¿De qué forma GDPR cambiará la forma de trabajar de las empresas en América Latina?

Autor: José Luis Becerra Pozas
Categorías relacionadas:
Administración, Cómo hacerlo, CSO, Destacado, Experiencia de Usuario, Identidad y Accesos, Políticas y normas, Productos de seguridad, Protección de datos, Seguridad, Seguridad, Tecnologías

whitepaper-SAS-GDPR-estas-listo

[widget id="text-55"]

El pasado 25 de mayo de 2018 entró en vigencia en Europa la Regulación General de Protección de Datos (GDPR) que busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. ¿Cómo estar preparados ante estas nuevas medidas de seguridad?

A pesar de que tal regulación es de cumplimiento obligatorio únicamente en Europa, ésta va a cambiar la forma de trabajar de todas las empresas en el mundo que manejen, almacenen o utilicen datos personales.

Es decir, las empresas de América Latina que cuentan con filiales y/o almacenan y procesan información personal sobre ciudadanos de la UE tendrán que prepararse también para su cumplimiento, de acuerdo con Ipswitch, empresa desarrolladora de software para administración de redes, transferencia de archivos y correo electrónico.

Los datos personales se definen como cualquier información que, por sí sola, o cuando se combina con otros datos a los que el poseedor pueda acceder, se pueden usar para identificar a un individuo. Según esta compañía, para un cibercriminal, acceder a la recopilación, procesamiento y transferencia de esos datos personales cobra valor, sobre todo en industrias como la financiera. Gran parte de los datos robados llega a un mercado negro en el que los precios varían según el tipo de datos y el tiempo que hace que fue robado.

Si su organización recopila o procesa los datos personales de los residentes de la Unión Europea, independientemente de si tiene o no presencia física en la UE, está sujeto al GDPR. Bajo esta regulación, la pérdida de datos por la falta de políticas adecuadas y las medidas de protección pueden dar lugar a multas de hasta el 4% del volumen de negocios mundial anual de la empresa.

El enemigo en casa

Una reciente encuesta llevada a cabo por Ipswitch a 255 profesionales de TI arroja que sólo el 27% de la pérdida de datos son resultado de un “comportamiento malicioso”; otro porcentaje igual que se debe a un “comportamiento accidental o error humano”; y un 46% de las pérdidas fueron causadas por “fallas de proceso o de red”.

Es decir, que la mayoría de los datos se pierden porque alguien dentro de la organización está haciendo algo que no debería, como trasmitir datos a través de medios no seguros.

En este sentido, la Regulación General de Protección de Datos exige el procesamiento justo, legal y transparente, es decir, que se debe tener cuidado adicional al diseñar e implementar actividades de procesamiento de información personal.

A su vez, los datos personales deben estar protegidos contra amenazas internas y externas, pérdidas accidentales, destrucción y daños; se deben tomar todas las medidas razonables para garantizar que los datos personales sean precisos; el cumplimiento de los Principios de Protección de Datos debe estar documentado; y los datos personales no deberían almacenarse más de lo necesario para el propósito declarado.

7 pasos para cumplir con la GDPR

Para dar cumplimiento en tiempo y forma a esta regulación, Ipswitch comparte las siguientes recomendaciones:

  • Automatización: Los flujos de trabajo de transferencia de archivos comúnmente utilizados deberían automatizarse para mitigar la introducción de un error humano que podría ocasionar la pérdida de datos. Las herramientas de transferencia de archivos de una organización deberían contar con funciones de soporte tales como reenvío automático, corrección de errores y confirmación de recibo de todas las transferencias de datos.
  • Control y visibilidad: El control y la visibilidad de los flujos de datos y eventos son los requisitos más importantes para una gestión de seguridad efectiva, y esencial para validar el cumplimiento. Las herramientas a usar deberían habilitar la visibilidad central, el control y la autorización previa de todas las transferencias de archivos.
  • Seguridad de información: La tecnología, herramientas o procesos deben garantizar la integridad de los archivos; la eliminación de datos después de la recepción. Un aspecto importante del cumplimiento es la existencia de un rastro de auditoría inviolable que rastrea integridad, entrega, autenticación, no repudio y subsiguiente eliminación de archivos de datos transmitidos externamente.
  • Autenticación: La autenticación de usuarios y administradores es un aspecto esencial de la seguridad y conformidad.
  • Criptografía: Los algoritmos de encriptación tienen una vida útil limitada. Los estándares de cumplimiento a menudo no permiten el uso de sistemas comprometidos. Por lo tanto, es esencial que los sistemas de intercambio de datos empleen mecanismos criptográficos robustos y de última generación, y permitan una selección segura, distribución y protección de claves de cifrado. Para proteger contra el fortalecimiento futuro de las normas de protección de datos, los sistemas deben garantizar la protección continua e integridad de los datos tanto en tránsito como en reposo.
  • Arquitectura segura: La arquitectura de un sistema debe integrarse con las infraestructuras de seguridad existentes y aplicaciones.
  • Conmutación por error: Un requisito clave de muchas regulaciones de protección de datos es la continuidad segura del negocio. Este requisito está destinado a salvaguardar la confidencialidad, integridad y disponibilidad de transferencias de archivos, en todas las etapas a lo largo de cualquier falla, desastre o interrupción.

“En el caso de industrias como la financiera, cientos de organizaciones de todo el mundo dependen de este tipo de soluciones para brindar servicios financieros y de banca escalables, seguros y que cumplan las normas”, asegura Alessandro Porro, Vicepresidente de Ventas de Ipswitch en Latinoamérica.

Las normas cada vez más estrictas sobre protección de datos disponen que las redes, el acceso de los usuarios, las bases de datos y los procesos comerciales deben ser seguros para proteger la información financiera y la información personalmente identificable de los clientes.

Según el directivo, la línea de productos MOVEit, propuesta por su compañía para la transferencia administrada de archivos garantiza el encriptado de transferencias de datos externas y entrega al destinatario registros detallados de auditoría, “además de cumplir con los requisitos de protección de datos SOX, GLB, PCI y GDPR”, aseveró.

Deja un comentario