Las organizaciones globales no invierten en la seguridad que se necesita antes de la llegada de GDPR, según Trend Micro

La investigación de Trend Micro revela que solo el 51% de los encuestados ha aumentado las inversiones en seguridad para facilitar el cumplimiento de la normativa, a pesar de que una cuarta parte se queja de la "falta de suficiente protección en seguridad TI" (25%) y de una "falta de seguridad de datos eficiente" (24%), como los mayores desafíos para los esfuerzos de cumplimiento

Menos de un tercio (31%) de los encuestados asegura haber invertido en cifrado, aunque se trata de una de las pocas tecnologías nombradas en el GDPR. Asimismo, algunas organizaciones han destinado partidas presupuestarias a la Prevención de Pérdida de Datos (33%) o a tecnologías avanzadas diseñadas para detectar intrusos en la red (34%).

Por otro lado, un 25% de las empresas afirma que los recursos limitados son el mayor desafío para el cumplimiento y explican las razones que hay detrás de esta falta de inversión, como ha informado la compañía en un comunicado.

"El GDPR es claro en cuanto a que las organizaciones deben encontrar tecnologías de última generación para ayudar a repeler las ciberamenazas y mantener seguros los datos y sistemas clave", ha señalado el director técnico de Trend Micro Iberia, José de la Cruz.

De la Cruz ha apuntado, asimismo, que es "preocupante" que los responsables de TI "no tengan fondos o no puedan contar con las herramientas adecuadas para abordar el cumplimiento".

Además de la falta de inversión en seguridad, el informe también revela que solo el 37% de las organizaciones mundiales han invertido en programas de concienciación y educación del personal.

LA VENTANA DE 72 HORAS

El informe también revela que muchas empresas no están preparadas para manejar los nuevos requisitos a la hora de notificar una infracción dentro del plazo de 72 horas establecido por la ley. El 21% de los encuestados asegura tener un proceso formal para notificar solo a la autoridad de protección de datos.

Sin embargo, el artículo 34 del GDPR establece que las personas también deben ser notificadas si una infracción supone un alto riesgo para sus derechos y libertades. Alrededor del 6% asegura no tener ningún proceso implementado, mientras que un 11% no sabe si lo tiene o no.

Otra de las preocupaciones de los encuestados se centra en los preparativos para apoyar el llamado 'derecho al olvido', una parte clave del GDPR, como recoge el estudio.

Aunque el 77% de los participantes en el estudio a nivel mundial asegura tener los procesos adecuados para atender las solicitudes de los clientes sobre los datos personales gestionados por la organización, el tratamiento de los datos manejados por terceros es otra cosa diferente.

Alrededor de un tercio (36%) de las organizaciones asegura no conocer o no tener procesos/tecnologías implementados para manejar solicitudes olvidadas de datos recogidos por agencias de terceros, proveedores 'cloud' (32%) y 'partners' (32%).

El estudio de Trend Micro ha contado con la participación de más de mil responsables de la toma de decisiones de empresas con más de 500 empleados en todo el mundo: en Reino Unido, Estados Unidos, Francia, Italia, España, Países Bajos, Alemania, Polonia, Suecia, Austria y Suiza.