Hoy falta exactamente un mes para que el cumplimiento de GDPR sea obligatorio y podemos decir que este proceso no termina el 25 de mayo, esta ley marca unas pautas con las que deberemos convivir a lo largo de nuestra trayectoria empresarial. Es cuestión de tecnología, pero también de nuevos procesos y de formación.
En el post anterior, comentábamos las áreas de inversión que, según un estudio de IDC Research España, iban a protagonizar el interés de la empresa española en su adecuación al reglamento GDPR. Y, entre ellas, la tercera era la formación. Sin duda, es un capítulo de suma importancia porque por mucha tecnología con la que equipemos a nuestros empleados, no podemos olvidar que cubrir el factor humano es absolutamente fundamental.
Y es que no sólo hay que preocuparse del malware o las vulnerabilidades, pues menos de la mitad (46%) de los sistemas comprometidos tienen algún tipo de malware. El resto tenían su origen en passwords débiles, configuraciones deficientes o ataques de ingeniería social. Y si pensamos en las vulnerabilidades, más del 99% de ellas fueron explotadas un año después de la publicación de su CVE (Common Vulnerabilities and Exposures).
Tenemos que poner foco en asuntos tales como la formación de nuestros empleados y la actualización del software que utilizan. En este vídeo sobre Seguridad inteligente para la empresa moderna y productiva grabado en el evento de Microsoft “Seguridad en un Mundo Móvil” se aborda este asunto con más detalle.
Para la prevención en materia de pérdida de datos es preciso abordar la problemática del control de accesos, la gestión de los dispositivos y, cómo no, la correcta elección de un proveedor cloud. En este sentido, la tecnología de Microsoft cuenta con la mayor colección de certificaciones de seguridad y cumplimiento normativo de la industria.
Ahora bien, si quieres abordar con éxito el cumplimiento de GDPR desde el rol de CIO, ¿por dónde debes empezar?
- El primer paso que debemos acometer es identificar los datos personales que se gestionan en la organización y dónde residen.
- Seguidamente es preciso gestionar adecuadamente los datos, estableciendo un control sobre la información y administrando el uso y el acceso.
- A continuación, habrá que proteger los datos, estableciendo controles de seguridad para prevenir, detectar y responder tanto a los ataques como a las vulnerabilidades que afecten a la custodia de los datos.
- Y, por último, establecer mecanismos internos para informar sobre eventuales brechas de seguridad (disponemos de un máximo de 72 horas), manteniendo documentación actualizada sobre procesos orientados a satisfacer las solicitudes de acceso a los datos por parte de los interesados (que afecten a cambio, supresión o portabilidad de los mismos).
Por esto, nuestro trabajo no termina el 25 de mayo. El GDPR, mientras no haya otro reglamento o ley posterior que nos imponga nuevas directrices, nos va a acompañar siempre que gestionemos datos de terceros. Se trata de un viaje en el que hay que elegir al mejor compañero para recorrer el camino juntos.
EFOR dispone de tecnología materializada en soluciones, productos y servicios de Microsoft para ayudar a cubrir todas estas etapas, para simplificar y acompañar a las empresas en este camino centrado en la privacidad.
¿Quieres saber en qué punto se encuentra tu organización? Contacta con nosotros ¡te ayudaremos!
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.