El Reglamento General de Protección de Datos impone nuevas obligaciones y amplía los derechos

En el transcurso del webinar "Reglamento General de Protección de Datos: seguridad y cumplimiento", dos expertos en seguridad de Hewlett Packard Enterprise han analizado el ámbito y la extensión de este nuevo reglamento, así como la forma en que HPE ayuda a sus clientes a llevar a cabo acciones acordes con lo establecido en él.

Data protection

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), aprobado el pasado mes de abril por el Parlamento Europeo y creado para proteger la información personal de los ciudadanos de la Unión Europea, será de obligado cumplimiento en todas las organizaciones a partir del 25 de mayo de 2018. “Es una ley que afecta a todo el mundo y es algo que las empresas tienen que acometer con prioridad y urgencia”, asegura Félix Martín, responsable de Consultoría de Seguridad para la región de EMEA de HPE.  

El GDPR aumenta los derechos de las personas -amplía el derecho al olvido, por ejemplo- e impone algunas obligaciones como, en el caso de España, contratar a un Delegado de Protección de Datos (DPO) para dar apoyo al responsable de seguridad en las organizaciones. “No hace falta nombrar a una persona, es más definir un rol y asignarlo. Este perfil sí que tiene que estar en el Comité de Dirección de la empresa y tiene que tener un cargo relevante dentro de ella”, explica Martín.

Asimismo, el nuevo reglamento establece la obligación de notificar los incidentes en un plazo máximo de 72 horas después de haberse producido. Además, no solo impone informar del suceso al regulador, sino también a los propios usuarios.

“Desde HPE nos gustaría transmitir que la aplicación del reglamento se puede considerar como una propuesta de valor para la organización y se puede aprovechar para construir una posición competitiva diferenciada en las organizaciones”, destaca el responsable de Consultoría de Seguridad de la compañía. Desde su punto de vista, la aplicación desde esta ley puede presentar una oportunidad para transformar la manera en la que se gestiona la información, pero también exige tratar dos aspectos primordiales y de gran impacto en las organizaciones: la gestión de crisis y la gestión de clientes.

HPE ha desplegado una serie de soluciones específicas para ayudar a sus clientes a cubrir aspectos básicos de la GDPR. Desde la parte de servicios y consultoría, ha desarrollado una serie de procesos para conocer en qué punto se encuentra el cliente y hasta dónde hay que llegar con él. Después, le ofrece soluciones que le permitan resolver casos específicos del nuevo reglamento. “Con nuestra solución somos capaces de procesar, a través de los conectores, la información para pasarla posteriormente a la solución de ControlPoint. […] La información que sí sea de interés para nosotros, porque contiene datos personales o información relevante para el negocio, la vamos a procesar de otra manera y la vamos a enviar a nuestro content manager”, explica Álvaro Fernández, especialista de Ventas de Seguridad para Iberia en HPE.

Cifrado end-to-end

La GDPR establece el cifrado y la anonimización de datos como los mecanismos adecuados para proteger la información.

HPE concibe la protección de datos como un cifrado end-to-end, es decir, cifra el dato desde el momento en que se crea o entra en la organización y habilita diversas aplicaciones de negocio para poder trabajar con la información cifrada.

HPE Cifrado Preservando el Formato (FPE, por sus siglas en inglés) soporta datos en cualquier formato y preserva la integridad referencial, únicamente se deben modificar las aplicaciones que necesiten el dato descifrado. “Lo que hacemos es cifrar el dato preservando el formato, de tal manera que vamos a poder seguir trabajando con esa información cifrada”, subraya Fernández.

En cuanto a la obligación que establece el reglamento de notificar las brechas de seguridad en menos de 72 horas, las organizaciones se encuentran aún muy lejos de alcanzar este tiempo, ya que la media que tardan en detectar que han sido víctimas de un ataque y que la información personal que tenían almacenada ha sido filtrada es de más de 243 días.

El sistema de gestión HPE ArcSight es capaz de reducir todos esos días a horas o, incluso, minutos. “¿Cómo lo hacemos? monitorizando los sistemas, los comportamientos de usuarios, las redes y creando reglas de correlación avanzadas, de tal manera que si ocurre un comportamiento anómalo o una aplicación se comporta de manera extraña, nos lo va a notificar y vamos a ser capaces de investigar ese incidente, de verificar si se ha producido o no una brecha de seguridad y, en caso positivo, de notificarlo”, concluye Álvaro Fernández.

Si desea ver el webinar completo bajo demanda, haga click aquí



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper