¿Conocemos los riesgos a los que hacemos frente con el nuevo RGPD?
Con la inminente entrada en aplicación de la Directiva Europea de Protección de Datos, RPGD, parece cuanto menos interesante hacernos un sencillo auto-chequeo de nuestra propia situación como organización respecto a algunas de sus consideraciones más conocidas; aunque solo sea para determinar hasta que punto nos encontramos familiarizados con ellas o incluso si tenemos implantadas parte de las medidas que son necesarias para su cumplimiento y, en último término, como forma de entender los riesgos que asumimos respecto a los datos que manejamos y los sistemas que operamos.
Las siguientes diez preguntas solo persiguen hacernos reflexionar sobre esos riesgos y en consecuencia proporcionarnos un primer diagnóstico de nuestras debilidades ante un posible incidente de seguridad. No se nos oculta que este tipo de ejercicios tiene mucho de superficial, cuando no incluso de cierta complacencia, sin embargo, contribuyen a la concienciación. Al menos, al seguirlo habremos reflexionado, aunque solo sea por unos minutos sobre lo que significan los riesgos informáticos.
Oí alguna vez a alguien cuando entraba en un aula para realizar un examen de una asignatura que estaba cursando decir a modo de broma: “!Que Dios reparta suerte porque como reparta justicia…!”. A nosotros solo nos falta decir: ¡Suerte con la autoevaluación! Por cierto, una puntuación de 5 no significa haber aprobado.
SI/NO | Evaluación de riesgos operacionales |
¿Conoce la reglamentación europea sobre privacidad de los datos personales tanto en los aspectos de tratamiento como de almacenamiento y distribución? | |
¿Sabe qué información guarda su empresa de sus clientes? ¿Cómo y dónde está almacenada? (incluyendo servicios en la nube) | |
¿Ha puesto en prácticas alguna técnica para cifrar la información o destruirla? | |
¿Tiene definido el procedimiento para notificar a sus empleados, accionistas, clientes y organismos públicos y reguladores sobre un incidente de seguridad con los datos que maneja? | |
¿Dispone de los medios para responder a un incidente de seguridad? ¿Tiene identificado un proveedor de servicios de ciberseguridad que en tal caso pueda asesorarle? | |
SI/NO | Evaluación de riesgos en sus relaciones con terceras partes |
¿Utiliza los servicios de algún proveedor externo que pueda tener impacto sobre los datos que usted gestiona? | |
¿Tiene implantados mecanismos de acceso privilegiado a los datos? ¿Puede saber en cada momento quién ha accedido a qué (registro de actividad)? | |
¿Revisa periódicamente la seguridad de su infraestructura a través de una auditoría externa? | |
¿Considera que se encuentra suficientemente protegido ante un ataque de negación de servicio? | |
¿Dispone de medidas de seguridad perimetral y de protección del puesto de trabajo? ¿Tiene implantado un sistema de copias de seguridad? ¿Están esas copias cifradas? |