Un marco necesario para la cohesión de la tecnología de seguridad en la era del GDPR

  • Opinión

Rafael del Cerro Flores, Aruba

En este artículo Rafael del Cerro Flores, Systems Engineer en Aruba, propone un marco para asegurar que los ataques se tratan de manera consciente desde una perspectiva GDPR.

Ahora mismo, atacantes están intentando penetrar en la red de cualquier organización. De hecho, en el Reino Unido, cuatro de cada diez negocios han sufrido una brecha de seguridad o un ataque en los últimos 12 meses, cifra que se eleva hasta los dos tercios en el caso de las empresas de mayor tamaño¹. El valor de lo que está en juego nunca ha sido tan alto: la media total del coste de las brechas de seguridad en el Reino Unido ya es de 3,96 millones de libras esterlinas.

A pesar de las prisas de última hora a medida que se acercaba la fecha límite del 25 de mayo de 2018, es ahora cuando la mayoría de las organizaciones tienen una idea de cómo cumplir con GDPR y entienden el impacto que las brechas de seguridad pueden provocar en sus marcas. La probada tríada de “personas, procesos y tecnología” les ha ayudado en el camino hacia el cumplimiento de GDPR. Pero en medio de todo esto, ¿han perdido las organizaciones de vista el tercer elemento, la tecnología? En el nuevo mundo de GDPR, ¿cómo pueden detectar ataques adecuadamente y cómo responden a ellos? Y, lo que es más, ¿necesitan eliminar y reemplazar las herramientas de seguridad con las que ya cuentan?

La mayoría de los atacantes están buscando información personal (PII) y fue precisamente por eso por el que se introdujo GDPR: para ayudar a proteger los datos personales de cualquier consumidor. Hay evidencias de que GDPR está haciendo que la información personal se convierta en algo incluso más valioso en la “dark web³”. Y es que, con más dinero en juego, los atacantes se esforzarán más aún por acceder a los datos privados, GDPR por medio o no.

Si algo está claro es que los derechos individuales y la seguridad de los datos personales ocupan un lugar central en GDPR. De hecho, su objetivo es: “… armonizar las leyes de privacidad de datos en toda Europa, para proteger y potenciar la privacidad de los ciudadanos de la Unión Europea y redibujar el modo en el que las empresas de toda la región abordan la privacidad de los datos”.

Así las cosas, organizaciones de todo el mundo han tenido que cambiar de posición y trabajar rápidamente para adaptarse a estas nuevas normativas. GDPR ha sentado un precedente: otros gobiernos de todo el mundo están tomándolo como ejemplo y adoptando enfoques similares. Por todo ello, GDPR puede llegar a considerarse como un estándar mundial y no solo como uno europeo.

Como todos sabemos, las sanciones por incumplir GDPR -la pérdida o el mal uso de los datos- son significativas. Desde el mantenimiento de registros a los derechos individuales para acceder, borrar o portar datos; la seguridad y las notificaciones de violación de la seguridad; GDPR requiere que las organizaciones preparen a su gente y adopten nuevos procesos. Por ello, se han puesto en marcha planes de formación de personal en organizaciones de toda Europa y del mundo. Pero al cumplir con estas nuevas regulaciones, los aspectos tecnológicos se han visto en cierto modo eclipsados. Este artículo establece un marco de trabajo para reevaluar las tecnologías de seguridad y de protección de datos, no para que ningún proveedor de soluciones de seguridad determinado venda más productos, sino para garantizar que los datos están sólidamente protegidos gracias a la tecnología con la que ya cuentan.

Antes de entrar en los aspectos tecnológicos de la protección de datos y GDPR, recapitulemos las mejores prácticas para personas y procesos.

Personas: ¿Tienes un Data Protection Officer? (DPO, en sus siglas en inglés)

Según GDPR, cualquier organización que sea una Empresa Pública cuya actividad principal implique la monitorización o seguimiento de personas a gran escala o el procesamiento de grandes volúmenes de datos sensibles, debe designar un DPO o responsable de la protección de datos.

Los DPO se encuentran en la encrucijada de los procesos empresariales, los sistemas de TI y la seguridad, por lo que tienen que contar con experiencia y conocimientos especializados, así como estar involucrados en los temas relacionados con la protección de datos. Además, los DPO deben tener un conocimiento transversal y profundo de GDPR para asegurarse de que las organizaciones pueden satisfacer las demandas que establece. De hecho, GDPR hace hincapié en la necesidad de que el DPO tenga una voz independiente dentro de la organización.

Por supuesto, un DPO precisará contar con el apoyo e implicación del personal de seguridad de diferentes modos: necesitará colaborar con ellos para supervisar los requisitos de GDPR, incluyendo la recopilación de datos e información sobre las actividades de procesamiento. De forma conjunta, necesitarán implementar evaluaciones de impacto de protección de datos de nuevos proyectos que recopilan y utilizan información personal. Por último, el DPO y los equipos de seguridad deberán proporcionar un punto central de comunicación y mediación en el caso de producirse una brecha de seguridad. Esto, fundamentalmente, incluye informar a los reguladores y autoridades pertinentes si se produce una infracción.

Aunque un DPO no es responsable de las defensas de la seguridad de la información, sí debe saber exactamente cómo funcionan. En particular, qué información y datos proporcionará en el caso de que se produzca una brecha de seguridad.

Procesos: conozca sus datos

Para la mayoría de las organizaciones, una parte clave de su enfoque GDPR ha sido el mapeo de datos, identificando por qué, cómo y dónde se están utilizando los datos personales, eliminando al mismo tiempo cualquier procesamiento de información innecesario. Una vez realizadas estas tareas de mantenimiento, cada organización cuenta con una base desde la que garantizar la seguridad de sus políticas y procesos.

Tanto el inventario de datos personales resultante como el proceso de racionalización son importantes para diseñar los mecanismos de seguridad requeridos para proteger los datos. Al poder determinar con precisión las técnicas de localización, aplicación y almacenamiento de datos personales, el DPO puede diseñar e implementar los procesos y tecnologías de seguridad que necesitará ver, entender y con los que interactuará en el desempeño de sus funciones.

Tecnología: las organizaciones necesitan mantener el ritmo

Finalmente, la tecnología. Si bien ninguna solución individual o combinación de ellas puede garantizar el cumplimiento de GDPR, hay cuatro áreas que merecen un análisis más detallado a la hora de diseñar una estrategia de seguridad GDPR. Aplicando una tecnología de seguridad de buena calidad en cada una de estas áreas, los equipos de seguridad y el DPO pueden gestionar conjuntamente la inevitable exposición al riesgo de sufrir un ciberataque:

Acceso

El control de acceso a la red o NAC (en sus siglas en inglés), ofrece, como mínimo, autenticación de usuarios o dispositivos. Ahora que los accesos móviles son la norma y los dispositivos IoT (Internet of Things) tales como cámaras, máquinas expendedoras, equipamiento médico y muchos otros están conectados a redes, el único modo de asegurar un acceso apropiado es llevarlo más allá de la simple validación de credenciales. El siguiente nivel es el control estricto de quién y qué está autorizado a acceder a los activos TI, incluida la información personal.

Con un NAC avanzado, el equipo de TI sabe dónde se localizan los datos personales. Puede utilizar NAC para estipular quién está autorizado para acceder a esa información y bajo qué circunstancias. Por ejemplo, en un hospital, las enfermeras y médicos pueden tener acceso a los historiales médicos de los pacientes, pero el personal de contabilidad, por ejemplo, no podría verlos. De este modo, en el momento de la entrada a la red, la superficie de ataque es más reducida, pues se restringe el número de personas y dispositivos que pueden causar un problema de seguridad.

En un mundo ideal, las soluciones NAC y de gestión de políticas proporcionarían la capacidad de descubrir dispositivos, acceso basado en roles para activos TI y una respuesta a ataques basada en políticas de ciclo cerrado. Para mayor comodidad, también debería integrarse perfectamente con la infraestructura de red existente, los sistemas de seguridad perimetral y los sistemas de servicio y soporte.

Garantías de seguridad

El siguiente nivel de protección se basa en la seguridad fundamental de la infraestructura de red subyacente. Si los datos pueden ser fácilmente desviados de la red en los procesos y flujos normales de un día de trabajo corriente, las probabilidades de que se produzca una brecha de seguridad aumentan.

Es en este punto donde tecnologías como la protección contra la manipulación de equipos, cifrado, gestión de claves y administración segura de la red son fundamentales para la estrategia general de seguridad de las organizaciones.

Detección

Contar con una política de cuándo sí y cuándo no tienes una brecha de seguridad es un enfoque pragmático al hecho de que ninguna organización puede realmente detener todos los ataques. Por tanto, se requiere tener un plan cuando algo se cuela entre las grietas de seguridad. Aunque la prevención siempre es mejor que la cura, la detección temprana tampoco es desdeñable. Hay una amplia gama de tecnologías y productos disponibles para encontrar y detectar ataques antes de que puedan causar daño alguno.

El viejo modelo de las defensas de seguridad tradicionales se basa en la coincidencia de patrones, reglas y firmas que permiten encontrar malware y otro tipo de amenazas. En la mayoría de los casos, los productos que utilizan estas técnicas son efectivos. Pero lo que es necesario cambiar es cómo trabajan con las tecnologías actuales: cualquier herramienta nueva debería integrarse perfectamente con lo que ya esté en funcionamiento.

Sin embargo, cada vez más ataques están diseñados específicamente para romper estas defensas tradicionales. Esto es porque estos ataques casi siempre tienen como resultado la pérdida de información personal (y una rápida venta de la misma en la Dark Web), por lo que se necesitan nuevos enfoques en la detección de ataques. Por ejemplo, un gran número de ellos utilizan credenciales válidas, lo que significa que los ataques de phishing y los análisis del comportamiento de usuarios suponen grandes riesgos. El resultado es que el atacante utiliza credenciales legítimas para ejecutar un ataque que puede tardar días, semanas o incluso meses en desarrollarse. ¿Cómo se puede parar utilizando credenciales válidas para desviar información a la que el usuario real tiene razones para acceder?

Debido a que se trata de ataques desconocidos hasta ahora, no tiene sentido buscar una firma o patrón para detectarlos. Esto significa que los equipos de seguridad y TI deben introducir un nivel adicional de monitorización que complemente las defensas actuales, uno que utilice nuevos modos de detección de ataques como el aprendizaje automático o machine learning para detectar pequeños cambios de comportamiento que sugieran que podría estar llevándose a cabo un ataque. Las acciones pueden ir desde la necesidad de reautenticación o ponerlo en cuarentena hasta el bloqueo total del acceso a la red.

El aprendizaje automático puede establecer una “puntuación de riesgo” basada en las características de un comportamiento inusual sospechoso y cómo estas características difieren de la norma. Esto ayuda a las organizaciones a priorizar sus recursos e investigar ataques sospechosos antes de que puedan causar ningún daño.

Por último, GDPR exige que se informe de cualquier violación de datos en un plazo de 72 horas. Muchos sistemas existentes tardan casi todo este tiempo en detectar y generar la información de eventos requerida. El nuevo paradigma de ciberseguridad coherente acelera la investigación y el proceso de acumulación de pruebas para que el equipo de TI y el DPO puedan proporcionar la información que les es requerida.

Respuesta

Como acabamos de explicar, los requerimientos de notificaciones de las brechas en GDPR son muy claros cuando se refieren a lo que una organización debe hacer cuando tiene lugar una violación de datos personales. Esto incluye la notificación al regulador pertinente en un plazo de 72 horas desde que “son conscientes del ataque” y notificar el mismo a las personas afectadas “sin ningún tipo de demora”. Las notificaciones deben incluir detalles del ataque como:

. El tipo de datos, de exposición y el número de personas involucradas.
. Las posibles consecuencias del ataque.
. Cualquier acción que se tome para mitigarlo.

Por lo tanto, en el desafortunado caso de que se produzca una brecha de seguridad, las organizaciones deben recopilar rápidamente los hechos: qué ha ocurrido, el alcance de los daños y plantear un plan de contención y reparación. Todo esto debe comunicarse a los reguladores y autoridades de forma clara y concisa. El DPO debe estar implicado en todas las fases del proceso.

Naturalmente, los equipos de seguridad y TI jugarán un papel crítico en la gestión del ataque, incluyendo la recopilación de la información crítica. Para ello, es vital que cuenten con las herramientas y soluciones que les permitan proporcionar esa información de la manera más eficiente posible. Cualquier retraso en la recopilación de esta información podría costar muy caro a la organización, tanto en términos de reputación como financieros.

¿Qué es lo siguiente?

Si algo está claro es que GDPR crea un nuevo punto de referencia para la protección de datos personales y su influencia se dejará sentir a lo largo y ancho del planeta. Así, ha llegado el momento de las leyes de privacidad en todo el mundo. Es cierto que la escala de las sanciones por infringir las regulaciones está acaparando mucha atención, pero lo que es más útil de GDPR es que garantiza que cada parte de una organización está al tanto y centrada en asegurarse de que sus prácticas de seguridad son robustas y están en un proceso de constante mejora. El “cumplimiento” de GDPR no está totalmente definido por la ley y estará determinado en parte por el rápido avance de las capacidades de la tecnología de seguridad y la evolución de las mejores prácticas del mercado. Tal y como este artículo ha intentado aclarar, es de esperar que solamente las tecnologías abiertas e interoperables entre sí pasen a la próxima generación de las defensas de ciberseguridad.

Los equipos de seguridad y TI ahora tienen la oportunidad de utilizar el marco que les ofrece GDPR para gestionar mejor la recopilación y uso de datos personales y, al mismo tiempo, cubrir las posibles lagunas de sus infraestructuras de protección. La buena noticia es que existen soluciones de seguridad que pueden desplegarse junto con las que ya tengan implantadas, contribuyendo a cumplir GDPR, mejorando la seguridad de manera global y ayudando a las empresas a alcanzar el nivel de protección que buscan los reguladores de la Unión Europea.

Las amenazas evolucionan rápidamente

Pero también lo hace la tecnología de seguridad. Se está dejando atrás la visión de que una sola tecnología tendría que desarrollar todas las funcionalidades en la red; ahora aparece una visión más cooperativa entre sistemas, abriendo la posibilidad de que los diferentes equipos intercambien información de seguridad entre sí dentro de la red para tomar decisiones más fiables.