CIBERSEGURIDAD

GDPR desafía a todas las organizaciones a enmascarar los datos de la UE de forma predeterminada

0 142 3 minutos de lectura


Delphix, el líder del mercado en virtualización de datos, ha emitido una fuerte advertencia para que las organizaciones rediseñen las operaciones y adopten un enfoque seguro, primero en los datos antes de la introducción del Reglamento General Europeo de Protección de Datos (GDPR). La aprobación del RGPD significa que las empresas que almacenan o procesan datos europeos se verán obligadas a incorporar la protección de datos en el diseño y la infraestructura del sistema, o se arriesgarán a multas de hasta el 4 por ciento de la facturación global. En particular, las organizaciones deben examinar de cerca la seguridad de los datos que no son de producción que se utilizan para desarrollar y probar sistemas. Iinvestigación independiente ha destacado que hasta el 90 por ciento de los datos que no son de producción actualmente se encuentran desenmascarados dentro de las organizaciones, lo que representa un riesgo significativo de seguridad y cumplimiento.
“El GDPR introduce una estructura punitiva, similar a las medidas introducidas para prevenir la fijación de precios en las leyes de competencia, que pone el riesgo de incumplimiento en un enfoque nítido”, dijo Iain Chidgey, vicepresidente de ventas internacionales de Delphix. “En los últimos años, hemos visto a compañías de primera línea pagar cientos de millones en multas por escándalos de fijación de precios e incluso se ha obligado a las empresas que no cumplen con la administración. El RGPD corre el riesgo de tener el mismo efecto, por lo que las empresas deben tener una visión completa de sus datos, tratando los datos que no son de producción con el mismo perfil de seguridad que los datos en vivo «.
El GDPR requiere medidas de seguridad de datos mejoradas para garantizar el cumplimiento, en particular, haciendo referencia al uso de «seudonimización». Este es el proceso de enmascarar datos confidenciales de tal manera que ya no puedan atribuirse a un individuo, protegiendo los datos en caso de que caigan en las manos equivocadas.
El GDPR también incentiva el enmascaramiento de datos en varios puntos diferentes:

  • En caso de violación de datos: Si los datos comprometidos presentan un riesgo bajo para las personas involucradas (por ejemplo, como resultado del enmascaramiento de datos), es posible que no se requieran notificaciones de violación de datos a los reguladores y las personas afectadas. De lo contrario, las organizaciones deben notificar dentro de las 72 horas, un plazo muy ajustado en caso de una infracción grave.
  • En caso de solicitudes de divulgación de datos: Si las organizaciones pueden demostrar que las personas no pueden ser identificadas a partir de los datos enmascarados que tienen sin información adicional, entonces pueden quedar exentas de los requisitos de proporcionar datos en respuesta a una solicitud de acceso a los datos o de borrar los datos a pedido.
  • En apoyo de la elaboración de perfiles de datos: Si las empresas utilizan datos seudonimizados, esto reducirá significativamente cualquier impacto en la privacidad del individuo. Esto, a su vez, significa que es poco probable que se apliquen los requisitos de consentimiento explícito según el GDPR para la toma de decisiones automatizada y la elaboración de perfiles.

“El volumen de copias de datos que se distribuyen en entornos que no son de producción requerirá tecnología que pueda proteger de manera eficiente todos los datos, no solo aquellos bits de información que son los más sensibles”, continuó Chidgey. “Para cumplir con los requisitos futuros de protección de datos, el primer paso será comprender dónde se encuentran todos los datos en los entornos de TI. El segundo paso será adoptar una nueva ola de innovación de TI para respaldar el cumplimiento y reducir el riesgo de una violación de datos, pero sin ralentizar los proyectos. Combinar el enmascaramiento de datos con la virtualización de datos es una forma en que las organizaciones pueden escalar a los niveles de seguridad que requiere el GDPR, garantizar el cumplimiento y distribuir datos rápidamente para acelerar las iniciativas comerciales críticas «.
“El GDPR introduce un enfoque de zanahoria y palo para promover el enmascaramiento de datos. En varios puntos de su texto, alienta a las empresas a adoptar tecnologías de seudonimización, ya sea como parte de una buena gestión de la información o reduciendo las cargas regulatorias en caso de eventos imprevistos, como incidentes de seguridad. En contraste con eso, las empresas que no cumplen con el RGPD se enfrentan a los reguladores con un palo muy grande: posibles multas de hasta el cuatro por ciento de la facturación mundial anual. Ese es un gran incentivo para hacer las cosas bien ”, concluyó Phil Lee, socio del equipo de Privacidad, Seguridad e Información del bufete de abogados internacional Fieldfisher.
Lee analiza la jerga legal en torno a la seudonimización de GDPR en un nuevo artículo aquí.

Publicaciones relacionadas

La investigación de seguridad móvil descubre la brecha entre la percepción y la realidad de las vulnerabilidades

ITSG va a HackFu 2016 con MWR InfoSecurity

Los actores de amenazas dominan las tácticas de las ‘banderas falsas’ para engañar a las víctimas y a los equipos de seguridad

¿Es el espacio de aire realmente una solución?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar