en recopilar sus datos. Por lo tanto, bajo GDPR, cada ciudadano de la UE tiene:
- Derecho a elegir si se permite o no la recogida de sus datos
- El derecho a ver todos los datos que se han recopilado sobre ellos.
- “El derecho al olvido”, lo que significa que Google y otros motores de búsqueda deben eliminar sus datos si así lo solicitan.
- Y, por último, el derecho que dio origen al fenómeno de la extorsión del RGPD, que es el derecho a ser informado de las infracciones de datos en un plazo de 72 horas (como las infracciones provocadas por piratas informáticos)
¿Cómo afecta el RGPD a las empresas estadounidenses?
Antes de profundizar en lo que es la extorsión de GDPR, debo enfatizar por qué las empresas estadounidenses no están claras aquí.
Si su empresa con sede en EE. UU. ofrece servicios a ciudadanos de la UE o recopila datos personales sobre ciudadanos de la UE, debe cumplir con las normas del RGPD. Algunas de las industrias de EE. UU. que tienen más probabilidades de caer bajo el RGPD incluyen viajes, hospitalidad, SaaS y comercio electrónico. Sin embargo, cualquier empresa con sede en los EE. UU. con un mercado en la UE debe hacer preparativos para cumplir con los requisitos.
¿Cuáles son las consecuencias de no cumplir con los requisitos del RGPD? Las multas podrían ascender a 20 millones de euros (22,7 millones de dólares), aunque aún no está claro cómo se harán cumplir esos pagos de la UE en EE. UU.
Pero las consecuencias de no cumplir con el RGPD se extienden mucho más allá de las tarifas debilitantes. Las empresas con una gran base de clientes de la UE también podrían perder su reputación en un mercado de más de 510 millones de personas.
Con la amenaza de pagos de ocho cifras por un lado y la posibilidad de sacrificar la confianza de los clientes de la UE por el otro, muchas empresas estadounidenses no tienen más remedio que reestructurar su marco de gestión de datos para cumplir con el RGPD.
RGPD Extorsión
Como si las graves consecuencias asociadas con el incumplimiento del RGPD no fueran lo suficientemente preocupantes, los líderes empresariales de la UE y los EE. UU. tienen otra razón para perder el sueño: la "extorsión del RGPD".
La loca carrera de ejecutivos que se esfuerzan por prepararse para el RGPD está creando una tormenta perfecta para los ciberdelincuentes. Si una empresa no cumple con el RGPD, y si sus dispositivos no están parcheados ni protegidos, un hacker puede obtener acceso a los datos de la empresa y dar un ultimátum ominoso: O le paga al hacker una suma específica de dinero o los datos se filtrarán. un escenario que también conduciría a multas paralizantes.
Una empresa pirateada tendrá una opción en este punto. Apaciguar a los criminales o informar a la ICO (Oficina del Comisionado de Información) de la violación de datos, según los requisitos de GDPR.
Los ciberdelincuentes saben que muchas empresas optarán por pagar a los piratas informáticos en lugar de enfrentar multas de GDPR aún mayores. Además, en un intento por evitar la protesta pública, los líderes empresariales a menudo pagan a un ciberdelincuente y tratan de mantener a los ciudadanos de la UE al tanto de la violación de datos.
Resistir a los ciberdelincuentes
A pesar de la tentación de pagarle a un pirata informático, una empresa que ha sido víctima de un delito cibernético debe mantenerse firme en lugar de negociar con los delincuentes. El mejor curso de acción es informar al ICO de la infracción y trabajar con ellos para mitigar el daño. ¿Por qué? Hay al menos cuatro razones.
- No hay garantía de que los piratas informáticos cumplan con su parte del trato y le den a la empresa víctima el control de sus datos.
- Pagar a los piratas informáticos los anima a volver y extorsionar a la misma empresa una vez más.
- Ceder ante los ciberdelincuentes los alienta a seguir desarrollando tecnologías avanzadas para chantajear a más empresas en todo el mundo.
- Hay una razón ética para resistir a los ciberdelincuentes. Las personas merecen saber cuándo se ha accedido ilegalmente a sus datos personales.
Aplique parches a todo su entorno de TI
La mejor protección contra la extorsión del RGPD es impedir que los piratas informáticos ingresen a su sistema. Los ciberdelincuentes siempre buscan empresas con dispositivos vulnerables y sin parches, y por una buena razón. Incluso empresas tan grandes como Equifax han sido violadas debido a servidores sin parches.
La aplicación de parches es la reparación de las debilidades del sistema que se han descubierto después de que el hardware y el software ya se hayan lanzado. Suena bastante simple, pero el proceso es desalentador y complejo.
Piense en todos los componentes que deben parchearse. Servidores y enrutadores, sistemas operativos, aplicaciones, clientes de correo electrónico, computadoras de escritorio y portátiles, dispositivos móviles, firewalls, suites ofimáticas y más. Y como cualquier profesional de TI estará de acuerdo, los servidores de una empresa por sí solos pueden convertirse en un dolor de cabeza con parches.