Back Stage

Ramsés Gallego (Symantec): “Para el usuario, lo contrario de seguridad no es inseguridad, es la complacencia”

El experto en ciberseguridad advierte de los peligros que amenazan en el entorno virtual y enfatiza en las consecuencias que sufrirán las empresas si, después del 25 de mayo, registran una fuga de datos de sus clientes como le ha sucedido a Facebook.

Jaime Cevallos

29 mar 2018 - 04:40

Ramsés Gallego (Symantec): “Un 64% de las empresas no cumplirá con la nueva ley de protección de datos”

 

 

Ramsés Gallego se ha convertido en un trotamundos alertando sobre los peligros de la Red. Se trata del único español que ha sido vicepresidente de Isaca, la mayor asociación del mundo en temas ciberseguridad, gobernanza, auditoría y privacidad. El Gobierno de Estados Unidos le homenajeó izando la bandera estadounidense en el Capitolio, en Washington, y también ha sido designado como Privacy by Design Ambassador por el Gobierno de Ontario, Canadá. Gallego, que trabaja en el grupo estadounidense de ciberseguridad Symantec, defiende que ni las empresas están preparadas para los desafíos de la seguridad online ni los consumidores son conscientes de sus peligros.

 

Pregunta: El 25 de mayo entra en vigencia el Reglamento de Protección de Datos. ¿Cuál es la sanción para las empresas que no lo cumplen?

Respuesta: Las empresas tendrán unas sanciones de hasta el 4% de su facturación global o de veinte millones de euros, la cantidad que sea mayor, cada vez que sufran una brecha de información o fuga de datos. Son cifras que distan mucho de nuestra todavía vigente ley de protección de datos que habla de cantidades comparativamente irrisorias.

 

P.: Para usted, ¿qué representa el reglamento?

El Rgpd, por sus siglas en castellano, representa una revolución sobre cómo proteger los datos, ya que el objetivo de la UE, del regulador, es el de salvaguardar la información sensible de los europeos allí donde residan. En un mundo globalizado, la ley tiene un carácter interesante, porque aquella compañía de ropa que, por la razón que sea, tenga mis datos, debe protegerse. Se trata de una ley y no de una directiva europea que no permite transposición a los países de la UE.  Si bien es verdad que muchas empresas pueden tener seguridad pero no privacidad, yo creo que no se puede garantizar la privacidad de la información sin tener unas mínimas cuestiones de seguridad.

 

P.: ¿Cuál es el nivel de preparación de las empresas con respecto al Reglamento de Protección de Datos?

R.: Faltan 59 días para la entrada en vigor del reglamento, incluyendo ocho sábados y ocho domingos… Voy a hablar de España, pero el dato puede extrapolarse a escala global: un 64% de las compañías no llegará al 25 de mayo en buen estado. Es decir, esas compañías no estarán en conformidad legal o en cumplimiento normativo. La madurez de las empresas es baja en este campo, aunque también es verdad que el nivel de madurez del tejido empresarial español está construido de pymes, además, por supuesto, de las grandes compañías del Ibex 35. El tema es complejo, porque el reglamento no sólo habla de tecnología, sino de cuestiones de procedimiento, de organización, de que la recolección de la información sea justa y proporcional.

 

 

 

 

P: ¿Qué quiere decir con hacer una recolección de la información justa y proporcional?

R.: Si una empresa me quiere vender unas zapatillas para correr, no necesita saber mi tipo de sangre. El regulador le dice a cualquier compañía que la recolección de datos tiene que ser proporcional y ajustada a derecho. En márketing y ventas, ahora me obligarán por ley a preguntarme cosas que antes jamás me había planteado en torno a la utilización de los datos de mis clientes.

 

P.: Da la impresión de que las empresas consideran la ciberseguridad como un gasto en lugar de una inversión.

R.: Exacto. Entiendo que los ejecutivos de hoy en día deben velar por su negocio. Pero ¿acaso no nos preocupamos por los datos de los clientes? La confianza puede ser utilizada como una ventaja competitiva, como un factor diferencial, sobre todo al hilo de lo de Facebook y de otros incidentes que vendrán.

 

P.: ¿Qué otros perjuicios le puede causar una fuga de información a una empresa, además de las consecuencias económicas?

R.: La económica es la más visible, pero hay otro impacto, que es el de la reputación, el de la imagen pública. Ya seas un banco, una empresa de energía o un retailer, lo que espero como usuario no sólo es que me den un buen servicio, sino que me garanticen mis datos, todo aquello que sea una identificación personal y que le permita a alguien trazar mi yo digital. Es decir, cuando compro online, entrego mi confianza a una empresa, perspectiva que no hay que perder de vista en un mundo complejo y globalizado.

 

 

 

 

P.: ¿Qué otros riesgos están corriendo las empresas que venden online?

R.: Existe un riesgo en varias direcciones, porque las empresas que operan online tienen una superficie de ataque en expansión y expansiva. Los malos intentan acceder a sitios donde puedan encontrar datos para vender o traficar con ellos, con lo cual, me vienen a la cabeza casos como el de Yahoo, que fue hackeado y se perdieron millones de datos, o de los retailares Home Depot o Target, que en sólo un ataque perdieron millones de datos de tarjetas de crédito.

 

P.: ¿Y en cuanto a la reputación?

R.: Otro riesgo importante el daño que puede sufrir una marca en su reputación. No nos olvidemos de las fake news y de su capacidad de influir en la sociedad por medios digitales. Si abro un hilo de Twitter y pongo en duda una estrategia corporativa, siempre habrá alguien que me escuche.

 

P.: ¿Cree que los usuarios ponen límites a la hora de facilitar los datos en un proceso de compra online?

R.: No voy a ser optimista en mi respuesta, porque los usuarios, con todo respeto,  no comprenden la tecnología. Creemos que todo es seguro desde nuestra tableta digital o teléfono móvil, porque encontramos las cosas con facilidad a tres clicks de distancia.

Desde un punto de vista de usuario, lo contrario de seguridad no es inseguridad, es la complacencia; no pienso si lo que estoy haciendo en mi dispositivo es seguro, porque actúo movido por el beneficio de la transacción, por el deseo de comprar en esa página web que me ofrece una oferta de 24 horas. 

 

 

 

 

P.: ¿Es decir que falta mucha concienciación por parte de los usuarios?

R.: Sí, porque somos complacientes. A veces pensamos que los servicios que nos ofrecen las redes sociales son gratuitos, pero cuando damos un me gusta a una persona o a una marca, hay que llegar a la conclusión de que nosotros somos el producto. Ellos, esas marcas como Facebook, lo que hacen es vender tu trazabilidad para conocer tu perfil digital. Estamos pagando microcréditos con nuestros datos.

 

P.: ¿Cómo ve el retail y la ciberseguridad en el 2020?

R.: Eso es pasado mañana. En 2020 lo veo con un mundo móvil absoluto, un mundo hacker, porque los malos no van a parar. El fatídico 25 de mayo de 2017, España sufrió un ataque de un ransomware, un secuestro masivo de datos que afectó también a otros 150 países. Yo creo que este ataque es una prueba de que estamos hablando de unas actividades criminales, porque ya no sólo quieren tus datos, sino que desean tu dinero En la actualidad. España es el séptimo país de Europa en riesgo de amenazas y esto irá a peor. Un dato: uno de cada 170 correos que envían las empresas de retail en el mundo tiene contenido malicioso.