Una de las primeras (y más necesarias) medidas para luchar contra las amenazas cibernéticas y garantizar la privacidad de los clientes en los servicios online (máxime con la inminente llegada del GDPR en mayo) es realizar una auditoría de seguridad por la que conocer los riesgos a los que nos exponemos, las fortalezas de nuestras infraestructuras TIC y las áreas de mejora a las que debemos echar un ojo.

Sin embargo, en torno a un 37% de las empresas no ha incluido la ciberseguridad dentro de sus planes de auditoría, a pesar de que la inmensa mayoría de los líderes mundiales (1.300 encuestados por ISACA y Protiviti) reconocen que la privacidad y seguridad informática es la mayor preocupación de sus negocios por segundo año consecutivo.

¿La causa de semejante dicotomía? La falta de recursos, afirman los directivos. Aunque las perspectivas invitan al optimismo, si nos atenemos a la tendencia histórica. En la actualidad, indica el informe, alrededor de la mitad de todas las organizaciones tiene un director de auditoría dedicado a las TIC. Hace apenas cinco años, apenas el 35% de las compañías tenía ese rol en su estructura.

Recordemos que las auditorías son un pilar esencial en la aplicación práctica del Reglamento General de Protección de Datos. De acuerdo al artículo 30 del GDPR, se exige mantener un ‘registro de actividades de procesamiento’ actualizado y con documentación detallada de los tipos de datos personales almacenados, las fuentes de los mismos y cómo se comparten, procesan y exportan. Para poderlo gestionar correctamente, tenemos que hacer una auditoría (sí o sí) de los activos, fuentes y procesos que utilicen datos personales existentes dentro de cada departamento de la compañía.