Las auditorías de datos, clave para el cumplimiento con RGPD

Si escuchan con detenimiento es posible que puedan oírles: gerentes de TI, CIOs o CISOs hablando sobre cómo prepararse para acatar el Reglamento General de Protección de Datos (RGPD), una realidad que les ocupa muchos momentos de vigilia y, si me apuran, hasta alguno de descanso.

Básicamente, cumplir con RGPD supone comprender y controlar adecuadamente los datos. Esto, claro está, es más fácil decirlo que hacerlo. Con el crecimiento exponencial de los volúmenes de datos y el uso de tantos servicios de nube diferentes en cualquier empresa moderna, realizar una auditoría completa de los datos de una organización es una tarea compleja, pero necesaria.

El primer paso en este sentido pasa por conocer qué servicios cloud se utilizan dentro de una organización, ya sean sancionados por el área de IT o no. El último Informe Netskope Cloud (septiembre de 2017) encontró que las empresas utilizan un promedio de 1.022 servicios en la nube, lo que lleva a que se carguen, compartan y almacenen un amplio conjunto de datos en una gran cantidad de servicios en la nube.

Aquellas organizaciones que no posean datos considerados como "confidenciales", según las disposiciones recogidas por RGPD, pueden descansar tranquilas. No obstante, la mayoría de las empresas, si no todas, manejan datos sensibles de algún tipo, como la Información de Identificación Personal Identificable (PII) de los ciudadanos de la UE, por ejemplo, de su personal, de sus clientes, o simplemente de los visitantes que acceden a sus oficinas.

Visibilidad completa de los servicios y de los datos

Inicialmente, la auditoría está diseñada para proporcionar visibilidad sobre los servicios cloud en uso, además de servir para conocer hacia dónde van los datos. Esa información proporciona una lista de los servicios cloud. A partir de ahí, las organizaciones pueden evaluar si esos servicios están preparados para RGPD o no.

Algunos CASB modernos (Brokers de Seguridad de Acceso a la Nube) ofrecen soluciones que pueden compilar una evaluación de la disposición de la empresa ante RGPD, clasificando cada servicio cloud según distintos criterios ponderados en importancia, y presentando los resultados en un tablero intuitivo y fácil de usar.

Entre las preguntas utilizadas para generar el puntaje de preparación ante RGPD para cada servicio en la nube se incluyen: cuál es el nivel de cifrado de los datos en reposo, quién posee las claves, qué certificaciones de centros de datos están presentes o sí el servicio comparte PII con terceros. Con todas estas respuestas, la herramienta ofrece una calificación para el servicio en cuestión.

Un paso más: control preventivo sobre los datos

Adicionalmente, existen otras soluciones que además de ofrecer visibilidad sobre los servicios cloud y los datos que se encuentran en ellos, son capaces de mostrar si la compañía mantiene -o no- un Acuerdo de Procesamiento de Datos (DPA) en vigor con el servicio en la nube en cuestión. Esto es obligatorio, según el Reglamento, y las compañías deben demostrarlo ante el regulador.

En los servicios en los que falta esta parte crucial del rompecabezas, el siguiente movimiento pasa por bloquear el uso de dichos servicios para garantizar que los datos no son transferidos a servicios que no poseen un acuerdo vigente. La evaluación del grado de preparación permitirá conocer los datos y caracteres que han sido transmitidos a los servicios en la nube, a fin de verificar aquellos datos clasificados como PII bajo los términos de RGPD.

Si se divulgan datos confidenciales que infrinjan la reglamentación, una plataforma CASB puede bloquear estos datos para evitar el incumplimiento. Tras ello, automáticamente proporcionará al usuario información sobre un servicio apropiado y sancionado que le permita realizar su tarea sin poner los datos en riesgo, ofreciendo por ejemplo el cifrado de la información confidencial. Esto facilita a las organizaciones un control preventivo sobre sus datos.

Tras este paso, las empresas querrán saber dónde residen (términos geográficos) los datos almacenados o transmitidos a servicios cloud. En principio, no hay fronteras. No existe disposición alguna dentro de RGPD que establezca que las empresas no pueden almacenar datos en servicios que se encuentren fuera de Europa, aunque si deben garantizar que el proveedor cumpla con el reglamento.

A medida que se acerca la fecha límite, obtener una imagen precisa del uso de los servicios cloud a través de una auditoría exhaustiva es una buena forma de empezar. Recuerde que, en función de la gravedad de la incidencia, las multas por incumplimiento también pueden "bajar" de la Nube, llegando a representar entre un dos y un cuatro por ciento de la facturación anual mundial.

Andy Aplin, Sales Engineering Manager de Netskope