Proveedores de servicios GDPR Ready

La entrada en vigor de la nueva normativa europea GDPR tiene como principal novedad la obligatoriedad de garantizar las medidas de seguridad necesarias, hasta el punto de exigir nombrar a un responsable de su cumplimiento. Al tratarse de una redacción ambigua, pues no describe cuáles son estas medidas de seguridad requeridas en cada caso, resulta vital contar con proveedores de servicios que puedan aportar experiencia y herramientas contrastadas en las que poder delegar la gestión de nuestros datos. Muy especialmente cuando se trata de proveedores de servicios en la nube. El artículo clave de la nueva ley es el 28, que especifica que sólo podremos contratar empresas que den las garantías suficientes, controlando a los sub-encargados y mediante contratos con estipulaciones específicas. Vamos a conocer tres proveedores GDPR Ready, en tres eslabones de la cadena de suministro concretos: seguridad de gestión interna, de almacenaje externo y del tráfico de datos.

Seguridad GDPR Interna

La seguridad de los datos tratados por nuestra empresa empieza por los almacenados en nuestros equipos. Lo primero es ser conscientes de quién, cómo, cuándo y por qué se recogen esos datos. Empezando por plantearse si realmente los necesitamos o estamos solicitando más información de la que es imprescindible.

Pero una vez que están en nuestro poder, debemos garantizar a sus propietarios legítimos (recordemos que nosotros solo los utilizamos para lo estrictamente solicitado y previo consentimiento expreso e informado) que nadie más podrá acceder a ellos, mucho menos obtenerlos. Para ello, el especialista en Seguridad Informática Fortinet exige hasta 7 áreas a garantizar y proteger:

1. Network Security: Productos y servicios de seguridad de red que proporcionan seguridad avanzada consolidada de alto rendimiento y visibilidad profunda para proteger la red de amenazas conocidas y desconocidas.
2. Endpoint Security: Productos y servicios que detectan y bloquean objetos maliciosos  entregados a través de la web, correo electrónico, red o almacenamiento personal a un punto final.
3. Email Security: Productos y servicios de seguridad de correo electrónico que inspeccionan el correo electrónico corporativo en busca de mensajes no deseados (spam) y maliciosos (phishing, malware), así como contenido inapropiado o sensible.
4. Secure Unified Access: Productos y servicios necesarios para proporcionar conectividad de red segura, por cable o de forma inalámbrica, a los usuarios de Fortinet Security Fabric.
5. Web Application: Productos y servicios que protegen las aplicaciones basadas en web de amenazas que se dirigen a exploits conocidos y desconocidos.
6. Advanced Threar: Productos y servicios que continúan inspeccionando en busca de malware y otras señales de que los ciberdelincuentes han ingresado a pesar de los productos tradicionales de prevención de amenazas (NGFW, SEG, EPP, WAF, etc.)
7. Management, Analytics & Evidences: Productos y servicios que entrelazan a Fortinet y sus productos asociados en una solución coherente, descubriendo ideas ocultas y reduciendo el costo total de propiedad

Si hablamos propiamente de instalación de Firewalls, la consultora detalla los requisitos de cada una de las barreras a establecer, cuantificándolas además en tres líneas de defensa: Perimetral, Data Center y Remote Branch. Existe una amplísima documentación y recursos al respecto en su web. 

Por último, en esta breve aproximación, incidir en la importancia del correo electrónico como factor de riesgo: hasta el 66% del malware entra por esta vía de acceso.

De hecho, la ciberseguridad se ha convertido en una prioridad para las empresas de todo el mundo,  a pesar de lo cual el pasado año 2017 hemos sido testigos de terribles ataques con graves consecuencias para muchas organizaciones.

Seguridad GDPR externa

Por su parte, como líder de servicios Cloud, Google defiende que sus soluciones empresariales como GSuite se encuentra preparadas al máximo nivel de seguridad y cumplimiento requerido por la normativa GPRD. Y eso, a pesar de que muchos de sus clientes aún están inmersos en sus procesos de adecuación y muchos desconocen que Google ya les garantiza gran parte de su responsabilidad en el cumplimiento.

En un reciente evento celebrado en las oficinas de Vodafone en Madrid, Nathaly Rey, abogada que forma parte del grupo de ingeniería, desveló que sólo el 20% de las empresas están inmersas en el proceso de adecuación y que menos de la mitad reconocen haber leído el reglamento completo. Lo peor, asegura, son las opiniones desinformadas que sólo difunden miedo. Para Google, el cumplimiento GDPR es prioritario, pero no es una novedad: muchas de las especificaciones ya eran rutina o demandas de las autoridades. De hecho, las leyes europeas eran de facto el estándar en todo el mundo y organizaciones como ISO las asumían como propias. El principal cambio radica en que pasamos de 28 leyes a una sola.

En segundo lugar, pasamos de un sistema de check list que no garantizaba nada, a libertad en la aplicación de filtros a cambio de asunción de la responsabilidad final. En este sentido, las herramientas de seguridad que pone Google al alcance de sus clientes han demostrado funcionar. Por ejemplo, infraestructura diseñada para ser segura (Control sobre todo el stack) controlando todos los aspectos de la nube:  [Mobile] Usage, Operations, Deployment, Application, Network, Storage, OS+IPC, Boot, Hardware

Esto incluye tecnologías de seguridad para mejor protección del dato en cuanto a Contenido, Políticas de Acceso, Uso, Despliegue, Seguridad Aplicaciones Web Identidad, Operaciones, Acceso y Autenticación Seguridad de Redes, Guest OS, Datos & Contenido, Logs de auditoría, Red, Almacenamiento + Encryption Kernel + IPC, Boot y Hardware.

Herramientas de seguridad a disposición de los usuarios de GSuite

Además de la protección y prevención propias de Google en sus servicios, ofrece otras herramientas personalizadas para ejercer el control directo sobre los datos. Por ejemplo:

DLP – Data Loss Prevention

• Descubre y censura datos sensibles.
• Simplifica el cumplimiento regulatorio.
• Aprovecha más las tecnologías cloud de forma segura.
  

En el caso concreto de Gmail y Drive, el DLP Avanzado

1. Define el ámbito: Aplicación Basadas en Dominio o Unidad organizacional.
2. Especifica Patrones a buscar como Patrones de contenido, Patrones a medida, y Umbrales de detección.
3. Diseña las acciones apropiadas, por ejemplo:

Gmail: rechaza correos, cuarentena.

Drive: bloquea compartir externamente, Avisa al usuario, Notifica a los administradores, Audita ficheros sensibles.

En cuanto a la Retención, eDiscovery, y Cumplimiento, permite:

1. Archivado: Mensajes y chats son gestionados y archivados de forma segura con Vault, sin necesidad de duplicar los datos
2. Retención: Define políticas de retención para asegurar que los datos críticos de negocio son adecuadamente preservados y gestionados
3. eDiscovery: Busque, identifique, preserve y recolecte los datos necesarios en función de los contenidos a custodiar y sus metadatos

Otra de las herramientas de seguridad que aún son bastante desconocidas son las llaves hardware unphishable:

• Utiliza llaves físicas de seguridad como segundo factor
  
• Protección contra phishing, la amenaza #1
  
• Piedra angular de una autenticación fuerte
  

Además de la elevada seguridad evitando ataques del tipo Man-in-the-Middle, es una alternativa a las password de un solo uso (OTPs), que son cada vez más vulnerables, cuentan con numerosos inconvenientes a juicio de los usuarios:

• SMSs
• Cobertura, retrasos, costes 
• Dispositivos
• Caros, frágiles
• Experiencia de usuario
• Phishable

Las llaves de seguridad de hardware permiten en cambio un acceso fácil de aprender, sin esfuerzo y sin generar errores frecuentes. El tiempo total para la autenticación se reduce considerablemente frente a otros métodos y es un estándar abierto, estandarizado por la organización FIDO Alliance como el Universal Second Factor (U2F). Actualmente es usado internamente en Google con más de 50.000 usuarios.

Puede consultar documentación técnica y comercial sobre este tema en los siguientes enlaces:

• • GDPR y Google Cloud: https://www.google.com/cloud/security/gdpr/
  • Productos de Identidad y Seguridad de Google Cloud Platform: https://cloud.google.com/products/ (ver abajo en Identidad y Seguridad)
  • Beyond Corp Google: https://cloud.google.com/beyondcorp/
  • Seguridad en G Suite: https://gsuite.google.com/learn-more/security/security-whitepaper/page-1.html
  • DLP Whitepaper: http://services.google.com/fh/files/misc/gmail_dlp_whitepaper.pdf

Seguridad GDPR en Comunicaciones

El tercer eslabón en la cadena del tratamiento de datos pasa por los mismos canales de comunicación empleados, tanto las redes como los servidores en los que recalan, y que pertenecen al proveedor de telecomunicaciones. En el caso de Vodafone, su visión del cumplimiento GDPR parte de una filosofía que promueve la tan nombrada Transformación Digital y que describen, en función de las cifras que manejan,  como The Gigabit Society: el 80% de los empleados teletrabaja al menos una parte de su tiempo, el 90% de los datos existentes se han creado en los últimos dos años y cada día se realizan un millón de cyber-ataques.

Pese a esto, y como ya alertaba Google, han detectado que pocas organizaciones están realmente preparadas. El 80% de las empresas declara conocer poco o nada de la nueva regulación. Sólo el 9% de las organizaciones IT y profesionales dicen estar preparados.

Y eso a pesar de los riesgos que representa, más allá de las sanciones:

• El 50% de los Clientes nunca compraría en una compañía que hubiera sufrido pérdida de datos personales.
• Esta cifra se incrementa hasta el 64% si la pérdida de datos está relacionada con información financiera2
• El 58% de los consumidores creen que GDPR les ofrecerá mayor protección y control sobre sus datos3

Por contra, para quienes se han tomado en serio esta cuestión, se convierte en una poderosa ventaja competitiva. Según el Observatorios Vodafone de Empresa: El 86% considera que contar con una sólida y clara estrategia de ciberseguridad genera nuevas oportunidades de negocio.

Para las compañías que apuestan por la innovación, la seguridad es lo primero. Entre las propuestas que ofrece Vodafone a sus clientes, denominadas GDPR Ready, destacan:

¿Cuáles son los pasos para garantizar su responsabilidad GDPR?

El GDPR no va cambiar de manera radical el uso que se hace de los datos, pero va a establecer unas pautas claras a seguir por todo tipo de empresa. Para Alberto de Sol, Director Marketing de Segmento Corporate en Vodafone, “la nueva normativa no está tan interesada en el cumplimiento formal, como en pasar a un sistema de madurez de las empresas para que ponga las medidas de gestión de la información adecuadas para el tipo de datos que se manejen”. No es lo mismo un dato de salud que un dato fiscal, y en base a eso la seguridad deberá distinta.

Otra característica importante del nuevo reglamente es su triple dimensión: jurídica, organizativa y técnica.

• La legal hace referencia al tema de consentimiento de cookies, la aparición de nuevos derechos como el derecho al olvido o la portabilidad de datos. O la obligación de comunicar antes de 72 hrs a la autoridad de control o al usuario los ciberataques sufridos por la empresa.
• Organizativos: La norma exige a determinadas empresas la tenencia de DPO (Data Privacy Officer)
• Técnicos: Gana en autonomía la empresa sobre qué medidas va a tomar.

Además de la hoja de ruta que puede leer en esta guía rápida, lo primero es tomar conciencia de qué datos recaba su empresa, dónde están y quién los usa:

1. La plataformas (Como Dropbox o Slack) utilizadas internamente deben de ser gestionadas y determinar cual es el uso (El72% de los CIOs no conocen el uso de aplicaciones no autorizadas que usan sus empleados).
2. Qué empleados utilizan dispositivos personales no securizados con información de negocio o aplicaciones no autorizadas.
3. Qué tipo de datos se almacenan y qué procesos se han implementado para cumplir con la norma.

 

No hay atajos

El artículo 30 de GDPR dice de forma tajante que la protección de datos debe de residir en la infraestructura y en los procesos de la compañía.  En el pasado los acuerdos de consentimiento para el uso de los datos se daban por defecto. En adelante esto no es posible.  Bajo GDPR, cualquier acuerdo de consentimiento debe suficientemente sencillo y explícito para ser entendido por un niño. De no ser así la organización estaría fuera de la norma.

Si aún no conoce cómo le afecta la entrada en vigor del nuevo Reglamento, le invitamos a leer nuestra Guía rápida de adaptación al GDPR.  Descubra también los aspectos generales en este vídeo.

Fuente: Observatorio de Empresas Vodafone.