Cómo las empresas con DevOps pueden lidiar con GDPR en 2018

  • Seguridad Inteligente

La protección de datos no es un problema nuevo. En los últimos años, se han producido numerosos hacks de datos de alto perfil, y la información sensible del cliente se ha publicado en el dominio público, lo que ha provocado una condena y una furia generalizadas. La confianza es un gran problema.

Cuando Equifax reveló que los piratas informáticos habían robado la información personal de 145 millones de personas, hubo un alboroto. El problema es que cada vez estamos moviendo nuestras vidas en línea. Los delincuentes se han dado cuenta rápidamente de que los datos equivalen a dinero serio. Por este motivo, las startups de DevOps deben prestar mucha atención a los nuevos cambios en la regulación de la privacidad de los datos de GDPR, que entrarán en vigencia a partir del 25 de mayo.

Compañía y Clientes

 GDPR se divide entre los datos de la empresa y los datos de los clientes. Para una puesta en marcha pequeña, puede darse el caso de que los datos de los empleados representen un problema mayor, pero si mantiene los datos de los clientes, es hora de ver cómo administra estos datos. Una buena forma de hacerlo es a través de una auditoría interna.

Cree un diagrama de flujo de datos (DFD) que mapee todos los datos que entran, son procesados ​​y almacenados y sale de sus sistemas. Con una buena visión general, debe poder detectar cualquier información que no sea necesaria o necesite modificar para que pueda eliminar o adaptar ciertos embudos de conversión para ahorrar tiempo intentando cumplir con las medidas de cumplimiento de los datos que no utiliza.

Planificación y preparación

GDPR es un gran paso adelante de la Ley de Protección de Datos, por lo que no puede sentarse y esperar que el 25 de mayo entre y salga. Es vital que examine el GDPR en detalle para ver cómo y si se aplica a su organización. Si lo hace, deberá realizar cambios organizativos en la forma en que maneja los datos.

Cree una lista de verificación de cumplimiento para estar adecuadamente preparada, basada en los requisitos del Instituto Nacional de Estándares y Tecnología (NIST) y Cloud Security Alliance (CSA), combinados con cualquier regulación estatal o regional.

Contratar un Responsable de Gobernanza

El lenguaje legal que se usa para cumplir puede ser difícil de comprender para quienes tienen experiencia en ingeniería y tecnología de la información. La contratación de un cumplimiento externo por un profesional del diseño o un formador ayudará en este sentido. Asegúrese de que tengan un buen conocimiento tanto técnico como legal para que comprendan a ambas partes y puedan revisar con precisión los procesos, hacer sugerencias y asegurarse de que se cumpla con GDPR.

Tareas a esta persona con la descarga de los Objetivos de control para información y tecnologías relacionadas y requisitos de CSA. Luego pueden trabajar con la administración del programa para poner en práctica dichas directivas de la compañía, además de trabajar con su lista de verificación. Esta lista de verificación se puede utilizar para crear una herramienta de código abierto para depurar aplicaciones y determinar si se deben incluir o rechazar, según cumplan con las políticas de cumplimiento.

Notificar a los empleados / clientes de un incumplimiento

Si se infringen datos de clientes o empleados, accidentalmente o de otra manera, tiene 72 horas para notificarlos. Pegar la cabeza en la arena y esperar que todo "se vaya" no lo cortará. Hay dos niveles de multas por incumplimiento: hasta 10 millones de euros o el 2 por ciento de la facturación, o hasta 20 millones de euros o el 4 por ciento de la facturación anual.

Para garantizar que este riesgo se minimice, responsabilice a todos y aplique las consecuencias. Decida cuáles serán y cómo se implementarán para implementar mejor el cumplimiento de GDPR en su inicio, ya que las finanzas fuertes pueden ser especialmente perjudiciales para las pequeñas empresas.

Consentimiento de datos

Debe informar a las personas si se recopilan sus datos. El consentimiento es un problema importante en el GDPR y las casillas de verificación ambiguas no son aceptables. Los avisos de privacidad deben ser claros y estar escritos en inglés sencillo. Los clientes deben tener la opción de participar o no si recopilan datos de ellos.

El derecho a la eliminación de datos

Todas las personas tienen derecho a solicitar que sus datos se eliminen permanentemente. Entonces, si Carlos de Barcelona decide lanzarse a otra startup de DevOps, puede legítimamente solicitarle que elimine su archivo de recursos humanos. También puede pedirle que envíe su archivo a sus nuevos empleadores.

Resonsable de Protección de Datos

Las empresas que procesan grandes cantidades de datos o están involucradas en el monitoreo de personas (esto es aplicable si realiza un seguimiento de los patrones de comportamiento en línea con fines de comercialización) deben designar a un oficial de protección de datos. Esta persona puede ser cualquiera, pero debe tener conocimiento de las prácticas de protección de datos y las leyes relacionadas con la protección de datos.

Sin embargo, no todo tiene que costar para cumplir con el cumplimiento de los datos de GDPR; hay muchos recursos gratuitos que su startup puede usar también.

Velocidad

Una preocupación es el impacto en la velocidad que traerá GDPR. El ochenta y uno por ciento de los profesionales de operaciones de TI creen que las políticas de seguridad de la información los ralentizan. Evite esto para su inicio haciendo DevOps usted mismo, ya que hará que la implementación del software sea más rápida. Sin embargo, los cambios de sistema inseguros podrían ser enviados a través de. La automatización puede ofrecer una solución.

Automatización

Tratar el cumplimiento a través de la automatización continua significa que su inicio de DevOps colocará controles basados ​​en código a través del proceso de desarrollo normal: prueba, versión, aplica y modifica. Esto hace que estos controles sean fáciles de colaborar y ejecutar escaneos de conformidad se convertirá en una característica común en la etapa de desarrollo, los entornos de prueba y los sistemas de producción.

El tiempo de inactividad promedio antes de identificar una violación del sistema se cree que es de 200 días. La automatización continua significa que un problema así podría detectarse en la estación de trabajo de desarrollo del equipo de ingeniería, antes de que llegue a producción y garantizar que se trate para garantizar la seguridad y garantizar el cumplimiento de GDPR.

Qué no hacer

Lo que no debes hacer es ignorar GDPR sobre la base de que no se aplica a ti, "porque quién va a saber si Carlos de Barcelona trabaja para mi startup y qué pasa si uno de mis equipos es golpeado con ransomware y ¿Todos los datos bancarios se filtran en la Web Oscura?

El GDPR afectará a millones de empresas, por lo que todas las nuevas empresas deben ser conscientes de cómo afectará sus operaciones. Si no cumple con la directiva, podría ser un error costoso. La ignorancia nunca es una defensa legítima a los ojos de la ley, así que echa un vistazo al sitio web de GDPR de la UE y mantente informado. Si GDPR no te afecta, genial; pero si lo hace, piense como un Boy Scout y esté preparado.