Ya han pasado casi 7 meses desde la entrada en vigor de la RGPD. Durante el proceso de adaptación, muchas empresas ya han enfocado sus esfuerzos a cambiar a un paradigma de Security by-design. Sin embargo, muchas empresas avanzan lentamente en esta adaptación y, a día de hoy, muchas de ellas aún no cumplen todos los requisitos técnicos necesarios para cumplir con la normativa.
En el grupo de las empresas que están adaptándose, existen muchas que disponen de información o aplicaciones con PII (datos personales) en la nube o que están trasladándose a un modelo cloud o híbrido.
¿Trasladar la información a la nube es una decisión acertada?
“La naturaleza global de las aplicaciones en cloud presenta un reto en la protección de datos. Por ello, el cumplimiento del almacenamiento de datos puede ser un desafío.”
Es imposible detener la irrupción de la tecnología cloud en el tejido empresarial pero las exigencias de protección de la información, las notificaciones de incumplimiento obligatorias y las elevadas sanciones por el incumplimiento de la normativa (4% de la facturación anual) suponen un riesgo que debe abordarse sin demora. Para ello, lo más recomendable es combinar la adopción de una estrategia cloud con un agente de seguridad de acceso a la nube (CASB).
¿Qué es un CASB?
Un agente de seguridad de acceso en la nube (CASB) es un punto de aplicación de políticas que ofrece protección de datos y de amenazas en la nube, en cualquier dispositivo y en cualquier lugar. Un CASB tiene tres pilares fundamentales en torno a la seguridad cloud:
- Protección de día cero: Protección contra amenazas conocidas y desconocidas (malware, robo de datos, etc)
- Gestión: Proporcionar visibilidad, opciones de limpieza y trazabilidad después de eventos de alto riesgo.
- Seguridad: Prevención inteligente de posibles incidencias y riesgos de seguridad como fugas de datos e intrusiones.
¿Cómo puede ayudarme un CASB con la RGPD?
Identificación de datos personales
La RGPD se ocupa en gran medida de los datos que identifican a las personas. El objetivo prioritario debería ser proteger esta información en la ubicación donde se encuentre alojada. Los CASB pueden escanear tanto datos en tránsito como en reposo y de diferentes tipos de infraestructuras cloud, como SaaS e IaaS. Un CASB debe disponer de una librería de patrones integrados para buscar ciertos tipos de información para poder identificarla y actuar en consecuencia.
Control de flujo de PII para cumplir con la RGPD
Para proteger la información de manera eficaz, no sólo es necesario proteger la información sino dónde se almacena. Es necesario controlar hacia dónde puede ir. Los CASB suelen disponer de reglas para protección de transferencia de datos basadas en geolocalización, control de acceso según roles, cifrado de datos al vuelo, etc.
Soberanía de la información
Una arquitectura global de las aplicaciones hace virtualmente imposible poder mantener la información en una misma zona geográfica y, como debe saber, una de las normativas de la GDPR es mantener la información dentro de la Unión Europea. Sin embargo, el cifrado de datos permite cumplir dicha normativa. Un CASB proporciona un cifrado de datos tanto para datos estructurados como no estructurados.
Monitoreo de actividad
Un CASB debe proporcionar la visibilidad de todo lo que está sucediendo con sus usuarios y sus datos en aplicaciones protegidas en la nube. El análisis de comportamiento del usuario y las capacidades de alerta permitirán saber cuándo está ocurriendo una actividad de riesgo. Esta actividad calificada de riesgo no debe ser únicamente una actividad maliciosa. Las reglas del CASB deben incluir patrones para informar sobre indicadores de incumplimiento, compromiso de credenciales, acceso a datos personales desde fuera de la UE o más.
Lucha contra el Shadow IT
La RGPD y el Shadow IT son una combinación muy peligrosa. No existe un método infalible para gestionar permisos y obtener la visibilidad sobre el uso de aplicaciones no autorizadas por la organización. Un CASB proporciona la visibilidad de toda la actividad que pasa por la nube: un control de todo el tráfico y una visibilidad completa de las aplicaciones en uso por los trabajadores. De este modo, nos ahorraremos posibles sanciones por el uso indebido de aplicaciones que puedan causar una fuga de datos accidental.
En Sirt creemos que el uso de un CASB como herramienta para un modelo de “security by-design” es muy recomendable, incluso necesario. Sin embargo, es solo uno de los pasos para una transición o adaptación a una RGPD exitosa. Otros pasos como el nombramiento de un Oficial de Protección de datos, el derecho al olvido, dar la opción al usuario de descargar su información y asegurar el cumplimiento de la RGPD de sus proveedores son pasos necesarios. ¿Alguno pendiente? Contacte con nosotros para resolver sus dudas acerca de la RGPD
