Empresas mexicanas no tienen idea de cómo proteger tus datos
iStock

Por Gabriela Chávez

En México, 88% de las empresas tiene la percepción de acatar la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Sin embargo, esto no es así.

Casi la mitad (48%) incumple con al menos uno de los requerimientos de tal ley, lo cual pone en riesgo la información de los ciudadanos y deja expuestos los datos a ciberataques como el reciente WannaCry.

Juan Carlos Carrillo, director de Ciberseguridad y Privacidad de datos de PwC México, detalló que, para las firmas, la percepción de cumplimiento se limita a contar con un aviso de privacidad en su página de internet, presente en los sitios de 87% de las compañías, pero esto no es ni cercano a la suficiencia.

Anuncio

“La problemática más grave es que no sólo es necesario contar con el aviso de privacidad para cumplir con la ley. Si no hay sanciones más fuertes y nada que los obligue, si no hay un incentivo real, no se va a hacer”, dijo el directivo.

Un reciente estudio realizado por la consultora PwC tomó en cuenta las acciones de 300 empresas a nivel nacional, en 24 estados. En 2016, de acuerdo con tal documento, se contabilizaron 85 millones de pesos en multas por incumplimiento de la LFPDPPP.

Para los analistas, a pesar de existir esta ley y sanciones tanto económicas como penales a quienes no las lleven a cabo, la aplicación de la legislación ha sido laxa, igual que las acciones y exigencias de los usuarios para presionar al sector privado a cumplir con la protección de sus datos personales.

Más que un aviso

Una de las evaluaciones para poder proteger los datos de los usuarios es contar con un equipo de monitoreo de la información de manera interna, del cual carecen 48% de las firmas.

Carrillo advirtió que, al no contar con esto, las compañías recaban y almacenan grandes cantidades de datos pero no saben dónde están, ni les dan uso óptimo, ya que, para que esto suceda, se requiere de un equipo de personas especializadas en gestión de información. De la muestra solo 26% tiene una oficina dedicada a privacidad.

Al sumar estos dos factores, advirtió el analista, cuando un usuario hace una requisición para ejercer sus derechos ARCO, como solicitar que las empresas borren sus datos, éstas, no tienen capacidad de respuesta.

“Solo una de cada cuatro tiene un sistema para verificar que sí se borran los datos de los usuarios”, afirmó.

La carencia de estas herramientas aumenta la exposición a un ciberataque, como el del reciente ransomware WannaCry, ya que al no contar con un sistema de verificación, o bien, al no realizar por medio de un equipo especializado un análisis de retorno de inversión para conocer el valor de los datos que almacenan, su respuesta ante una vulnerabilidad es casi nula.

“54% no tiene un procedimiento para responder ante un robo de información, además la mayoría tarda más de seis meses en darse cuenta que fue atacado”, destacó Juan Carlos Carrillo.

El estudio de PwC detalló que 38% de las empresas tarda al menos un año en detectar un robo de información, mientras que 29% al detectarlo no cuenta con acciones concretas a seguir. El resto tarda alrededor de seis meses. “Estas cifras son muy graves y tristes porque la ley tiene siete años en operación”, agregó el experto.

Además de no contar con protocolos de respuesta, las empresas no realizan la inversión adecuada en sistemas de protección de datos. “Si para cubrir ciberseguridad invierten cinco millones de dólares, para privacidad, es menos porque no existen presupuestos específicos para ello, lo toman de varias partes de la empresa”, dijo por su parte Fernando Román, también socio en PWC.

En este sentido, el estudio destacó que 45% de las empresas no piensa invertir en este tipo de protecciones el próximo año. Los analistas ven como consecuencia de estas carencias los efectos que tuvo en México WannaCry, que ubicó al país como la nación más vulnerada en la región y cuarta en el mundo, de acuerdo con Kaspersky Lab y otras organizaciones.

Pero a pesar del foco en nuestro país, el Consejo Nacional de Seguridad (CNS) detalló que sólo se registraron cuatro casos oficiales. “En México estos datos son como los muertos en el 85, la autoridad decía una cosa y nosotros sabíamos que eran muchos más, pero es un problema cultural”, aseguró Carrillo.

Hacia adelante y de frente a las nuevas legislaciones en la materia de Europa y Estados Unidos, los analistas advirtieron que será necesario hacer modificaciones a la ley y homologar los estándares para subir la barra.

También lee: México es el país más afectado por Wannacry en América Latina