El RGPD ya está en vigor y ya ha comenzado a hacer sus primeras «víctimas». Muchas personas dudaban de la existencia de multas enormes, pero la verdad es que varias empresas europeas fueron multadas por incumplimientos legales. Entre las principales causas de las multas, se destacan las siguientes: acceso indebido a los datos por un número excesivo de usuarios, violación de la integridad y confidencialidad de los datos debido a la falta de medidas preventivas e incapacidad de garantizar la aplicación técnica de las medidas anteriores. Las empresas que son multadas debido a incumplimientos de la nueva legislación, tienen un largo camino por recorrer para volver a ganar la confianza de sus clientes y demás stakeholders. En el artículo de hoy, dejamos algunos consejos para volver a «reerguir» después de una multa de RGPD!
Ninguna empresa tiene gusto de mostrar sus fragilidades, pero si hay pérdida de datos en su empresa es aconsejable que sea sincero con sus stakeholders. Es importante que haga un comunicado donde explique lo que pasó, qué tipo de ataque sufrió y cuáles fueron los datos que se perdieron. En un momento en que la protección de la información es tan importante, las empresas tienen la obligación de notificar a los portadores de los datos personales sobre eventuales pérdidas. Debe también informar a las personas sobre las medidas que adoptará para evitar que situaciones similares vuelvan a suceder en el futuro.
El enmascaramiento de datos tiene como objetivo la creación de una versión de los datos estructuralmente idéntica, pero no igual a la versión original. Esta técnica crea una base de datos con información ficticia, pero realista, que puede ser utilizada para fines de pruebas y formación. Las soluciones de enmascaramiento de datos ofrecen una variedad de técnicas sofisticadas scrambling para proteger datos sensibles, reemplazándolos de forma irreversible por datos que no son reales, manteniendo la integridad referencial de la base de datos. Es cada vez más importante que las empresas adopten esta técnica, pues los ataques informáticos son cada vez más sofisticados, lo que hace que sean más imprevisibles y más letales. Datapeers es un buen ejemplo de un producto de enmascaramiento de datos. Así, incluso en caso de robo o pérdida de datos, la información perdida no será la real y no comprometer la información de los clientes y proveedores.
La política de seguridad es un documento desarrollado por la empresa donde se registran los principios de seguridad que la empresa adopta y que deben ser seguidos por los colaboradores. La política de seguridad debe aplicarse en todos los sistemas de información a nivel de escritorio y de móvil. Para que la política sea respetada, es esencial que los gestores de primer nivel participen en su implementación. También debe limitar el acceso a la información por parte de sus colaboradores. Cada colaborador debe tener acceso sólo a los datos que realmente necesita para trabajar, pues el error humano es una de las causas más serias para las fugas de información. La inclusión de marcas de agua en archivos confidenciales es también una buena forma de prevenir el robo de datos privados y ayuda a identificar la fuente en caso de pérdida. La pérdida de datos de la empresa es el momento ideal para reformular su forma de manejar la seguridad de los datos.
Es muy importante tener un servicio de recuperación en Cloud, para que incluso en caso de desastres informáticos no haya pérdida total de datos. El RAAS, por ejemplo, es una infraestructura dedicada con replicación selectiva. Este servicio permite la activación de desastres casi instantánea en servidores virtuales en un entorno remoto. De este modo, incluso en caso de desastres más extremos, la información es fácilmente recuperada, no interfiriendo con el habitual desempeño de la empresa. Esta es una medida proactiva cada vez más necesaria en las empresas actuales.
Acerca del autor