Las empresas de toda Europa deberán aplicar las directrices que la nueva normativa de datos plantea y adaptar su actividad, procesos y práctica diaria para garantizar su estricto cumplimiento (RGPD o GDPR). Las medidas de seguridad imprescindibles para proteger los datos personales deberían incluir el cifrado de la información y el uso de seudónimos para evitar que, extrayendo ciertos datos, éstos se puedan vincular con una persona concreta.
Estas precauciones deberían formar parte de un programa completo de seguridad y gobierno de los datos que garanticen la adecuada gestión de los mismos, con procesos y protocolos de actuación, en diferentes escenarios.
Incluso, deben implementar un procedimiento que les permita detectar incidentes de forma rápida y notificar cualquier brecha de seguridad o incidente, a las autoridades competentes, en un plazo máximo de 72 horas, desde su descubrimiento. Y no sólo eso, ya que si los datos sustraídos son considerados de alto riesgo (datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) la empresa estará obligada a notificar al propio usuario dicha fuga de información.
En este aspecto, el cifrado juega un papel fundamental, ya que si la empresa dispone de un mecanismo de este tipo no tiene la obligación de advertir del peligro a los interesados.
También será preciso contar con un Delegado de Protección de Datos (DPO, Data Protect Officer), en el caso de que se manejen ingentes cantidades de datos personales y sensibles, por ejemplo, en todas las Administraciones Públicas. Este nuevo rol será el responsable final de la adecuada gestión de la información, dentro de la organización, y de las posibles incidencias o ataques contra la privacidad que pueda sufrir.
De todos ellos, el cifrado de la información puede ser el más relevante, para blindar unidades de disco completas, ficheros o registros de bases de datos, en función de las concretas necesidades de cada caso.
La protección frente a intrusiones (IPS) es otra de las barreras a tener en cuenta, si queremos evitar fugas de información o intentos de acceso a nuestros sistemas, aprovechando los agujeros de seguridad que en ocasiones dejan abiertos las aplicaciones que se utilizan en el día a día.
El doble factor de autenticación es otro mecanismo importante para evitar el acceso no deseado a información y permiten asegurar la legitimidad del usuario que accede a la información, vía un doble chequeo que se realiza por SMS, llamada de voz, código PIN o token.
Debido a la obligación que impone el nuevo reglamento, de recuperar la información que pueda ser borrada o manipulada, las empresas y entidades tendrán que contar con copias de seguridad y soluciones de back-up que reduzcan el posible impacto de un ataque.
La prevención de fugas de datos también debe extenderse a los empleados y, para ello, es preciso dotarse de mecanismos que eviten una filtración de información comprometida que pueda poner en riesgo el adecuado cumplimiento de la norma.
Todas ellas, medidas a abordar en los próximos meses que, al menos, deben considerarse en cualquier consejo de dirección.
