Mucho se habla en los últimos meses sobre la protección de datos. Tras la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) resulta interesante chequear nuestra empresa para ver nuestra propia situación como organización respecto a algunas de sus consideraciones más conocidas, para ver si estamos familiarizados con ellas o si la tenemos implantad. En último término, como forma de entender los riesgos que asumimos respecto a los datos que manejamos y los sistemas que operamos.

Autoevaluación para cumplir el RGPD

La empresa española en materia de ciberseguridad, All4sec, nos recomienda autoevaluarnos contestando al menos a diez preguntas que han preparado con un si o un no. Gracias a este formulario, podremos reflexionar sobre estos riesgos y en consecuencia proporcionarnos un primer diagnóstico de nuestras debilidades ante un posible incidente de seguridad.

“No se nos oculta que este tipo de ejercicios tiene mucho de superficial, cuando no incluso de cierta complacencia, sin embargo, contribuyen a la concienciación. Al menos, al hacerlo habremos reflexionado, aunque solo sea por unos minutos sobre lo que significan los riesgos informáticos”, explica Juanjo Galán, Business Strategy de All4Sec.

SI/NO Evaluación de riesgos operacionales
  ¿Conoce la reglamentación europea sobre privacidad de los datos personales tanto en los aspectos de tratamiento como de almacenamiento y distribución?
  ¿Sabe qué información guarda su empresa de sus clientes? ¿Cómo y dónde está almacenada? (incluyendo servicios en la nube)
  ¿Ha puesto en prácticas alguna técnica para cifrar la información o destruirla?
  ¿Tiene definido el procedimiento para notificar a sus empleados, accionistas, clientes y organismos públicos y reguladores sobre un incidente de seguridad con los datos que maneja?
  ¿Dispone de los medios para responder a un incidente de seguridad? ¿Tiene identificado un proveedor de servicios de ciberseguridad que en tal caso pueda asesorarle?
SI/NO Evaluación de riesgos en sus relaciones con terceras partes
  ¿Utiliza los servicios de algún proveedor externo que pueda tener impacto sobre los datos que usted gestiona?
  ¿Tiene implantados mecanismos de acceso privilegiado a los datos? ¿Puede saber en cada momento quién ha accedido a qué (registro de actividad)?
  ¿Revisa periódicamente la seguridad de su infraestructura a través de una auditoría externa?
  ¿Considera que se encuentra suficientemente protegido ante un ataque de negación de servicio?
  ¿Dispone de medidas de seguridad perimetral y de protección del puesto de trabajo? ¿Tiene implantado un sistema de copias de seguridad? ¿Están esas copias cifradas?

 

Un cuestionario que nos puede llevar muy poco tiempo responder pero que puede ser de gran ayuda para cumplir el RGPD.