Con la entrada en vigor del GDPR, ¿qué le preocupa al CISO? - Zertia Telecomunicaciones
25053
post-template-default,single,single-post,postid-25053,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-1.0,wpb-js-composer js-comp-ver-5.1,vc_responsive

Con la entrada en vigor del GDPR, ¿qué le preocupa al CISO?

Want create site? With Free visual composer you can do it easy.

Monitorización, revisión de procedimientos, anticiparse a los riesgos, agilidad… El reglamento europeo implica nuevas medidas y mayor transparencia.

Reglamento General de Protección de Datos

 

El reglamento GDPR, que comenzará a aplicarse el 25 de mayo de 2018, otorga nuevos derechos a los ciudadanos europeos en materia de acceso, corrección, derecho al borrado (incluso en copias de seguridad), objeción a ser procesados y a la portabilidad de los datos para ser utilizados por otro proveedor si fuera requerido por el interesado.

Si bien estos aspectos pueden ser de mayor interés para otros perfiles directivos de una organización, lo que al CISO debe preocuparle en concreto del GDPR es lo que afecta propiamente a la seguridad de la información.

Porque el reglamento introduce estrictos requisitos de seguridad, de tal forma que los datos se deben proteger para prevenir cualquier forma ilegal de procesamiento, en particular cualquier divulgación o acceso no autorizados. Esto significa que los controladores y procesadores de datos necesitan implementar medidas técnicas adecuadas (como el cifrado) y organizacionales (por ejemplo, limitar el número de personas que dentro de la organización pueden acceder a los datos) para garantizar un nivel de seguridad apropiado para prevenir el riesgo.

Adicionalmente, el GDPR obliga a notificar las brechas de seguridad dentro de las 72 horas posteriores a su descubrimiento. Por ello, los controladores de datos deberán notificar a las autoridades de supervisión (en nuestro caso la Agencia Española de Protección de Datos) las violaciones de datos sin demoras indebidas. Asimismo, los sujetos de datos también deberán ser notificados sin demora si la violación de datos personales representa un “alto riesgo” para sus derechos y libertades.

Implicaciones

 

Implicaciones GDPR

Las organizaciones, delegando en la responsabilidad del CISO, deberán llevar a cabo evaluaciones de impacto de protección de datos donde las actividades de procesamiento presenten riesgos elevados para los derechos y libertades de las personas. Estas evaluaciones generalmente implican la identificación y documentación de riesgos de privacidad planteados por el procesamiento para el que los datos han sido cedidos, y la planificación de medidas de mitigación para ayudar a controlar y minimizar esos riesgos. En determinados casos, las organizaciones también deberían consultar a las autoridades de protección de datos (AEPD) antes de emprender dichos procesos.

Por todo ello, desde el plano tecnológico, una mayor protección implica que:

  • Los datos personales propiamente dichos sean cifrados (especialmente aquellos más sensibles, como son los relativos a religión, origen étnico, genéticos, biométricos o de salud) o al menos seudonimizados para que no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, de tal forma que dicha información adicional se guarde por separado.
  • Los sistemas y servicios de procesamiento mantengan la confidencialidad de los datos.
  • Los datos personales eliminados / perdidos puedan restaurarse oportunamente en caso de un incidente físico o técnico.
  • Las medidas de seguridad se prueben rutinariamente para confirmar su competencia y efectividad.
  • Se disponga de herramientas de detección y prevención de brechas de seguridad.

 

Novedades

 

Otra novedad que introduce el GDPR y que afecta a las organizaciones de mayor tamaño es el mantenimiento de registros internos detallados de las actividades de procesamiento. Lo que incluye registros sobre los fines del procesamiento, las categorías de datos personales procesados, las transferencias de datos personales dentro y fuera del Espacio Económico Europeo y las medidas de seguridad empleadas para proteger los datos.

El CISO tienen una gran tarea por delante, no sólo para establecer procedimientos, sino para mantenerlos y verificarlos a lo largo del tiempo. Pero…

¿Cuáles son las verdaderas preocupaciones del CISO?

 

  • Estar al día frente a las amenazas de seguridad
  • Tener mayor visibilidad de los ataques
  • Asegurar que la infraestructura on-premise cumpla con el GDPR
  • Confirmar que la nube pública que contiene los datos disponga de mecanismos apropiados de seguridad, actualizados en base al GDPR
  • Proteger los dispositivos móviles de los usuarios
  • Gestionar múltiples soluciones de seguridad de diferentes fabricantes

 

Se trata de configurar entornos híbridos y en movilidad con una visión holística de la seguridad, disponiendo de herramientas de prevención y análisis. Todo esto puede parecer difícil y costoso, pero todo depende de la tecnología que nos acompañe en el proceso. Pero el coste de una brecha de seguridad puede resultarle realmente alto. Estamos hablando de hasta 20 millones de euros o el 4 % de la facturación global de la organización.

¿Qué puede hacer al respecto? Lo abordaremos en nuestro próximo post…

Did you find apk for android? You can find new Free Android Games and apps.


Free WordPress Themes, Free Android Games