El 30 de mayo entrarán en vigor importantes multas sobre el volumen de negocios por la fuga de datos personales. En este sentido, las empresas han empezado a auditar más activamente sus sistemas de protección de la información. Los operadores de datos personales esperan que, gracias a estas acciones y al cumplimiento de los requisitos de los reguladores, puedan evitar grandes multas en caso de fuga de información. Sin embargo, los expertos en ciberseguridad ven ciertos riesgos en ello. Temen que las empresas puedan transferir la responsabilidad de la seguridad de los datos a los auditores o a los defensores de la información, lo que podría acarrear consecuencias indeseables.
Las organizaciones que trabajan con datos personales comprueban cada vez más sus sistemas de almacenamiento y protección de la información. Así lo informaron expertos en ciberseguridad y especialistas en asuntos legales.
Las empresas invierten en la auditoría de la protección para evitar multas de los órganos de control y tener la oportunidad de reducir el importe de la posible multa en caso de fuga de datos.
Por ejemplo, según la información de la empresa jurídica EBR, la demanda de auditoría de los sistemas de almacenamiento y protección de datos se ha duplicado con creces en comparación con la primavera del año pasado.
Artem Evseev, asesor de la práctica de propiedad intelectual de la empresa, señala que antes la auditoría podía realizarse formalmente, "para mostrar", pero ahora el precio de la cuestión es demasiado alto para este enfoque.
Su realización es necesaria para identificar los riesgos de antemano y minimizarlos antes de ser responsabilizado. Esto también es relevante en el contexto del levantamiento de la moratoria sobre las inspecciones no programadas de Roskomnadzor.
Desde finales de 2023, las empresas tendrán que pagar hasta 700.000 rublos por cada consentimiento de tratamiento de datos personales de un empleado que no esté correctamente cumplimentado. En diciembre de 2024, se añadió al Código Penal de la Federación Rusa un artículo separado que prevé la responsabilidad por la violación de la Ley Federal № 152-FZ "Sobre datos personales".
A partir de mayo de 2025, se introducirán multas sobre el volumen de negocios por la fuga de datos personales. Si antes la multa máxima era de 18 millones de rublos, ahora las empresas pueden enfrentarse a sanciones de hasta 500 millones de rublos. Por lo tanto, el importe máximo de las multas ha aumentado 27 veces.
Las necesidades crecen
Debido al aumento de la demanda de productos y servicios en el ámbito de la seguridad de la información, también crece la necesidad de comprobar los sistemas de tratamiento y almacenamiento de datos personales.
Como subrayó Mikhail Dobrovolsky, subdirector general de "SKB Kontur", estas solicitudes llegaban antes de los cambios en la legislación, pero en los últimos meses su número ha aumentado considerablemente. Los grandes holdings y grupos de empresas, que se esfuerzan por minimizar los riesgos y cumplir los requisitos de los reguladores, muestran un interés especialmente activo en este servicio.
En particular, la atención a la auditoría se debe a la perspectiva de reducir el importe de la multa sobre el volumen de negocios si la organización puede demostrar que se cumplen todos los requisitos de la legislación, incluida la realización periódica de auditorías de datos personales, señala Artem Evseev.
En el marco de este proceso, se realiza un análisis de los procesos de información, se crea un conjunto completo de documentos internos y se introducen métodos eficaces de protección de la confidencialidad.
Los representantes de los órganos de control han señalado en repetidas ocasiones que el endurecimiento de las medidas de responsabilidad por la fuga de información es una reacción al aumento del número de incidentes de este tipo.
Así, según la información de Roskomnadzor, en 2022 se detectaron 140 casos de fuga de datos. En 2023, esta cifra aumentó a 168, y en 2024, a 135. En los primeros meses de 2023, el departamento ya registró 19 casos de fuga de información.
En total, desde 2021, más de 1.600 millones de registros sobre ciudadanos rusos han caído en el dominio público.
Comprobar y proteger
Para realizar la comprobación, las empresas suelen recurrir a especialistas en el ámbito de la protección de datos personales, así como a expertos en ciberseguridad que dispongan de certificados FSTEC y FSB de Rusia.
Los proyectos de organización del trabajo con datos personales incluyen varias etapas, como señala Alexander Baryshnikov, jefe del departamento de consultoría y auditoría de la empresa "Informzashita".
En la primera etapa, se realiza un análisis de los procesos actuales de tratamiento de datos, los sistemas de información, la infraestructura de IT y las medidas de protección de datos.
A continuación, los especialistas determinan las posibles amenazas a la seguridad de los datos y clasifican los sistemas por niveles de protección de acuerdo con los requisitos de los órganos reguladores.
Después de esto, se prepara para el cliente de la auditoría un paquete de documentos normativos y organizativos necesarios que regulan el tratamiento de la información. Los abogados también pueden comprobar la legalidad de la obtención de datos en el marco de la auditoría.
Irina Yakunina, jefa del departamento de consultoría y auditoría de protección de la información de la empresa "Bastion", considera que el aspecto más importante a la hora de prepararse para una auditoría es el cumplimiento de los requisitos de los actos jurídicos normativos de la Federación Rusa.
La documentación legislativa existente acompaña el proceso de tratamiento de datos en las etapas desde el inicio del tratamiento hasta la destrucción completa, y en todas estas etapas es importante poner los sistemas del cliente en conformidad con las normas de la ley.
En Roskomnadzor subrayaron que apoyan el deseo de las empresas de proteger los datos.
Consideramos que es aconsejable realizar una auditoría de los procesos de recopilación y uso de datos para asegurarse de que se cumplen los principios de trabajo con ellos: analizar la legalidad de las fuentes de datos y los fundamentos jurídicos para su recopilación, controlar el cumplimiento del principio de minimización del volumen de datos recopilados, asegurarse de que los datos se corresponden con el propósito de la recopilación y se eliminan al alcanzar este propósito.
En Roskomnadzor aconsejan a las organizaciones nacionales que utilicen los servicios de proveedores de alojamiento rusos.
El precio de realizar una auditoría de este tipo puede oscilar entre varios cientos de miles de rublos y decenas de millones. Esto depende de varios aspectos: el tamaño de la empresa, el volumen y el tipo de datos procesados, el uso de datos biométricos o información sobre el estado de salud, la complejidad de la infraestructura de TI y otros factores, — señala Antón Isúpov, jefe del departamento de auditoría, consultoría y evaluación de conformidad en AO «Kross teknolodzhís».
En las organizaciones que trabajan con datos personales, informan que están reforzando el control sobre su almacenamiento y protección. En particular, la Asociación de Big Data, que une a empresas como «Yandex», VK, «Rostelecom», «Megafon» y otras, recuerda que sus especialistas han desarrollado el «Estándar Sectorial de Protección de Datos». Este estándar es comparable con la serie internacional de estándares ISO/IEC 27000.
Aunque en el mundo se observa una disminución general en el número de fugas de datos, su frecuencia sigue siendo preocupante. A finales de 2024, Rusia ocupó el segundo lugar entre los países analizados por la cantidad de fugas; las empresas rusas representaron el 8,5% de todos los casos registrados de compromiso de datos en el mundo. Al mismo tiempo, el país subió del séptimo al quinto lugar en el ranking de fugas de datos personales.
Lea más sobre el tema:
Los hackers utilizan con más frecuencia servidores alquilados para ataques
Amenaza creciente: las empresas regionales se convierten en blanco de ataques DDoS