06 Mar Soluciones DLP de prevención de pérdidas de datos y cifrado para GDPR
El RGPD (Reglamento General de Protección de Datos) insta a las organizaciones a tomar medidas que eviten fugas de información. Por eso implantar soluciones DLP de prevención de pérdidas de datos y cifrado para cumplir el GDPR (las siglas de esta ley en inglés) es una necesidad que tienen que cubrir todo tipo de organizaciones.
A pocos meses de su obligatoriedad, no hay tiempo que perder para asegurar que la recogida, el tratamiento y el almacenamiento de los datos personales a los que se refiere el reglamento se hagan conforme a lo establecido en él. Están en juego importantes multas e impactos en la reputación corporativa que pueden poner en riesgo el futuro de las compañías.
En Orbit hemos publicado diversos post destacando diferentes aspectos en los que la tecnología ayuda a cumplir el GDPR. A continuación, nos centramos en otro clave: los sistemas de DLP (Data Loss Prevention) y cifrado.
¿Qué son los sistemas DLP? Dónde y cómo actúan
Las soluciones DLP tienen como objeto proteger los datos personales frente a las amenazas de seguridad, previniendo e identificando incidentes que los ponga en riesgo. Su área de influencia abarca tanto las acciones en los puntos finales (endpoints) como el momento de la transmisión de los datos a través de la red y su almacenamiento.
Eso supone monitorizar todos los posibles puntos de salida de los datos, desde los sistemas internos o en la Nube a los emails, así como todo tipo de dispositivos, fijos y móviles. El objetivo es tener constancia de dónde están los datos confidenciales en todo momento y cómo se procesan.
De esta manera, implantar en la organización una estrategia DLP de prevención de fuga de datos es una poderosa arma para evitar ataques externos de ciberseguridad, como los temidos ciberataques ransomware u otros malware, pero también es un salvavidas ante acciones humanas accidentales o intencionadas que supongan el borrado, la eliminación o la sustracción de información protegida por el GDPR.
Plan para implantar una solución DLP
Para poner en marcha un plan de prevención de fuga de datos personales es necesario cubrir estos puntos:
1- Identificar qué datos personales se tiene, dónde (físico y cloud) y en qué procesos pueden verse comprometidos.
2- Determinar qué personas pueden acceder a ellos y qué uso de los mismos pueden hacer.
3- Fijar controles de seguridad para evitar, detectar y responder a posibles vulnerabilidades y ataques.
4- Monitorizar continuamente los flujos diseñados y los sistemas implantados para asegurar un nivel de protección óptimo continuo.
Gestión de accesos e identidades para garantizar el RGPD
El primer punto de la anterior relación se resuelve con una auditoría que aporte una visión 360º del tratamiento de los datos personales en la compañía. El acceso a ellos puede controlarse mediante soluciones de seguridad basadas en roles, registros o campos que limitan las acciones de los usuarios. Con ellas se asignan automáticamente grupos con distintos privilegios y niveles de acceso.
La identificación de los usuarios también es vital. Existen diversos métodos de protección, ya sea mediante el doble factor de autenticación, dobles comprobaciones por SMS, códigos PIN o token, etc. Las soluciones IAM (Identity and Access Management) facilitan la gestión de accesos e identidades. En este post puedes informarte más sobre ellas.
GDPR: Cifrado en los archivos, comunicaciones y Backup
Por otra parte, para aumentar la protección de los archivos que contengan datos personales, el GDPR obliga a implantar soluciones de cifrado o revisar las ya existentes. La tecnología de cifrado convierte los datos en incomprensibles. Este cifrado debe estar presente tanto cuando los datos están en tránsito como cuando están en los repositorios corporativos físicos o cloud, incluyendo copias de seguridad.
La encriptación es fundamental en los procesos de Backup y Disaster Recovery, dos operativas definitivas para recuperar datos personales en caso de incidente físico o técnico, tal como recoge el Reglamento General de Protección de Datos en su artículo 32.
Cumplir GDPR con soluciones de ciberseguridad y movilidad
Construir defensas avanzadas que abarquen el perímetro, las redes corporativas y todos los dispositivos con acceso a estas, es crítico para evitar fugas de datos.
- Movilidad: Los dispositivos móviles son especialmente vulnerables por lo que resulta recomendable desplegar sistemas MDM (Mobile Device Management) que trasladan y monitorizan las normas de seguridad al entorno móvil (autenticación y encriptación, capacidad para limpiar/borrar dispositivos ante amenazas, bloquearlos en remoto, etc.).
- Ciberseguridad: La mejor manera de evitar ciberataques es realizar una revisión de la infraestructura TI y de la red corporativa para actualizar los recursos y sus políticas de uso. Con firewalls, sistemas IPS, HIPS y soluciones de ciberseguridad de última generación es posible identificar automáticamente comportamientos sospechosos, reaccionar y abortar ataques tanto internos como externos.
Además, es necesario disponer de un sistema de captura y recepción de log (SIEM) que permita el registro cronológico de eventos de seguridad y que posibilite un análisis forense en caso de tener un incidente de seguridad.
De esta manera se cumple el artículo 30 del GDPR, que indica que los responsables de seguridad deben mantener un registro de las actividades que están bajo su responsabilidad.
Como vemos prevenir la fuga de datos personales es un reto complejo pues supone prestar atención a los distintos sistemas y operativas que conforman la arquitectura TI empresarial.
Contar con la ayuda de expertos en servicios y soluciones de seguridad corporativa TI garantiza un entorno corporativo seguro mediante la definición de políticas de seguridad y el despliegue de productos con funcionalidades avanzadas y estándares de cifrado de alta calidad.
Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.