Cómo mantener el cumplimiento de GDPR en la nube
- Gestión de IT
Cada vez más empresas se están moviendo hacia plataformas públicas en la nube para respaldar las transformaciones digitales, la atención al cliente, la gestión de la cadena de suministro y la colaboración de los empleados.
Asegurar que los entornos en la nube estén protegidos por el próximo Reglamento General de Protección de Datos de la UE (GDPR) es esencial, ya que es muy probable que los datos personales sean almacenados, procesados y compartidos.
Las empresas deben proteger los datos de clientes de la UE en nubes públicas antes del 25 de mayo de 2018 al tener visibilidad completa de sus nubes públicas, así como buena seguridad en entornos como la protección de oleoductos DevSecOps, escaneo de aplicaciones web, administración de vulnerabilidades y una buena configuración de controles .
Cuestiones de cumplimiento
En la nube, puede ser difícil adaptar los procesos y los controles de seguridad porque las empresas no tienen mucho control, o el conocimiento a través de herramientas y procesos, para proteger las nubes públicas.
La Cloud Security Alliance (CSA) identificó las siguientes áreas como el área más importante para los problemas de cumplimiento cuando se traslada a la nube:
- Violaciones de datos
- Débil gestión de identidades, credenciales y acceso
- API inseguras
- Vulnerabilidades del sistema y la aplicación
- Secuestro de cuenta
- Personas malintencionadas
- Amenazas persistentes avanzadas (APT)
- Pérdida de datos
- Diligencia debida insuficiente
- Abuso y uso nefasto de servicios en la nube
- Negación de servicio
- Vulnerabilidades de tecnología compartida
- Manteniéndose obediente
Para mantenerse conforme, el Cloud Industry Forum recomienda lo siguiente:
- Conozca la ubicación en la que las aplicaciones en la nube procesan o almacenan datos: puede lograr esto al descubrir todas las aplicaciones en la nube que se utilizan en su organización y consultar dónde están hospedando sus datos. La sede del proveedor de la aplicación rara vez contiene sus datos. Además, sus datos se pueden mover entre los centros de datos de una aplicación.
- Tome las medidas de seguridad adecuadas: debe saber qué aplicaciones cumplen con sus estándares de seguridad, y bloquear o instituir controles de compensación para aquellos que no lo hacen.
- Cierre un acuerdo de procesamiento de datos con aplicaciones en la nube: una vez que descubra las aplicaciones en uso en su organización y las combine con funciones superpuestas, sancione un puñado y realice un acuerdo de procesamiento de datos con ellas para asegurarse de que cumplan con los requisitos de protección de privacidad de datos establecidos. adelante en el GDPR.
- Reúna solo los datos necesarios: especifique en su acuerdo de procesamiento de datos (y verifique en sus políticas de DLP) que solo los datos personales necesarios para realizar la función de la aplicación son recopilados por la aplicación de sus usuarios u organización y nada más, y que hay límites en la recopilación de datos "especiales", que se definen como aquellos que revelan cosas como raza, etnia, convicción política, religión y más.
- No permita que las aplicaciones en la nube usen datos personales: asegúrese de que a través de su acuerdo de procesamiento de datos, y verifique en su aplicación la diligencia debida, las aplicaciones indiquen claramente en sus términos que el cliente posee los datos y que no comparten los datos. terceros.
- Asegúrese de que puede borrar los datos: asegúrese de que los términos de la aplicación indiquen claramente que puede descargar sus propios datos de inmediato y que la aplicación borrará sus datos una vez que finalice el servicio. Si está disponible, averigüe cuánto tiempo les lleva hacerlo. Cuanto más inmediato (en menos de una semana), mejor, ya que los datos persistentes conllevan un mayor riesgo de exposición.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.