Ha pasado un mes ya desde que entró en vigencia la nueva RGPD (Regulación General de Protección de Datos) o GDPR por sus siglas en inglés. Una normativa que ha llegado a revolucionar el manejo de la información personal de los usuarios del ciberespacio; no sin antes generar una avalancha de preguntas y cierta confusión entre muchas organizaciones.
Dados los alcances de esta regulación; es muy importante para cada empresa contar con la información correcta relacionada con las implicaciones de este marco legal; sus características y las precauciones que puede tomar para cumplirlo de manera efectiva.
Para ayudarte en esta tarea; hemos decidido ofrecerte un panorama general de este nuevo reglamento de la Unión Europea para la protección de la información personal de los usuarios del ciberespacio; así como también algunos detalles acerca de los beneficios de vincular la GDPR con tu solución de software SIEM.
Del porqué de una regulación
La extensión del acceso a internet en la población mundial ha traído consigo un aumento gigante de la cantidad de datos personales manejada en el ciberespacio; así como también un crecimiento exponencial de robos y uso indebido de estos datos por parte de diferentes entes.
Esta inseguridad digital ha generado entre los usuarios una creciente preocupación relacionada con su privacidad en internet así como un incremento en los reclamos ligados a la forma en que su información personal está siendo utilizada por las diferentes organizaciones que la manejan.
Como una forma de abordar este problema de manera eficiente;algunas instituciones políticas de la Unión Europea (UE) decidieron promover la creación de una regulación que permitiera a sus ciudadanos tener un mayor control sobre el manejo de su información privada. Es en este contexto que nace la GDPR.
La GDPR y los datos
La GDPR está basada en principios fundamentales que establecen que los datos personales deben:
- Manejarse de forma justa, legal y transparente.
- Resguardarse de una manera que garantice su seguridad y su confidencialidad.
- Ser recolectados con fines específicos, explícitos y legítimos, sin que se les dé un uso incompatible con estos fines.
- Utilizarse únicamente en el periodo de tiempo requerido para lograr los fines anteriores.
En este contexto el término datos personales se refiere a toda información relacionada con una persona física que permita identificarla de manera directa o indirecta. Esto incluye por ejemplo, números de teléfonos, datos de tarjetas de crédito, información de geolocalización y direcciones IP.
Aunque mi empresa no pertenezca a la UE, ¿igual debo aplicar la GDPR?
Si tu respuesta a cualquiera de las siguientes preguntas relacionadas con tu empresa es afirmativa; la GDPR definitivamente aplica a tu organización:
- ¿Tiene tu empresa, presencia física en al menos algún país miembro de la Unión Europea?
- ¿Procesa o almacena datos sobre individuos que residen en la Unión Europea?
- ¿Utiliza servicios de terceros (esto incluye el contacto con clientes a través de Facebook, twitter u otra red social) que procesan o almacenan información sobre individuos que residen en la Unión Europea?
Con estos criterios, queda claro que la aplicación de la regulación no está directamente relacionada con la ubicación geográfica de las empresas implicadas.
¿Cuáles son las implicaciones de la GDPR para las empresas a las que concierne?
Una de los factores que más impacto tiene sobre las empresas a las que aplica la GDPR; es el establecimiento de 8 derechos fundamentales de los usuarios relacionados con sus datos personales. Tomando en cuenta algunos de estos derechos y para cumplir con las exigencias de este marco legal, las empresas tienen la obligación de:
- Darle poder a los usuarios sobre sus propios datos, lo que implica mantenerlos informados sobre uso de su información; proporcionar el acceso a la misma cuando el usuario lo requiera, proveer el derecho a rectificación de los datos y permitirle objetar en caso de desacuerdo respecto al manejo de los mismos.
- Borrar todos los datos personales de un usuario cuando el mismo revoque su consentimiento, llegue a su fin un servicio prestado o un acuerdo, o cuando algún socio de la organización solicite que se eliminen dichos datos.
- Realizar un análisis completo de riesgos, poner en práctica medidas que aseguren y demuestren el cumplimiento de la GDPR y demostrar control total sobre los datos en su sistema en pro de disminuir los riesgos contra la privacidad y la seguridad de la información.
- En caso de filtración a la seguridad está obligado a notificar a las autoridades en menos de 72 horas, detallar las consecuencias de dicha filtración y comunicarle el evento directamente a los usuarios implicados.
El incumplimiento de esta ley obliga a las empresas a pagar una multa de hasta el 2% de sus ingresos globales dependiendo del tamaño de la organización.
Nada de qué alarmarse
Es cierto que adaptar cualquier organización a la GDPR puede significar un gran desafío. Sin embargo, todavía existe una buena oportunidad de prepararse para el cumplimiento de esta regulación y convertirla en un buen aliado de negocios.
Ventajas que ofrece la GDPR a tu organización:
- La GDPR contribuye a incrementar exponencialmente la confianza de los clientes en tu negocio así como el nivel de satisfacción.
- Al manejar de manera más eficiente tu base de datos, tendrás un acceso más fácil a cualquier información que te permita por ejemplo; disminuir costos de operaciones al eliminar la información duplicada y optimizar las búsquedas.
- Puedes personalizar la oferta de tus productos a través de un mejor conocimiento del cliente.
- Considerando que los datos representan uno de los activos más valiosos de cualquier empresa. Desarrollar una estrategia que garantice su seguridad significa una ventaja competitiva pues afianza una relación positiva entre tu empresa y tus clientes.
5 etapas que pueden facilitarte el cumplimiento de la GDPR:
- Comienza por estudiar a fondo su legislación.
- Evalúa el impacto de la GDPR en tu empresa.
- Determina las acciones prioritarias a tomar.
- Desarrolla un análisis de impacto para gestionar los posibles riesgos.
- Implementa los procedimientos internos adecuados
Con respecto a esta última; es importante que armes a tu equipo de seguridad TI con las herramientas adecuadas para garantizar la seguridad de los datos en concordancia con el marco legal de la GDPR. Te recomendamos incluir entre esas herramientas una efectiva solución SIEM.
Beneficios de una solución SIEM para el cumplimiento de la GDPR:
- La herramienta SIEM recolecta, archiva y procesa registros enteramente encriptados.
- Es efectiva para demostrar que existe un monitoreo apropiado de los datos.
- Identifica el comportamiento malicioso que puede conducir a la contravención de datos personales.
- Localiza de manera rápida y eficiente los datos recopilados y analizados.
- Suministra información útil para las actividades de respuesta a incidentes en tiempo real; para sustentar el requisito de presentación de informes para GDPR, previos a las 72 horas de un incidente.
Ya que tendrás que llevar el análisis de datos a otro nivel; lo ideal es que tu solución SIEM esté a la altura para responder a este desafío. Puedes encontrar una excelente opción en la herramienta SIEM de AlienVault. La cual ofrece un Monitoreo de Seguridad unificado y coordinado y funciones de seguridad múltiples en una sola consola.
Para saber más sobre AlienVault o cualquier otra herramienta de seguridad para tu organización, solicita asesoría gratuita aquí.