NorbertoGallego.com :: Análisis de mercados y empresas de tecnología::<? the

8/08/2022

Antonio Quevedo

Consejero Delegado de GlobalSuite Solutions

Tres leyes orgánicas se han sucedido en 30 años (LORTAD de 1992, LOPD de 1999 y la transposición del RGPD europeo de 2016) con el denominador común de la protección de los datos personales que se almacenan y circulan por las redes. Al cabo de estas tres regulaciones, parece haberse alcanzado una conciencia masiva pero insuficiente de un problema que, como es notorio, se ha agravado por la ciberdelincuencia. No todo son ataques deliberados, sino que suele haber mala praxis en la custodia de los datos, advierte Antonio Quevedo, consejero delegado de GlobalSuite Solutions. En virtud del RGPD, las empresas no sólo deben cumplir lo que dice la ley sino que deben acreditar fehacientemente qué han hecho para cumplirla.

Antonio Quevedo

Esta empresa, fundada por Quevedo en 2007, tiene más de 2.000 clientes entre los que su sitio web destaca nombres tan significativos como Renfe, Bankinter, Telefónica, Repsol, Inditex y Naturgy. Hay, cómo no, empresas de menor talla, que en principio son atendidas por una red de partners. “Nuestra misión – dice el entrevistado – es la implantación de un proceso ordenado por el que las empresas sean capaces de tener al día toda la información preventiva sobre riesgos que pueda ser necesaria para la continuidad de su actividad después de haber sufrido una incidencia”.

¿Qué ha cambiado en la actitud de las empresas y los ciudadanos acerca de la privacidad de los datos personales? Si es que ha cambiado

Puedo decir sin dudar que los usuarios de las redes han empezado a valorar la transparencia con la que han de abordarse los ataques a la ciberseguridad de las empresas que, por una vía u otra, puedan afectarles en lo relativo a sus datos personales o su intimidad. Y, al mismo tiempo, el deber de información a los afectados, al que están obligadas por la ley, se va abriendo camino en las empresas. Aunque la verdad no es tan redonda: ciertas empresas, no sabría decir si muchas o pocas, cuando consideran que una incidencia así podría no ser detectada, sucumben a la tentación de no hacerla pública por temor a que esa información dañe su reputación. Comunicar o no comunicar, es un dilema que sigue existiendo.

En las empresas del Ibex 35 se han dado a publicidad varios casos y nadie se ha escandalizado ni cambiado por ello de proveedor de electricidad o telefonía. ¿Se va entendiendo en empresas más pequeñas?

Yo no diría tanto. También depende de los sectores. Es notorio que el financiero o el asegurador, con independencia del tamaño, tienen una preocupación manifiesta por el cumplimiento normativo. Y no hablo sólo de la protección de datos sino de una conciencia arraigada del compliance. Tenemos varios clientes en estos segmentos y así lo hemos visto por experiencia directa. Está claro que las pymes tienen dificultades materiales a la hora de cumplir y, cuando se da el caso, descubren que no están preparadas para comunicar a los afectados que han tenido un problema. En síntesis, las grandes empresas – no sólo las del Ibex 35 – cumplen con la legislación; aguas abajo, no tanto.

Vale, pero ¿es consecuencia del RGPD?

Hay diferencias importantes. En mi opinión, las más importantes están determinadas por una precisión: una empresa puede ser sancionada con hasta el 3% de su facturación y, quizá lo más importante, no solamente debe cumplir con la ley sino acreditar que la ha cumplido. Por tanto, tiene esa acreditación exige trazabilidad. En esta medida, se está dando a la protección de datos un tratamiento propio de los derechos fundamentales. Dicho esto, no se puede conseguir de la noche a la mañana: ha costado años y aún queda mucho por hacer.

Habrá, imagino, diferencias generacionales […]

Claro. Estoy seguro de que mis hijos, con tal de poder descargar una app gratuita, son muy capaces de aceptar lo que sea sin molestarse en leer al pie; en cambio, las personas con una determinada edad y formación han tomado conciencia de la importancia de la privacidad.

La pregunta inmediata es si el problema es superable. Y qué solución le da esta empresa […]

Hace poco he leído que los ataques contra la seguridad informática de las empresas han aumentado un 42% sobre el año pasado. Esto a continuar, no nos hagamos ilusiones: el robo de datos, la captura de información sensible y la explotación de lo que se ha obtenido ilegítimamente están creciendo. Lo que quiero decir es que, por más capas de cebolla que le pongamos al software, siempre existirá un peligro de que los delincuentes se cuelen y lleguen hasta nuestros datos. Por lo que no podemos menos que aconsejar a nuestros clientes que pongan el mayor número de capas de protección. ¿Es suficiente? No. Hay que complementarlas necesariamente con un trabajo dentro de las organizaciones para que no se haga ningún uso indebido de los datos ni abra inadvertidamente la puerta a los delincuentes. Luego, si toca, hay que estar en condiciones de acreditar que se han tomado las medidas adecuadas.

Ese es trabajo de consultoría especializada […]

Sí, Hacemos consultoría en varios sentidos. Desde hace quince años, hemos ido perfeccionando un software que ayuda a las empresas a implementar las normas legales y los procedimientos que las soportan. Derivado de esa consultoría, se elabora un mapa de los riesgos existentes dentro de cada organización: desde la insuficiencia de formación del personal hasta la securización de los servidores […] Todo lo hacemos en base a unas metodologías contrastadas, cumpliendo con los estándares internacionales, de manera individualizada según la situación de cada una.

¿Cómo mostrar resultados, en un terreno vidrioso que describía hace un momento?

Nadie puede decir honradamente que no ha tenido ningún problema de este tipo. Y si pudiera, que lo dudo después de haber visto lo ocurrido a empresas muy grandes, nadie podría decir que no esté expuesto en cualquier momento. Cosa distinta es cómo repercute en cada caso, desde el punto de vista de la reputación o por la interrupción de servicio.

¿En qué consiste el software de GlobalSuite?

Es un repositorio que se amparar en la definición de la sigla GRC (Governance, Risks and Compliance). Aplicamos un proceso ordenado por el que hacemos posible que la organización disponga de toda la información que necesite para asegurar su continuidad después de haber sufrido el problema, pero antes habremos hecho los deberes, antes de que ocurra. Es una de las diferencias con la mayoría de nuestros competidores: facilitamos a los órganos de gestión del cliente todo aquello que se pueda reportar en un tablero de mando que les permitirá tomar decisiones informadas.

Esto requiere una administración dedicada. ¿Externa o interna?

Igual que cualquier otro software, GlobalSuite necesita una ingesta de datos para que su herramienta específica practique un análisis de riesgo sobre la base de millones de cálculos; por lo tanto, se espera determinar qué amenazas potenciales existen, qué salvaguardas y controles establecer para que no se materialicen. Todos los automatismos que contiene la aplicación dejan una traza que vale como acreditación y elemento probatorio de todo lo que se ha hecho en cumplimiento de la legislación.

Habrá problemas con el legacy, cuando se vincula a operaciones para las que no fue creado […]

Bien apuntado. Pero el legacy lo vemos como un problema adicional que, dicho en general, se aborda mal. Por supuesto, existen datos históricos que las organizaciones conservan, como no podría ser de otra manera, sobre los cuales la norma es muy clara: los datos se deben recoger, mantener o borrar en base a los tratamientos declarados. Incluso estipula los plazos en los que se puede borrar la información que ya no es necesaria para la empresa. Otra cosa es cómo hará esta para mantener aquella información que no quiera o no pueda borrar. En esta materia, incluso podemos apreciar alguna contradicción entre el período de conservación de datos que establece el RGPD y lo que al respecto diga la legislación penal en ciertos extremos. El cruce de información entre el legacy y lo más nuevo no es fácil de resolver.

¿Cómo se hace?

Intervenimos en la medida en que proporcionamos soluciones en base a la idiosincrasia de cada sector de actividad y tenemos un servicio ad hoc para determinadas empresas que nos contratan cuando tienen dudas interpretativas sobre qué y cómo hacer con determinados datos. Entonces, estudiamos el caso concreto y le damos la solución adecuada.

Entiendo que el software hay que personalizarlo, lo que puede complicar su prestación como servicio […]

Esa es la idea. Hay empresas que tienen internamente recursos y capacidades para operar el software de GlobalSuite por sí mismas; pero otras, por razones de costes o de especialización, prefieren externalizarlo con nosotros o con nuestros partners. No estamos hablando de un software en el pulsas una tecla y obtienes un resultado: GlobalSuite hay que operarlo con conocimiento y con criterio. Tenga presente que debe encajar con estándares y normativas diversas, así como con el Esquema Nacional de Seguridad […]

La mayor parte del trabajo, supongo que también de los ingresos, reside en asegurar la continuidad […]

Exacto, ése es nuestro modelo de negocio. Tenemos una cartera fidelizada de clientes y cada año entran otros nuevos, pero la gran mayoría se mantienen con nosotros mucho tiempo.

Conocer la historia de la empresa puede ser ilustrativa […]

La empresa nació, primero con otro nombre, conmigo como fundador; luego se incorporaron empleados como accionistas y más recientemente entró al capital un fondo de inversión con participación minoritaria. Tenemos otra sociedad en México, desde donde operamos gran parte de nuestros servicios en América Latina. La región latinoamericana aporta el 30% o 35% de la facturación, con la peculiaridad de que vendemos más software que servicios, a la inversa que en España. El año pasado iniciamos un proyecto de expansión en determinados países europeos y estamos haciendo pinitos en Abu Dhabi. Nuestro software lo tenemos traducido a ocho o diez idiomas […].

Me parece que en América Latina no tienen legislaciones comparables.

Es cierto que no tienen sus RGPD, pero prácticamente lo están calcando de la experiencia europea. Ahora mismo, por lo que me consta, hay un boom en Brasil y en Ecuador, donde las normas son casi las mismas con pequeños rasgos específicos

¿La consultoría de GlobalSuite es más técnica que jurídica?

Debería responder que las dos cosas, pero nuestro papel fundamental es de auditoría técnica. Por ejemplo, un banco de los que se mencionan en nuestra página web nos ha encomendado auditar a sus proveedores en base a un checklist de seguridad […] verificar in situ las versiones de software que tienen instaladas, para confirmar el grado de cumplimiento de la ley. Creemos que esto será lo habitual.

Pero la legislación no lo contempla, que yo sepa

No, pero lo obliga el sentido común. A lo que sí obliga la ley es al principio de responsabilidad proactiva.

Esta cuestión me lleva a otra. Como cualquier ley, tiene que demostrar su eficacia en la práctica social. ¿El RGPD está cumpliendo sus objetivos?

Realmente, lleva poco tiempo en aplicación y, por consiguiente, en la práctica van apareciendo matices que no eran explícito en la redacción. Desde un punto de vista formal, la norma es bastante completa, pero pasa con casi todo lo relacionado con la tecnología, va por delante de la sociedad. La avalancha legislativa que estamos teniendo ahora implica que las normas se actualizan con mayor frecuencia. De hecho, la Comisión Europea está estimulando los canales de denuncia, que son un aspecto novedoso y que no están en el RGPD sino en una directiva de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones al derecho de la Unión.

¿Qué implica un canal de denuncia?

Ante todo, por lo que sabemos, la CE se dirigió formalmente a 24 de los 27 países de la Unión – uno de ellos España – que no han traspuesto todavía esa directiva [nota: lleva el número 2019/1937] y les ha puesto un plazo. El canal de denuncia es una iniciativa con mucha carga, porque obliga a las empresas a exponerse, no sólo ante sus empleados, sino también con los proveedores. Con algunos clientes en España ya estamos trabajando en la implementación dual de canales de denuncia: uno para empleados y otro para terceros anónimos.

¿Quiénes son los competidores? ¿Cómo se llaman?

Personalmente, no me gusta la palabra competidor porque GRC no es un sector homogéneo. GlobalSuite compite con software estadounidense, un ejemplo del cual es One Trust. Y también con la alemana SAP, que tiene un producto específico; de vez en cuando nos tropezamos [risas] porque al estar SAP muy implantada en el sector financiero trata de arrastrar clientes hacia su propuesta de GRC. Lo vemos lógico: los analistas auguran un crecimiento espectacular, de dos dígitos, en los próximos siete u ocho años.

Un entredicho que se creía resuelto ha vuelto a abrirse, Me refiero a la transferencia transatlántica de datos. ¿Cómo se apañan los clientes de GlobalSuite?

Depende. Algunas no están haciendo nada porque ellas interpretan que la ausencia de pacto supone un vacío legal. Otras comunican lo que realmente hacen con la transferencia internacional de datos: informan a los propietarios de estos datos, lo que sin duda les significa un caudal de trabajo para, entre otras cosas, recabar los consentimientos debidos.

La pregunta incómoda es si el RGPD se está cumpliendo satisfactoriamente en España.

Se cumple. En mi opinión el nivel de conciencia de su cumplimiento es alto en España, si lo comparo con otros mercados europeos. Al mismo tiempo, si me pide una métrica económica, la inversión es alta: más alta de lo que esperaban los escépticos. Un aspecto fundamental es que, dado que las Administraciones Públicas aplican el Esquema Nacional de Seguridad, lo incorporan como requisito en los concursos públicos.