ISACA Journal
Volume 4, 2,018 

Translated Articles 

Protección de las saciones GDPR con una estrategia MFT 

Dave Brunswick 

Las empresas que enfrentan el mandato de cumplimiento del Reglamento General de Protección de Datos (GDPR) de la UE podrían beneficiarse de una solución modernizada de transferencia gestionada de archivos (MFT). GDPR tiene como objetivo simplificar las regulaciones de protección de datos y fortalecer la protección de datos para todas las personas afiliadas a la Unión Europea. El nuevo mandato se aplica a cualquier empresa de la UE que tenga un establecimiento en la Unión Europea, proporciona bienes y servicios a los residentes de la UE y supervisa el comportamiento de los residentes de la UE. Todo se reduce a proteger los derechos de la privacidad de datos de una persona.

Pero el GDPR va más allá de las fronteras europeas. Cualquier organización, independientemente de dónde opere en el mundo, que venda bienes o servicios a empresas o ciudadanos en los países miembros de la UE debe cumplir con GDPR. Esto se aplica a cualquier ciudadano privado que simplemente vive, trabaja o viaja por los países de la UE, lo que significa que los datos personales de cualquier persona pueden estar dentro del alcance de GDPR. Los datos personales se definen como cualquier información (nombres legales, datos bancarios, información médica, direcciones de correo electrónico, direcciones IP, datos del sistema de posicionamiento global [GPS] y fotos, entre otros) relacionada con una persona física o “sujeto de datos” que pueda usarse para identificar directa o indirectamente a una persona.

Al saber cómo el cumplimiento de GDPR implica una combinación compleja de sistemas y herramientas en la nube y locales, una sólida solución MFT y una plataforma de integración son útiles para cualquier organización en el negocio del movimiento de datos. MFT respalda la seguridad organizacional al mejorar la visibilidad y la eficiencia operacional, y salvaguardar los datos confidenciales es una parte integral de este nuevo mandato de la UE. Las soluciones obsoletas de transferencia de archivos no proporcionarán la auditoría, el registro, los informes y la automatización que ayudarán con el cumplimiento.

Impacto del GDPR

El vencimiento del plazo de cumplimiento del GDPR del 25 de mayo de 2018 será costoso cuando la Oficina del Comisionado de Información del Reino Unido (ICO) y otras agencias de la UE comiencen a auditar compañías. El simple fracaso de una auditoría GDPR significa una multa del 2 por ciento de la facturación global anual de una organización o US $12,3 millones (€10 millones). Las infracciones de datos les costarán aún más a las organizaciones. Las organizaciones incumplidas enfrentan una fuerte multa del 4 por ciento de la facturación global anual o US $21,2 millones (€20 millones), el monto que sea mayor. Y ya pasaron los días en que las organizaciones podían esperar meses, incluso años, sin divulgar información sobre datos comprometidos. La ventana para informar infracciones se está ajustando. Una vez que una organización es informada de una infracción, los ataques informáticos que pueden suponer un riesgo deben ser informados a las personas afectadas y a las autoridades de protección de datos dentro de las 72 horas.

El hecho es que los ataques a los sistemas que almacenan información personal, desafortunadamente, son cada vez más comunes en la era digital. Esto demuestra que incluso las organizaciones con mayor conocimiento tecnológico luchan por cubrir todas sus bases, dejándolas propensas a infracciones, grandes o pequeñas. Pero la Unión Europea está tratando de subir el listón con GDPR, que apunta a simplificar las regulaciones de protección de datos y fortalecer la protección para todas las personas afiliadas a la Unión Europea.

Equifax es un ejemplo de lo difícil que puede caer el martillo GDPR. Por ahora, casi todos los que tienen un informe de crédito están familiarizados con la brecha de datos de alto perfil de la oficina.1 Mucha gente vio el fiasco de Equifax como asombroso, atroz e histórico. Como una de las tres principales agencias de informes de crédito en los Estados Unidos, la oficina con sede en Atlanta comprometió los nombres, números de seguro social, domicilio, fechas de nacimiento, números de licencia de conducir e información de tarjetas de crédito de casi 146 millones de estadounidenses e incluso 700,000 británicos los ciudadanos.2

Podría decirse que la principal preocupación a lo largo del incidente de incumplimiento del informe crediticio y otros similares, como los dirigidos a Uber y Facebook, ha sido la falta de transparencia, comunicación y responsabilidad inmediatas. Según los informes, la violación de datos de Equifax ocurrió a mediados de mayo, pero no fue descubierta por los funcionarios hasta el 29 de julio y no se informó a los consumidores hasta el 7 de septiembre, un retraso de 41 días antes de que los afectados fueran notificados de que se había pirateado información personal delicada.

Si GDPR hubiera estado vigente cuando Equifax fue violada, el gigante de la oficina de informes de crédito enfrentaría multas de aproximadamente US $130 millones. Con ese pensamiento en mente, las organizaciones se ven obligadas a pensar más sobre la transformación digital y adaptar nuevas tecnologías debido a un nuevo mandato de la UE.

Sí, GDPR pone un mayor peso de la seguridad de los datos sobre los hombros de las organizaciones, pero eso no significa que la mayoría de las organizaciones que deben cumplir están tomando las medidas necesarias. Según una encuesta reciente, de casi 3.000 responsables de la toma de decisiones de seguridad en organizaciones con más de 20 empleados en los Estados Unidos y otros nueve países, aproximadamente el 30 por ciento cree que su organización está lista para GDPR.3 El informe continúa afirmando que solo el 26 por ciento de las empresas con sede en Europa dicen que cumplen con GDPR. Cuando se trata de eso, el informe dice que “el porcentaje de empresas no afectadas por GDPR es pequeño”.4

Todo lo que una organización hace con los datos constituye el procesamiento, y prácticamente todos los procesos implican la transferencia de datos en algún nivel. MFT es clave para garantizar que esos procesos cumplan con los requisitos de GDPR. Para industrias como la sanidad, cadena de suministro y logística, servicios financieros y Software como servicio (SaaS), la transferencia de datos es el alma de la operación de una organización, teniendo en cuenta que cualquier acción sobre datos es técnicamente un evento de procesamiento, incluidas transferencias internas , transferencias externas, almacenamiento, visualización, análisis, cambio, sincronización y replicación. Mediante la implementación de un sistema de transferencia de archivos seguro y estable que rastrea quién, qué, dónde y cuándo de las transacciones, las organizaciones tienen la funcionalidad y la documentación necesarias para cumplir con GDPR y más.

Solución MFT para el cumplimiento de GDPR

Una solución avanzada de MFT contribuirá en gran medida a garantizar que los flujos de información críticos para el negocio de rutina no se arriesguen a multas considerables por incumplimiento. La modernización proporciona seguridad avanzada y el control y la gobernanza necesarios para garantizar transferencias de datos compatibles con GDPR, y la evidencia documental clara y precisa para demostrarlo.

Las soluciones MFT ayudan a las empresas a gestionar, controlar y gobernar los flujos de datos que impulsan su ecosistema empresarial. Una solución de transferencia de archivos centralizada, confiable, escalable y segura puede mejorar el rendimiento comercial, reducir la complejidad e ineficiencias de TI, respaldar iniciativas corporativas de nube y big data, y reducir el riesgo asociado con las brechas de datos GDPR y el incumplimiento.

La seguridad y la visibilidad de una solución MFT, combinada con una estrategia de administración de datos, permitirán a una organización hacer cumplir y facilitar las directivas de cumplimiento. Los procedimientos, políticas y tecnologías adecuados permiten un mejor control y transparencia sobre los datos que deben protegerse, ya sea en movimiento o en reposo. MFT ayuda a mejorar los detalles de seguridad de la organización a través de la visibilidad y la eficiencia operativa.

Una solución completa de MFT transporta de manera segura información de identificación personal (PII), industria de tarjetas de pago (PCI) e información protegida de salud (PHI) hacia y desde organizaciones que deben cumplir con GDPR usando cifrado de datos en movimiento y en reposo, no repudio, verificación de la integridad de los datos, registro integral de transferencias e integración con los sistemas de seguridad existentes.

¿Cómo puede una solución MFT moderna y robusta permitir el cumplimiento seguro de la transferencia de datos PII, PCI y PHI para GDPR?

  • Según el artículo 5.1 de GDPR, los datos personales deben procesarse para garantizar la seguridad adecuada de los datos personales. Con la solución MFT correcta, un método de arquitectura de dos niveles protege la transmisión de la zona desmilitarizada (DMZ) mientras los datos están protegidos en tránsito y en reposo: Secure Sockets Layer (SSL), Secure Shell (SSH), Pretty Good Privacy (PGP) Extensiones seguras/multipropósito de correo de Internet (S/MIME), Lenguaje de marcado extensible (XML), lista blanca/lista negra de Protocolo de Internet (IP) y cumplimiento con las Normas federales de procesamiento de información (FIPS) de los EE. UU. 140-S.
  • Según los artículos 7 y 8 de GDPR, las personas pueden dar su consentimiento para que sus datos personales sean recopilados y/o utilizados cuando no existe otra base legal para procesar la información de un individuo (por ejemplo, interés vital, interés legítimo, obligación contractual) y consentimiento debe ser separable de otros acuerdos escritos. Los artículos 15 y 20 del GDPR establecen que los ciudadanos de la UE pueden solicitar una copia de sus datos y solicitar una transferencia de datos personales de una organización a otra si así lo solicitan. Ahí es donde una solución MFT puede ofrecer el no repudio a través de recibos y firmas digitales para garantizar la autenticidad de un mensaje o documento. La autenticación de usuario se realiza a través del Protocolo ligero de acceso a directorios (LDAP) y los mecanismos de Active Directory.
  • Según el artículo 25 de GDPR, las organizaciones deben poder proporcionar un nivel razonable de protección de datos y privacidad. Una solución MFT moderna tiene múltiples protocolos avanzados para ofrecer la flexibilidad de conectar de forma segura una empresa a todo tipo de socios comerciales (B2B a empresa, aplicación a aplicación, peer-to-peer). Almacena datos personales de forma segura mediante el uso de algoritmos líderes en la industria como SHA- 256 para garantizar que los datos personales se mantengan seguros.
  • Según el artículo 30 de GDPR, se deben mantener los registros de las actividades de procesamiento, incluido el tipo de datos procesados y el propósito para el que se utilizan. Con MFT, la auditoría detallada y el registro centralizan el seguimiento de archivos; filtra el contenido que se puede buscar; habilita paneles para un mejor seguimiento de datos; y proporciona alertas y notificaciones, incluso alertas sin eventos.
  • De acuerdo con los artículos 39.1 (b) y 39.2 de la GDPR, un oficial de protección de datos (DPO) debe poder monitorear el cumplimiento con la regulación GDPR. El artículo 32 de GDPR dice que un controlador y procesador implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo. MFT ofrece administración delegada para distribuir capacidades de supervisión entre unidades de negocios en un navegador centralizado.

Conclusión

Depende de cada organización determinar cómo cumplirá con este nuevo cumplimiento de la UE y evitar errores que podrían ser similares a los de Equifax. Las pautas de GDPR no dictan cómo se realiza el cumplimiento, solo ordena lo que se necesita hacer, por qué debe hacerse y cuándo debe hacerse. Pero la gestión precisa de los datos de la organización no puede suceder sin la estrategia y las herramientas adecuadas.

Lo más probable es que el mandato de GDPR sea solo la primera ola de lo que constituye una nueva visión global de la seguridad de los datos y la regulación de la privacidad personal. Y, si bien la integración de datos no es el todo o el final, todo para cumplir completamente con GDPR, con soluciones MFT y B2B sólidas y escalables para centralizar y gobernar todos los datos que se mueven en una organización con protocolos rápidos y seguros, organizaciones que debe ser compatible con GDPR puede evitar retrasar lo inevitable y convertirse en un producto modernizado en la continua globalización de datos.

Notas finales

1 Equifax, “2017 Cybersecurity Incident & Important Consumer Information,” 1 March 2018, https://www.equifaxsecurity2017.com/
2 BBC, “Equifax to be Investigated by FCA Over Data Breach,” 24 October 2017, www.bbc.com/news/technology-41737241
3 Iannopollo, E., et al; “The State of GDPR Readiness,” Forrester, 31 January 2018, https://www.forrester.com/report/The+State+Of+GDPR+Readiness/-/E-RES141679
4 Ibid.

Dave Brunswick
Tiene más de 25 años de experiencia en ventas técnicas, preventas, estrategia tecnológica, ingeniería, gestión de productos y desarrollo de productos, incluida la celebración de altos cargos de consultoría y arquitectura en todo el mercado de software de transferencia de archivos administrados. Actualmente se desempeña como vicepresidente de preventa de América del Norte y soporte de soluciones para Cleo.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.