Una vez planteados el nuevo escenario y los retos asociados, toca entrar en materia. Quizá revisar toda la instalación on-premise o seguir apostando por ella mejorando su seguridad pueda suponer la incorporación de nuevos elementos y nuevos costes asociados. O por lo menos actualizar dispositivos o software, sin que esa opción pueda asegurarnos el estar siempre al día.
¿Será el momento quizá de apostar por modelos de suscripción en la nube que garanticen una mayor seguridad, total flexibilidad, escalabilidad y una continua actualización tecnológica? Por nuestra parte, como fabricantes de soluciones y servicios cloud empresariales, llevamos años firmemente comprometidos con la seguridad de nuestros clientes. Baste recordar rápidamente que en abril de 2016 ya fuimos el primer gran proveedor local que obtuvo el certificado frente al Esquema Nacional de Seguridad con Nivel Alto y que nuestro compromiso con la LOPD lleva más años contando con nuestra tecnología, asesoramiento y apoyo.
Lo que proponemos a nuestros clientes es una transición a entornos híbridos apoyados en una administración basada en la nube, al ritmo que precise cada organización y manteniendo el control a través de una consola de administración unificada.
El objetivo final es disponer de mecanismos para la prevención de pérdida de datos, estableciendo controles de acceso a los recursos corporativos (aplicando las nuevas técnicas multi-factor, por ejemplo), manteniendo los dispositivos móviles bajo control, y disponer de tecnologías que me permitan asegurar el cumplimiento regulatorio que aplique a cada tamaño o sector de actividad.
Para orientar en líneas generales la actuación de cara al cumplimiento del GDPR, recomendamos tanto a nuestros socios como a nuestros clientes abordar la regulación centrándose en un conjunto general de controles y capacidades clave. Estos pueden resumirse en cuatro áreas vitales: Detectar, Gestionar, Proteger e Informar.
- Detectar, identificando qué datos personales se tienen y dónde residen. Pensemos no sólo en bases de datos tradicionales sino también en información -estructurada o desestructurada-, o en aquellos otros recursos que pueden servirnos para identificar de forma directa o indirecta a las personas.
- Gestionar, centrándonos en cómo se usan y se accede a los datos personales. Una vez que el inventario de datos se haya completado, también es importante desarrollar e implementar un plan de gobernanza de datos. Éste puede ayudarnos a definir políticas, roles y responsabilidades para el acceso, la administración y el uso de datos personales, y garantizar que las prácticas de manejo de datos cumplen con el GDPR.
- Proteger, estableciendo controles de seguridad para prevenir, detectar y responder a vulnerabilidades y violaciones de datos. La aplicación del nuevo reglamento puede ser el detonante para la creación de planes de gestión de riesgos y la adopción de medidas de mitigación de riesgos. Hablamos de extender (o confirmar) el uso de protección mediante contraseña, aplicación de cifrado, activar registros de auditoría… todo aquello que nos pueda ayudar a garantizar el cumplimiento.
- Informar, manteniendo la documentación requerida, gestionando eficazmente las solicitudes de datos y las notificaciones de incumplimiento. El GDPR establece nuevos estándares en transparencia, rendición de cuentas y mantenimiento de registros. Tendremos que ser más transparentes no sólo sobre cómo manejamos los datos personales, sino también sobre cómo mantenemos activamente la documentación que define nuestros procesos y el uso de los datos personales.
Una vez propuestas estas fases, le invitamos a que se apoye en nuestra experiencia y aproveche nuestros recursos de preparación para GDPR. No olvidemos que conforme avanza la transformación digital de los negocios, la información se ha convertido en uno de los principales activos de nuestras organizaciones.