RGPD: lecciones aprendidas

RGPD: lecciones aprendidas

Ha pasado más de un mes desde la fecha de aplicación del RGPD y constatamos que no ha marcado tanto un punto de inflexión en la seguridad de los datos, tal y como anunciamos todos. Parece que las organizaciones se toman con calma la tarea del cumplimiento y esta es una buena señal: las prisas no son buenas, especialmente en las cosas importantes.

Como nos hemos involucrado en ayudar a varias organizaciones a cumplir con el RGPD, pensamos oportuno destacar algunas lecciones aprendidas:

    1. Nunca es tarde para echar un vistazo a los datos que manejas, a su carácter y a su importancia. Algo bueno que hemos podido extraer de toda la revolución generada por el RGPD es el hecho de forzarnos a reflexionar sobre algo básico: qué es lo que queremos proteger, qué riesgos le corresponden y qué se puede, convenientemente, hacer. Hacía tiempo que muchas de las organizaciones importantes que conocemos no revisaban sus planes de mitigación y gestión de los riesgos, y esta oportunidad ha sido bienvenida.
    2. Revisar los derechos de acceso y el refuerzo de las políticas de acceso. Hemos visto casos en los que existían políticas muy buenas de control del acceso, que se “relajan” con el tiempo. Por eso, el Reglamento de Protección de Datos, forzándonos a retocarlas, nos ha ayudado de nuevo pensar en las prioridades y las restricciones de acceso necesarias para disminuir los riesgos asociados con el personal; no solo por las posibles malas intenciones, sino también por desconocimiento y error humano.
    3. Poner barreras contra el acceso injustificado a los datos personales. Aparte de los cortafuegos y el acceso por canales encriptados, hemos vuelto a plantearnos los casos en los que los datos personales salen de la empresa por varios medios: portátiles, discos duros externos, dispositivos móviles, etc. En este caso las protecciones básicas como el Full Disk Encryption y la protección de los dispositivos móviles nos pueden salvar de muchos dolores de cabeza.
    4. Usar de manera responsable tecnologías de patch management. Analizando los riesgos, hemos visto que muchos ataques avanzados han aprovechado vulnerabilidades que tenían ya un parche, pero no había sido aplicado (Equifax, Target, o la explosión de WannaCry). Las tecnologías de patch management que protegen de vulnerabilidades (no solo de Windows y Office, también de las otras aplicaciones) ya no son tan caras y hacen bien su trabajo.
    5. Uno de los aspectos que hay que priorizar con el RGPD es el proceso de incident response. Aunque algunas cosas no estén bien implementadas, nos podemos librar de multas si tenemos un proceso de respuesta bien organizado, efectivo y provisto de herramientas de trabajo coherentes y modernas. En la imagen, se puede ver el proceso de incident response según recomiendan las buenas prácticas, ligeramente modificado para adaptarse a la RGPD:

IRP Incident Response Process

Como ya es sabido, en un intervalo de 72 horas hay que avisar las autoridades y a los usuarios afectados; hacer un informe bien documentado con lo que ha pasado, y demostrar las medidas que se han tomado para identificar, contener y parar/remediar la incidencia. Es un proceso sencillo pero que implica a varios actores de la entidad, hasta el nivel más alto. Tenemos la suerte de disponer de una herramienta que se adapta perfectamente a este proceso y permite dar un paso efectivo hacia delante: Bitdefender GravityZone Ultra Security, la primera y única herramienta que se adaptada perfectamente a los requerimientos de un proceso de incident response:

– Contiene varios mecanismos de identificación de los Indicadores de Compromiso (IoC) y de Ataque (IoA);

– permite hacer la contención automática (en el caso de que la empresa no tenga un equipo de respuesta ante incidencias bien formado y en activo), pero también la contención manual, dejando libertad a los administradores en los casos en los que quieren ejecutar y estudiar el ataque en entornos seguros tipo sandbox;

– permite la preservación de las pruebas y el estudio del desarrollo del ataque y de los dispositivos afectados;

– puede llevar a cabo la eliminación del ataque, de los códigos usados y la vuelta a un estado seguro;

– se puede integrar con varias plataformas de tipo SOC y proporciona herramientas de forense digital y conexión con comunidades de expertos que pueden ayudar en el tratamiento de las incidencias;

– proporciona información detallada para la redacción de los informes de tratamiento de la incidencia que se necesitan para las autoridades de protección de los datos personales.

Hay que tener en cuenta que esta herramienta ayuda al cumplimiento de RGPD, pero es necesario unir esfuerzos a todos los niveles. Bitdefender está siempre dispuesto a aportar su granito de arena en este sentido, y puede guiar a las compañías (no solo para asegurar el cumplimiento, sino también para comprobar que el trabajo que se desarrolla es correcto) y mantenerlas preparadas para proteger los datos personales.

Horatiu Bandoiu,

ISO 27001 LA

Channel Marketing Manager de Bitdefender

Logo Bitdefender

Comments

Comentarios desactivados