¿El GDPR está bien o es una multa? El salto de la Preparación Mínima Viable (PMV) a las Medidas Mínimas Defendibles (MDM)

Muchas organizaciones adoptaron lo que se describe mejor como un enfoque MVP (Preparación Mínima Viable) en el período previo a la entrada en vigor del RGPD en mayo de 2018. Esto era comprensible dada la falta general de orientaciones claras, el coste y los trastornos de los preparativos en profundidad, la incertidumbre sobre el impacto del Brexit y los mensajes contradictorios sobre la aplicación.

No ocurrió gran cosa durante un año, durante el cual a muchos les pareció que MVP había sido la decisión correcta. Sin embargo, las sanciones recientemente propuestas para BA y Marriot (183 y 92 millones de libras, respectivamente), parecen haber empujado bruscamente a la organización a reevaluar ese enfoque y a examinar de nuevo su postura en materia de cumplimiento.

El GDPR afecta a varios ámbitos: Por ejemplo, los derechos de los interesados, la seguridad de los datos, la legalidad del tratamiento, e interactúa con el marketing (PECR). Aunque sería deseable abordar todas estas cuestiones, ¿dónde deberían centrar primero las organizaciones sus renovados esfuerzos? Hasta ahora, las multas realmente importantes que se han propuesto están relacionadas con la seguridad de los datos y las violaciones de los datos personales. Esto tiene sentido, ya que aunque la legalidad del tratamiento es muy importante, la pérdida negligente de datos personales en las profundidades de la web oscura es calamitosa. Esto es así tanto si el tratamiento era lícito como si no.

El propio Reglamento no es tan específico en cuanto a la forma en que las organizaciones deben proteger los datos personales. Con la excepción de nombrar literalmente un puñado de tecnologías, optaron en su lugar por el cajón de sastre «medidas técnicas y organizativas apropiadas»: el «Principio de Seguridad». Se diseñó para eliminar la defensa de la lista de comprobación y para que se mantuviera siempre vigente como orientación y como prueba normativa. En la práctica, significa que si se produce una violación, tienes que poder demostrar que tu seguridad era adecuada a los riesgos de tu tratamiento de datos y al entorno de amenazas actual. Teniendo esto en cuenta, vemos que las organizaciones están adoptando una mentalidad más de MDM (Medidas Mínimas Defendibles).

Lo que nos lleva a un área clave de defensa: El cortafuegos. «Todo el mundo tiene un cortafuegos». El problema es que los cortafuegos tradicionales funcionan en la capa de red, pero la mayoría de los hackeos se producen ahora en la capa de aplicación. Los cortafuegos de red tradicionales no pueden inspeccionar estas amenazas, por lo que no saben bloquearlas. Un WAF sí puede. Incluso el tráfico cifrado.

Un WAF es un Cortafuegos de Aplicaciones Web.

Son adecuados, rentables y funcionan. Yo recomendaría encarecidamente uno. Además, los nuestros son muy fáciles de usar.

edgeNEXUS facilita notablemente la creación, la seguridad y el mantenimiento de una experiencia excepcional de entrega de aplicaciones.

La complejidad es para el código fuente. No para la interfaz de usuario.

edgeNEXUS facilita notablemente la creación, la seguridad y el mantenimiento de una experiencia excepcional de entrega de aplicaciones.

 

 

 

 

 

 

 

 

 

 

About John Payne