CIBERSEGURIDAD

Un año menos: GDPR en cifras.

Por Mike Kiser, estratega global y evangelista, SailPoint

Hoy se cumple el primer aniversario del Reglamento general de protección de datos (GDPR) de la UE. La regulación europea de privacidad de datos sacudió el mundo de la privacidad al imponer sanciones a algunas de las leyes de protección al consumidor más estrictas de los últimos 20 años e inspiró leyes aún más estrictas en otras partes del mundo. GDPR creó una regulación única de notificación de infracciones para toda la UE con el objetivo de proteger los datos personales de los ciudadanos de la UE.

Entonces, ¿cómo se encuentran las organizaciones bajo GDPR? Hasta ahora, ha habido más de 64,000 notificaciones de incumplimiento, y los reguladores en 11 países europeos han impuesto $ 63 millones (o £ 49 millones) en multas. Y estos son solo los primeros signos de una gran ola a seguir. Con solo el 29% de las organizaciones de la UE que cumplen con GDPR, las infracciones y multas continuarán ocurriendo. Esto nos recuerda que nuestras identidades comprenden no solo nuestros atributos, sino todos los datos personales que se relacionan con nosotros. Hoy, exploraremos tres casos de GDPR y cómo la estrategia de gobernanza de identidad correcta puede ayudar a cumplir con los requisitos de una manera sostenible y rentable.

Taxa 4 × 35, Dinamarca, se recomienda una multa de $ 180,000

Uno de los principales objetivos del RGPD es la privacidad: la protección de los datos personales. Eso significa que la atención se centra ahora en cómo las organizaciones procesan, almacenan y protegen los datos personales. Un componente clave de esto: deshacerse de los datos que no necesita. Pero en Dinamarca, Datatilsynet recomendó multar a la compañía de taxis Taxa 4 × 35 con casi 1,2 millones en DK ($ 180.000) por no borrar los registros (números de teléfono de los clientes) en 9 millones de viajes en taxi después de que se volvieron innecesarios.

Aquí es donde la gobernanza de la identidad puede ayudar. Una sólida estrategia de gobierno de la identidad proporciona visibilidad a los datos personales: qué datos personales se almacenan, quién es responsable de ellos y quién puede acceder a ellos. También implementa controles y protecciones al eliminar los datos personales que han expirado. Para evitar una multa de GDPR, la compañía de taxis debe implementar salvaguardas que eliminen los datos después de un período de tiempo específico, en este caso, eliminar los números de teléfono después de que el viaje haya terminado y no retener estos datos del cliente durante cinco años.

Hospital, Portugal, multa de 446.700 dólares

Cuando se trata de GDPR, las organizaciones deben «diseñar» medidas para garantizar el cumplimiento de la protección de datos. Después de determinar que un hospital en Portugal estaba permitiendo el acceso a los datos médicos de los pacientes por parte de personal no médico, como resultado de una supervisión dentro de su departamento de TI, se impusieron dos multas por un total de € 400,000 ($ 446,700) debido a su “falla poner en marcha las medidas técnicas y organizativas adecuadas para proteger los datos de los pacientes «.

Con el gobierno de la identidad, las organizaciones pueden fortalecer los controles proporcionando visibilidad centralizada de los modelos de control de acceso para todos los recursos que almacenan y procesan datos personales, asignando propietarios de datos a todos los recursos que contienen datos personales y automatizando la revisión de los derechos de acceso en todos los recursos que contienen datos personales. Las violaciones por las que se multó al hospital podrían haberse evitado si hubieran tenido una plataforma de gobierno de identidad para ayudar a centralizar la vista del acceso de los usuarios y así garantizar que las personas adecuadas tuvieran el acceso correcto a los datos correctos.

Hotel, UE, investigación en curso

Según el RGPD, las organizaciones deben informar las violaciones de datos a partir de las 72 horas desde el momento en que se enteraron de la violación para informarla. Ingrese en un caso de alto perfil de una gran cadena de hoteles, que ha estado en curso durante varios años, pero es un buen ejemplo para mostrar lo que sucederá si no informa una infracción de manera oportuna. En septiembre de 2018 se descubrió una violación de datos que afectó a 500 millones de clientes de hoteles, y algunos dijeron que la violación ha estado en curso desde 2014. Este incidente no se reveló hasta fines de noviembre de 2018, mucho más allá del período de 72 horas para la divulgación establecido por GDPR. ¿La penalidad? Hasta $ 915 millones.

El gobierno de la identidad se implementa para ayudar a notificar a los propietarios y administradores de datos sobre cualquier violación o anomalía en el acceso a datos confidenciales, y para automatizar la corrección cuando se detectan violaciones. Si el hotel tuviera algo en su lugar para detectar la infracción desde el inicio, podría haber evitado las multas potencialmente masivas que pueden resultar de perder la ventana de informes.

Identidad en juego: la seguridad es un maratón, no un sprint

Al observar la empresa de taxis, el hospital y el hotel, queda claro que la única forma de mantener el cumplimiento del RGPD y la protección de datos es automatizar tantas herramientas de gestión de identidad y acceso y procesos de auditoría de seguridad como sea razonablemente posible. A partir de estos casos, es imperativo que la automatización sea un componente vital cuando los procesos deben repetirse regularmente y las respuestas deben ocurrir en tiempo real.

Con un año en su haber, no parece que el GDPR vaya a ninguna parte pronto. Al evaluar los riesgos con el gobierno de la identidad a la vanguardia, una organización puede crear una hoja de ruta para priorizar y remediar las brechas regulatorias más apremiantes y, por lo tanto, controlar y asegurar de manera efectiva los datos de la organización.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar