Continuemos nuestro viaje que empezamos en los dos anteriores blogs. En el primer post, ofrecimos una visión general del recorrido de Veeam hacia el cumplimiento de RGPD y compartimos nuestras 5 lecciones aprendidas. En el segundo post, profundizamos en el primero de estos cinco principios.
- Conocimiento de sus datos
- Gestión de los datos
- Protección de los datos
- Documentación y cumplimiento
- Mejora continua
Fijémonos más de cerca en el segundo de los principios: Gestión de los datos
Si ya terminó las tareas del primer principio e identificó la información de identificación personal (PII) que posee y dónde reside esta, ahora puede empezar el proceso de establecer las reglas y procesos para acceder y usar esos datos PII.
Las preguntas clave son:
- ¿Quién tiene acceso a la información (y sabe cuándo acceden a ella)?
- ¿Por qué acceden a esta información?
- ¿Cuál es el propósito?
A través de este proceso, aprendimos que hay muchos departamentos diferenciados dentro de su organización, cada uno de los cuales procesa y maneja los datos PII por razones particulares. Esto incluye a los departamentos de marketing, ventas y recursos humanos. Uno de los departamentos más críticos es el de Recursos Humanos (RR.HH.). Algunos de los datos que posee o recopila el departamento de recursos humanos de sus empleados no solo son considerados datos de tipo PII, sino que además son datos sensibles (confidenciales). Esto implica el uso de medidas de protección y una seguridad más estricta. Descubrimos que el departamento de RR.HH. tenía que prestar una atención especial en el manejo de esta información.
La gestión de nuestros datos es algo que no hacemos por completo internamente. Veeam está asociado con otros proveedores en el manejo de datos específicos. Asegúrese de evaluar a esos terceros para su cumplimiento de RGPD cuando establezca una asociación con ellos, y tenga en cuenta también que deberá incluirla en sus procesos y flujos de trabajo. Usted seguirá siendo el responsable de esos datos, tanto si están en manos de un tercero, como si no.
¿Quién, por qué y el qué?
No es ninguna sorpresa que después de comprender y clasificar todo el ámbito de sus datos organizativos, muchas organizaciones se dan cuenta de que el acceso a los datos no es gestionado de la manera adecuada. Si está usando as plantillas que proporcionamos en nuestro white paper, también habrá aprendido por qué acceden a la información y qué necesitan hacer con ella (el propósito o fin). Este es el momento para crear esos flujos de trabajo y procesos y asegurar de que las personas solamente acceden a los datos cuando es necesario para completar sus funciones del negocio.
Revise sus acuerdos de divulgación opt-in y corríjalos donde sea necesario. El RGPD ahora le obliga a comunicar exactamente qué datos está recopilando, el propósito de los datos y dónde son usados, y finalmente, durante cuánto tiempo almacenará dichos datos. Al mismo, implemente los procesos necesarios para poder dar respuesta a toda persona que pregunte sobre los datos está guardando y la posibilidad de solicitar un cambio o eliminación de dichos datos.
Por último, pero no por ello menos importante, debería examinar las Listas de Control de Acceso para los equipos internos. No es extraño que el personal de IT interno pueda tener acceso a todos los datos. Documente este acceso, y asegure que existe un control o auditoría cuando el departamento de IT necesita tener acceso para poder desempeñar su trabajo.
Conclusión
Tras saber cuáles son sus datos y dónde residen, necesita comprender las razones por las que se usan y quiénes tienen acceso a ellos. Use soluciones técnicas y establezca asociaciones con proveedores para conocer cómo manejan la cuestión de cumplimiento. Entienda que usted sigue siendo el responsable de los datos. Adapte las soluciones donde pueda identificar ubicaciones, y añada etiquetas para la información PII y los datos sensibles. Genere informes para auditar cuando alguien accede a los datos. Prepare un plan de restauración de datos. (Conocer quién tiene acceso a sus datos de producción no es suficiente cuando los operadores de restauración pueden restaurar todo lo que ellos quieran). Y por último, pero no por ello menos importante, dado que muchas de las amenazas pueden provenir del interior de su empresa, asegúrese de instalar protecciones físicas en su infraestructura.