El Reglamento General de Protección de Datos (GDPR) (Reglamento (UE) 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea pretenden reforzar y unificar la protección de datos de todas las personas dentro de la Unión Europea. (UE).
GDPR establece algunos requisitos de medidas técnicas para la seguridad de los datos personales. Según ellos, cada organización debe cumplir con el RGPD y Nebosystems proporciona las acciones/servicios indicados, que son:
- Análisis del estado actual de seguridad de la infraestructura TI . Algunos expertos lo llaman análisis GAP. El análisis GDPR GAP proporciona una evaluación del nivel actual de cumplimiento de la organización con el Reglamento y ayuda a identificar y priorizar las áreas de trabajo clave que cada organización debe abordar antes de mayo de 2018. Si muchos servicios corporativos están expuestos a Internet, las pruebas de penetración son útiles práctica.
- Evaluación de riesgos. Según el RGPD, los riesgos deben identificarse y medirse. Utilizamos el modelo ISO de identificación y cálculo de riesgos. Se debe crear un documento denominado “Política de Evaluación de Riesgos de Seguridad del Sistema de Información”. En forma de hoja de cálculo, cada sistema/solución de software debe identificarse y evaluarse. Por ejemplo, se debe evaluar el servidor de CORREO como sistema. El sistema ERP, cada servicio en la nube y atc. La idea es separar y medir cada software/sistema utilizado por separado.
- Elegir las prácticas, tecnologías de software/hardware, herramientas y soluciones adecuadas para reducir el riesgo identificado, tales como: cifrado; seudonimización; anonimización; Soluciones DLP, soluciones SIEM, soluciones de gestión de seguridad unificada, etc. Después de la implementación, se vuelve a realizar el análisis de RIESGOS. También se realiza una auditoría de seguridad de IS.
- Elaboración de la política interna de seguridad de la información. Se crea un documento “Política de Seguridad de la Información”. En este documento se debe definir cualquier medida técnica adoptada para proteger los datos personales. En este documento necesitamos definir:
· La forma en que los usuarios interactúan con servidores, estaciones de trabajo, diferentes sistemas, bases de datos y otros;
· La política de contraseñas;
· Registro de nuevo usuario;
· Gestión de derechos de usuario;
· Gestión de acceso de usuarios de acuerdo con la “Matriz de Acceso”;
· La política de acceso;
· El uso de WiFi está permitido solo para el acceso de invitados;
· Las restricciones del servidor de seguridad;
· Segmentaciones de red con VLAN;
· Acuerdos SLA con socios;
· Gestión y control del código fuente;
· Acceso externo con VPN;
· Algunas prácticas de negocio específicas o de infraestructura de TI.
5.Monitoreo constante 24 horas al día, 7 días a la semana, y detección de amenazas. Se realizan comprobaciones de seguridad programadas y, si es posible, se realiza una optimización. El DPO debe notificarlo a las autoridades de supervisión correspondientes dentro de las 72 horas siguientes a tener conocimiento de ello, siempre que sea posible. Ese aviso debe contener información sobre la naturaleza de la violación de datos, describir las posibles consecuencias de la violación y las medidas tomadas o propuestas para abordar la violación y limitar los posibles efectos adversos. Estas violaciones de datos personales deben documentarse y tomarse medidas correctivas.