Insights > Blog

Herramientas imprescindibles para el cumplimiento de GDPR

GDPR requiere un enfoque integral de la seguridad de la información, el cumplimiento, la gobernabilidad y el riesgo. Las herramientas de seguridad son una pieza del rompecabezas dentro del cumplimiento de GDPR, una pieza bien importante a la hora de proteger la privacidad de los datos del consumidor.

Mostramos a continuación ocho herramientas de seguridad que ayudan al cumplimiento de GDPR:

1. Descubrimiento y clasificación de datos

GDPR abarca todo sobre privacidad y protección de datos, pero para proteger la privacidad de los datos de los ciudadanos de la UE, se necesita saber qué tipo de datos poseen las organizaciones. Una herramienta de descubrimiento y mapeo de datos ayuda a encontrar cualquier dato, clasificarlo e identificar su nivel de riesgo.

Es posible que haya datos altamente confidenciales y que puedan tener asociado un alto riesgo si se filtran o son robados.

Los datos personales sensibles pueden incluir:

• Números de tarjetas de crédito.

• Fechas de nacimiento

• Números de tarjetas bancarias

• Códigos de salud.

• Números de identificación: DNI, pasaporte, carnet de conducir

• Números de seguridad social

• Nombres, direcciones, números de teléfono

• Campos financieros (salario, tarifa por hora, …)

• IPs (porque a partir de la IP se puede identificar a una persona)

Incluso puede llegar a contarse con gran cantidad de información que no contenga datos personales, y que pueda usarse como puerta de entrada para los hackers para acceder a datos confidenciales.

Es esencial contar con una herramienta de mapeo o descubrimiento de datos para poder clasificarlos en alto, medio y bajo riesgo.

2. Cifrado o enmascaramiento de datos

El cifrado codifica los datos para que sólo un usuario conozca la clave criptográfica y pueda acceder a ellos. Los datos se pueden cifrar tanto si están en tránsito o en uso. Las compañías suelen optar por el cifrado de los datos confidenciales en una base de datos, como tarjetas de crédito o datos personales. Los datos de pago en tránsito se encriptan mediante Secure Socket Layers (SSL), para así proteger los datos personales del comprador.

El cifrado hace que sea mucho más difícil para los hackers establecer una conexión entre los datos y el subject. Además, si se usa cifrado para proteger los datos y ocurre una brecha de datos, es posible que las autoridades reguladoras de la UE lo consideren como un elemento atenuante.

3. Gestión de incidentes y eventos de seguridad

Según el artículo 30 de GDPR, los controladores y procesadores de datos deben mantener un registro de todas las actividades de procesamiento. Una herramienta SIEM puede ayudar a abordar este proceso, al recopilar datos y registrar la actividad. Agrega datos de logs de sistemas, redes y aplicaciones y permite a una organización correlacionar esos eventos con el fin de detectar actividades maliciosas.

Muchas herramientas de SIEM se pueden alinear con los requisitos de GDPR y sus políticas de seguridad. Se puede crear un panel de control para que los analistas de seguridad lo revisen y supervisen. Un equipo de seguridad también utiliza los registros de SIEM para identificar patrones, detectar comportamientos maliciosos y crear alertas procesables sobre incidentes de seguridad.

4. Las herramientas de Gestión de vulnerabilidades y el cumplimiento

Según informes recientes, casi el 60% de las organizaciones que sufrieron una violación de datos en los últimos dos años, mencionan como principal culpable a la falta de actualización del software. Al incluir GDPR sanciones por brechas de datos, está claro que la gestión de vulnerabilidades es una pieza esencial a la hora de garantizar el cumplimiento.

Las herramientas de Vulnerability and Compliance Management (VCM) analizan la red en busca de agujeros de seguridad y crean un plan de acción y una hoja de ruta para remediación de redes, aplicaciones y datos.

Estas herramientas ayudan por un lado a alinear las políticas de seguridad con reglamentaciones bien conocidas de la industria, como HIPAA, PCI DSS, GLBA, FFIEC, SOX, etc. y por otro, a saber qué tipos de vulnerabilidades le impiden cumplir con estas regulaciones.

5. Next-Generation Endpoints

Los Endpoints como portátiles y puestos de trabajo, representan el porcentaje más alto de infecciones de malware y ransomware. Los empleados son el elemento más débil de la cadena y se convierten en puerta de entrada al abrir archivos adjuntos maliciosos provenientes de phishing y abriendo así las puertas a posibles amenazas avanzadas.

Los Next-Gen Endpoint Plataforms (EPPs) van un paso más allá de las soluciones de antivirus tradicionales. Cuentan con aprendizaje automático avanzado que permite evitar malware, ransomware e incluso ataques zero day. Los EPPs pueden conocer también el comportamiento de los Endpoints de una compañía, identificando comportamientos maliciosos sin necesidad de consultar una base de datos de firmas.

6. Data Loss Prevention

El Estudio de Protección de Datos del Instituto Ponemon, informa que las organizaciones lidian con un promedio de 20 incidentes de pérdida de datos al día. El mismo estudio afirmó que una fuga de datos de 100.000 registros de clientes podría costarle a la compañía más de 21 millones de dólares.

La pérdida de datos puede ocurrir de muchas maneras. No sólo son los hackers quienes pueden filtrar datos; sino los propios empleados, actuales o antiguos, pueden estar implicados en este tipo de delitos. De hecho, casi el 85 por ciento de los empleados que salen de compañía o que son despedidos, roban datos de la misma. Las herramientas de Data Loss Prevention (DLP), nos ayudan a proteger nuestra compañía del robo de datos confidenciales.

Otra herramienta importante a considerar relativa a cumplimiento de GDPR son las soluciones de Data masking, enmascaramiento de datos. Enmascarando datos sensibles y evitando accesos no autorizados a insiders. Y lo hacen proporcionando datos ficticios en lugar de los datos reales, pudiéndose así llegar a completar un trabajo crítico, pero con datos ficticios.

7. Security automation & Orcherstration

La falta de recursos y talento en ciberseguridad aumentan la necesidad de soluciones de automatización y orquestación. Estas soluciones crean eficiencias al permitir la creación de workflows de trabajo y automatización del conocimiento a través de best-practice templates. Estas best-practices se diseñan de manera que se hacen coincidir las políticas de seguridad con el cumplimiento de GDPR.

Por ejemplo, en empresas que manejan datos personales de ciudadanos de la UE, se podría crear una regla automática que verificase que las políticas de seguridad en los Endpoints de los empleados estén configuradas correctamente.

8. Respuesta a Incidentes y Case Management

Las organizaciones han implementado un marco de seguridad cibernética que incluye las funciones de ‘proteger, detectar, responder y recuperar’. Las funciones de respuesta y recuperación son clave para el cumplimiento de GDPR debido a los requisitos de notificación de incumplimiento descritos en el Artículo 33. Las organizaciones deben informar de una brecha de datos que impacte negativamente a ciudadanos de la UE, dentro de las 72 horas siguientes.

Es de vital importancia para cualquier organización contar con un plan de respuesta a incidentes, bien documentado y actualizado, así como una herramienta de administración de casos. Una solución de respuesta a incidentes y de administración de casos nos ayuda a registrar cualquier actividad maliciosa que ocurra dentro de la red y a crear una visualización de principio a fin de una cadena de ataques. Cuando haya que informar de un incumplimiento a las autoridades de la UE, es mejor contar con un plan sistemático y que pueda explicar exactamente qué sucedió y cómo se abordará en el futuro esta misma situación u otra similar.

Sin mencionar que este tipo de soluciones nos ayudarán a reducir los Tiempos Medios de Respuesta (MTTR) ante incidentes. Responder a los ataques y remediarlos lo más rápido posible significa reducir el tiempo en el que un atacante o amenaza está dentro de nuestro entorno. En 2017, el Instituto SANS informó a través de su Encuesta de Respuesta ante Incidentes, que el 82% de las organizaciones encuestadas tardaban un mes o más en remediar un incidente de seguridad.

Estas soluciones se hacen imprescindibles dado el alto número de amenazas que afectan o pueden llegar a afectar a las organizaciones y con el requisito de informar dentro de las 72 horas siguientes a que ocurra un incidente. Si además contamos con un SIEM, podríamos generar un informe de análisis que proporcione información detallada relacionada con incumplimiento.

El reto

La fecha de promulgación de GDPR fue el 25 de mayo de 2018. Sólo un tercio de las organizaciones afirmaban tener entonces los recursos adecuados para gestionar los controles de seguridad de GDPR. Se puede intentar conseguir todas estas soluciones para cumplir con GDPR, pero se necesita además integrarlas con las personas y procesos de la compañía, lo cual tiene un coste alto en tiempo y es finalmente una barrera importante para cumplir adecuadamente con todos los requisitos de GDPR.

La solución

Una compañía proveedora de servicios de seguridad gestionada (MSSP) ya cuenta con estas herramientas de seguridad in-house que permiten ayudar en el cumplimiento de los requisitos de GDPR de manera efectiva. Las organizaciones deben contar con un proveedor de seguridad que cuente con la experiencia de trabajar con estas herramientas para clientes distintos y en distintas verticales.

Did you enjoy this blog article? Comment below with your feedback.

0 Comments

Submit a Comment Cancel reply

RECIBE NUESTRAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Más información

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duracíon	Descripción
__hssrc	sesión	Hubspot establece esta cookie cada vez que cambia la cookie de sesión. La cookie __hssrc definida a 1 indica que el usuario ha reiniciado el navegador, y si la cookie no existe, se asume que es una nueva sesión.
cookielawinfo-checkbox-advertisement	1 año	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Publicidad"
cookielawinfo-checkbox-analytics	1 año	Esta cookie se establece por el plugin GDPR Cookie Consent. Esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Análisis".
cookielawinfo-checkbox-necessary	1 año	Esta cookie se establece por el plugin de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	1 año	Esta cookie se establece por el plugin de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
viewed_cookie_policy	1 año	Esta cookie se establece por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duracíon	Descripción
AnalyticsSyncHistory	1 mes	Sin descripción
cookielawinfo-checkbox-functional	1 año	La cookie se establece mediante el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
li_gc	2 años	No hay descripción
UserMatchHistory	1 mes	Linkedin - Se utiliza para rastrear a los visitantes en múltiples sitios web, con el fin de presentar anuncios relevantes basados en las preferencias del visitante.

Cookie	Duracíon	Descripción
bscookie	2 años	Esta cookie es una cookie de identificación del navegador establecida por Linked share Buttons y etiquetas publicitarias.
IDE	1 año 24 dias	Las cookies de Google DoubleClick IDE se utilizan para almacenar información sobre cómo el usuario utiliza el sitio web para presentarle anuncios relevantes y de acuerdo con el perfil del usuario.
test_cookie	15 minutos	La cookie test_cookie es establecida por doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Una cookie establecida por Youtube para medir el ancho de banda que determina si el usuario recibe la nueva o la antigua interfaz del reproductor.
YSC	sesión	La cookie YSC es establecida por Youtube y se utiliza para rastrear las visualizaciones de los vídeos incrustados en las páginas de Youtube.
yt-remote-connected-devices	nunca expira	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.
yt-remote-device-id	nunca expira	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.

Cookie	Duracíon	Descripción
__hstc	1 año 24 dias	Esta es la principal cookie establecida por Hubspot, para el seguimiento de los visitantes. Contiene el dominio, la marca de tiempo inicial (primera visita), la última marca de tiempo (última visita), la marca de tiempo actual (esta visita) y el número de sesión (se incrementa para cada sesión posterior).
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de los visitantes, de la sesión y de la campaña y también hace un seguimiento del uso del sitio para el informe de análisis de este. La cookie almacena la información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Esta cookie es instalada por Google y se utiliza para distinguir a los usuarios.
_gcl_au	3 meses	Proporcionada por Google Tag Manager para experimentar la eficacia publicitaria de los sitios web que utilizan sus servicios.
_gid	1 dia	Instalada por Google Analytics, la cookie _gid almacena información sobre el uso que hacen los visitantes de un sitio web, al tiempo que crea un informe analítico del rendimiento del sitio. Algunos de los datos que se recogen son el número de visitantes, su procedencia y las páginas que visitan de forma anónima.
CONSENT	16 años 3 meses 14 dias 14 horas	Estas cookies se instalan a través de vídeos de YouTube incrustados. Registran datos estadísticos anónimos sobre, por ejemplo, el número de veces que se visualiza el vídeo y la configuración utilizada para la reproducción. No se recopilan datos sensibles a menos que inicie sesión en su cuenta de Google, en cuyo caso sus elecciones se vinculan con su cuenta, por ejemplo, si hace clic en "me gusta" en un vídeo.
hubspotutk	1 año 24 dias	Esta cookie es utilizada por HubSpot para hacer un seguimiento de los visitantes del sitio web. Esta cookie se pasa a Hubspot en el envío de formularios y se utiliza cuando se deduplican los contactos.

Cookie	Duracíon	Descripción
__cf_bm	30 minutos	Esta cookie, establecida por Cloudflare, se utiliza para dar soporte a Cloudflare Bot Management.
__hssc	30 minutos	HubSpot establece esta cookie para hacer un seguimiento de las sesiones y para determinar si HubSpot debe incrementar el número de sesión y las marcas de tiempo en la cookie __hstc.
bcookie	2 años	LinkedIn establece esta cookie desde los botones de compartir de LinkedIn y las etiquetas de anuncios para reconocer el ID del navegador.
lang	sesión	Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para mostrar el contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
lidc	1 dia	LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.

Insights > Blog

Herramientas imprescindibles para el cumplimiento de GDPR

1. Descubrimiento y clasificación de datos

2. Cifrado o enmascaramiento de datos

3. Gestión de incidentes y eventos de seguridad

4. Las herramientas de Gestión de vulnerabilidades y el cumplimiento

5. Next-Generation Endpoints

6. Data Loss Prevention

7. Security automation & Orcherstration

8. Respuesta a Incidentes y Case Management

El reto

La solución

Did you enjoy this blog article? Comment below with your feedback.

0 Comments

Submit a Comment Cancel reply

RECIBE NUESTRAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Más información

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Learn more