Faltan menos de tres meses para la entrada en vigor del nuevo RGPD.
A falta de poco más de dos meses para la entrada en vigor a nivel europeo del nuevo RGPD (Reglamento General de Protección de Datos) sigue existiendo un gran desconocimiento por parte, tanto de las empresas responsables del tratamiento de la información como de los usuarios/clientes de las mismas y en qué manera estos últimos se verán afectados, incluida la información de sus empleados.
Todos estos sujetos a partir de ahora serán considerados como Interesados. Por tanto es fundamental contar con las herramientas que nos permitan cumplir con las exigencias y que estas a su vez no se vuelvan un cúmulo de tareas difícilmente administrables.
Es fundamental dejar claro que para llegar al cumplimiento del reglamento no es solo cuestión de software, hardware o tecnología sino de una serie de medidas entre las que se encuentran la formación del personal y establecer los mecanismos para que estas medidas se pueda llevar a cabo.
Este es en realidad el aspecto más importante donde deberíamos hacer más énfasis. Dos de los aspectos mas destacables del nuevo reglamento son:
- Derecho al olvido, en donde se cita que un interesado puede solicitar el borrado de sus datos del servidor y que estos no se puedan utilizar nunca más. Aunque no queda del todo claro si esto incluye las copias de seguridad, este vacío de información nos supone que si en el hipotético caso debamos suprimir esta información de los backups, esta tarea puede ser el problema de gestión más importante al que nos enfrentemos.
- Fuga de datos personales, las empresas que sufran, accidental o voluntariamente una violación de seguridad, perdida o divulgación de datos personales tienen un plazo de 72 horas desde el conocimiento del hecho para notificarlo a la autoridad pertinente.
Planteamos el siguiente orden de elementos que debe incluir una empresa para cumplir con el RGPD:
Seguridad perimetral – Firewall+UTM+AV+IP y seguridad de las redes cableadas e inalámbricas.
Es la puerta de entrada a nuestro sistema, debe está actualizada y monitorizada siendo el pilar fundamental de nuestra seguridad. Con el objetivo de mitigar la máximo los posibles ataques que suframos y minimicemos la perdida de información accidental.
Directorio activo con estructura de permisos y privilegios gestionada.
A día de hoy es raro encontrar una empresa que no disponga de un dominio interno o gestionado en el cloud pero aunque dispongan de él, debemos tener los mecanismos de gestión de alta y baja de usuarios, gestión de contraseñas con renovación de las mismas y delimitar el acceso a la información de los interesados.
En pocas palabras, para cumplir con el Reglamento General de Protección de Datos es indispensable que ese dominio esté realmente gestionado y no haya sido configurado una vez y dejado abandonado por comodidad.
En este punto se encuentra también el sistema de seguridad interna que elijamos. Antivirus y/o Sistema anti fuga de información.
Almacenamiento de la información.
Garantizar la conservación de los datos y evitar la perdida accidental o voluntaria es otro de los aspectos fundamentales, para ello si es posible, debemos pensar en almacenar la información encriptada y redundar su almacenamiento.
En la actualidad disponemos de sistemas de almacenamiento 100% cloud, híbridos con los que disponer de nuestra información tanto onsite como en el cloud, o bien geo-redundancia en el caso de no querer depender de terceros.
Sea cual sea el sistema que decidamos siempre debe está ligado con nuestro sistema de administración y contemplado tanto el sistema de backup como el de recuperación en caso de desastre.
Copias de seguridad.
Una vez tenemos todos nuestros datos protegidos necesitamos un sistema que nos permita recuperarnos en caso de que nos hayamos visto comprometidos.
Nuestro sistema de backup debe disponer de recuperación a nivel granular, a nivel de aplicación y con una política de retención de información lo suficientemente amplia como para minimizar al máximo los riesgos.
Dentro de este punto la tarea del administrador de sistemas debe ser en primer lugar la monitorización de las copias con el fin de tener la certeza de que se están realizando y en segundo lugar comprobar que el sistema de copias es correcto y que es funcional.
Recuperación en caso de desastre.
Finalmente el ultimo aspecto que nos interesa contemplar es que ocurriría en caso de que nuestro sistema sufriera un problema de máxima gravedad y tuviéramos que recuperarnos.
El objetivo de este punto es saber cuanto tiempo tardaríamos en poner en marcha todo nuestro sistema y que elementos se verían afectados tras una catástrofe.
Eso incluye tanto la información como los sistemas físicos y lógicos afectados, realizando una auditoria periodica en la que se realicen simulacros de distintos sucesos.
Y tu empresa, ¿Cumple con el nuevo Reglamento General de Protección de Datos?
Para cumplir debidamente con todos los criterios del nuevo RGPD es indispensable contar con la ayuda de un equipo profesional, formado y actualizado.
Para más información puede contactar con nosotros haciendo click aqui.
Puede descargar el nuevo RGPD en la página web de la Agencia Española de Protección de Datos haciendo click aqui.