El 25 de mayo de 2018 entrará en vigor la nueva regulación europea de protección de datos, también conocida como GDPR. Sin embargo, todavía son muchas las empresas que no han adaptado sus políticas para poder cumplirla. Check Point explica cómo adaptar la estrategia de ciberseguridad para cumplirla.
El GDPR asigna importantes responsabilidades políticas y técnicas a cualquier organización que trate datos personales de ciudadanos de la Unión Europea, independientemente de si opera físicamente o no dentro de sus fronteras. Por lo tanto, esta ley tiene un gran impacto mundial y afectará directamente a la forma en la que las multinacionales operan en Europa. Las compañías que incumplan podrán enfrentarse a multas de hasta el 4% de sus ingresos, o de 20 millones de euros.
Esta legislación se centra sobre todo en minimizar los riesgos de las empresas para garantizar la privacidad y la seguridad de los datos de las personas. Concretamente, la ley obliga a las organizaciones a implementar procedimientos completamente nuevos en torno a la recopilación y al almacenamiento de información personal identificable (PII, por sus siglas en inglés). Afecta a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE (dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales, etc.). El objetivo de la GDPR es asegurar que la PII se almacena con el permiso del usuario y que se utiliza para el propósito especificado para el que se obtuvo y sólo durante un tiempo limitado.
Check Point ha elaborado una serie de consejos para que las organizaciones de todo el mundo puedan estar preparadas para la nueva normativa:
1. Concienciar y educar. Nadie en la empresa va a ayudar a cumplir con la GDPR si no sabe lo que es. Por esta razón, es indispensable formar a los empleados en cuestiones cómo: ¿Qué requiere la ley y por qué es relevante para la compañía? ¿Cuáles son las sanciones? ¿Qué aplicaciones tienen probabilidades de incumplimiento? La educación es vital, no sólo para concienciar sobre la nueva regulación, sino también para comenzar a pensar en cómo asignar personal y recursos financieros para tratarla.
2. Monitorizar toda la información. Aún no se sabe cómo evolucionará y como se aplicará la GDPR. Los responsables del cumplimiento de la normativa deben leer sobre el tema todo lo posible, para conocer todas las novedades. También es necesario saber que varios organismos de la UE están tratando de aclarar cómo se aplicará la ley, y publican periódicamente dichas explicaciones. Por lo tanto, es necesario reservar algo de tiempo para ver si hay actualizaciones.
3. Localizar los datos. Encontrar los datos alojados en los entornos TI es clave para evaluar el esfuerzo que se debe hacer con respecto a la normativa. Los sistemas de clasificación de datos pueden automatizar este proceso.
4. Establecer y verificar un sistema de identificación seguro. Todos los regímenes de cumplimiento establecen el registro como un sistema de control esencial, y la GDPR no será diferente. Por lo tanto, un primer paso lógico será revisar y verificar las actividades de logging. También se deben implementar controles automáticos o manuales que revisen periódicamente los historiales, y busquen actividades no autorizadas o maliciosas. Por último, debe incluir las actividades del administrador en la infraestructura crítica.