¿Qué papel tiene el CISO ante la llegada de GDPR?

Europa, en un intento de anticiparse a los problemas que esto pueda conllevar, adoptará un nuevo reglamento denominado Reglamento General de Protección de Datos (GDPR) en mayo de 2018 para proteger los datos personales.

El nuevo reglamento se prevé que entrará en vigor el 25 de mayo de 2018 y se extenderá a las zonas de exportación de datos personales fuera de la Comunidad Europea. Promete ofrecer a los ciudadanos y a los residentes un mayor control de sus datos online, pero también simplifica el entorno de los negocios internacionales, ya vez que se produce la unificación de las normativas nacionales.

De esta manera, todas las empresas locales y extranjeras que procesen datos de residentes en la región estarán sujetas a un estricto cumplimiento y régimen de seguridad, con severas sanciones de hasta el 4% del volumen de negocios mundial.

El GDPR establece cambios representativos en comparación con directivas previamente válidas en los siguientes dominios: extensión aplicabilidad extraterritorial; Materialidad de las penas; Condiciones de consentimiento para la captura y procesamiento de datos; Reglas para informar violaciones; derechos de acceso; Derechos para borrar datos capturados y procesados; Portabilidad de datos; etc. Básicamente, se impone el "privacy by desing", es decir, que la privacidad esté contemplada desde el mismo diseño del producto o servicio.

Todo ello pone a prueba a los CISO, quienes deben lidiar la combinación de los nuevos requisitos de la regulación de protección de datos y la invasión masiva de nuevas tecnologías disruptivas del movimiento digital. El Internet de las cosas; la informática en la nube; la movilidad, el Big Data, las mano-tecnología o neuro-tecnología; los robots de inteligencia artificial; la detección de ubicaciones, drones e impresoras 3D son retos que aumentan exponencialmente los registros y acercan los activos y entornos de tecnología de la información a entornos ya distantes.

En un primer análisis, las empresas tendrán que entender qué datos se adquieren, se mantienen y se procesan, y la base legal para ello. Si trabaja con proveedores de terceros que actúan como procesadores, tendrá que superar los límites de su propia empresa y verificar que se están adoptando políticas de protección de datos para cumplir con los requisitos reglamentarios.

Será necesario revisar por completo sus propias políticas de protección de datos, establecer nuevos procesos para cubrir los nuevos campos introducidos por el GDPR, como el informar sobre violaciones, por ejemplo. Pero el CISO también deberá revisar los procesos de desarrollo de nuevos productos y servicios para que ya ofrezcan la seguridad y privacidad requeridas. La protección de datos en la fase de diseño (y no más tarde) como un componente añadido, y asegurarse de que toda la tecnología que soporta el cumplimiento está en funcionamiento es otro de los frentes abiertos.

Es mucho trabajo en tan poco tiempo, y el CISO necesitará la ayuda de toda la organización para superar con nota este proceso.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.