Tecnología IRM y cumplimiento GDPR

Tecnología IRM y cumplimiento GDPR

El Reglamento General de Protección de Datos, más conocido por sus siglas en inglés GDPR, comenzará a aplicarse el 25 de mayo de 2018.  Hasta ese momento las empresas y organizaciones que tratan datos deben establecer medidas técnicas y organizativas que les permitan el cumplimiento en el momento en que el Reglamento sea aplicable.

El cumplimiento del GDPR requiere una fuerte implicación de la alta dirección de las empresas para impulsar políticas y procesos de seguridad de la información, como son la realización de evaluaciones de impacto, la certificación de procesos, y la clasificación de la seguridad de la información. La implantación de estas políticas, y los cambios necesarios en los procesos de tratamiento de la información, debe ir acompañada de las herramientas necesarias que faciliten su adopción a los empleados responsables de generar y tratar con la información sujeta al cumplimiento normativo. Afortunadamente, y a diferencia de lo que ocurría hace unos años, hoy estos empleados están concienciados respecto a las amenazas sobre la seguridad de la información, y sobre el impacto que una fuga de información puede tener, tanto a nivel de reputación de marca como de sanciones por incumplimiento normativo.

El reglamento GDPR no específica que herramientas deben utilizarse para el cumplimiento de la norma, sin embargo, en su artículo 25 sí especifica que las empresas deberán establecer las medidas técnicas necesarias para la protección de datos desde el diseño y por defecto.

Entre estas medidas técnicas tres de las más relevantes son las funciones fundamentales de la tecnología IRM (Information Rights Management):

  • Cifrado de la información
  • Gestión de permisos y control de acceso
  • Registro de la actividad sobre la información

Estas tres medidas técnicas repercuten directamente en mitigar los riesgos identificados en las evaluaciones de impacto, así como en facilitar la auditoría y certificación de los procesos.

Hay que destacar que, si bien el GDPR se refiere explícitamente a la protección de datos estructurados (como son las bases de datos), la información estructurada puede estar constituida por unidades de información no estructurada como pueden ser documentos de identidad escaneados, alocuciones, vídeos, etc. Además, como parte del tratamiento de la información es frecuente que se generen informes y hojas de cálculo a partir de la información estructurada.

Por tanto, debemos considerar varios escenarios en la aplicación de medidas técnicas como el cifrado, la gestión de accesos y el registro de actividad:

  1. Previamente al almacenamiento estructurado de los datos.
  2. En el acceso a la información estructurada.
  3. Al extraer información consolidada para su tratamiento.

RGPD

Previamente al almacenamiento estructurado, y en el contexto de la protección de datos desde el diseño y por defecto que nos exige el reglamento, debemos tener bien definidos los procesos de captación y almacenamiento seguro de la información. Si la información la va a almacenar un sistema de gestión de base de datos (SGBD), deberemos ver qué medidas de seguridad podemos implantar en dicho sistema, que típicamente nos podrá aportar las medidas técnicas necesarias.

Pero si parte de la información va a almacenarse fuera del control del SGBD, probablemente la mejor aproximación para garantizar cifrado, gestión de permisos y control de acceso, y registro del uso de la información, sea implantar una solución IRM. En esta fase, además, las herramientas de clasificación de la seguridad de la información toman especial relevancia.

Así cuando accedemos a la información ya estructurada, dependiendo de la naturaleza de los datos tendremos diferentes mecanismos de control y protección, bien proporcionados por el SGBD bien por el IRM.

Finalmente, cuando extraemos información consolidada para su tratamiento, es frecuente que manejemos los datos ya fuera del control del SGBD, por lo que en esta fase el IRM toma especial relevancia, ya que facilita el cumplimiento de los requisitos que GDPR impone explícitamente al responsable o el encargado del tratamiento:

  • Mantener registro de las actividades de tratamiento de los datos.
  • Implantar medidas técnicas como el cifrado para mitigar riesgos.

Complementando estos dos requisitos que impone el reglamento, un IRM además nos garantiza que solo las personas autorizadas para ello podrán acceder al contenido de la información, independientemente de dónde esté el archivo. Esto cobra especial importancia en esta fase ya que es habitual que el tratamiento de los datos esté externalizado a empresas proveedoras de servicios, que consumirán la información fuera del perímetro más controlado de nuestra empresa. En este contexto, es importante recordar que tanto el propietario de los datos, como los encargados de su tratamiento, tienen responsabilidad directa sobre la seguridad de dicha información y del cumplimiento de GDPR.

En resumen, el cumplimiento de GDPR requiere la involucración de la alta dirección de las empresas para impulsar políticas de seguridad de la información y transformación de procesos, que deben ir acompañados de herramientas que completen el conjunto de medidas técnicas y organizativas que posibiliten el cumplimiento. Entre estas herramientas, el IRM es una pieza fundamental especialmente para la protección de información que no se almacena directamente en base de datos, y, sobre todo, para permitir el tratamiento de los datos de forma segura y con la trazabilidad requerida. Dentro de este tipo de tecnologías Prot-On es una solución IRM que además aporta funcionalidades de clasificación de la información, prevención de fuga de datos y control de versiones e integridad de los archivos protegidos.

Óscar Maire-Richard

Prot-On Founder & Product Manager

IRM

 

Comments

Comentarios desactivados