Herramientas imprescindibles para el cumplimiento de GDPR
GDPR requiere un enfoque integral de la seguridad de la información, el cumplimiento, la gobernabilidad y el riesgo. Las herramientas de seguridad son una pieza del rompecabezas dentro del cumplimiento de GDPR, una pieza bien importante a la hora de proteger la privacidad de los datos del consumidor.
Mostramos a continuación ocho herramientas de seguridad que ayudan al cumplimiento de GDPR:
1. Descubrimiento y clasificación de datos
GDPR abarca todo sobre privacidad y protección de datos, pero para proteger la privacidad de los datos de los ciudadanos de la UE, se necesita saber qué tipo de datos poseen las organizaciones. Una herramienta de descubrimiento y mapeo de datos ayuda a encontrar cualquier dato, clasificarlo e identificar su nivel de riesgo.
Es posible que haya datos altamente confidenciales y que puedan tener asociado un alto riesgo si se filtran o son robados.
Los datos personales sensibles pueden incluir:
• Números de tarjetas de crédito.
• Fechas de nacimiento
• Números de tarjetas bancarias
• Códigos de salud.
• Números de identificación: DNI, pasaporte, carnet de conducir
• Números de seguridad social
• Nombres, direcciones, números de teléfono
• Campos financieros (salario, tarifa por hora, …)
• IPs (porque a partir de la IP se puede identificar a una persona)
Incluso puede llegar a contarse con gran cantidad de información que no contenga datos personales, y que pueda usarse como puerta de entrada para los hackers para acceder a datos confidenciales.
Es esencial contar con una herramienta de mapeo o descubrimiento de datos para poder clasificarlos en alto, medio y bajo riesgo.
2. Cifrado o enmascaramiento de datos
El cifrado codifica los datos para que sólo un usuario conozca la clave criptográfica y pueda acceder a ellos. Los datos se pueden cifrar tanto si están en tránsito o en uso. Las compañías suelen optar por el cifrado de los datos confidenciales en una base de datos, como tarjetas de crédito o datos personales. Los datos de pago en tránsito se encriptan mediante Secure Socket Layers (SSL), para así proteger los datos personales del comprador.
El cifrado hace que sea mucho más difícil para los hackers establecer una conexión entre los datos y el subject. Además, si se usa cifrado para proteger los datos y ocurre una brecha de datos, es posible que las autoridades reguladoras de la UE lo consideren como un elemento atenuante.
3. Gestión de incidentes y eventos de seguridad
Según el artículo 30 de GDPR, los controladores y procesadores de datos deben mantener un registro de todas las actividades de procesamiento. Una herramienta SIEM puede ayudar a abordar este proceso, al recopilar datos y registrar la actividad. Agrega datos de logs de sistemas, redes y aplicaciones y permite a una organización correlacionar esos eventos con el fin de detectar actividades maliciosas.
Muchas herramientas de SIEM se pueden alinear con los requisitos de GDPR y sus políticas de seguridad. Se puede crear un panel de control para que los analistas de seguridad lo revisen y supervisen. Un equipo de seguridad también utiliza los registros de SIEM para identificar patrones, detectar comportamientos maliciosos y crear alertas procesables sobre incidentes de seguridad.
4. Las herramientas de Gestión de vulnerabilidades y el cumplimiento
Según informes recientes, casi el 60% de las organizaciones que sufrieron una violación de datos en los últimos dos años, mencionan como principal culpable a la falta de actualización del software. Al incluir GDPR sanciones por brechas de datos, está claro que la gestión de vulnerabilidades es una pieza esencial a la hora de garantizar el cumplimiento.
Las herramientas de Vulnerability and Compliance Management (VCM) analizan la red en busca de agujeros de seguridad y crean un plan de acción y una hoja de ruta para remediación de redes, aplicaciones y datos.
Estas herramientas ayudan por un lado a alinear las políticas de seguridad con reglamentaciones bien conocidas de la industria, como HIPAA, PCI DSS, GLBA, FFIEC, SOX, etc. y por otro, a saber qué tipos de vulnerabilidades le impiden cumplir con estas regulaciones.
5. Next-Generation Endpoints
Los Endpoints como portátiles y puestos de trabajo, representan el porcentaje más alto de infecciones de malware y ransomware. Los empleados son el elemento más débil de la cadena y se convierten en puerta de entrada al abrir archivos adjuntos maliciosos provenientes de phishing y abriendo así las puertas a posibles amenazas avanzadas.
Los Next-Gen Endpoint Plataforms (EPPs) van un paso más allá de las soluciones de antivirus tradicionales. Cuentan con aprendizaje automático avanzado que permite evitar malware, ransomware e incluso ataques zero day. Los EPPs pueden conocer también el comportamiento de los Endpoints de una compañía, identificando comportamientos maliciosos sin necesidad de consultar una base de datos de firmas.
6. Data Loss Prevention
El Estudio de Protección de Datos del Instituto Ponemon, informa que las organizaciones lidian con un promedio de 20 incidentes de pérdida de datos al día. El mismo estudio afirmó que una fuga de datos de 100.000 registros de clientes podría costarle a la compañía más de 21 millones de dólares.
La pérdida de datos puede ocurrir de muchas maneras. No sólo son los hackers quienes pueden filtrar datos; sino los propios empleados, actuales o antiguos, pueden estar implicados en este tipo de delitos. De hecho, casi el 85 por ciento de los empleados que salen de compañía o que son despedidos, roban datos de la misma. Las herramientas de Data Loss Prevention (DLP), nos ayudan a proteger nuestra compañía del robo de datos confidenciales.
Otra herramienta importante a considerar relativa a cumplimiento de GDPR son las soluciones de Data masking, enmascaramiento de datos. Enmascarando datos sensibles y evitando accesos no autorizados a insiders. Y lo hacen proporcionando datos ficticios en lugar de los datos reales, pudiéndose así llegar a completar un trabajo crítico, pero con datos ficticios.
7. Security automation & Orcherstration
La falta de recursos y talento en ciberseguridad aumentan la necesidad de soluciones de automatización y orquestación. Estas soluciones crean eficiencias al permitir la creación de workflows de trabajo y automatización del conocimiento a través de best-practice templates. Estas best-practices se diseñan de manera que se hacen coincidir las políticas de seguridad con el cumplimiento de GDPR.
Por ejemplo, en empresas que manejan datos personales de ciudadanos de la UE, se podría crear una regla automática que verificase que las políticas de seguridad en los Endpoints de los empleados estén configuradas correctamente.
8. Respuesta a Incidentes y Case Management
Las organizaciones han implementado un marco de seguridad cibernética que incluye las funciones de ‘proteger, detectar, responder y recuperar’. Las funciones de respuesta y recuperación son clave para el cumplimiento de GDPR debido a los requisitos de notificación de incumplimiento descritos en el Artículo 33. Las organizaciones deben informar de una brecha de datos que impacte negativamente a ciudadanos de la UE, dentro de las 72 horas siguientes.
Es de vital importancia para cualquier organización contar con un plan de respuesta a incidentes, bien documentado y actualizado, así como una herramienta de administración de casos. Una solución de respuesta a incidentes y de administración de casos nos ayuda a registrar cualquier actividad maliciosa que ocurra dentro de la red y a crear una visualización de principio a fin de una cadena de ataques. Cuando haya que informar de un incumplimiento a las autoridades de la UE, es mejor contar con un plan sistemático y que pueda explicar exactamente qué sucedió y cómo se abordará en el futuro esta misma situación u otra similar.
Sin mencionar que este tipo de soluciones nos ayudarán a reducir los Tiempos Medios de Respuesta (MTTR) ante incidentes. Responder a los ataques y remediarlos lo más rápido posible significa reducir el tiempo en el que un atacante o amenaza está dentro de nuestro entorno. En 2017, el Instituto SANS informó a través de su Encuesta de Respuesta ante Incidentes, que el 82% de las organizaciones encuestadas tardaban un mes o más en remediar un incidente de seguridad.
Estas soluciones se hacen imprescindibles dado el alto número de amenazas que afectan o pueden llegar a afectar a las organizaciones y con el requisito de informar dentro de las 72 horas siguientes a que ocurra un incidente. Si además contamos con un SIEM, podríamos generar un informe de análisis que proporcione información detallada relacionada con incumplimiento.
El reto
La fecha de promulgación de GDPR fue el 25 de mayo de 2018. Sólo un tercio de las organizaciones afirmaban tener entonces los recursos adecuados para gestionar los controles de seguridad de GDPR. Se puede intentar conseguir todas estas soluciones para cumplir con GDPR, pero se necesita además integrarlas con las personas y procesos de la compañía, lo cual tiene un coste alto en tiempo y es finalmente una barrera importante para cumplir adecuadamente con todos los requisitos de GDPR.
La solución
Una compañía proveedora de servicios de seguridad gestionada (MSSP) ya cuenta con estas herramientas de seguridad in-house que permiten ayudar en el cumplimiento de los requisitos de GDPR de manera efectiva. Las organizaciones deben contar con un proveedor de seguridad que cuente con la experiencia de trabajar con estas herramientas para clientes distintos y en distintas verticales.
0 Comments