A poco más de dos meses de la entrada en vigor del Reglamento Global de Protección de Datos, ha llegado el momento de que las empresas lleven a cabo una revisión urgente de sus preparativos. Después de todo, no se pueden ignorar las posibles multas por incumplimiento.

Aquí hay tres áreas clave en las que su equipo de TI debe estar al día antes del 25 de mayo.

1. Personas, Procesos y Tecnología

El RGPD ha sido identificado erróneamente como un "problema de TI". El almacenamiento y la retención de datos es una función de TI, pero el RGPD se aplica a cualquier empleado que maneje datos de clientes.

Obviamente, su revisión interna debe tener en cuenta las garantías de TI (cortafuegos, cifrado, anonimato). Sin embargo, no asuma que eso es todo. Hay otros dos posibles puntos débiles en sus defensas: las personas y los procesos.

En primer lugar, evalúe la forma en que se manejan los datos personales a medida que se mueven en su empresa. ¿Hay demasiada información disponible internamente? ¿Están eludiendo las personas los mecanismos aprobados de almacenamiento y transferencia de datos, como el envío de datos confidenciales por correo electrónico a terceros? Necesitará ajustar los procesos para reducir el riesgo de que los empleados "rompan las reglas".

También debe llevar a cabo un programa educativo urgente para ayudar a los empleados a darse cuenta de que tienen un papel muy importante en la protección de datos. Ayúdeles a entender que los procesos "restrictivos" existen para proteger a los clientes, al negocio y, en última instancia, al propio usuario final.

2. Audite todo

A pesar de que el RGPD fue ratificado por la Comisión Europea en abril de 2016, todavía no existen normas definitivas. A pesar de esta falta de orientación, los directores de sistemas informáticos y los directores técnicos deben ser capaces de demostrar el cumplimiento de los principios generales de protección de datos personales.

En el caso de una investigación de protección de datos, su empresa debe ser capaz de demostrar las medidas de protección existentes y su eficacia. Al auditar las operaciones de datos, especialmente los cambios en los flujos de trabajo y los sistemas de seguridad, podrá "probar" los intentos de cumplimiento. En muchos sentidos, este proceso es exactamente igual que la obligación de mantener la documentación del PCI DSS actualizada y totalmente precisa.

El RGPD hace demandas similares; usted debe documentar sus procesos relacionados con la información personal. Y al igual que PCI DSS, esta documentación debe mantenerse actualizada. Las disciplinas y procesos involucrados en las auditorías PCI DSS se convertirán directamente en sus obligaciones del RGPD.

3. Desarrollar una mentalidad de "seguridad mediante el diseño"

La protección de datos bajo el RGPD y PCI DSS es un objetivo en movimiento - el trabajo nunca se termina. Su equipo de TI tendrá que desarrollar una cultura de mejora constante, buscando activamente formas de reforzar las salvaguardias y los procesos.

Es importante destacar que el , artículo 25 del RGPDexige "la protección de datos mediante el diseño y por defecto". Cada actividad que su empresa emprenda debe tener en cuenta en primer lugar los datos personales que puedan verse afectados y cómo se protegerá esa información. Sólo después de que se aborden estas preocupaciones es que se puede avanzar en un proyecto.

Sin este enfoque en la seguridad primero, la autocomplacencia se instalará rápidamente. Si esto ocurriera, las vulnerabilidades pasarán desapercibidas hasta que sean explotadas por un hacker. Tampoco podrá cumplir con sus obligaciones bajo el PCI DSS - y el RGPD una vez que entre en vigor.

Obtenga ayuda. ¡Ahora!

A pocas semanas de la entrada en vigor del RGPD, no hay tiempo que perder para volver a comprobar la preparación de su organización. Para asegurarse de que está preparado, considere la posibilidad de asociarse con un experto en cumplimiento como Advantio, que puede aplicar sus conocimientos, experiencia y habilidades para proteger mejor los datos personales de los clientes.

Take the first step in your compliance journey:  Download our GDPR Mapping Questionnaire

 

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA