El proceso de mejora continua.

GDPR y seguridad de datos

Uno de los elementos clave que sustenta el Reglamento General de Protección de Datos (GDPR) es cómo usted, como controlador de datos o procesador de datos, protege y protege los datos personales que recopila, almacena y procesa. La seguridad de los datos no es solo un problema de TI: afecta a todas las áreas de sus operaciones e involucra a todos en todos los niveles de su negocio.

La seguridad de los datos, a menudo también conocida como seguridad de la información y, en el caso de proteger los datos electrónicos, ciberseguridad , se refiere a la protección de los datos y los activos de información que se utilizan para almacenar y procesar datos. Estos activos pueden estar basados ​​en papel, como archivadores y documentos impresos, o pueden ser sistemas electrónicos, como computadoras, bases de datos y software.

Los datos que recopilamos, almacenamos y procesamos aumentan constantemente, ya que las empresas capturan más datos sobre más personas, temas, clientes o personal. Al mismo tiempo, las amenazas a la seguridad de los datos están en constante evolución, desde ciberataques, malware, robos y competidores hasta peligros ambientales como incendios o inundaciones.

Para seguir siendo relevante y eficaz, sus prácticas de seguridad de datos deben ser parte de un proceso continuo de mejora continua, como se muestra.

El proceso de mejora continua.
El proceso de mejora continua.

Si depende de terceros para el almacenamiento de datos y / o las funciones de procesamiento, siempre verifique y verifique sus términos y condiciones para conocer la disponibilidad de sus sistemas y servicios. Esto es particularmente relevante cuando se utilizan servicios basados ​​en Internet o en la nube que podrían afectar sus operaciones comerciales.

La seguridad de los datos a menudo se divide en estas tres áreas clave, que se analizan a continuación:

  • Confidencialidad: proteger los datos contra el acceso, la distribución o la publicación no autorizados
  • Integridad: protección de datos contra modificaciones, daños o alteraciones no autorizados
  • Disponibilidad: protección de datos contra pérdidas, destrucción o indisponibilidad no planificadas

Confidencialidad

La confidencialidad consiste en proteger los datos contra el acceso, la distribución o la publicación no autorizados. Un principio clave de este concepto es el principio de necesidad de saber . Aquí hay una pregunta básica que debe hacerse siempre que le brinde a cualquier individuo o entidad acceso a datos o sistemas de procesamiento de datos: ¿Esta persona tiene una necesidad genuina de saber?

LEER  Utilice el menú F5 para solucionar problemas de su PC

Esta pregunta es particularmente relevante cuando se trata de sistemas informáticos modernos, donde se debe considerar cuidadosamente proporcionar acceso a aplicaciones y bases de datos tanto a partes internas como externas. Una forma de administrar dicho acceso es mediante el uso de controles de acceso apropiados y privilegios de usuario que limitan o restringen el nivel de acceso y visibilidad de los datos dentro de sus sistemas a solo los que se requieren para realizar funciones específicas. Dicho acceso debe basarse en el concepto de “privilegio mínimo”, asegurando que los usuarios no tengan más acceso del que necesitan para realizar su función o función específica. Los usuarios con privilegios mejorados, como los administradores del sistema, no deben usar sus cuentas con privilegios para el trabajo normal del día a día.

Cuando necesite proporcionar acceso a los datos, también vale la pena preguntar si los datos deben proporcionarse completos y en su forma original, si debe eliminarlos eliminando campos o elementos o campos, o si debe considerar la seudonimización. una técnica que elimina cualquier parte de los datos que pueda identificar directamente a individuos específicos.

La confidencialidad también es un factor clave en la clasificación de datos y activos de datos. Muchas empresas, organizaciones y organismos del sector público tienen pautas específicas sobre cómo clasifican sus activos de datos para garantizar que se cumpla la necesidad de saber. También se puede utilizar como una forma de valorar los activos de datos en términos del impacto en su negocio en caso de que los datos se vean comprometidos o se hagan públicos.

Integridad

La integridad de los datos se ocupa de proteger los datos contra la modificación, corrupción o manipulación no autorizadas. Básicamente, esto significa asegurarse de que los datos que almacena y procesa sean correctos, precisos y consistentes durante todo su ciclo de vida. Debe estar en una posición en la que esté seguro de que los datos no han sido manipulados o comprometidos de ninguna manera mientras se mueven de un sistema o individuo a otro.

LEER  Algunas teclas de teclado de PC útiles

En muchas áreas del negocio, la integridad de los datos es tan importante, si no más, que la confidencialidad. Imagine por un momento que está comprando algo en línea. Debe tener total confianza en que el valor de libras, euros o dólares que pagó es el mismo que llega con el vendedor al otro extremo de la transacción para que se complete su compra. Esta es la integridad de los datos en el trabajo.

Los enfoques clave al considerar la integridad de los datos incluyen

  • La validación de datos de entrada y salidas de datos: Esto implica e segurar software y aplicaciones sólo aceptan, productos, o para responder a las entradas de buenos conocidos y tienen fuertes manejo de errores y validación rutinas.
  • Protección contra fallas del sistema o del hardware: exige la implementación de sistemas en alta disponibilidad : plataformas resilientes o basadas en la nube que reducen los puntos únicos de falla, en otras palabras.
  • Uso de cifrado para proteger las transferencias de datos: esto implica el uso de tecnologías apropiadas, como redes privadas virtuales (VPN) para proteger los datos que se transfieren y / o Transport Layer Security (TLS) para cifrar el tráfico de un extremo a otro.
  • Implementación de salvaguardas que reducen la probabilidad de error humano: los pasos aquí podrían incluir que los supervisores verifiquen dos veces las operaciones sensibles que el personal está realizando.

Para el procesamiento de datos de alto valor y alto impacto, es esencial garantizar activamente el no rechazo de eventos o transacciones específicos. ( No repudio significa poder proporcionar pruebas, de naturaleza potencialmente legal, del origen y la integridad de los datos involucrados en la transacción).

LEER  Cómo utilizar el modo de suspensión de su PC

Disponibilidad

La disponibilidad implica garantizar que los datos y los sistemas de procesamiento de datos estén disponibles cuando se necesiten. Imagínese ir al banco a retirar dinero. Se comunica con el cajero del banco y se le informa que, desafortunadamente, los sistemas bancarios no funcionan y su solicitud no puede ser procesada. Eso sería frustrante, ¿no? Si necesita retirar efectivo del banco, no querrá escuchar: “Los sistemas no funcionan y no estarán disponibles durante los próximos 28 días. Lo siento por los inconvenientes ocasionados.” ¡Necesita su dinero ahora, no dentro de un mes!

Asegurar que el acceso a los datos y los sistemas de procesamiento de datos esté ahí cuando los usuarios los necesiten es esencial para la mayoría de las empresas. Algunos elementos clave a considerar incluyen

  • Soluciones de respaldo y recuperación para datos, archivos, sistemas y aplicaciones
  • Recuperación ante desastres (DR) y planificación de la continuidad del negocio (BCP) que detallan cómo su empresa manejará un problema importante que afecta las operaciones
  • Soluciones de alta disponibilidad y basadas en la nube que muestran cómo logra la resiliencia en los sistemas de procesamiento y almacenamiento de datos
  • Cómo gestionará el impacto de los factores ambientales (como incendios e inundaciones) u otros incidentes de seguridad
  • Qué tan resistentes son sus sistemas a las interrupciones y si pueden continuar funcionando en condiciones adversas, como las causadas por un incidente de seguridad o una falla técnica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *