10/4/2018 3 min para leer Idioma del artículo
Idioma del artículo

GDPR: Lección 2, MANEJE tus datos

Download
Danny Allan Danny Allan

Continuemos el camino que empezamos en los últimos dos blogs. En la primera publicación, dimos una descripción general del camino de Veeam hacia el cumplimiento del RPDG y compartimos nuestras 5 lecciones aprendidas. En la segunda publicación, indagamos aún más en el primero de los cincos principios.

  1. Conozca sus datos
  2. Administre sus datos
  3. Proteja sus datos
  4. Documentación y cumplimiento
  5. Mejora continua

Veamos en detalle el segundo principio: Administre sus datos.

Si terminó las tareas del primer principio y logró identificar la información personalmente identificable (PII) que posee y dónde se encuentra ubicada, entonces ahora puede empezar el proceso para establecer reglas y procesos para acceder y utilizar los datos de PII.

Las preguntas claves aquí son:

  1. ¿Quién tiene acceso a la información (y cuándo acceden a esa información)?
  2. ¿Por qué acceden a esta información?
  3. ¿Cuál es el propósito?

Durante este proceso, hemos aprendido que existen muchos departamentos distintos dentro de su organización, y cada departamento procesa y maneja datos de PII por razones únicas. Esto incluye marketing, ventas y recursos humanos. Uno de los departamentos más críticos es el departamento de Recursos Humanos (RR.HH.). Alguno de los datos que posee o recolecta el departamento de RR.HH. de sus empleados no se considera solo datos de PII, sino también datos sensibles de PII. Esto implica medidas de seguridad y protecciones más estrictas. Hemos aprendido que RR.HH. debe recibir un enfoque y atención especial durante la administración de los datos.

La administración de nuestros datos no se realiza enteramente dentro de la organización. Veeam se ha asociado con proveedores de terceros para administrar dichos datos específicos. Asegúrese de evaluar al proveedor externo por su cumplimiento del RPDG cuando establece una relación con ellos, pero también sea consciente de que necesita estar incluido en sus procesos y flujos de trabajo. Sigue siendo responsable por la información, aunque se encuentre en manos de proveedores de 3ros.

¿Quién, por qué y qué?

No es sorpresa que, luego de comprender y clasificar el alcance completo de los datos de la organización, muchas organizaciones se den cuenta que no se administra cuidadosamente el acceso a estos datos. Si está utilizando los modelos que proporcionamos en nuestro white paper, también habrá aprendido por qué acceden y qué hacen con los datos (el propósito). Este es el momento para crear los flujos de trabajos y procesos y asegurarse de que las personas solo tengan acceso a los datos cuando sea necesario para cumplir con su función en el negocio.

Revise también los contratos de confidencialidad de adhesión y revise aquellos cuando sea necesario. El RPDG ahora lo obliga a informar los datos que está recolectando, el propósito de los datos y dónde están siendo utilizados, y finalmente, por cuánto tiempo se almacenarán esos datos. Al mismo tiempo, implementa los procesos para posibilitar una respuesta al pedido de las personas que preguntan qué es lo que se está almacenando, así como también la posibilidad de que puedan solicitar un cambio o la eliminación de estos datos.

Por último, pero no menos importante, deberá examinar las Listas de Control de Acceso para los equipos internos. Es común que el personal de informática interno tenga acceso a todos los datos. Documente este acceso y asegúrese de que haya un control cuando el equipo de TI requiera acceso para poder realizar su trabajo.

Conclusión

Una vez que conozca los datos y sepa dónde se encuentran ubicados, deberá comprender las razones por las que se utilizan esos datos y quién tiene acceso actual a los mismos. Utilice soluciones técnicas y forme asociaciones con proveedores de terceros para aprender cómo manejan el cumplimiento. Debe comprender que sigue siendo responsable por los datos. Adapte soluciones donde pueda identificar ubicaciones, y agregue etiquetas para los datos de PII y PII sensibles. Cree informes para auditar cuando alguien accede a los datos. Arme un plan para la restauración de datos. (No es suficiente saber quién tiene acceso a los datos de producción cuando los operadores de restauración pueden realizar la restauración como a ellos les plazca). Y, por último, pero no menos importante, debido a las “amenazas” que provienen del interior, asegúrese de tener una protección física para tu infraestructura.

Danny Allan
Danny Allan

Como Chief Technology Officer y Vicepresidente senior de estrategia de producto, Danny es el responsable de la hoja de ruta de producto a nivel mundial y del grupo de estrategia de Veeam, y de liderar la visión tecnológica de la empresa como el proveedor número uno de soluciones de backup que ofrecen gestión de datos en la nube.  Colabora con clientes enterprise globales y grandes proveedores de servicios para evaluar y asegurar el éxito de la industria a largo plazo.  Con más de 20 años de experiencia en el sector de la tecnología software, le apasiona todo lo relacionado con la innovación en el terreno del software y la resolución de problemas de los clientes. 

Anteriormente Danny desempeñó el cargo de CTO de Desktone, una plataforma software para proveedores de servicios cloud que ofrecía escritorios alojados virtuales (DaaS) que fue adquirida por VMware.  Anteriormente, Danny fue Director de Security Research en IBM y miembro del Security Architecture Board, donde colaboró en el desarrollo del proyecto Secure Engineering Framework de IBM.  Posee numerosas patentes de software en el campo de la nube y la seguridad.

More about author
Artículo anterior Artículo siguiente
Contenidos del artículo
Idioma del artículo
Español
Stay up to date on the latest tips and news
Al enviar el formulario usted acepta que sus datos personales serán tratados de acuerdo a los términos de la Política de privacidad de Veeam.
You're all set!
Watch your inbox for our weekly blog updates.
Aceptar