Después del resumen general y profundizar en los principios primero y segundo de nuestro viaje hacia RGPD, ha llegado el momento de ocuparnos del tercero: Protección de datos A modo de recordatorio tiene a continuación las 5 lecciones aprendidas de Veeam o 5 principios clave en el viaje hacia el cumplimiento de RGPD:
- Conocimiento de sus datos
- Gestión de los datos
- Protección de los datos
- Documentación y cumplimiento
- Mejora continua
Existen numerosos artículos de seguridad de la información que se ocupan de la protección de sus datos. La implementación y garantía de la protección de datos reside firmemente en las herramientas y la tecnología. Pero, aunque las herramientas y tecnología resultan vitales en la protección de los datos, no son suficientes. La protección de sus datos se recoge en el artículo 25: Protección de datos desde el diseño y por defecto, y esto es algo más que tecnología.
Esto quiere decir que necesita ser capaz de mantener la disponibilidad de los datos en cualquier momento o hacer que vuelvan a estar disponibles tan rápido como sea posible cuando ocurra cualquier incidente. Necesitará poner seguridad en las puestas, tanto físicas como digitales, pero este concepto va mucho más allá: restringir accesos, auditar quién obtiene acceso y lo que puede hacer, monitorizar, e implementar protecciones frente al malware. Por último, asegurar un plan de backup y disponibilidad sólido con pruebas de comprobación y validación periódicas es algo fundamental. Creemos que los procesos de backup y recuperación deberían convertirse en parte esencial cada proyecto nuevo, y algo que debería infiltrarse en el tejido de la organización.
Es importante tener en cuenta que pese a haber tomado las mejores medidas y realizado los máximos esfuerzos, la protección de datos puede verse quebrantada y comprometida. Deberían introducirse planes y procesos en caso de que se produzca esta situación. La mayoría de organizaciones habrán oído hablar del principio de notificación de las violaciones de la seguridad. Si descubre una brecha en la seguridad, está obligado a notificarlo a las autoridades tan pronto como le sea posible. Implementar un plan que especifique las responsabilidades de cada equipo en el caso de producirse un incidente.
Y por último, peor no por ello menos importante, no se olvide del impacto que puede causar en su evaluación de datos. Siempre que necesite llevar a cabo procesos de mantenimiento o actualización, existirá siempre un riesgo asociado. Ponga en marcha los procesos y pruebe las actualizaciones previamente a su despliegue.
Conclusión
La protección de datos desde el diseño y por defecto, es algo que va más allá de la mera seguridad. Se trata de una combinación de técnicas de seguridad como firewalls, restricciones de red y refuerzo, protección frente al malware, formación interna, control de accesos basado en roles, evaluaciones de impacto, backup, DR y mucho más. Además de tomar esto ya como parte obligada de cualquier nuevo proyecto, debería revisar todas sus cargas de trabajo y aplicar esos principios a estas, tanto las internas como para los servicios alojados externos.