Cómo prepararse para el GDPR

¡La cuenta atrás ha comenzado! El Reglamento General de Protección de Datos, también conocido como GDPR, se aplicará en la UE el 25 de mayo de 2018, lo que significa que las empresas ni siquiera tienen un año entero para prepararse para su efecto. Para muchas organizaciones, esta será una tarea enorme ya que, por un lado, tienen que modificar sus procesos y técnicas actuales para cumplir con las nuevas regulaciones y, por otro, también deben hacer algo extra para hacer frente a los desafíos que esta nueva ley producir.

Si su empresa trabaja con Europa, o trata especialmente con los datos personales de los ciudadanos de la UE, es hora de comenzar a pensar en las formas de lidiar con esta próxima situación. No, el propósito de esta publicación no es asustarte, pero no olvidar que las sanciones por la violación de esta ley pueden ser realmente pesadas. Incluso puede costarle el 4% de su facturación anual internacional.

Se espera que la preparación para el RGPD sea una actividad interfuncional, ya que los aspectos jurídicos, informáticos y de vigilancia tienen un papel que desempeñar. La parte más difícil, por supuesto, es revisar y comprender los 99 artículos y 173 recitales (dado que el contenido es puramente constitucional y detallado, sus habilidades de lectura no pueden hacer mucho bien). Sí, sabemos que esto es enorme, pero gracias al plan de 12 pasos de ICO, las empresas ahora pueden prepararse fácilmente para el asistente.

¿Por qué es importante el RGPD?

Vivimos en un mundo donde se espera que proporcionemos datos personales de vez en cuando como parte de algún tipo de transacción en línea. Ya sea que reserve un vuelo en línea o se contacte con sus conocidos sociales, acceda a su cuenta o incluso compre una pequeña cantidad (sí, incluso si compra un par de calcetines en línea, debe proporcionarle al sitio su identificación de correo electrónico), tiene para entregar sus datos personales.

De acuerdo, estamos de acuerdo en que vivimos en un mundo conectado y compartir esa información es ineludible en estos días, pero eso no significa inevitablemente que no debamos preocuparnos por nuestra privacidad. El GDPR se describe para dar a los colonos de la UE más claridad y control sobre esta preocupación.

No solo agiliza el entorno regulatorio, sino que también pone la seguridad de la Información a la vanguardia, lo que obviamente no será de ninguna manera malo.

Esperamos que si está leyendo este artículo, es solo porque está buscando soluciones, asistencia y dirección para ayudarlo a planificar y continuar. Aunque ningún programa específico o proveedor de servicios puede garantizar un remedio mágico para GDPR, seguramente podemos ayudarlo a cubrir algunas de las preocupaciones básicas de protección de datos.

Una guía para comenzar

Cumplir con GDPR no es una cosa fácil. Es un proceso integral que exige que comprenda el área exacta donde realmente se ubican los datos personales, los grupos de datos personales que adquiere o controla, y por quién y por qué método se aborda. Realizar sus evaluaciones de impacto de privacidad es una gran idea. Además de eso, los procedimientos para obtener control, identificación de incidentes, reacción, advertencia de violación y más también requerirán una reconsideración y práctica. Ser multado con una multa de 20 millones de euros no es algo en lo que cualquier empresa deseará ser girada. Sujeto al tamaño de su empresa, una penalización de este peso podría ser rápidamente un punto de cierre.

La buena noticia es probar el cumplimiento, aliviar el riesgo y establecer medidas de seguridad extraordinarias son los aspectos que se investigan si no tiene suerte de sufrir una falla en los datos. Sin embargo, no ser desgarrado en general es genial, y estamos seguros de que admitirás, así que aquí es exactamente donde tu postura de seguridad entra para tu rescate.

¿Quién es responsable?

Prepararse para el RGPD es una obligación de toda la empresa. Influye en los departamentos en una variedad de formas diferentes.

Departamento legal

El más importante de estos es un departamento legal. Sería crucial para un equipo legal enfocar su atención en áreas particulares en lugar de solo tratar de administrar todo. Las negociaciones de suministro y el manejo de contratos deben realizarse de manera regular para garantizar que los proveedores estén de acuerdo y que las cosas funcionen sin problemas.

Financiar

Las regulaciones recientes también influirán en gran medida en el funcionamiento de los procedimientos contables y financieros dentro de una organización. Enormes cantidades de datos confidenciales pueden pasar sobre este departamento, y las fuertes sanciones de GDPR se promulgarán a las organizaciones que no protegen este pilar.

Ventas y Marketing

Se supone que el departamento de ventas y marketing debe estar al frente cuando se trata de tratar con los datos del cliente. Este departamento necesita asegurarse de que su equipo de marketing se dirige a los clientes que han seleccionado recoger el material que contiene texto claro y evidente.

Recursos humanos

El reciente RGPD mejorará los derechos de los trabajadores, permitiéndoles una mayor seguridad sobre sus datos personales. Por lo tanto, toda la división debe estar en posición vertical con los datos del trabajador.

Tecnologías de la información

Este departamento proporciona la base para el marco general de GDPR. El software interno requerirá ser conveniente para acceder. La seguridad de los datos será la principal y, por lo tanto, este sector debe prestar mucha atención al cifrado y la autenticación de datos.

¿Cómo asegurar su entorno?

· Cifrado de datos

Esto requiere que se concentre en los datos tanto en reposo como en movimiento. Al emplear el cifrado de datos, ya no necesita informar a los interesados ​​si se produce una infracción. Le sugerimos que hable con su socio de canal para conocer las diferentes soluciones disponibles en el mercado. No olvide consultar el Artículo 34 para saber más sobre esto.

· Sistema de gestión de vulnerabilidades

Es imprescindible tener un sistema de vulnerabilidad vendido en todo el entorno, ya que aumentará la confidencialidad y la probidad. Revise el Artículo 32 para obtener los detalles.

· Hacer copias de seguridad

La copia de seguridad de datos y la restauración de datos son aspectos importantes para administrar un negocio exitoso. No solo actúa como un ángel guardián en caso de una intrusión de rescate inexorable, sino que brinda una protección general contra fallas de almacenamiento, catástrofes naturales, incluso una taza de té derramada sobre el sistema (sin embargo, la precaución siempre es mejor que curar, por lo que es una buena opción). idea si opta por un sofá que se encuentra a kilómetros de distancia de su computadora portátil para beber su bebida favorita). Además de eso, también es importante incluir la gestión de recuperación ante desastres en su lista, independientemente de las regulaciones particulares en las que deba participar.

· Proteja sus aplicaciones web

La confidencialidad por diseño debe incorporarse a la estructura y los procesos. Tenga en cuenta que si está recopilando datos personales a través de una aplicación web y sigue utilizando texto claro o html, entonces ya está en serios problemas.

· Detectar puntualmente a los infractores

Detectar que ha sido contravenido 4 meses después de que ocurrió por primera vez no lo beneficiará de ninguna manera. Esté atento a las opciones que pueden ayudarlo a identificar credenciales comprometidas al principio, para que pueda interrogar y restaurar rápidamente.

· Pruebas de pluma

Según el artículo 32, debe adquirir un sistema para el examen de rutina, la evaluación y la evaluación de la efectividad de las medidas de seguridad. Para hacer esto, puede optar por herramientas como Metasploit Pro o también puede contratar a un equipo profesional para que realice estas pruebas por usted.

· Colocar trampas

El uso de tecnologías de engaño también es una gran idea. La implementación de estas herramientas puede ayudar a detectar a los atacantes temprano, ya que comienzan a explorar su sistema y a buscar procedimientos para acceder a sus datos personales importantes.

· Programas basados ​​en la nube

Una de las formas de validar que tiene visibilidad sobre los servicios sancionados y no sancionados es optar por programas basados ​​en la nube que no solo ayudan a proteger dichos servicios sino que también protegen los datos incluidos en ellos.

· Tomar medidas rápidas

Una vez que sepa que está en medio de una intrusión, póngase en contacto con un equipo de respuesta a incidentes instantáneamente para limitar el daño y acelerar el control.

Preparándose para el cambio: un pensamiento final

Las modificaciones a las prácticas actuales definitivamente tomarán tiempo en ejecutarse, especialmente para grandes configuraciones y organizaciones. Ya sea grande o pequeño, el hecho es que no puede ignorar esta ley y no puede darse el lujo de equivocarse con este GDPR. Además de eso, no se trata solo de multas y multas considerables, sino más bien de asegurar los datos personales y la información de su cliente.

¿Estás listo para asumir el desafío? ¿Qué preparativos ha hecho para esta nueva regulación? Siéntase libre de dejar sus comentarios en la sección de comentarios a continuación. ¡Nos encantaría escucharlo!

por Oleksandr Knyga, ingeniero de software
con la ayuda de Dima Dmytriienko, editora y especialista de marca