28/3/2018 3 min para leer Idioma del artículo
Idioma del artículo

RGPD Lección 2, GESTIÓN de sus datos

Danny Allan Danny Allan

Continuemos nuestro viaje que empezamos en los dos anteriores blogs. En el primer post, ofrecimos una visión general del recorrido de Veeam hacia el cumplimiento de RGPD y compartimos nuestras 5 lecciones aprendidas. En el segundo post, profundizamos en el primero de estos cinco principios.

  1. Conocimiento de sus datos
  2. Gestión de los datos
  3. Protección de los datos
  4. Documentación y cumplimiento
  5. Mejora continua

Fijémonos más de cerca en el segundo de los principios: Gestión de los datos

Si ya terminó las tareas del primer principio e identificó la información de identificación personal (PII) que posee y dónde reside esta, ahora puede empezar el proceso de establecer las reglas y procesos para acceder y usar esos datos PII.

Las preguntas clave son:

  1. ¿Quién tiene acceso a la información (y sabe cuándo acceden a ella)?
  2. ¿Por qué acceden a esta información?
  3. ¿Cuál es el propósito?

A través de este proceso, aprendimos que hay muchos departamentos diferenciados dentro de su organización, cada uno de los cuales procesa y maneja los datos PII por razones particulares. Esto incluye a los departamentos de marketing, ventas y recursos humanos. Uno de los departamentos más críticos es el de Recursos Humanos (RR.HH.). Algunos de los datos que posee o recopila el departamento de recursos humanos de sus empleados no solo son considerados datos de tipo PII, sino que además son datos sensibles (confidenciales). Esto implica el uso de medidas de protección y una seguridad más estricta. Descubrimos que el departamento de RR.HH. tenía que prestar una atención especial en el manejo de esta información.

La gestión de nuestros datos es algo que no hacemos por completo internamente. Veeam está asociado con otros proveedores en el manejo de datos específicos. Asegúrese de evaluar a esos terceros para su cumplimiento de RGPD cuando establezca una asociación con ellos, y tenga en cuenta también que deberá incluirla en sus procesos y flujos de trabajo. Usted seguirá siendo el responsable de esos datos, tanto si están en manos de un tercero, como si no.

¿Quién, por qué y el qué?

No es ninguna sorpresa que después de comprender y clasificar todo el ámbito de sus datos organizativos, muchas organizaciones se dan cuenta de que el acceso a los datos no es gestionado de la manera adecuada. Si está usando as plantillas que proporcionamos en nuestro white paper, también habrá aprendido por qué acceden a la información y qué necesitan hacer con ella (el propósito o fin). Este es el momento para crear esos flujos de trabajo y procesos y asegurar de que las personas solamente acceden a los datos cuando es necesario para completar sus funciones del negocio.

Revise sus acuerdos de divulgación opt-in y corríjalos donde sea necesario. El RGPD ahora le obliga a comunicar exactamente qué datos está recopilando, el propósito de los datos y dónde son usados, y finalmente, durante cuánto tiempo almacenará dichos datos. Al mismo, implemente los procesos necesarios para poder dar respuesta a toda persona que pregunte sobre los datos está guardando y la posibilidad de solicitar un cambio o eliminación de dichos datos.

Por último, pero no por ello menos importante, debería examinar las Listas de Control de Acceso para los equipos internos. No es extraño que el personal de IT interno pueda tener acceso a todos los datos. Documente este acceso, y asegure que existe un control o auditoría cuando el departamento de IT necesita tener acceso para poder desempeñar su trabajo.

Conclusión

Tras saber cuáles son sus datos y dónde residen, necesita comprender las razones por las que se usan y quiénes tienen acceso a ellos. Use soluciones técnicas y establezca asociaciones con proveedores para conocer cómo manejan la cuestión de cumplimiento. Entienda que usted sigue siendo el responsable de los datos. Adapte las soluciones donde pueda identificar ubicaciones, y añada etiquetas para la información PII y los datos sensibles. Genere informes para auditar cuando alguien accede a los datos. Prepare un plan de restauración de datos. (Conocer quién tiene acceso a sus datos de producción no es suficiente cuando los operadores de restauración pueden restaurar todo lo que ellos quieran). Y por último, pero no por ello menos importante, dado que muchas de las amenazas pueden provenir del interior de su empresa, asegúrese de instalar protecciones físicas en su infraestructura.

Danny Allan
Danny Allan

Como Chief Technology Officer y Vicepresidente senior de estrategia de producto, Danny es el responsable de la hoja de ruta de producto a nivel mundial y del grupo de estrategia de Veeam, y de liderar la visión tecnológica de la empresa como el proveedor número uno de soluciones de backup que ofrecen gestión de datos en la nube.  Colabora con clientes enterprise globales y grandes proveedores de servicios para evaluar y asegurar el éxito de la industria a largo plazo.  Con más de 20 años de experiencia en el sector de la tecnología software, le apasiona todo lo relacionado con la innovación en el terreno del software y la resolución de problemas de los clientes. 

Anteriormente Danny desempeñó el cargo de CTO de Desktone, una plataforma software para proveedores de servicios cloud que ofrecía escritorios alojados virtuales (DaaS) que fue adquirida por VMware.  Anteriormente, Danny fue Director de Security Research en IBM y miembro del Security Architecture Board, donde colaboró en el desarrollo del proyecto Secure Engineering Framework de IBM.  Posee numerosas patentes de software en el campo de la nube y la seguridad.

More about author
Artículo anterior Artículo siguiente
Contenidos del artículo
Obtener actualizaciones semanales del blog
Al enviar el formulario usted acepta que sus datos personales serán tratados de acuerdo a los términos de la Política de privacidad de Veeam.
¡Gracias por confiarnos un hueco en su buzón de correo!
Ahora menos probable que se pierda lo que se está cociendo en nuestro blog con este resumen semanal.
Aceptar
Free trial
Try now