GDPR: Un cambio de modelo de protección de datos
El Reglamento general de protección de datos (GDPR, por sus siglas en inglés) es una nueva ley que se aplica a cualquier organización que posea y use datos personales de ciudadanos de la Unión Europea (UE).
Hasta ahora, la información que recababan las empresas sobre los usuarios y el tratamiento que hacían de ella era algo poco transparente. El concepto de GDPR o RGPD es proporcionar al usuario la visibilidad y protección necesaria de la información que recaban las empresas sobre ellos y disponer de mecanismos para poder consultarla, controlarla e, incluso, borrarla y sobre todo, de forma totalmente transparente.
Desde el 25 de mayo del 218, las empresas deben contar con herramientas que protejan la información personal y, en caso de existir una brecha de información, notificarla a la agencia de control que corresponda.
El incumplimiento de la normativa puede acarrear importantes multas: 20M de Euros o el 4% de sus ingresos globales anuales (facturación).
El impacto de la GDPR
Tal como hemos indicado, el enfoque de la GDPR es fortalecer los derechos de privacidad personal de los individuos. Ahora existen condiciones mucho más fuertes para el consentimiento, y el lenguaje del consentimiento debe ser simple y fácil de entender.
Las organizaciones están obligadas a ofrecer el derecho de eliminación, lo que permite a los ciudadanos de la UE obligar a que las organizaciones eliminen permanentemente todos sus datos personales. También introduce el concepto de portabilidad de los datos, lo que significa que pueden exigir copias de todos los datos que las organizaciones tienen de ellos, o solicitar que sus datos se envíen a otra organización si así lo desean.
Visión de Ciberseguridad y GDPR
Es obvio que, a pesar en centrar la normativa en la privacidad, las sanciones derivadas por la fuga de datos (una violación de la privacidad) acarrea graves sanciones. Para proteger la información es necesario un programa de ciberseguridad efectivo.
Hay consideraciones clave de ciberseguridad en GDPR:
La ley exige medidas de «seguridad apropiadas» pero solo indica que debe alinear estas salvaguardas con el nivel de riesgo
¿Qué significa “seguridad apropiada”? No existe una definición que sirva para todas las organizaciones debido a que cada caso es único. Es evidente que en la mayoría de casos se deberán establecer controles de políticas, personas y procesos. Queda a criterio de cada departamento de seguridad definir cómo proteger su información y demostrar a los auditores de GDPR que la infraestructura y los procesos planteados son los adecuados.
En caso de violación de datos…
Debe ser notificada dentro de las 72 horas posteriores al descubrimiento. En ese corto espacio de tiempo debemos tener una comprensión clara de lo sucedido y el impacto de la brecha de información.
Según Cisco, el tiempo medio de detección de brechas de información es de más de 100 días. ¿Cómo reducir este tiempo?
Es hora de redefinir la ciberseguridad y enfocar la organización a un modelo mucho más seguro y proactivo frente a amenazas. No solo es cuestión de proteger, sino de establecer mecanismos para protección antes, durante y después de la amenaza. Para ello, podemos contar con diferentes herramientas para cumplir con la GDPR:
Herramientas para cumplir con la GDPR/RGPD
Las soluciones de Políticas y Acceso aseguran que solo las personas adecuadas con sistemas seguros y autorizados puedan acceder a su red con una administración de acceso consistente y eficiente.
Las soluciones de seguridad de red proporcionan defensas eficaces para ataques avanzados. Su mayor virtud es proporcionar una visibilidad superior, inteligencia de seguridad integrada, análisis automatizado y políticas de remediación tanto para amenazas existentes como desconocidas. De este modo, se reduce el tiempo de detección de un compromiso de seguridad de días a unas pocas horas.
Las soluciones de protección frente amenazas avanzadas como los NGFW, identifican y detienen las amenazas graves como malware que comprometen los sistemas críticos y los datos personales.
Las soluciones de seguridad en la nube son esenciales para una empresa con un proceso de transformación digital. Las soluciones de protección en la nube deben proporcionar una seguridad efectiva para soluciones tanto de nube privada como híbrida. Para obtener una protección completa es necesario que estas herramientas integren características para ofrecer visibilidad y control sobre las aplicaciones SaaS e IaaS.
La Protección contra fugas de información por parte de los usuarios es un punto crítico para el cumplimiento de la RGPD. La proliferación de herramientas en la nube como mecanismos no autorizados para compartir información puede llevar a un incumplimiento grave de la normativa. Las herramientas de protección en capa DNS nos proporcionan métodos para bloquear estas actividades y la visibilidad de toda la actividad que se produce dentro del perímetro.
No menos importante son las soluciones de seguridad de la Web y de correo electrónico. Es crítico poder detener las amenazas de los vectores de ataque más populares: aquellos que se dirigen a sus empleados a través del correo electrónico y la navegación web.
La misma herramienta de protección de capa DNS sirve como defensa anti-ransomware. Los usuarios que por desconocimiento o por un ataque de ingeniería social intentasen descargar un fichero malicioso, el escudo DNS bloquearía la descarga. Si el ransomware llegara a ser instalado en el host, cuando éste fuera a conectarse al centro de control para recibir instrucciones para empezar el cifrado de la información, el escudo DNS bloquearía la acción y convertiría el malware en un software inofensivo.
Tener controlado el tráfico cifrado nos permite conocer qué información lo está o no. Este punto es esencial para cumplir la RGPD ya que se especifica de forma explícita que la información debe estar cifrada. Existen diferentes herramientas capaces de analizar el tráfico cifrado, indicando posibles indicadores de compromiso así como posibles vulneraciones de la normativa al enviar la información sin cifrar.
¿Y usted, está totalmente protegido y adaptado a la RGPD? ¡Contacte con nosotros para resolver sus dudas!
