CIBERSEGURIDAD

Preparándose para GDPR: pasos que debe seguir ahora

0 97 7 minutos de lectura


Preparándose para GDPR: pasos que debe seguir ahora
Guy Bunker, vicepresidente sénior de productos, Clearswift
Con menos de dos años para el final, el Reglamento General de Protección de Datos de la UE (GDPR) afectará a todas las organizaciones del sector público y privado que realicen transacciones con empresas en la Unión Europea. Hasta ahora, gran parte de la conversación se ha centrado en las sanciones económicas que resultarán del incumplimiento. Sin embargo, en lugar de ver el RGPD entrante como una burocracia tiránica, las organizaciones deberían ver las regulaciones como una oportunidad para protegerse contra posibles violaciones de datos y mejorar su propia capacidad de recuperación operativa.
Si bien mayo de 2018 puede parecer algo lejano, esto no sugiere que los líderes empresariales puedan relajarse; dos años es un período corto de tiempo para proyectos de TI de este tamaño y el cronograma en sí debe ponerse en perspectiva. La gran mayoría de las empresas operan dentro de un calendario financiero, lo que significa que es posible que la mayor parte del presupuesto de este año ya esté asignado. Esto efectivamente les da a las empresas un año menos de lo que podrían haber pensado para implementar el área más costosa de cumplir con GDPR, como actualizar la infraestructura de TI y contratar personal clave. Por lo tanto, la alta dirección y los miembros del Consejo deberían empezar a pensar en los cambios que deben hacer ahora, para cuando las regulaciones entren en vigor; este nivel de cambio requiere tiempo, comprensión, planificación y recursos.
Para adherirse a los nuevos estándares, las organizaciones deben comprender qué se debe aplicar o cambiar dentro de los sistemas y aplicaciones. Sin embargo, el consenso general parece ser que la mayoría de las empresas desconocen lo que requieren las regulaciones, y mucho menos cuán preparada (o en algunos casos no preparada) está su empresa. Este no es el primer conjunto de estándares de la industria que entran en juego. Las organizaciones siempre han tenido que cumplir con ciertos requisitos en lo que respecta a la protección de datos, pero el alcance y el impacto operativo de la nueva legislación va mucho más allá de lo visto antes. Esta es la razón por la que las empresas deben comenzar a adaptarse lo antes posible y por qué la comprensión de los requisitos de muchas personas puede ser insuficiente. La ignorancia no es una bendición y no sirve como defensa a los ojos de la ley. Si bien el objetivo de las organizaciones debe ser centrarse en el cumplimiento, si se rompen las reglas, las organizaciones podrían perder hasta el cuatro por ciento de sus ingresos globales o 20 millones de euros, lo que sea mayor. En efecto, esto elimina el tope que los gobiernos han podido otorgar. Usando el contexto de una gran corporación internacional, ganando millones o incluso miles de millones cada año, las ramificaciones potenciales pronto se vuelven obvias y potencialmente fatales para algunas organizaciones. Entonces, ¿cómo se preparan las empresas? Los primeros pasos:
Entendiendo las regulaciones
Se ha escrito mucho sobre el RGPD y en los próximos dos años habrá mucho más. En esencia, si hace negocios en organizaciones de la UE o con ellas, se aplicará el RGPD. La atención se centra en proteger la información de los ciudadanos de la UE y responder a diversas solicitudes que los ciudadanos de la UE podrían hacer sobre cómo se utilizan sus datos para proteger su privacidad. Si bien este reglamento ya existe, existe presión para proporcionar esos datos con precisión y sin demora. Además, puede haber una solicitud para eliminar la información que les pertenece (también conocida como ‘el derecho al olvido’), y aunque no se puede permitir que se elimine toda la información (debido a regulaciones en competencia), simplemente encontrar la información relevante, incluyendo el contenido en documentos no estructurados será un dolor de cabeza para la mayoría de las empresas.
Además, el alcance de las regulaciones se extiende más allá de la organización hacia la cadena de suministro, donde es posible que haya compartido información con otras organizaciones de terceros. Por lo tanto, la implementación de un proceso para rastrear cada bit de información relevante de GDPR debe ser una alta prioridad.
Si una empresa sufre una infracción, existe una política de notificación de 72 horas que requiere que las organizaciones informen a la Autoridad de Protección de Datos correspondiente. Esto potencialmente requerirá cambios fundamentales en las estructuras de informes internos de varios departamentos; TI, RR.HH., Finanzas, RR.PP. y marketing deberán incorporarse en un plan coherente.
Comprender las necesidades comerciales
La primera tarea será comprender y documentar adecuadamente la información crítica que se incluye en las categorías cubiertas por GDPR. Es necesario averiguar dónde se lleva a cabo, cómo se mueve dentro y fuera de la organización y quién tiene acceso. Sin este conocimiento básico, implementar protección será un ejercicio costoso que puede no cubrir todos los requisitos. La realización de una auditoría de gestión y privacidad de datos es un buen punto de partida. Una vez que una organización tiene esta información sobre sí misma, puede comenzar a desarrollar una política de administración de datos específica para sus necesidades individuales.
Esta actividad puede comenzar antes del nombramiento de un DPO y muchos dirían que es parte de un buen gobierno; sin embargo, las empresas y los procesos comerciales se mueven rápidamente y es posible que se sorprenda de cómo su organización utiliza y comparte la información hoy en día en comparación con 12 a 18 Hace meses.
La segunda tarea será comprender los nuevos roles potenciales que se necesitarán para la empresa y asegurarse de que se llenen de la mejor manera posible. Lo más importante es que hay una serie de circunstancias que requieren que una organización contrate a un Oficial de Protección de Datos (DPO); un puesto de alto nivel que reporta al CIO o directamente a la Junta. Estas circunstancias incluyen, todas las autoridades públicas, y cuando las actividades principales del responsable del tratamiento o del encargado del tratamiento implican un «seguimiento regular y sistemático de los interesados ​​a gran escala» o cuando la entidad lleva a cabo un tratamiento a gran escala de «categorías especiales de datos personales». . Específicamente fuera de esto, existen otras opciones, como la capacidad de ‘compartir’ un DPO. La introducción de un nuevo rol, específicamente para la protección de datos, es algo que muchas empresas probablemente no hayan considerado antes, y ahora que es obligatorio, analizarán los pasos necesarios para encontrar el tipo de persona adecuado para el cargo. Este no debería ser un proceso apresurado; Las organizaciones deben tomarse el tiempo para comprender qué se necesita dentro de la firma y el alcance total de lo que el funcionario deberá hacer antes de comenzar el proceso de contratación. El rol se puede contratar desde adentro, lo que simplificaría algunas cosas, ya que comprenderán mejor el negocio tal como está actualmente. Esta persona será una parte fundamental del negocio y su capacidad para operar dentro de la ley; necesitan comprender la legislación y las necesidades de la empresa.
Actualización de infraestructura
El próximo desafío que se debe abordar son las implicaciones en los costos de actualizar o modificar sistemas y aplicaciones para garantizar el cumplimiento. Muchas empresas utilizarán sistemas de seguridad y software de protección de datos que están desactualizados y que no los protegen lo suficiente en la medida en que lo estipula el RGPD. Es posible que el software comprado incluso hace unos años no esté a la altura, ya que cada día se encuentran nuevas puertas traseras de seguridad y vulnerabilidades y, si no se reemplazan, deja a la organización abierta al incumplimiento y a todas las consecuencias que traerá. Las amenazas están en constante evolución, al igual que las herramientas de protección de datos.
Si una empresa necesita nuevos sistemas de seguridad, es importante encontrar un proveedor que pueda cumplir con los estándares regulatorios y al mismo tiempo ofrecer una solución que se ajuste al presupuesto. No tiene sentido gastar grandes cantidades de dinero en software que tiene una vida útil corta y existen proveedores rentables que brindan consultoría inteligente y productos para garantizar que una empresa pueda cumplir con los requisitos de GDPR. La infraestructura de seguridad de TI que una organización está implementando o planea implementar en el futuro debe incorporar completamente los requisitos de GDPR y hoy esto también debe considerar el uso de la nube y las redes sociales. Dos años para el cumplimiento es realmente un período de tiempo muy corto.
Manténgalo simple, defina la información que necesita protección, observe la seguridad existente y luego priorice las inversiones en soluciones de seguridad para mitigar el riesgo. Recuerda iniciar el programa, la prevaricación hará que se acabe el tiempo. Empiece poco a poco y crezca, no intente hacer todo de una vez.
Entrenamiento y educación
Las organizaciones deben asegurarse de que el personal comprenda cómo las afectará el GDPR y que sean conscientes de lo que deben hacer para mantenerse a sí mismos y a la organización seguros. Los empleados realmente pueden ayudar a la gerencia a comprender cuáles son los procesos «reales» y cómo se pueden mejorar para proteger la información crítica.
Las amenazas internas siguen siendo uno de los mayores desafíos que enfrentan las empresas cuando se trata de proteger los datos. La investigación de Clearswift encontró que el 40% de las empresas esperan una violación de datos en los próximos 12 meses como resultado del comportamiento de los empleados. Con la amenaza de grandes multas que se avecinan, es fundamental que todos los miembros de la empresa sepan cómo mantener protegidos los datos confidenciales en todo momento. Un conjunto claro de políticas y procedimientos actuales de la empresa, junto con la formación y el mantenimiento del personal informado, resultarán muy eficaces para mantener la seguridad de la organización.
La línea de fondo
Una vez que 2018 esté aquí y la ley entre en vigencia, ninguna cantidad de excusas protegerá a las organizaciones si se rompen las reglas. La planificación previa y la implementación temprana le serán de gran utilidad cuando entren las regulaciones.
Comprender lo que su organización necesita, implementar soluciones seguras y rentables y asegurarse de que el personal comprenda lo que se espera de ellos es fundamental para cumplir con las demandas de las nuevas leyes. Sin embargo, esto también le servirá a la organización para el futuro. Las regulaciones cambian constantemente, pero comparten un objetivo común: mantener la información segura. Asegúrese de estar listo para cumplir con los estándares regulatorios y continuará operando de manera eficiente y segura en el nuevo panorama protegido de datos.
Prevenido vale por dos.

Publicaciones relacionadas

Transporte para NSW afectado por la violación de Accellion

Proveedores de servicios de Internet objetivo de nuevas tácticas de ataque DDoS.

Una de cada dos organizaciones europeas recurriría primero a su proveedor de seguridad después de un ciberataque.

¿Cuáles son las ganancias medias de un ciberdelincuente del Reino Unido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar