Recomendaciones para cumplir con el GDPR

Esta nueva norma, de carácter europeo e impacto mundial, asigna importantes responsabilidades políticas y técnicas a cualquier organización que trate datos personales de ciudadanos de la Unión Europea, independientemente de si opera físicamente o no dentro de sus fronteras.

También puedes leer... Tratando con el Ransomware Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

El incumplimiento de este reglamento, que se centra sobre todo en minimizar los riesgos de las empresas para garantizar la privacidad y la seguridad de los datos de los ciudadanos y residentes comunitarios, puede acarrear multas de hasta el 4% de sus ingresos.

La normativa obliga a las organizaciones a implementar procedimientos completamente nuevos en torno a la recopilación y al almacenamiento de información personal identificable (PII, por sus siglas en inglés), y afecta a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE (dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales, etc.).

Check Point ha recogido una serie de consejos para que las compañías puedan cumplir con este reglamento, que quiere asegurar que la PII se almacena con el permiso del usuario y que se utiliza para el propósito especificado para el que se obtuvo y sólo durante un tiempo limitado. Son éstos:

1. Concienciar y educar. Nadie en la empresa va a ayudar a cumplir con la GDPR si no sabe lo que es. Por esta razón, es indispensable formar a los empleados en cuestiones cómo: ¿Qué requiere la ley y por qué es relevante para la compañía? ¿Cuáles son las sanciones? ¿Qué aplicaciones tienen probabilidades de incumplimiento?

La educación es vital, no sólo para concienciar sobre la nueva regulación, sino también para comenzar a pensar en cómo asignar personal y recursos financieros para tratarla.

2. Monitorizar toda la información. Aún no se sabe cómo evolucionará y como se aplicará la GDPR. Los responsables del cumplimiento de la normativa deben leer sobre el tema todo lo posible, para conocer todas las novedades.

También es necesario saber que varios organismos de la UE están tratando de aclarar cómo se aplicará la ley, y publican periódicamente dichas explicaciones. Por lo tanto, es necesario reservar algo de tiempo para ver si hay actualizaciones.

3. Localizar los datos. Encontrar los datos alojados en los entornos TI es clave para evaluar el esfuerzo que se debe hacer con respecto a la normativa. Los sistemas de clasificación de datos pueden automatizar este proceso.

4. Establecer y verificar un sistema de identificación seguro. Todos los regímenes de cumplimiento establecen el registro como un sistema de control esencial, y la GDPR no será diferente. Por lo tanto, un primer paso lógico será revisar y verificar las actividades de logging. También se deben implementar controles automáticos o manuales que revisen periódicamente los historiales, y busquen actividades no autorizadas o maliciosas. Por último, debe incluir las actividades del administrador en la infraestructura crítica.