¿Cómo pueden los CIOS prepararse para una auditoría GDPR en un entorno Linux?
El Reglamento General de Protección de Datos (The General Data Protection Regulation «GDPR») es un conjunto de normas de privacidad de datos de consumo que aplica directrices comunes a las empresas en toda la UE. Plantea un problema inminente para los CIO´s. La fecha de aplicación es mayo de 2018, momento en el cual las empresas deben cumplir o enfrentar multas significativas. No estamos hablando sólo de empresas de la UE. De acuerdo con la información que se puede encontrar en la web sobre las regulaciones: «El GDPR no sólo se aplica a las organizaciones ubicadas dentro de la UE, sino que también se aplicará a las organizaciones situadas fuera de la UE si ofrecen bienes o servicios, o supervisan el comportamiento de información de datos provenientes de la UE. Se aplica a todas las empresas que procesan y conservan los datos personales de los interesados residentes en la Unión Europea, independientemente de la ubicación de la empresa».
¿Cómo pueden los CIOs prepararse de tal manera para evitar una auditoría de cumplimiento GDPR en un entorno Linux?
Hadoop, OpenStack y los instaladores de computación de alto rendimiento y de hipervisor facilitan la construcción de mega clústeres de Linux y tratan con un fallo de nodo razonablemente simple. Sin embargo, el cumplimiento del GDPR puede no ser tan fácil, incluso para entornos Linux. Con una multa mínima de por lo menos 20 millones de dólares, que se avecina para una violación GDPR, privacidad y cifrado de datos es importante y debe ser una parte clave de su planificación de cumplimiento GDPR. Sin embargo, los CIO´s también deben tratar con la infraestructura de datos y proporcionar una documentación clara de cómo el software manipula, agrega y anonimiza los datos de los consumidores en una auditoría. La forma en que los auditores llevarán a cabo su revisión del almacenamiento y manipulación de datos relacionados con la gente de su organización debería ser igualmente importante a medida que moldea sus medidas de privacidad y seguridad.
Aquí hay cuatro mejores prácticas a considerar:
1. Optimizar los administradores certificados. Una auditoría debe demostrar cómo se almacenan los datos personales y cómo se manipulan los datos. Por lo tanto, debe identificar quién en su personal puede crear, cambiar o iniciar sesión en estas cuentas específicas de la aplicación o, la cuenta raíz del sistema operativo. Para solucionar este desafío, existen grandes herramientas de software de clústeres de datos o HPC con modelos de instalación y despliegue específicos que sugieren plantillas estándar para la instalación. La mejor práctica dicta el uso de desafíos de autenticación de múltiples factores cuando se conectan y se mueven de nodo a nodo para probar que son una persona real, no un par de contraseña.
2. Incorporar una plataforma SIEM para mejorar la presentación de informes. Los clústeres pueden generar un número abrumador de archivos de registro. Un sistema operativo, una aplicación o el visor de registro del gestor de clúster sólo mostraría los segmentos de un evento típico. Al incorporar una plataforma de información de seguridad y gestión de eventos (SIEM), tiene una forma más eficiente de realizar un seguimiento de los eventos corelacionados. Enviar todos los registros a todos los niveles a su empresa SIEM es más seguro, más completo y puede ser parte de la responsabilidad de otro equipo de crear informes.
3. Facilitar la tarea de los auditores. Si tarda más de dos días en que un miembro del equipo ayude a los auditores durante un ciclo de auditoría, no lo está haciendo fácil para los auditores. Eso podría resultar en un mayor escrutinio. Lo mejor es centrarse en «lo que realmente sucedió» proporcionado por un informe SIEM, que interrumpir el funcionamiento de su clúster de datos.
4. Piensa más allá de la privacidad. Al planificar el cumplimiento de GDPR, un enfoque en la privacidad de datos sólo puede ser problemático. La exposición de las soluciones de software de datos grandes «sin usuarios» es vulnerable a pequeños equipos de personal administrativo que pueden subvertir fácilmente las plataformas técnicas del clúster. Podemos aprender de la industria de servicios financieros sobre cómo cumplir con los requisitos de cumplimiento en entornos Linux.
Mediante la implementación de estas práctica, los bancos internacionales han pasado ciclos de auditoría trimestrales similares con facilidad en plataformas Linux durante tres décadas, y clústeres de previsión de datos durante los últimos 15 años.
Fuente:
goo.gl/saHCiK