Por Carl Leonard, Jefe Analista de Seguridad en Forcepoint
Este Día de San Valentín marca 100 días para que el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés o General Data Protection Regulation) de la Unión Europea (UE) entre en vigor, una noticia que probablemente va a acelerar el corazón de algunas personas… ¡y no de una forma romántica! El 25 de mayo de 2018 será la fecha en la que todos necesitaremos juntar nuestros corazones.
Seamos honestos, la regulación es algo de lo que nunca nos vamos a enamorar. Sin embargo, es el empuje que necesitamos para que pongamos atención a lo que más importa: nuestros datos. Ellos son el elemento vital de su organización, representan a su personal que permite la empresa crezca y a las vidas de los clientes a quienes atiende. Las brechas de datos de gran repercusión mediática reportadas en 2017 nos demostraron lo vulnerables que son estos datos, al igual que su gente.
La cuenta regresiva para el GDPR nos obliga a todos a hacer más para proteger la privacidad de la gente qué más importa; es la oportunidad perfecta para mostrarles cuánto le preocupa. Después de todo, cuando la gente está protegida, la organización está segura.
100 días no parece ser mucho tiempo. Tampoco es demasiado tarde: la mayoría de las organizaciones estarán implementando los procesos y medidas de seguridad que exige la regulación. 100 días es la oportunidad perfecta para evaluar su progreso y ver si va por el camino correcto y está colocando las últimas piezas de su estrategia en su lugar.
A tres meses de la entrada en vigor del GDPR, presentamos una selección de recordatorios útiles a medida que el reloj avanza:
- Examine las relaciones con sus proveedores y desarrolladores de aplicaciones. ¿Están protegiendo los datos que usted les está pidiendo procesar? ¿Cómo le notificarán si sufren una brecha? Tenga en cuenta que sus datos pueden estar contenidos dentro de una aplicación de nube; de ser así necesitará recurrir también a sus proveedores de aplicaciones de nube.
- Considere si necesita nombrar a un Director de Protección de Datos (DPO, por sus siglas en inglés), quien será responsable de cumplir con la protección de datos en su organización.
- Considere cómo podría hacer un inventario de sus datos. Usted podría identificar datos que no sabía que tenía. Consulte nuestra guía, “La Necesidad de Hacer un Inventario de los Datos Personales”, que le ayudarán a identificar las soluciones que le apoyarán en este esfuerzo.
- Evalúe cómo ha hecho el mapa de sus flujos de datos. El GDPR espera que las organizaciones entiendan no sólo dónde se almacenan los datos, sino también dónde se están utilizando y transmitiendo. Nuestra útil guía “Mapa y Control del Flujo de Datos” cita el texto de la regulación y ofrece algunos consejos.
- Si sucede lo inevitable y tiene que responder a una brecha, además de recuperarse de ella por supuesto, dentro de tiempos limitados, “Detectar y Responder a un Incidente de Datos” explica cómo el marco NIST puede llevarlo hacia la dirección correcta.
Estos recordatorios no son exhaustivos. Su autoridad de supervisión probablemente tiene varias guías que usted puede aprovechar. El Forcepoint GDPR Resource Pack también le será de gran ayuda.
El GDPR y las regulaciones similares son asuntos serios, pero eso no significa que deba adoptar el GDPR sólo porque tiene que tiene que hacerlo… ¡adóptelo porque usted quiere hacerlo!