PROFESSIONALS EN PROTECCIÓ DE DADES

ANÀLISI DE RISCOS, obligatori segons el RGPD

On mar 15, 2018

ANÀLISI DE RISCOS, obligatori segons el RGPD

Segons el RGPD (Reglament General de Protecció de Dades) totes les empreses, sense excepció, han de realitzar l’anàlisi de riscos.

L’anàlisi de riscos és un estudi metòdic i sistemàtic en el qual s’utilitzen mètriques per quantificar el grau de risc de vulnerabilitat informàtica i les possibles bretxes de seguretat, per poder implementar les millors solucions per minimitzar els riscos.

Tant l’anàlisi de riscos com les solucions establertes, s’han de fer tenint en compte l’estat de la tècnica. És a dir, implementar mesures de seguretat que siguin capaces d’impedir o bloquejar atacs informàtics actuals, amb un sistema de seguretat actual i no obsolet.

El RGPD exigeix ​​una actualització constant de l’anàlisi de riscos. Es recomana establir una metodologia periòdica i objectiva per analitzar i detectar els canvis tecnològics de l’empresa.

Segons el RGPD, les empreses són les que han d’identificar les mesures de seguretat que s’aplicaran al tractament de les seves dades.

Fases que es podrien tenir en compte per implementar una política de riscos:

  • COMUNICACIÓ: involucrar tota l’organització, identificar riscos i probabilitats que els mateixos es materialitzin, establir prioritats i objectius, conscienciació i formació del personal.
  • CONTEXT: definir el marc en el qual es desenvolupa la política d’anàlisi de riscos tenint en compte normatives aplicables, riscos acceptables i el mapa d’elements implicats en els tractaments de dades personals (actius).
  • IDENTIFICAR RISCOS: elaboració del mapa de riscos de l’organització, quantificar possibles danys.
  • ANALITZAR I AVALUAR EL RISC: mitjançant escales quantitatives o qualitatives s’estableixen valors objectius per a cada risc.
  • GESTIONAR EL RISC: determinar per a cada risc les salvaguardes aplicables tenint en compte la relació cost-benefici que pugui existir en cada cas.
  • SEGUIMENT DEL RISC: auditories, informes, incorporació d’actius, en general qualsevol canvi que impliqui una modificació del risc i les seves salvaguardes corresponents.

L’anàlisi de riscos en el RGPD forma part del principi de responsabilitat proactiva (accountability) pel qual els responsables han d’estar sempre en condicions de demostrar la licitud dels tractaments.

  • By adminass  0 Comments