RGPD como Oportunidad para las empresas

GDPR

RGPD como Oportunidad para las empresas

Las empresas en la actualidad tienen informatizado la mayoría de sus procesos, lo que expone la información, la continuidad del negocio, la confidencialidad, la privacidad, la integridad, la disponibilidad y el grado de cumplimiento del marco legal a diferentes riesgos tanto internos en la organización como externos. Ahora, acercándose el 25 de Mayo de 2018 como fecha tope para la adecuación al nuevo reglamento de protección de datos (RGPD), la seguridad de la información se erige como uno de las cuestiones más importantes dentro de una organización.

La RGPD como Oportunidad para las empresas

El nuevo reglamento de protección de datos ofrece diferentes cambios respecto de la clásica LOPD. Uno de ellos es que las empresas deben demostrar proactividad en asegurar los procesos y la información que maneja datos personales protegidos por el nuevo RGPD. Puesto que muchas empresas utilizan servicios en la nube así como exponen su información a Internet para integrar su información con terceras aplicaciones, están al mismo tiempo aumentando el riesgo de ciberataques y ciber-riesgos. El nuevo RGPD fomenta que las empresas mejoren la situación en materia de seguridad de la información y ciberseguridad.

Las medidas de responsabilidad proactiva son cinco principalmente:

  • Evaluación del impacto sobre la protección de datos. Sustituye las antiguas auditorias pero ahora no solo son sobre las medidas organizativas y técnicas sino es más amplio.
  • Registro de actividades del tratamiento. Sustituye a los ficheros que declarábamos en la agencia. La empresa se ve obligada a un registro que se mantendrá internamente.
  • Protección de datos desde el diseño y por defecto. Si vamos a crear un nuevo servicio o tratamiento antes debemos analizar el impacto en la norma, si hay que informar, medidas de seguridad, etc
  • Medidas de seguridad y análisis de riesgos. Antes habían 3 niveles, ahora desparecen y cada organización debe poner medidas de seguridad según un análisis de riesgos (aplicación PILAR, ISO27001)
  • Notificaciones de violaciones de seguridad de los datos antes de 72h.

Los auditores informáticos sabemos que las empresas necesitan tener un porque y conocer que beneficios obtendrá si son auditados por un auditor externo. En este caso las auditorias de seguridad ISO27001 y de ciberseguridad basadas en hacking ético y pentesting son una combinación ideal para conocer los riesgos en materia informática y procesos que la empresa posee, plantear un plan de acción de mejora a corto y medio plazo, aumentando el cumplimiento de la RGPD.

Habitualmente el CEO puede hacer preguntas a su área TI o el resto de la empresa de las cuales obtiene fácil respuesta:

  1. ¿Quién está accediendo a que información, cuando, y desde dónde?
  2. ¿Qué servicios tenemos expuestos a Internet, que medidas tenemos y que riesgos tenemos en las webs corporativas y comercios electrónicos, por ejemplo?
  3. ¿Cómo actuaremos en el caso que entre un virus tipo WannaCry que bloquea los sistemas de ficheros?
  4. ¿Qué debilidades tenemos en nuestros sistemas y modo de funcionamiento en la empresa?
  5. ¿Está el empleado debidamente concienciado y formado para conocer que debe y sobre todo que no debe hacer en materia informática?
  6. ¿Qué permisos tienen los usuarios para instalarse aplicaciones?
  7. Disponemos de algún antivirus corporativo debidamente actualizado?
  8. ¿El área TI recibe alertas de potenciales intentos de intrusión?
  9. ¿Qué medidas de continuidad de negocio tenemos en los sistemas?
  10. ¿Qué medidas estamos aplicando para cumplir con el nuevo reglamento de protección de datos desde el punto de vista de la seguridad de la información?

Existen multitud de preguntas que las auditorias de ISO27001 y ciberseguridad son capaces de dar respuesta o plantear mejoras para poder responderlas con una contestación de garantías.

Las empresas están ahora ante una Oportunidad con mayúsculas de conocer que ocurre en su empresa a nivel de los sistemas de información, reducir sus riesgos, aplicar mejoras que no solo van en favor del nuevo reglamento RGPD sino que, sobretodo, ayudan a que dirección conozca la situación real de su seguridad informática y mejore el nivel de riesgo.

Si quiere conocer y mejorar el estado de la seguridad de su información y por tanto aumentar en el grado de cumplimiento de RGPD contacte con nosotros.

911277300

info@ciberseguridad.com

Auditores CISA, ITIL, ISO27001 y master en ciberseguridad.

https://www.ciberseguridad.com

Etiquetas:
,