22 Feb El impacto de las normas de Protección de Datos sobre DR
El Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo del 2018 y a las empresas les está costando una cantidad de tiempo y dinero significativo cumplir con las nuevas regulaciones. Sin embargo, esto es preferible a tener que pagar una multa del 4% de la facturación anual o $20 millones de euros.
Cuando hablamos de la infraestructura tecnológica, son todavía pocas las organizaciones que se han puesto a revisar si cubren lo que se solicita, como por ejemplo revisar el plan y la solución para recuperación tecnológica en caso de desastres (DRP) de manera integral, es decir, incluyendo a los diferentes proveedores que se convierten en procesadores de datos durante una eventualidad, para minimizar la probabilidad de que la organización se vea multada por alguna violación de datos personales, generada por los proveedores o socios de negocio cuando adquirieron el rol de “procesador de datos” durante la contingencia.
Las reglas de GDPR son tan aplicables a los sistemas de DR (Recuperación de Desastres) como a los sistemas que soportan las operaciones diarias, por lo que es de vital importancia asegurar que los sistemas de DRP se encuentren considerados dentro de las acciones para que la organización cumpla con las nuevas regulaciones en materia de protección de datos.
Sin importar si el plan de recuperación tecnológico (DRP) de su organización considera la utilización de recursos propios o el trabajar con un proveedor especializado, hay altas probabilidades de que tengan que hacerse cambios.
El artículo 32(1) del nuevo reglamento (GDPR) establece:
“Tomando en cuenta el estado de sofisticación, los costos de implementación y la naturaleza, alcance, contexto y propósitos de procesar, así como los riesgos con diferente probabilidad y severidad para los derechos y libertades de las personas naturales, el controlador y el procesador implementarán medidas técnicas y organizacionales apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo, entre otros, cuando sea apropiado.
(a) Crear seudónimos y encriptar los datos personales; => Artículo: 4.
(b) la habilidad de garantizar de manera continua la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios procesadores (de datos);
(c) la capacidad de restaurar la disponibilidad y acceso a los datos personales de manera oportuna en el evento de un incidente técnico o físico;
(d) un proceso para probar y evaluar regularmente la efectividad de las medidas técnicas y organizacionales para garantizar la seguridad del procesamiento.
Lo anterior implica poder demostrar los procesos alrededor de la seguridad, disponibilidad, recuperación y evaluación de los sistemas de tecnología de la información de la organización, lo que incluye aquellos designados para actividades de recuperación ante desastres. Mas aún, estos procesos necesitan mantener un estándar correcto para garantizar que la recuperación de los datos pueda darse de manera efectiva y oportuna, eliminando riesgos a la confidencialidad e integridad de la información de los consumidores.
Seguridad de la información
La seguridad se compone de tres bloques principales: la confidencialidad, la disponibilidad y la integridad. El ISO27001 provee un marco conceptual extenso para desarrollar, implementar y mantener un sistema de administración de seguridad de la información que pueda ser auditable de manera independiente, de acuerdo con lo indicado por las políticas dentro del GDPR.
Por lo anterior, las organizaciones deben buscar trabajar con proveedores que ya se encuentren certificados en ISO27001 o que estén en proceso de certificarse, para beneficiarse de la aplicación del marco conceptual y prevenir que sus propias certificaciones se vuelvan nulas.
Recuperación de datos
Es importante revisar los compromisos de recuperación de la organización y evaluar si el proveedor de recuperación ante desastres puede garantizarlos. En específico, es necesario identificar cuánto tiempo llevará regularizar la provisión del servicio (RTO) y cuánta información puede perderse en el proceso (RPO); en adición, es de vital importancia validar a través de ejercicios de prueba que, en efecto, sean logrables de manera consistente, incluso mapeando el impacto de las consecuencias en caso de incumplimiento.
De la mano con lo anterior, debe revisarse el proceso para mantener los respaldos de los datos actualizados, de manera que los individuos puedan acceder, borrar o modificar sus datos. Es importante definir qué tan seguido se actualizarán los respaldos de información y si esto es lo suficientemente frecuente para garantizar el cumplimiento sobre las normativas de protección de datos, en caso de que se tengan que activar los sistemas para DR.
Pruebas de Recuperación ante Desastres
En adición a ejecutar las pruebas sobre los sistemas para recuperación de desastres, los resultados deben registrarse de manera que pueda demostrarse que los procedimientos apuntalan el cumplimiento normativo.
Las organizaciones necesitan revisar qué tan frecuentemente ejecutan pruebas de recuperación ante desastres, así como su alcance, es decir, ¿las pruebas sirven para validar que la información ha sido respaldada exclusivamente o en verdad muestran la recuperabilidad de los sistemas, aplicaciones y datos?
Por otro lado, también es importante analizar qué tan fácil es incrementar los ejercicios de prueba de DR, ya sea con los recursos propios de la organización o con el proveedor que brinda el servicio.
Sin lugar a duda, las pruebas de Recuperación ante Desastres (DR) son la principal área en la que las organizaciones deben enfocarse para cumplir con las diferentes normativas y regulaciones.
También te puede interesar:
No Comments