A pesar de que la Regulación General de Protección de Datos (GDPR) es de cumplimiento obligatorio únicamente en Europa, ésta va a cambiar la forma de trabajar de todas las empresas en el mundo que manejen, almacenen o utilicen datos personales. Es decir, las empresas de América Latina que cuentan con filiales y/o almacenan y procesan información personal sobre ciudadanos de la UE tendrán que prepararse también para su cumplimiento.
Los datos personales se definen como cualquier información que, por sí sola, o cuando se combina con otros datos a los que el poseedor pueda acceder, se pueden usar para identificar a un individuo. Para un cibercriminal, acceder a la recopilación, procesamiento y transferencia de esos datos personales cobra valor, sobre todo en industrias como la financiera. Gran parte de los datos robados llega a un mercado negro en el que los precios varían según el tipo de datos y el tiempo que hace que fue robado.
Si su organización recopila o procesa los datos personales de los residentes de la Unión Europea, independientemente de si tiene o no presencia física en la UE, está sujeto al GDPR. Bajo esta regulación, la pérdida de datos por la falta de políticas adecuadas y las medidas de protección pueden dar lugar a multas de hasta el 4% del volumen de negocios mundial anual de la empresa.
El enemigo en casa
Una reciente encuesta llevada a cabo por Ipswitch a 255 profesionales de TI arroja que solo el 27% de la pérdida de datos son resultado de un comportamiento malicioso; otro porcentaje igual que se debe a un comportamiento accidental o error humano; y un 46% de las pérdidas fueron causadas por fallas de proceso o de red. Es decir, que la mayoría de los datos se pierden porque alguien dentro de la organización está haciendo algo que no debería, como trasmitir datos a través de medios no seguros.
En este sentido, la Regulación General de Protección de Datos exige el procesamiento justo, legal y transparente, es decir, que se debe tener cuidado adicional al diseñar e implementar actividades de procesamiento de información personal. A su vez, los datos personales deben estar protegidos contra amenazas internas y externas, pérdidas accidentales, destrucción y daños; se deben tomar todas las medidas razonables para garantizar que los datos personales sean precisos; el cumplimiento de los Principios de Protección de Datos debe estar documentado; y los datos personales no deberían almacenarse más de lo necesario para el propósito declarado.
7 pasos para cumplir con la GDPR
Automatización: Los flujos de trabajo de transferencia de archivos comúnmente utilizados deberían automatizarse para mitigar la introducción de un error humano que podría ocasionar la pérdida de datos. Las herramientas de transferencia de archivos de una organización deberían contar con funciones de soporte tales como reenvío automático, corrección de errores y confirmación de recibo de todas las transferencias de datos.
Control y visibilidad: El control y la visibilidad de los flujos de datos y eventos son los requisitos más importantes para una gestión de seguridad efectiva, y esencial para validar el cumplimiento. Las herramientas a usar deberían habilitar la visibilidad central, el control y la autorización previa de todas las transferencias de archivos.
Seguridad de información: La tecnología, herramientas o procesos deben garantizar la integridad de los archivos; la eliminación de datos después de la recepción. Un aspecto importante del cumplimiento es la existencia de un rastro de auditoría inviolable que rastrea integridad, entrega, autenticación, no repudio y subsiguiente eliminación de archivos de datos transmitidos externamente.
Autenticación: La autenticación de usuarios y administradores es un aspecto esencial de la seguridad y conformidad.
Criptografía: Los algoritmos de encriptación tienen una vida útil limitada. Los estándares de cumplimiento a menudo no permiten el uso de sistemas comprometidos. Por lo tanto, es esencial que los sistemas de intercambio de datos empleen mecanismos criptográficos robustos y de última generación, y permitan una selección segura, distribución y protección de claves de cifrado. Para proteger contra el fortalecimiento futuro de las normas de protección de datos, los sistemas deben garantizar la protección continua e integridad de los datos tanto en tránsito como en reposo.
Arquitectura segura: La arquitectura de un sistema debe integrarse con las infraestructuras de seguridad existentes y aplicaciones.
Conmutación por error: Un requisito clave de muchas regulaciones de protección de datos es la continuidad segura del negocio. Este requisito está destinado a salvaguardar la confidencialidad, integridad y disponibilidad de transferencias de archivos, en todas las etapas a lo largo de cualquier falla, desastre o interrupción.
Ipswitch fabrica software para empresas para administrar las redes, transferir archivos de forma segura y comunicarse a través de correo electrónico. Con soluciones prácticas para las necesidades reales de negocio, de los administradores de redes y los usuarios, en organizaciones de todos los tamaños, para aumentar su productividad.
En el mundo miles de organizaciones ya utilizan Ipswitch MOVEit para cumplir con regulaciones de protección de datos como el GDPR. «En el caso de industrias como la financiera, cientos de organizaciones de todo el mundo dependen de este tipo de soluciones para brindar servicios financieros y de banca escalables, seguros y que cumplan las normas. La solución de Ipswitch permite garantizar el cumplimiento de las normas en la transferencia de PII e información financiera. A su vez, evitar los riesgos de la pérdida de información y resultados de no cumplimiento en las transferencias externas de archivos», asegura Alessandro Porro, Vicepresidente de Ventas de Ipswitch en Latinoamérica.
Las normas cada vez más estrictas sobre protección de datos disponen que las redes, el acceso de los usuarios, las bases de datos y los procesos comerciales deben ser seguros para proteger la información financiera y la información personalmente identificable de los clientes. La línea de productos MOVEit para transferencia administrada de archivos segura garantiza el encriptado de transferencias de datos externas y entrega al destinatario registros detallados de auditoría.
MOVEit brinda las funciones de seguridad e implementaciones flexibles que le permiten cumplir con los requisitos de protección de datos SOX, GLB, PCI y GDPR.
