Hay muchos impulsores crecientes para que una organización y su cadena de suministro aborden el tema de seguridad de la información y la privacidad en serio. Entre ellas se incluyen importantes amenazas de delitos cibernéticos que pueden acabar con las empresas con una simple filtración de datos. A pesar de esa amenaza, no todas las organizaciones invierten o quizás se preocupan por la información como un activo que hay que cuidar y proteger.
Por lo tanto, no sorprende que regulaciones como la RGPD ha surgido para la protección de datos personales y la mejora de la privacidad de las personas. El RGPD es un poderoso impulsor externo que obliga a las organizaciones a mejorar la protección de datos y la actividad de privacidad.
El RGPD es un evento convincente para el cambio, pero a pesar de su entrada en vigor el 25 de mayo de 2018, no todas las organizaciones han logrado el mismo progreso. Actualmente estamos viendo 4 niveles de intención en torno a esa nueva regulación. Entonces, ¿dónde ve su organización y qué más puede hacer al respecto?
Aquellos que creen que el RGPD no les afecta, o aquellos que sienten que su postura actual es lo suficientemente buena para cumplirlo aunque sean responsables y procesadores de datos. No es de extrañar que el Oficina del Comisionado de Información (ICO) Probablemente sólo haya registrado una fracción de las organizaciones. Nuestras encuestas informales sugirieron que muchas organizaciones ni siquiera sabían que debían registrarse en la ICO y mucho menos adoptar el nuevo régimen de privacidad y protección.
Aquellos que son "conscientemente incompetentes" y (probablemente) incumplidores pero que no están preparados para actuar ahora. Sin embargo, reconocen la necesidad de hacerlo una vez que surjan multas en su sector o demandas de un mayor cumplimiento por parte de clientes poderosos y partes interesadas de la industria.
Aquellos que generalmente responden ahora a demandas de clientes poderosos y partes interesadas internas preocupadas en torno al procesamiento de datos personales. Estas organizaciones están abiertas a realizar el cambio apropiado para conservar sus contratos y cumplir con su procesamiento. Muchos están viendo los beneficios de "mostrar su trabajo" con un SGSI visible para ganarse la confianza de sus partes interesadas. En este momento están menos interesados en abordar abiertamente otras áreas valiosas de gestión de información como los derechos de propiedad intelectual, los contratos financieros y comerciales, el código de software, la información sobre planes de negocios, etc.
Aquellos que ven el RGPD como una oportunidad para salir adelante y mejorar la seguridad de la información en general (más allá de los datos personales per se), reforzando su enfoque ante las partes interesadas como un activo organizacional real, no un pasivo. También prepara para el futuro las inversiones de un sistema de gestión de seguridad de la información. (SGSI) y reduce el costo total de operación. Ven el beneficio de trabajar o seguir estándares reconocidos como ISO 27001:2013 o NIST Cyber Security junto con la regulación.
La mayoría de las organizaciones que están "en negación", y algunas otras, creen que cumplir con el RGPD ya que tienen documentada una 'política de seguridad de la información'. Se guarda en una carpeta compartida que envían a los clientes cuando se les solicita. Desafortunadamente, la regulación específica en sí es un poco más compleja con alrededor de 180 requisitos a considerar, ¡y los compradores son cada vez más inteligentes! Seguramente debe haber una manera mejor y más pragmática de demostrar que se le puede confiar (solo) datos personales, y mucho menos otros datos valiosos. activos de información?
El RGPD también supone un desafío un poco mayor porque no existe una base oficial de la UE para medir estrictamente el cumplimiento. Como tal, muchas organizaciones están pidiendo cumplimiento de su cadena de suministro a algo que es "su visión del GDPR" que podría estar excesiva o insuficientemente diseñado para el resto de la base de clientes de ese proveedor.
Quizás peor aún, algunos clientes exigen una transferencia de riesgo simple pero ignorante en una actualización forzada del contrato y dejan que el proveedor descubra cómo cumplirlo. Los clientes responsables y sus proveedores importantes trabajarán juntos en lo que es aceptable dada la información en riesgo y el valor de la relación (y cualquier contrato).
Los sellos y certificaciones de privacidad GDPR autorizados por la UE pueden estar aún lejos. Entonces, ¿qué puede hacer mientras tanto para demostrar que se puede confiar en usted, al menos en lo que respecta al RGPD, y al mismo tiempo mantenerse pragmático para su organización y para la mayoría, si no para todos, de sus clientes? Un política de seguridad de la información El documento no es suficiente. Un SGSI es mucho mejor y, dentro de ese SGSI, idealmente debería seguir un método o estructura marco reconocido en el que sus partes interesadas puedan confiar y comparar el progreso.
Sentimos que teníamos
lo mejor de ambos mundos. Éramos
capaz de utilizar nuestro
procesos existentes,
y el Adoptar, Adaptar
El contenido nos dio nuevos
profundidad a nuestro SGSI.
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
La Oficina del Comisionado de Información es la autoridad supervisora del RGPD en el Reino Unido. Los ames o los odies, se están esforzando por ayudar a UK PLC a implementar la regulación, así como a desarrollar una cultura de protección de datos y privacidad desde el diseño.
La comisionada Elizabeth Denham dijo:
“…está claro que algunas empresas prosperarán en este entorno cambiante. Serán ellos los que analicen todo este asunto con una mentalidad que aprecie lo que quieren los consumidores. Hoy en día, muchas empresas piensan que la protección de datos se trata simplemente de "cumplimiento". Es una mentalidad que dice: 'mi trabajo es cumplir con los requisitos legales. Mientras marque las casillas correctas, estaremos bien".
Pero para afrontar los desafíos... necesitamos pasar de una mentalidad de cumplimiento a una mentalidad de compromiso: compromiso de gestionar los datos de forma sensible y ética.
No sólo porque es la ley, sino porque es parte de una buena práctica empresarial básica... La rendición de cuentas fomenta una inversión inicial en los fundamentos de la privacidad, pero ofrece una recompensa en el futuro, no sólo en un mejor cumplimiento legal, sino también en una ventaja competitiva. Ésa es la zanahoria para hacerlo bien. Y también hay un palo bastante grande…”
La ICO es la autoridad supervisora del Reino Unido y el organismo del Reino Unido que emitirá multas (desde una perspectiva de amenaza). Por lo tanto, tiene sentido saber qué significa GDPR a través de su lente si estás en el Reino Unido. Sus 12 pasos originales para GDPR fueron excelentes para las comunicaciones de titulares, pero un nivel demasiado alto para implementarlos según el estándar. Como tal, liberaron siete listas de verificación completas que se han actualizado y mejorado durante los últimos 6 a 12 meses. Se los recomendamos a todo el mundo.
Completar esas listas de verificación como marco para demostrar cumplimiento y compromiso es un excelente punto de partida. Ayudará a identificar áreas de fortaleza y vulnerabilidad y luego ayudará a formar la base de un plan de inversión priorizado. Como la regulación se basa en el riesgo (en lugar de prescribir controles muy específicos), significa que también puede evidenciar más claramente por qué ha seguido o no una recomendación de la ICO. También ofrece una perspectiva más objetiva que muchas de las empresas engañosas que actualmente están en el mercado vendiendo sus propios métodos, que podrían no resistir el escrutinio en el futuro.
Las organizaciones que puedan describir y demostrar fácilmente cómo han considerado e implementado el RGPD (ya sea con las listas de verificación de ICO o con alternativas adecuadamente integrales) casi con seguridad obtendrán una mejor recepción por parte del regulador si algo terrible como una violación de datos aún sucediera. ¡También habrán cumplido con los "trabajos" que se describen a continuación y habrán comenzado a construir la base de un SGSI en el que otros puedan confiar!
Una sesión práctica adaptada a tus necesidades y objetivos.
Si bien hay 120 actividades a considerar como parte de las listas de verificación de la OIC 7, en términos generales se pueden desglosar de la siguiente manera:
| Trabajos por hacer para GDPR | ¿Puedes evidenciar esto ahora? | |
|---|---|---|
| 1 | Información que posee:
|
Si no |
| 2 | Riesgos: Confidencialidad, Integridad, Disponibilidad (CIA)
|
Si no |
| 3 | Gestión de Políticas y Controles:
|
Si no |
| 4 | Evaluaciones y solicitudes para garantizar la privacidad y seguridad desde el diseño:
|
Si no |
| 5 | Incidentes y BCP:
|
Si no |
| 6 | Compromiso del personal:
|
Si no |
| 7 | Cadena de suministro:
|
Si no |
| 8 | Coordinación y aseguramiento de todo el sistema:
|
Si no |
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez