Por qué la seguridad y el cumplimiento son un problema de todos tras el GDPR
El mes pasado, conocimos las caras detrás de nuestro equipo de seguridad Mitratech. Pero estas personas son algo más que un equipo de seguridad, son motivadores con una única misión: capacitar a todo el mundo para que asuma la responsabilidad de su propia seguridad y cumplimiento.
En GDPR en pleno apogeo, hemos querido volver a hablar con nuestros propios expertos internos en seguridad de datos para debatir las ideas erróneas más comunes en materia de seguridad y cumplimiento, por qué nunca debemos dar por sentada la seguridad y qué está haciendo nuestra empresa para asegurarnos de que cumplimos el GDPR y protegemos los datos de nuestros clientes en todo el mundo.
Sin más preámbulos, esto es lo que Marc Kajiwara, Director de Seguridad y Cumplimiento de Mitratech, y Dakota Wright, Analista de Seguridad II, tenían que decir sobre el tema.
P: ¿Cuáles son algunos de los errores más comunes en materia de seguridad y cumplimiento de la normativa?
Marc: En primer lugar, aunque siempre estamos dispuestos a ayudar, la gente no puede simplemente confiar en un equipo de seguridad para manejar la seguridad. Todo el mundo debe ser consciente de ello y ocuparse de su propia seguridad.
Los empleados son los mejores protectores de una organización y todos deben sentirse capacitados para protegerse a sí mismos, y a su empresa, como lo harían con la puerta de su casa. Todos deben bloquear sus ordenadores y establecer contraseñas, igual que bloquearían la puerta de su casa.
Básicamente, queremos que todo el mundo sienta que la seguridad forma parte de su vida y se sienta dueño de su propia seguridad. Quiero que la gente se sienta capacitada como parte de un programa de seguridad.
Además, en un nivel básico, la seguridad no es realmente técnica ni difícil. Cuanto más entiendas hasta qué punto tú -como individuo- proteges todo, mejor será un equipo de seguridad.
Ojalá más gente asemejara la seguridad electrónica a cómo se hacen las cosas en el mundo real. Por ejemplo, no aceptes caramelos de desconocidos, no aceptes paquetes de gente que no conoces y no dejes tu casa con la puerta sin cerrar. Muchas personas desconectan de este sentido común básico cuando están en el ámbito de la seguridad.
P: Como función de un producto, a veces la seguridad puede darse por sentada. Por qué no debemos dar nunca por sentada la seguridad?
Marc: La verdad es que la seguridad no siempre está incluida. Aunque ahora se suele pensar que es algo que todo el mundo debería hacer, hace 5-10 años no era así.
La seguridad es como ir al dentista: debemos ser proactivos. Al igual que con el dentista, si sigues yendo a revisiones y limpiezas periódicas, no acabas teniendo un montón de endodoncias y otras cosas que hay que hacer. Sin embargo, si esperas demasiado, es mucho más difícil añadirlo después que hacerlo desde el principio.
La siguiente etapa consiste en integrar la seguridad en todas las fases de un producto. Desde el diseño, pasando por cómo proteger el producto y lo que es importante, hasta los procesos que forman parte del desarrollo. Debemos probar, escanear y validar cada producto en la medida de lo posible antes de lanzarlo al mercado.
Piense en ello. Cuando te levantas por la mañana, te duchas, desayunas, quizá te subes al coche. Es una rutina. Las operaciones de seguridad deberían formar parte de la rutina. Cuanto más lo hagamos, mejor será la postura de seguridad de una empresa. Por ejemplo, si dedicamos el 10% del tiempo de desarrollo a asegurarnos de que un producto funciona, deberíamos dedicar el 10% del tiempo de desarrollo a probar la seguridad.
P: ¿Puede hablarnos un poco más sobre su trabajo con el GDPR? Qué están haciendo para asegurarse de que estamos preparados?
Marc: Sinceramente, Mitratech está sobradamente preparada para el GDPR. La alineación entre marketing, ventas y seguridad, así como la comunicación en toda la organización y los conocimientos sobre el GDPR han sido excelentes.
Trabajamos duro para asegurarnos de que todo el mundo sabe dónde están los documentos que necesita y a quién dirigir a alguien con una pregunta sobre el GDPR. Queremos que todo el mundo pueda decir que sí, que estamos preparados y que contamos con los procesos adecuados.
Dakota: Para el RGPD, lo primero que hicimos fue crear nuevas políticas que lo respaldaran. Analizamos toda la organización para ver qué datos teníamos, dónde estaban y dónde había agujeros que tuviéramos que tapar.
Aparte del proyecto, lo más importante es que todo el mundo sepa lo que tiene que hacer. También nos centramos mucho en la comunicación e intentamos concienciar a nuestros empleados y clientes. Tenemos el Centro de Recursos GDPR para ayudar a comunicar estos cambios a nuestros clientes.
Más información sobre nuestros superhéroes de la seguridad y el cumplimiento aquí.