El próximo mes de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos (GDPR), las empresas con sede en Europa o que tienen datos personales de personas que residen en Europa. están luchando por proteger la información y ordenar los datos intentando encontrar sus activos más valiosos en la organización: sus datos confidenciales.

Algunas empresas y compañías que se preocupan en proteger la información y ordenar los datos, disponen de gran cantidad de ellos, ya que los están produciendo a un gran ritmo, guardando, cambian, y compartiendo archivos. De esta forma crean terabytes e incluso petabytes de datos. Lo complejo para estas empresas es encontrar sus datos confidenciales en millones de archivos, en datos estructurados y no estructurados, algo que resulta muy complejo realizar.

Los siguientes datos de identificación personal se clasifican como PII, definición utilizada por el NIST, Instituto Nacional de Estándares y Tecnología:

o Nombre completo
o Domicilio o Dirección de correo electrónico
o Número de identificación nacional o Número de pasaporte
o Dirección IP (cuando está vinculado, pero no PII solo en EE. U.U.)
o Número de licencia de conducir
o Tarjeta de crédito números.
o Identidad digital.
o Fecha de nacimiento.
o Lugar de nacimiento.
o Información genética.
o Número de teléfono.
o Cara, huellas dactilares o escritura.

Las organizaciones que en su gran mayoría poseen PII de ciudadanos europeos, necesitan la detección y protección contra cualquier violación de datos PII, y la eliminación de PII (a menudo referido como el derecho a ser olvidado) de los datos de la compañía.

Para posibilitar que estas empresas que poseen PII de ciudadanos europeos faciliten un flujo libre de PII dentro del mercado europeo, necesitan proteger la información y ordenar los datos, identificarlos y categorizarlos de acuerdo con el nivel de sensibilidad de su política organizacional.

Etapa 1: Detección para proteger la información y ordenar los datos

En primer lugar deben de crear un linaje de datos que permita comprender dónde se envían sus datos PII a toda la organización y ayudará a los responsables de la toma de decisiones a detectar tipos específicos de datos. La UE recomienda obtener una tecnología automatizada, de esta manera se podrá manejar grandes cantidades de datos, escaneándolos de forma automática.

La principal preocupación para estas organizaciones es que, si no pueden evitar las infracciones de datos, no cumplirán con la nueva reglamentación RGPD de la UE y exponerse a importantes multas.

Deben designar empleados específicos que serán responsables de todo el proceso, como un Delegado de Protección de Datos (DPD) que maneja principalmente las soluciones tecnológicas, un Director de Gobernanza de la Información (CIGO), generalmente es un abogado el responsable del cumplimiento, y / o un Oficial de Riesgo de Cumplimiento (CRO). Esta persona debe poder controlar todo el proceso de principio a fin, y ser capaz de proporcionar a la administración y a las autoridades una transparencia total.

Etapa 2: Categorización para proteger la información y ordenar los datos.

Esta fase consiste en acciones de minería de datos entre bastidores, creadas por un sistema automatizado. El DPD / controlador o el responsable de la toma de decisiones de seguridad de la información debe decidir si bloquear los datos, rastrear una determinada información o enviar alertas de una violación de datos. Para realizar estas acciones, necesita ver sus datos en categorías separadas.

El DPD también es necesario para mantener la visibilidad de los datos en numerosas fuentes y para presentar rápidamente todos los archivos relacionados con una determinada persona según entidades específicas como: nombre, fecha de nacimiento, número de seguro social, número de tarjeta de créditos, teléfono, dirección de correo electrónico, etc.

En caso de una violación de datos, el DPD informará directamente al más alto nivel de gestión del controlador o del procesador, o al oficial de seguridad de la información que será responsable de informar este incumplimiento a las autoridades pertinentes.
El artículo 33 de la UE RGPD exige que se informe de esta infracción a las autoridades en un plazo de 72 horas.

Una vez que el DPD identifica los datos, el próximo paso debe ser etiquetar / etiquetar los archivos de acuerdo con el nivel de sensibilidad definido por la organización.
Cumpliendo la normativa, los archivos de las organizaciones deben etiquetarse con precisión para que estos archivos puedan rastrearse en las instalaciones e incluso cuando se compartan fuera de la organización.

Etapa 3: Conocimiento para proteger la información y ordenar los datos.

Una vez etiquetados los datos, puede mapear información personal en redes y sistemas, estructurados y no estructurados, y puede rastrearse fácilmente. De esta forma permite a las organizaciones proteger sus datos confidenciales y permitir que sus usuarios finales usen y compartan archivos de manera segura.

Es importante también proteger la información confidencial de las amenazas internas, es decir, los empleados que intentan robar datos confidenciales, como contactos, tarjetas de crédito, etc., o manipulan los datos para obtener algún beneficio. Estas acciones son difíciles de detectar a tiempo sin un seguimiento automático.
La integración de una tecnología de cifrado permite al controlador rastrear y monitorear datos, y al implementar un sistema interno de segregación física, puede crear un geo-cercado de datos a través de definiciones de segregación de datos personales, dominios cruzados e informes sobre violaciones de uso compartido una vez que esa regla. Utilizando esta combinación de tecnologías, el controlador puede permitir a los trabajadores enviar mensajes de forma segura a través de la organización, entre los departamentos correctos y fuera de la organización sin que se bloqueen en exceso.

Etapa 4 – Inteligencia Artificial (AI) para proteger la información y ordenar los datos.

Después de escanear los datos, etiquetarlos y rastrearlos, un valor superior para la organización es la capacidad de seleccionar automáticamente el comportamiento de los datos confidenciales y desencadenar medidas de protección para evitar que estos eventos se conviertan en un incidente de violación de datos. Hablamos de la «Inteligencia Artificial» (IA). Aquí, la función IA generalmente está compuesta por un componente de reconocimiento de patrones y un mecanismo de aprendizaje sólidos para permitir que la máquina tome estas decisiones o, al menos, recomendar al oficial de protección de datos el curso de acción preferido. Esta inteligencia se mide por su capacidad de obtener más información de cada exploración y la entrada del usuario o los cambios en la cartografía de datos. Eventualmente, la función IA construye las organizaciones

Si necesita más información, puede ponerse en contacto con nosotros para lo que estime oportuno en nuestro teléfono 948183311 o en ticna@ticna.es.