Faltan unos meses hasta el 25 de mayo de 2018, fecha en que terminará el plazo permitido para la plena adopción de las medidas que impone el Reglamento Global de Protección de Datos (RGPD), que ya son de obligado cumplimiento.
Créditos fotográficos: pichet_w
La armonización de reglas en toda la UE es uno de los objetivos de este reglamento, que persigue metas como el imponer la necesidad de solicitar consentimiento explícito para el tratamiento de datos, en un intento de entregar a los ciudadanos un mayor control sobre sus datos. Las empresas son responsables de adoptar las medidas necesarias para proteger la información y, para ello, el primer paso es realizar un análisis que permita conocer en qué estado se encuentra su seguridad.
RGPD: análisis para determinar el nivel de protección necesario
En estadios iniciales del proyecto de adaptación al reglamento RGPD, las organizaciones tendrán que tomar contacto con su propia realidad en materia de protección de datos. Se recomienda realizar un análisis que permita identificar los siguientes aspectos:
1. Riesgo tecnológico real.
2. Vulnerabilidades que presentan la empresa y sus sistemas.
3. Impacto sobre la integridad y disponibilidad de los datos.
A la hora de llevar a cabo este proceso conviene seguir dos pasos:
- Identificar los datos más sensibles, los personales, y sus fuentes de origen.
- Averiguar qué usuarios acceden a cada dato y qué aplicaciones emplean para ello.
Tras esta evaluación, cada compañía se hallará en disposición de realizar un mapeo que refleje el nivel de riesgo que existe en los diferentes puntos de la empresa, a lo largo de todos sus componentes. Hay que conocer la dependencia entre el dato y el uso del mismo para poder, en función de los hallazgos, imponer unas medidas u otras.
Medidas tecnológicas para adecuarse a lo dispuesto en la RGPD
El análisis practicado facilita el conocimiento del nivel de protección de la organización, permitiendo saber:
- Cuáles son los controles existentes y cómo son de efectivos.
- Qué tipo de medidas serían necesarias para complementar la eficacia de la protección.
Hay que recordar que el análisis no es una iniciativa puntual, sino que debe realizarse de forma periódica, sujetando a actualización el paquete de medidas propuesto en cada iteración, para lograr el mayor ajuste con lo dispuesto en el reglamento y, también, con la realidad de las amenazas, que no dejan de evolucionar.
Así, para comenzar, podrían equipararse los requerimientos legales con las posibilidades que brinda la tecnología. De esta forma:
1. La protección de datos se llevaría a cabo mediante el enmascaramiento de datos, la gestión de identidades y accesos y la trazabilidad y monitorización de usuarios privilegiados. Hoy día, las soluciones de cifrado y enmascaramiento son fáciles de desplegar y funciona en cualquier entorno, por lo que ni la compatibilidad es un problema, ni hay que preocuparse por el funcionamiento de las aplicaciones o los sistemas de almacenamiento.
2. La seguridad en el tratamiento también encontraría un gran apoyo en el data masking, que debería complementarse con sistemas de protección de datos en la nube, soluciones para la prevención de la fuga de información y, por supuesto, sin olvidar las acciones orientadas a la prevención. Uno de los aspectos a tener en cuenta al elegir soluciones para cubrir estos aspectos es el que cuenten con alertas en tiempo real. Esta inmediatez avisa al usuario de actividades sospechosas dándole el margen suficiente para reaccionar protegiendo la información.
3. La transferencia segura de datos personales se consigue aplicando controles de transferencia de datos en el cloud. Una plataforma de inteligencia con cuadros de mando en tiempo real para los usuarios hace posible la identificación proactiva de riesgos y el ahorro de costes, derivado de la eficiencia operativa y la capacidad de anticiparse a cualquier desviación.
Alinearse con los requisitos de la RGPD empieza con la concienciación y termina con la posibilidad de lograr cotas de rendimiento superiores, la minimización del riesgo y un mayor ahorro.
