El CDO tiene como misión principal explotar los datos de la organización para extraer de ellos todo su valor como uno de los principales activos de la organización. Y como responsable de su ciclo de vida, debe asegurar que se dispone de mecanismos para controlar los datos y evitar su pérdida.
En primer lugar, es preciso identificar las regulaciones, auditorías y controles por los que se rige la organización, siempre dependientes del sector de actividad en el que se encuadre. Nosotros nos centraremos en el GDPR, que sin duda será el reglamento con mayor ámbito de aplicación.
Lo siguiente será descubrir, buscar y clasificar los datos personales que gestione la organización. Recordemos brevemente que el GDPR establece una serie de datos como sensibles por ser de categorías especiales. En este caso, lo ideal sería contar con herramientas que precisamente se encarguen de la inspección de la información gestionada y nos faciliten esa labor. En este sentido, en Office 365 contamos con una herramienta denominada Content Search que permite localizar determinados contenidos en buzones de correo, documentos almacenados en OneDrive o SharePoint, conversaciones en Skype Empresarial, o contenido en Teams y Grupos de Office 365. Sin límite de localizaciones ni de búsquedas simultáneas.
A continuación, clasificaremos la información empleando un esquema de clasificación ya existente, identificando también escenarios y casos de uso: datos estrictamente personales, de uso público, datos destinados a la identificación (DNI, pasaporte nº de seguridad social…), datos vinculados al departamento de RR HH, los datos confidenciales y los altamente confidenciales (passwords, código fuente, informes financieros… por poner algunos ejemplos). Como responsables de la estrategia y gestión de datos y gobernanza, el GDPR nos obliga a revisar los procesos actuales con el fin de asegurar la conformidad, definiendo políticas, roles y responsabilidades para el acceso.
Lo siguiente será aplicar la protección adecuada a la información, aplicando tecnologías DLP (Data Loss Prevention) que nos permitan identificar, monitorizar y proteger de forma automática la información. Estableceremos en principio tres niveles de protección: sensibilización (con avisos, mostrando políticas, formación…), evitando un posible intercambio con el exterior y evitando el intercambio tanto interno como externo.
Como nuestra misión también tendrá que ser proactiva, habrá que monitorizar posibles fugas de datos personales, tanto en lo referente al uso como a su exportación. Hay que tener en cuenta las posibles justificaciones de los usuarios en determinados escenarios, los horarios en los que tienen lugar esos accesos o transmisiones, e identificar los procesos que vulneran las políticas de DLP de la organización.
Para todo ello lo ideal será contar con un Gestor de Cumplimiento (Compliance Manager) que se encargue de proporcionar las herramientas, la propia implementación de políticas y la gestión de auditorías para alcanzar la conformidad con el reglamento GDPR.
Además, es necesario un centro de control para asignar, rastrear y registrar actividades relacionadas con el cumplimiento y la evaluación, que nos proporcione un repositorio seguro donde añadir y administrar evidencias relacionadas con las actividades de cumplimiento. Y, por otro lado, que genere informes detallados que documenten las actividades de cumplimiento realizadas por la organización y que se puedan proporcionar a auditores, reguladores y otras partes interesadas en el cumplimiento.
Esta metodología coincide con las cuatro fases que desde Microsoft proponemos para el cumplimiento regulatorio del GDPR: detectar, gestionar, proteger e informar. ¿Necesitamos ayuda y tecnología para abordarlo? Lo veremos en nuestra próxima entrega…
