A pesar de que la normativa entró en vigor el 25 de mayo, alrededor del 60% de las organizaciones decían no estar listos para RGPD un par de meses antes – y es probable que tampoco estén listos ahora que ha entrado en vigor.

La nueva RGPD conlleva penas duras, y esperar para comenzar a prepararlo es una proposición perdedora. Comience tan pronto como pueda, le sugiero que empiece realizando una autoevaluación para determinar la preparación de su organización y los próximos pasos que debe seguir.

Recomiendo estructurar su autoevaluación de RGPD basada en personas, procesos y tecnología, como se muestra a continuación:

Gente:

Evalúe su preparación mirando primero el lado “personas” de la ecuación y haciendo las siguientes preguntas:

  1. ¿Conocen sus empleados todo sobre la RGPD?
  2. ¿Comprenden su importancia y las ramificaciones del incumplimiento (multas, pérdida de reputación, etc.) si su organización no pasa una auditoría?
  3. ¿Han capacitado a su gente en RGPD?
  4. ¿Se dan cuenta de que casi todos en la organización son responsables del cumplimiento de RGPD de una manera u otra?
  5. ¿Se están tomando medidas para hacer que el cumplimiento sea una actividad en curso (RGPD no se va)?
  6. ¿Han “aceptado” el reglamento y entienden queRGPD inculca prácticas que son solo buenos negocios en un mundo donde las violaciones de seguridad son comunes?

A medida que evalúa su preparación desde un punto de vista de “personas”, tengo algunas sugerencias para ayudar. En primer lugar, dirija la conciencia de RGPD desde la parte superior de la organización hacia abajo. El patrocinio ejecutivo será clave, y debe obtenerse el buy-in en todas las áreas en todos los niveles. El cumplimiento debe convertirse en parte de la cultura de la organización, y casi todos son responsables de ello, no solo su Oficial de Protección de Datos (si lo necesita).

Desarrolle y desarrolle programas de concienzación y capacitación que sean específicos de las funciones de sus empleados. Haga entender que RGPD no es la compañía “program du jour”; es una actividad muy importante y continua.

Realizar una autoevaluación y documentar los resultados y los planes de acción también podría ayudarlo a construir una posición defendible para utilizar con un auditor en caso de que se produzca una infracción.

Proceso:

Evalúe los datos personales que tiene y determine cuál cae bajo la jurisdicción de RGPD. Para fines de RGPD, los datos personales (PD) se definen como información que permite que una persona física sea identificada directa o indirectamente, es decir, nombre, número de teléfono, dirección IP, etc.

Documente los procesos que utiliza para administrar los datos que están sujetos a la regulación .

Busque áreas donde la seguridad de los datos podría estar expuesta, desarrolle planes para cerrar las brechas y luego administre y realice un seguimiento de la ejecución. Esto también podría ayudarlo a construir una posición defendible si ocurriera una infracción.

Tecnología:

El tercer componente de su evaluación debe basarse en la tecnología. Sin embargo, RGPD no especifica qué tecnologías se deben usar para el cumplimiento, pero el Artículo 32 establece que Teniendo en cuenta el estado de la técnica … .implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo … “

Mi sugerencia es evaluar las tecnologías que usa para administrar la seguridad de los datos, identificar lagunas, desarrollar un plan de acción para cerrar esas brechas y luego administrar la ejecución. Es probable que descubras que ningún proveedor de tecnología puede llenar cada hueco, pero aquí hay algunas áreas en las que BMC puede ayudar:

  • RGPD requiere portabilidad de datos , lo que significa que los sujetos tienen derecho a recibir sus datos de su organización y transferirlos a otra. Para hacer eso, necesita saber dónde residen esos datos. Las soluciones BMC Discovery pueden ayudarlo a comprender dónde se almacena su información y eliminar los puntos ciegos (servidores que desconoce y que podrían ser vulnerables a una violación de la seguridad). BMC también ofrece soluciones para gestionar y automatizar de forma segura las transferencias de archivos internas y externas .
  • RGPD exige la seguridad del procesamiento de datos : los datos personales están protegidos de manera que garantice la seguridad adecuada, incluida la protección contra el procesamiento no autorizado, la pérdida accidental, la destrucción o el daño. Para ayudar a satisfacer este requisito, las soluciones BMC SecOps pueden mejorar la seguridad de los servidores y dispositivos de red y administrar las vulnerabilidades de seguridad .
  • Otro requisito de RGPD se centra en la privacidad de los datos por diseño : la protección de datos se incluye desde el comienzo del diseño de sistemas, productos y servicios. El Servicio de políticas SecOps de BMC puede ayudarlo a encontrar y corregir las exposiciones de seguridad al principio del desarrollo de software y los procesos de operaciones en la nube, incluida la nube múltiple.
  • Una parte clave de la regulación RGPD es asegurarse de que los datos de su mainframe sean recuperables de manera oportuna . BMC ofrece una solución de respaldo y recuperación de mainframe que puede estimar, simular y mostrar que sus datos son recuperables de manera oportuna.

Recuerde también que la tecnología por sí sola no hace que una organización cumpla conRGPD, las organizaciones hacen que las organizaciones cumplan. Mi sugerencia es considerar el uso de la combinación de personas, procesos y tecnología para llegar al enfoque correcto para su negocio.

 

Noticia: BMC