Muchos CEOs creen falsamente que su empresa cumple con el GDPR

Delphix, la plataforma de virtualización de datos, ha descubierto que las empresas del Reino Unido están haciendo creer a sus directores generales que cumplen con el GDPR (Reglamento General de Protección de Datos), cuando en realidad tienen cantidades significativas de datos personales desprotegidos. Esto se reveló cuando Delphix habló con los custodios de los datos para escuchar lo que tienen que decir cuando se trata de equilibrar el acceso a los datos con la seguridad de los mismos.

Las empresas de hoy en día se apresuran a ser más digitales y para muchas organizaciones eso significa innovar a velocidades vertiginosas. Es más fácil que las cosas se pierdan, y los entornos de desarrollo/prueba se convierten en un campo de minas de seguridad.

Con tantos entornos de desarrollo y pruebas poco gestionados y a menudo sin actualizar, tanto en las instalaciones como en la nube, Delphix habló con los CISO, los CIO, los probadores y los desarrolladores1 de las empresas del Reino Unido para conocer la situación de sus organizaciones.

El enigma del cumplimiento

Una de las principales conclusiones es que muchas empresas no son conscientes o, lo que es peor, no se preocupan por el incumplimiento de sus datos de prueba, a pesar de que el RGPD ha consolidado su posición como una consideración empresarial clave en Europa.

El vicepresidente de una organización reveló a Delphix que no marcan los datos personales en absoluto. Este alarmante hallazgo se repitió cuando un desarrollador reveló que no sabía si alguno de sus datos de prueba cumplía con el GDPR.

Tal vez lo más impactante fue que un CISO admitió haberle dicho a su director general que la empresa cumplía con el GDPR, a pesar de tener terabytes de datos personales desprotegidos en la no producción.

Mantener la confidencialidad

Otro hallazgo clave es que muchas personas no autorizadas de las empresas tienen acceso a información confidencial a la que no deberían tener acceso. Desde los detalles de los salarios hasta los datos privados de los empleados, los datos personales sensibles se guardan a menudo en los sistemas de prueba, una receta para una violación de datos embarazosa.

Un desarrollador con el que habló Delphix admitió haber averiguado los salarios de todos los que trabajan en Contabilidad gracias a los datos de RRHH desenmascarados. Otro desarrollador se hizo eco de esto con la revelación de que el servidor que estaba bajo su escritorio contenía una multitud de datos a los que no deberían tener acceso.

Por otro lado, se reveló que aquellos que deberían estar al tanto de los datos sensibles estaban en la oscuridad con un CISO de una organización revelando que no tenía ni idea de cómo encontrar todos los datos sensibles de la empresa y estaba seguro de que la gran mayoría de ellos están completamente expuestos.

La velocidad es esencial

Al tratar de llegar a la raíz del problema, Delphix descubrió que una de las principales razones de estas malas prácticas de datos -y a veces de incumplimiento- se debía a los desarrolladores frustrados que necesitan datos con rapidez pero no pueden conseguirlos debido a que los entornos de datos son caros y se tarda mucho en crearlos.

Un ingeniero de DevOps dejó caer a Delphix que tiene un promedio de 100 estrellas de batalla en Fortnite mientras espera los datos. Mientras tanto, un probador admitió que pasa al menos 1 día a la semana navegando por la web debido al tiempo que pasan esperando datos.

Esto apunta a un problema importante entre las empresas del Reino Unido hoy en día: los datos privados no se tratan con el cuidado que deberían y los principales responsables de la toma de decisiones dentro de las organizaciones no son en absoluto conscientes de ello.

Un consejo para los más prudentes

«Estas confesiones deberían ser una llamada de atención para los directivos», dijo Eric Shrock, director de tecnología de Delphix.

«Está claro que la gran mayoría de los ejecutivos de alto nivel no son felizmente conscientes de lo fácilmente accesibles que son sus datos altamente sensibles. Si a esto le sumamos la creciente frustración de los desarrolladores que buscan adquirir datos rápidamente, tenemos la receta perfecta para el desastre», añadió.

La gran mayoría de los datos sensibles de una empresa se encuentran en entornos no productivos utilizados para el desarrollo y las pruebas. De hecho, estos entornos representan la mayor superficie de riesgo en una empresa, donde hay hasta 12 copias para fines no productivos por cada copia de datos de producción que existe.

Por lo tanto, las empresas deben invertir en permitir que sus equipos de desarrollo construyan un mejor software, tanto más rápido como más seguro. Elementos como los controles de datos de autoservicio y la virtualización de datos pueden permitir a los equipos de desarrollo acceder a un conjunto de datos siempre que lo necesiten, para el entorno en el que lo necesiten, eliminando la necesidad de un modelo basado en tickets y solicitudes en el que los equipos tienen que esperar los datos durante días.