El cumplimiento con la regulación europea GDPR supone una completa revisión de procedimientos dentro de la organización que afecta a la práctica totalidad de los departamentos.
Independientemente del estado de transformación digital de los negocios (que supone la existencia de un porcentaje cada vez mayor de información digitalizada), las Tecnologías de la Información desempeñan un papel esencial en la preparación para el GDPR porque son al fin y al cabo las responsables del tratamiento de los datos.
Según el estudio de IDC Research España sobre el impacto del GDPR en las empresas españolas, éstas no están cumpliendo con el reglamento principalmente por conflicto de prioridades (56%), por disponer de recursos limitados (49%), o por ausencia de presupuesto (46%). Cierto es que se trata de un imprevisto para muchas organizaciones, y eso lo refleja el incremental gasto en TI destinado al cumplimiento. En el 2016 fue de 35,2 M€, se multiplicó casi por tres (97,4 M€) en 2017 y llegará a los 140,7 M€ en este 2018, descendiendo ligeramente en los años siguientes.
¿Cuáles son las áreas principales de inversión para cumplir con GDPR?
El estudio de IDC Research España nos indica que a día de hoy sólo el 35% de las empresas cumplirían con el GDPR. Para acometer o reforzar el cumplimiento las cinco áreas más relevantes que recibirán la inversión de nuestras empresas serán la gestión de identidades (70%), la identificación de aplicaciones que usan datos privados (66%), la formación (61%), la documentación de procesos (58%), y los servicios de backup (52%). Otras tareas por acometer son el reporte de incidentes, la gestión de riesgos, el anonimizado de datos para Big Data y analíticas y el descubrimiento y clasificación de datos.
El liderazgo en el cumplimiento está repartido entre varias áreas de negocio. El departamento de TI acapara un 35%, seguido de la gestión corporativa (32%), el departamento legal (27%) y, en último lugar, el financiero (6%).
¿Qué papel tiene el cloud en este escenario?
Desgranando más detalles del estudio, para el 53% de las empresas las inversiones en cloud no tendrán impacto pues seguirán contando con el mismo proveedor que hasta ahora, si bien es cierto que no todos ofrecemos las mismas garantías en cumplimiento regulatorio. Eso da una idea de la madurez y fiabilidad que ofrecen ciertos servicios cloud empresariales. Otro 33% tiene pensado migrar para minimizar riesgos. En este contexto… ¿Cuál es la situación actual de su organización? ¿Qué acciones se van a plantear para asegurar el cumplimiento?
Simplificando las opciones, hay dos caminos posibles: invertir en las instalaciones locales para ponerlas al día o confiar en los servicios cloud y en sus certificaciones de cumplimiento regulatorio para evitar precisamente ese gasto en hardware y software locales. Pensemos por otro lado que los servicios cloud se conciben más como un paso de CAPEX (gastos de capital) a OPEX (gastos operativos) desde el punto de vista financiero, y que esas tecnologías en la nube son las que a la postre concentrarán el máximo de innovación por parte de la mayoría de los proveedores de TI.
A este respecto, según la consultora Gartner, para el 2019 más del 30% de las nuevas inversiones de los mayores proveedores de software pasarán de cloud-first a cloud-only, desplazándose así gradualmente el diseño y planificación de software de un escenario a otro. Y también nos indican que para el 2020 una política corporativa “no-cloud” será tan rara como lo puede ser hoy en día una política de “no-internet”.
Aun así, la decisión no debe ser salomónica: se trata de aprovechar esta circunstancia de cumplimiento para establecer una hoja de ruta en la que la organización se sienta cómoda con una transición a la nube sin paradas ni riesgos, al ritmo que más se adapte a las necesidades propias, en un entorno de TI híbrido. Y de todo ello, sacar una ventaja competitiva.
Para acometer este desafío, el 90% de las organizaciones recurrirán a ayuda externa, contando con la colaboración de organizaciones de servicios de TI locales y globales, así como consultoras de gestión, bufetes financieros y legales.
En Microsoft hemos hecho los deberes, y ciertamente la vigilancia por la seguridad y la privacidad de los datos de nuestros clientes no es algo nuevo para nosotros. Disponemos de unas tecnologías seguras por diseño que abarcan desde los servidores, las comunicaciones y el almacenamiento hasta el puesto de trabajo.
Lo comentaremos con más detalle en nuestra próxima entrega.