Políticas y tecnologías para proteger la información y asegurar el cumplimiento
Ya queda muy poco para que entre en vigor el nuevo Reglamento General de Protección de Datos (GDPR) que viene a sustituir a la anterior directiva Europea de Protección de Datos. En concreto, el 25 de mayo de 2018 entra en vigor este nuevo reglamento.
La seguridad de los datos y la gestión del ciclo de vida de los mismos, son clave para ayudar a las organizaciones a asegurarse de que los datos de ciudadanos de la UE son procesados y almacenados apropiadamente.
Para asegurar el correcto cumplimiento del GDPR, las empresas deben gestionar correctamente y aprobar el flujo de datos hacía empresas terceras autorizadas para procesarlos. Monitorizar la salida de datos “accidental” tanto por negligencia como por accesos maliciosos y protegerse contra el robo de datos de los usuarios.
Como el GDPR amplía la gestión de la privacidad a los sistemas basados en Cloud y Aplicaciones de terceros, es fundamental para asegurar esa prevención de pérdida de datos y políticas de protección de robo que se apliquen tanto dentro de la organización como en los datos compartidos con terceros y almacenados fuera de la red de la empresa.
La tecnología de Prevención de Pérdida de Datos (DLP en inglés) nos permite asegurar uno de los principios fundamentales en que se basa el GDPR que es el de “asegurar la privacidad por diseño”.
Las principales mejoras que deberíamos implementar son:
Cloud y Movilidad
Ampliación de controles en aplicaciones y terminales móviles para asegurar el flujo de datos hacia servicios en la nube tales como: Office 365, Google, CRM, etc., y proteger datos en teléfonos inteligentes y portátiles Windows y Mac, etc.
Determinar la Huella Digital de todos los datos
Debe detectar incluso una huella parcial de campos en datos estructurados o no estructurados en los equipos de los usuarios. Identificar los datos sensibles incluso dentro de imágenes tales como CAD, diseños, documentos escaneados, de MRI (imagen resonancia magnética) y capturas de pantalla.
Corrección y clasificación de riesgo
Rápida identificación de incidentes de seguridad, remediación inmediata usando modelado de datos estadísticos y de base conductual.
Priorizar los casos de los niveles de riesgo de alto a bajo con umbrales de valoración de riesgo personalizable para cada sector o empresa.
Toma de conciencia del contexto
La tecnología DLP identifica incluso pequeñas cantidades de fuga de datos durante un periodo de tiempo. Las políticas basadas en el “comportamiento” deben agregar a esta detección el conocimiento de contenido y el contexto para identificar qué datos sensibles se están poniendo en riesgo y de qué usuarios. En función de este conocimiento enriquecido se deberán realizar acciones de remediación y emisión de informes de seguridad.
Flujo de trabajo de informe de incidentes
El flujo de informes de incidentes de seguridad debe ser fácil de distribuir al propietario del dato y al resto de las partes interesadas para su revisión y corrección.
Deben definirse herramientas (correo, gestor de contenidos…) y flujos de aprobación que automaticen y permitan el rápido escalado de los incidentes, así como la comunicación a las autoridades ante incidentes “graves”.
Protección Multicanal
Las aplicaciones DLP deben permitir la definición de políticas de seguridad que permitan detectar y evitar fuga de información de datos sensibles que se envían fuera de la organización teniendo en cuenta los múltiples canales que se utilizan para ello: correo electrónico, web, medios extraíbles, mensajería instantánea y clientes de servicios de nube.
El departamento de Ciberseguridad de Inycom proporciona servicios que van desde la Consultoría para la adecuación al nuevo GDPR, Análisis de riesgos y Diseño de políticas de Seguridad, a la implantación de sistemas DLP para la gestión y protección de los datos.
 |
¿Quieres saber más?
TODO SOBRE EL GDPR EN TRENDS INYCOM |
Social Links: