¿Estás preparado para el día 0?
El 25 de Mayo de este año, entra en vigor el Reglamento General de Protección de Datos, o GDPR debido al cual, todas las empresas, necesitan cumplir ciertos requerimientos para estar en línea con los artículos que indica dicho Reglamento, así como tener preparados sus equipos para el correcto cumplimiento del mismo.
Este Reglamento no solo aplica a todo el territorio de la Unión Europea (28 Estados miembro), si no a todos aquellos países que manejen datos de ciudadanos miembros de la UE.
1. La definición de RGPD o GDPR, indica que no solo los datos personales identificables están dentro del amparo de este Reglamento, si no que los siguientes datos, están también dentro del amparo del Reglamento:
· Localización
· Dirección IP Pública
· Cookies
· Etiquetas RFID
· Datos de Salud
· Datos Genéticos
· Datos Biométricos
· Datos Raciales
· Datos Étnicos
· Orientación Sexual
· Orientación política
2. Las empresas que no cumplan los requerimientos antes de la entrada en vigor, están sujetos a amonestaciones. Las multas que indica el Reglamento, pueden llegar a los 20M€ o al 4% de la facturación anual, dependiendo del tamaño de la empresa, por incumplimientos y fugas de información.
3. El cumplimiento no es solo para tenerlo ese día y pasar las auditorías, si no que debe ser continuo. El Reglamento coloca el peso de la "evaluación continua de riesgos" en el controlador de datos, la organización de recopilación de datos y requiere que cualquier organización que esté procesando datos, cumpla con el Reglamento.
Construyendo un plan de acción
Las empresas deben desarrollar un enfoque basado en riesgo para Reglamento, lo que significa que primero deben evaluarse los riesgos en el contexto de las necesidades del negocio con el fin de identificar objetivamente qué datos están en riesgo y cuáles no. Una vez establecida la línea de base para la protección de datos, los controles de seguridad deben implementarse, aumentarse y evaluarse continuamente para garantizar que los datos continúen siendo seguros.
1. Descubrimiento de Datos Personales
El primer paso es descubrir y clasificar, donde están los datos personales sujetos al Reglamento. Primero debe determinarse donde están datos, y después como fluyen estos mismos datos. Para ello se necesita una solución de descubrimiento y clasificación de datos, que funcione, y que sea capaz de seguir estos datos y monitorizar como se obtienen, como se almacenan, como se usan y como se borran. Está en la mano del responsable de datos, asignar el riesgo de cada tipo de datos y que medidas de seguridad se aplican para que estén seguros.
2. Implementar "como estoy" en medidas de seguridad
Debido a la naturaleza de innovación tan dinámica de la tecnología, y el incremento de la complejidad de las amenazas, el Reglamento no especifica que tecnología se requiere para cumplir con el reglamento. En el artículo 25 del Reglamento, se indica que las empresas deben tener un "razonable" nivel de protección y privacidad para los ciudadanos de la UE, pero no define que es "razonable"
Esto tiene 3 implicaciones:
a. Los equipos de seguridad deben de seguir adaptándose. Deben protegerse contra amenazas tradicionales y nuevas, y aprovechar los últimos controles de seguridad para mantenerse al día con el panorama de la evolución de las amenazas.
b. Los equipos de Seguridad, necesitan focalizarse en la seguridad de los datos, gestión de acceso, cifrado de los datos, prevención fuga de información, y documentar estas capacidades.
c. Los equipos de seguridad, necesitan validad continuamente que la seguridad que tienen implantada, es efectiva y funciona (Ver punto 3)
Estas son las mejores prácticas para la seguridad del dato:
· Restringir el acceso al dato: Uno de los aspectos críticos de la securización de los datos personales es identificar y gestionar el acceso. Las empresas deben implementar el acceso con menos privilegios a los sistemas que almacenan y procesan estos datos.
· Habilitar cifrado: El cifrado de datos, reduce enormemente la probabilidad de compromiso de un usuario. El beneficio adicional de esto es que las empresas pueden reducir el riesgo de sanciones o no se les puede exigir que informen de una infracción si no se puede leer los datos exfiltrados. El Reglamento también especifica la seudonimización, en la que los datos personales identificables se reemplazan por un código aleatorio, como medida de protección de seguridad para reducir aún más la probabilidad de que la información se correlacione con las personas reales.
· Segmentación robusta: Las empresas, deben segmentar y restringir partes de la red que tengan datos dentro del amparo del Reglamento. Esta es una buena práctica fundamental para poder parar a un atacante que se mueva mas allá de la zona de infiltración.
3. Validar la seguridad con una evaluación continua
En el Artículo 32, el reglamento establece "…... el controlador y el procesador implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo, incluido ... un proceso para probar, evaluar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos"
Por razones de seguridad y cumplimiento, las empresas necesitan asegurarse continuamente que cualquier control de seguridad que se halla implantado, está funcionando para proteger los datos personales. La evaluación de "como estoy", debe cumplir con las siguientes características:
1. Automatizado y Continuo: la validación debe ejecutarse continuamente para abordar el cambio en el panorama de las amenazas y tener en cuenta a los usuarios dinámicos, las aplicaciones y EndPoints. Además, la validación debe ser automática para minimizar la necesidad de personal altamente capacitado y altamente especializado.
2. Técnicas Exhaustivas: la validación debe ser consistente y exhaustiva, reflejando una variedad de técnicas que usan los atacantes reales. Esto proporciona la evaluación más precisa del riesgo y la mejor prueba de protección de datos.
3. Seguro: Para reflejar los verdaderos riesgos para una organización, la validación debe llevarse a cabo en redes de producción y EndPoints. La Evaluación del cumplimiento nunca debe poner en riesgo los datos ni afectar las operaciones de negocio.
Una tecnología que cumple esta evaluación continua de "como estoy" es, lo que se denomina en inglés, Breach and Attack Simulation.
Esta tecnología, permite a la empresa lo siguiente:
· Validar continuamente los controles de seguridad (Cumplimiento de Art. 25 y 32): Puede minimizar la exposición y validar continuamente que los controles de seguridad de "como estoy" que se han implementado realmente funcionan. Por ejemplo, los equipos de seguridad que implementaron controles de seguridad que solo permiten que ciertos tipos de datos viajen entre redes o centros de datos pueden probar que su implementación es efectiva o identificar errores de configuración en las implementaciones de seguridad que pueden llevar a una fuga de datos. Más importante aún, esta validación utiliza "técnicas de ataque real", generando un reflejo más preciso de los verdaderos riesgos empresariales.
· Prepararse para la evaluación de impacto del Reglamento (Art. 35): Puede preparar equipos de seguridad para evaluaciones de impacto. Específicamente, puede utilizarse antes de una evaluación real para evaluar las "medidas previstas para abordar los riesgos, incluidas las salvaguardas, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento". Esto incluye tecnologías de seguridad, pero también se extiende a los equipos SOC y MSSP involucrados en las medidas de seguridad para el Reglamento.
· Justificar la inversión: también puede probar, si se requiere o no una inversión adicional para el cumplimiento del Reglamento. La inversión en seguridad es, con demasiada frecuencia, una medida basada en el "instinto", ya que la seguridad real hasta ahora ha sido difícil de medir. Esto significa que los equipos ejecutivos solo inician una inversión de seguridad adecuada después de que se ha producido una infracción o incidente. Esta tecnología puede proporcionar datos de seguridad reales, para probar si se requiere más inversión en seguridad para el Reglamento.
4. Plan de respuesta a Incidentes
Uno de los puntos mas importantes del Reglamento, es tratar con el requerimiento de notificación de fuga de información. El Reglamento establece que "la destrucción, pérdida, alteración, divulgación no autorizada de o acceso a" de los datos personales, debe ser reportado en menos de 72 Horas
El último informe de Investigación de fuga de datos 2017, de Verizon, muestra como las intrusiones o compromisos, toman minutos en el 98% de los casos, y el tiempo de detección de estas, pueden tomar semanas y meses. El desafío al que se enfrentan las empresas es doble, detectar y cualificar cuando se produjo la intrusión, e identificar que cantidad de datos personales se han puesto en riesgo. Si la respuesta es positiva, deben notificarse al regulador en menos de 72 horas.
Por ello, las empresas necesitan desarrollar y documentar un plan de respuesta a incidentes. Si ya existe, deben extenderlo al cumplimiento del Reglamento. Los reguladores deben ser notificados dentro de las 72 horas de la fuga, y los sujetos afectados deben ser notificados "sin demora indebida" si la fuga "puede resultar en un alto riesgo para los derechos y libertades de las personas".
Hay dos cosas a tener en cuenta:
· La notificación reglamentaria debe "al menos":
· describir la naturaleza de la fuga de datos personales, incluyendo el número y las categorías de los datos y los registros de datos personales afectados.
· proporcionar la información de contacto del oficial de protección de datos.
· "describir las posibles consecuencias de la fuga de datos personales".
· describir cómo el controlador de los datos, propone abordar el incidente, incluidos los esfuerzos de mitigación. Si la información no está disponible a la vez, se puede proporcionar en fases.
· Los reguladores no necesitan ser notificados si:
· el controlador ha "implementado medidas apropiadas de protección técnica y organizativa" que "hacen que los datos sean ininteligibles para cualquier persona que no esté autorizada para acceder a ellos, como el cifrado" (Ver punto 2)
· el controlador toma medidas posteriores a la violación de los datos personales para "garantizar que el alto riesgo de los derechos y libertades de los interesados" no se materialice
· cuando la notificación a cada sujeto de datos "suponga un esfuerzo desproporcionado", en cuyo caso se pueden utilizar medidas de comunicación alternativas.
Conclusiones:
El Reglamento requiere que las empresas, no solo que protejan los datos personales que manejan, si no que también, tengan en mente la mejora de la seguridad en general. Algunos puntos clave del Reglamento, es la evaluación continua del riesgo, que permitirá a las empresas automatizar estas tareas para conocer el "como estoy" y poder así evaluar sus controles de seguridad.
Para ello existen diversas herramientas que pueden ayudar a cumplir con el Reglamento con garantías y nosotros podemos ayudarte con algunas de ellas.
Si necesitáis información de como podemos ayudaros, como cubrir todos los requerimientos, poneros en contacto con nosotros.