5 políticas de protección de datos que debemos tener en cuenta, luego de entrar en vigencia GDPR

GDPR

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) entró en vigencia a partir de mayo y esta exige que todas las organizaciones que manejan datos de los ciudadanos de la UE cumplan con sus disposiciones sobre recopilación y uso de datos personales. Sin embargo, la mayoría de las compañías probablemente no cumplió con el plazo de cumplimiento, y muchos siguen sin conocer las políticas necesarias para mantener la seguridad de los datos.

"La privacidad de los datos es un tema candente con la entrada en vigor de GDPR", dijo Dave Rickard, director técnico de CIPHER Security. "Muchas empresas pueden pensar que no están expuestas a ellas, pero hay muchas variables en eso".

Por ejemplo, un minorista en línea con el que trabaja Rickard tiene muchos clientes de la UE, pero no puede geolocalizarlos desde el sitio web. Otros no trabajan con ciudadanos de la UE, pero tienen instalaciones de procesamiento y almacenamiento de datos allí, que también están sujetas a GDPR.

Es probable que GDPR influya en las políticas de privacidad de datos en otros países, dijo Rickard. Sin embargo, las diferencias culturales, particularmente entre la UE y EE. UU., Pueden dificultar esto.

"En la UE, la gente está muy centrada en la perspectiva de que 'Mi nombre, mi número de seguro social, mi información de pasaporte, todo lo que es relativo sobre mí, me pertenece. Es parte de mi individualidad'", dijo. "Mientras que en América del Norte, desde hace tiempo la gente ha tomado la perspectiva de que los datos son moneda. Hay tantos modelos comerciales que se basan en ella. Los datos son dinero".

La mayoría de las compañías que deben cumplir con GDPR aún no lo han hecho, según Rickard. "Diría que el cumplimiento en este momento es solo de aproximadamente el 35% o el 40% como máximo", dijo. "Creo que mucha gente está esperando y viendo el enfoque".

Algunas de las compañías más grandes como Facebook, Google y Amazon serán los canarios en la mina de carbón, indicó Rickard. "Creo que se les tomarán acciones primero, y la gente va a esperar y ver si las sanciones reales de GDPR se desarrollan como se han publicado".

Las empresas que no cumplan con GDPR enfrentarán una multa de 4% de sus ingresos globales o € 20 millones, el que sea mayor.

Aquí hay cinco tipos de políticas que las compañías deben asegurarse de tener y adicionalmente tener empleados capacitados en la era de GDPR, según Rickard.

1. Políticas de cifrado

La mayoría de las empresas carecen de políticas en torno al cifrado de datos, "La mayoría de las personas que son propietarios de datos desconocen si sus datos están encriptados en reposo o no", agregó. "GDPR es grande en encriptación en reposo".
 

2. Políticas de uso aceptable

Una política de uso aceptable debería abarcar aspectos como qué aplicaciones están permitidas, qué búsqueda web y hábitos de redes sociales son apropiados para la empresa, y las posibles amenazas a la reputación de la marca.


3. Políticas de contraseña

Las contraseñas siguen siendo un punto de entrada digital común en una organización para piratas informáticos. Incluso si, en el mejor de los casos, los empleados usan contraseñas complejas que cambian a menudo y no se comparten, el error humano y el descuido aún pueden poner en riesgo a una empresa. "Una de las maneras más fáciles de violar una empresa es poner a alguien en el equipo de limpieza y buscar en los escritorios", dijo Rickard. "La gente a menudo tiene notas Post-it en monitores con contraseñas".

4. Políticas de correo electrónico

TI debería contar con una política de correo electrónico que fortalezca los sistemas y pueda detectar el spam y los virus. "El tipo de información que se puede divulgar por correo electrónico debe explicarse muy claramente".

5. Políticas de procesamiento de datos

Las empresas necesitan hacer un mapeo de flujo de procesos de datos para ver qué datos se están recolectando, cómo se están procesando y quién está recibiendo copias procesadas. "GDPR cierra todas esas brechas".

La capacitación de los empleados es primordial para garantizar el cumplimiento de estas políticas, según Rickard. Concienciar sobre el panorama de amenazas y las vulnerabilidades comunes puede ayudar a contrarrestar el error humano.

"La concienciación y capacitación en seguridad es la piedra angular de cualquier programa de seguridad", es la conclusión final que se obtiene al revisar las fallas en las que con frecuencia se incurren en las empresas.

 

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,