Por Sunil Choudrie Symantec

La cuenta atrás ha comenzado, por lo que antes de que el GDPR entre en vigencia esta primavera, aquí hay algunos consejos para asegurar que tus planes de protección de datos cumplan con las nuevas regulaciones.

En unos meses, Europa marcará el comienzo de una nueva era regulatoria cuando entre en vigor el Reglamento General de Protección de Datos de la UE (GDPR). Pero incluso si no vives en la Unión Europea, las regulaciones aún pueden afectar tu negocio.

La legislación GDPR incluye innumerables requisitos, pero el objetivo principal es mantener la privacidad y la seguridad de los datos personales. Las sanciones por incumplimiento pueden ser graves, además de los costos financieros (4% de la facturación global o 20 millones de euros, el que sea mayor), las organizaciones se enfrentan a restricciones comerciales, así como a la marca y el daño reputacional asociado a una infracción.

Examinemos más de cerca las tres preguntas fundamentales de protección de datos que deberás enfrentar.

 ¿Dónde están los datos personales que tengo?

GDPR define lo que cuenta como datos personales. Esto cubre una variedad de tipos de información, como direcciones IP o imágenes digitales. Entonces, el primer problema es identificar todos los datos regulados por GDPR. Los datos pueden ser móviles, almacenados en la nube o incluso en ubicaciones que están más allá de su control. Pero si le falta visibilidad total, ya sea porque no sabes qué datos buscar o debido a puntos ciegos en los dispositivos, aplicaciones informáticas en la sombra o en la nube, entonces tienes un problema.

¿Quién realmente tiene acceso a los datos?

Con GDPR, solo puedes usar datos personales para el propósito con el que se obtuvo el consentimiento. Esta responsabilidad persiste, incluso si se ha subcontratado el manejo de datos. Por lo tanto, debes asegurarte de saber quién está accediendo a los datos (incluso si son parte de una organización de terceros) y pueden rastrear sus interacciones. Este último elemento es crítico para garantizar que los datos estén protegidos, por ejemplo, de los ataques de adquisición de cuentas. Vemos una serie de violaciones de datos que comienzan con credenciales de usuario que son robadas y luego son secuestradas por atacantes para infiltrar los sistemas de TI y robar datos. Ser capaz de monitorear el comportamiento del usuario para evaluar el riesgo del usuario e identificar cuentas potencialmente comprometidas te permite defenderte de manera proactiva contra infracciones.

¿Cómo me aseguro de que mis datos estén protegidos?

¿Cómo se protege la información cuando sale de las instalaciones? ¿Y aún se permite la colaboración con terceros? Ese es un desafío presentado por la movilidad de datos. Idealmente, desea una forma de bloquear selectivamente el acceso a los datos, permitiendo solo usuarios legítimos. El beneficio es que si hay una violación de datos y los archivos terminan en las manos equivocadas, tu organización puede emplear defensas en capas para mitigar el daño.

La primera defensa viene restringiendo los derechos de acceso para limitar el riesgo de una violación de datos incluso si el archivo se ha distribuido ampliamente. En los casos en que también haya sospecha que las cuentas de los usuarios han sido secuestradas, la capacidad de monitorear los comportamientos de los usuarios y los patrones de acceso a los datos puede ayudar a identificar los riesgos. En ese punto, la organización puede implementar defensas adicionales, como revocar el acceso a archivos o suspender por completo los derechos de acceso del usuario.

Con la cuenta atrás para la fecha límite, es más importante que nunca elaborar una estrategia coherente. Hay tres letras que pueden ayudar: I, C y S, que representan Seguridad de información centrada. Básicamente, esto describe una combinación de tecnologías de protección de la información implementadas con el objetivo de proteger los datos confidenciales, donde sea que vayan y a quien se esté accediendo.

En pocas palabras, la estrategia de protección de la información de la empresa debe centrarse en los datos. Dados los nuevos requisitos, sin mencionar las multas y multas que se pueden aplicar en torno a la notificación de incumplimiento, construir tus defensas ahora recompensará tu inversión inicial.

Todos los derechos de autor y otros derechos de propiedad sobre la información contenida en este artículo, pertenecen a Symantec Corporation.

Fuente:https://www.symantec.com/blogs/expert-perspectives/three-questions-you-must-resolve-gdpr?om_ext_cid=biz_social_NAM_gplus_Asset%20Type%20%20-%20Blog,Campaign%20-%20Cloud%20Compliance&om_ext_cid=biz_social_LAM_twitter_Asset%2BType%2B%2B-%2BBlog