Apesar de que la Regulación General de Protección de Datos (GDPR) es de cumplimiento obligatorio únicamente en Europa, esta va a cambiar la forma de trabajar de todas las empresas en el mundo que manejen, almacenen o utilicen datos personales. Es decir, las empresas de América Latina que cuentan con filiales y/o almacenan y procesan información personal sobre ciudadanos de la UE tendrán que prepararse también para su cumplimiento.
Los datos personales se definen como cualquier información que, por sí sola, o cuando se combina con otros datos a los que el poseedor pueda acceder, se puede usar para identificar a un individuo. Para un cibercriminal, acceder a la recopilación, procesamiento y transferencia de esos datos personales cobra valor, sobre todo en industrias como la financiera. Gran parte de los datos robados llega a un mercado negro en el que los precios varían según el tipo de datos y el tiempo que ha transcurrido desde el robo.
Si su organización recopila o procesa los datos personales de los residentes de la Unión Europea, independientemente de si tiene o no presencia física en la UE, está sujeto al GDPR. Bajo esta regulación, la pérdida de datos por la falta de políticas adecuadas y las medidas de protección pueden dar lugar a multas de hasta el 4% del volumen de negocios mundial anual de la empresa.
El enemigo en casa
Una reciente encuesta llevada a cabo por Ipswitch a 255 profesionales de TI arroja que solo el 27% de la pérdida de datos son resultado de un “comportamiento malicioso”; otro porcentaje igual se debe a un “comportamiento accidental o error humano”; y un 46% de las pérdidas fue causado por “fallas de proceso o de red”. Es decir, la mayoría de los datos se pierden porque alguien dentro de la organización está haciendo algo que no debería, como transmitirlos a través de medios no seguros.
En este sentido, la Regulación General de Protección de Datos exige un procesamiento justo, legal y transparente, es decir, se debe tener cuidado adicional al diseñar e implementar actividades de procesamiento de información personal. A su vez, los datos personales deben estar protegidos contra amenazas internas y externas, pérdidas accidentales, destrucción y daños; se deben tomar todas las medidas razonables para garantizar que los datos personales sean precisos; el cumplimiento de los principios de protección de datos debe estar documentado; y los datos personales no deberían almacenarse más de lo necesario para el propósito declarado.
7 pasos para cumplir con la GDPR
• Automatización: Los flujos de trabajo de transferencia de archivos comúnmente utilizados deberían automatizarse para mitigar la introducción de un error humano que podría ocasionar la pérdida de datos. Las herramientas de transferencia de archivos de una organización deberían contar con funciones de soporte, tales como reenvío automático, corrección de errores y confirmación de recibo de todas las transferencias.
• Control y visibilidad: El control y la visibilidad de los flujos de datos y eventos son los requisitos más importantes para una gestión de seguridad efectiva, y esencial para validar el cumplimiento. Las herramientas a usar deberían habilitar la visibilidad central, el control y la autorización previa de todas las transferencias de archivos.
• Seguridad de información: La tecnología, herramientas o procesos deben garantizar la integridad de los archivos; y la eliminación de datos después de la recepción. Un aspecto importante del cumplimiento es la existencia de un rastro de auditoría inviolable que rastrea integridad, entrega, autenticación, no repudio y subsiguiente eliminación de archivos de datos transmitidos externamente.
• Autenticación: La autenticación de usuarios y administradores es un aspecto esencial de la seguridad y conformidad.
• Criptografía: Los algoritmos de encriptación tienen una vida útil limitada. Los estándares de cumplimiento a menudo no permiten el uso de sistemas comprometidos. Por lo tanto, es esencial que los sistemas de intercambio de datos empleen mecanismos criptográficos robustos y de última generación, y permitan una selección segura, distribución y protección de claves de cifrado. Para proteger contra el fortalecimiento futuro de las normas de protección de datos, los sistemas deben garantizar la protección continua e integridad de los datos tanto en tránsito como en reposo.
• Arquitectura segura: La arquitectura de un sistema debe integrarse con las infraestructuras de seguridad existentes y las aplicaciones.
• Conmutación por error: Un requisito clave de muchas regulaciones de protección de datos es la continuidad segura del negocio. Este requisito está destinado a salvaguardar la confidencialidad, integridad y disponibilidad de transferencias de archivos, en todas las etapas a lo largo de cualquier falla, desastre o interrupción.