Ya queda menos de un año para la entrada en vigor del nuevo reglamento europeo de protección de datos o GDPR (por sus siglas en inglés). Esta normativa obliga a las empresas a implementar procesos y procedimientos nuevos para la recopilación y almacenamiento de información personal identificable o PII (en inglés); lo que atañe a cualquier dato relacionado con la vida privada, profesional o pública de un residente de la UE como puede ser su dirección IP, información bancaria, direcciones de correo electrónico, usuarios de redes sociales, etc.
El fin del GDPR es que la información personal PII se almacene con el permiso de la persona y que se utilice para el propósito especificado para el que se obtuvo y sólo durante un tiempo limitado. Y las organizaciones que incumplan la normativa se enfrentarán a multas que pueden ascender a 20 millones de euros o el 4 % de sus ingresos globales por cada incidente.
Para facilitar a las empresas el cumplimiento de la normativa Check Point ha preparado cuatro consejos principales. El primero es concienciar y educar. Este paso es imprescindible porque una empresa que no conoce bien la ley no podrá cumplirla. Por este motivo es fundamental formar a los empleados para que conozcan en qué consiste la norma y qué problemas puede tener la compañía si no la cumplen. Además, la educación es importante para pensar en cómo asignar personal y recursos financieros para cumplirla.
El segundo consejo es monitorizar toda la información porque no se sabe cómo evolucionará y cómo se aplicará el GDPR. Los responsables del cumplimiento de la normativa deben leer todo lo que se publique sobre este tema. Y es necesario saber que varios organismos de la UE están trabajando para aclarar cómo se aplicará la ley y que publican periódicamente las explicaciones. Check Point aconseja reservar tiempo para hacer el seguimiento de la información.
El tercer consejo es localizar todos los datos alojados en los entornos TI para evaluar el esfuerzo que se debe hacer con respecto a la normativa.
Finalmente, la compañía subraya que es necesario establecer y verificar un sistema de identificación seguro. Todos los regímenes de cumplimiento establecen un registro como un sistema de control esencial y se espera que el GDPR también lo establezca. Por tanto, un primer paso será revisar y verificar las actividades de identificación en las aplicaciones clave y en la infraestructura de soporte. A la vez, se deberán implementar controles automáticos o manuales que revisen los historiales, y busquen actividades no autorizadas o maliciosas. Y también será necesario incluir las actividades del administrador en la infraestructura crítica.