La vulnerabilidad de la nube dentro de las directrices del comité europeo para protección de datos

El pasado 14 de enero, el Comité Europeo de Protección de Datos (European Data Protection Board -EDPB) publicó el Proyecto Directrices 01/2021, una guía con 18 directrices para la protección de datos con ejemplos de notificaciones de violaciones de datos, con la idea de complementar las Directrices WP 250  adoptadas por el Grupo de Trabajo del artículo 29.

El objetivo de esta guía es ayudar a los responsables del tratamiento a decidir cómo gestionar las violaciones de datos y a conocer qué factores deben tener en cuenta durante la evaluación de riesgos. Para ello, refleja las experiencias comunes de la autoridad nacional de control competente del Espacio Económico Europeo desde que el Reglamento General de Protección de Datos (RGPD) es aplicable.

Así, y aunque en general las directrices informan sobre cómo actuar y prevenir las violaciones de datos, tanto a nivel organizativo (formación de empleados y mejores prácticas) como técnico (copias de seguridad, cifrado, autenticación fuerte, controles de acceso mejorados, protección y actualización de sistemas y redes…) de forma adecuada y acertada, se echa en falta algo más. Los tiempos han cambiado rápidamente, y ahora factores como la adopción del teletrabajo y los servicios y aplicaciones en la nube, influyen sobremanera. Por eso, la mención expresa que se hace en el documento sobre “deshabilitar los servicios abiertos en la nube” o “emplear una VPN segura para conectar los dispositivos móviles a los servidores de “back-end”, deberían de ponerse al día.

Nuevos tiempos, nuevas necesidades

Hoy en día, con miles empresas y organizaciones de todo tipo empleando servicios “abiertos” y aplicaciones en la nube en proveedores a priori confiables como Google o Microsoft y con más de la mitad de sus plantillas trabajando desde casa, es impensable pedirles que deshabiliten estos servicios o que sus empleados remotos tengan que hacer retornar todo el tráfico de sus navegadores y aplicaciones en la nube a los servidores de “back-end” de los servicios centrales de las organizaciones a través de una VPN y eternizar su trabajo.

Además, en el documento se hace mención expresa a diversas tecnologías, como MDM para mejorar la seguridad de los dispositivos móviles, pero todavía no se mencionan explícitamente tecnologías como CASB (bróker de seguridad de acceso a la nube) que incorporan tecnología DLP (prevención de fuga de datos), que es una de las mejores medidas preventivas para evitar las violaciones y filtraciones de datos personales. También es cierto que el documento advierte de que la lista de medidas que se recomiendan no es exclusiva o completa y propone medidas de prevención genéricas como “el establecimiento de prácticas, procedimientos y sistemas robustos y efectivos de protección de datos y privacidad”.

Efectivamente, las violaciones de datos son problemas en sí mismos, pero que también son “síntomas de un régimen de seguridad que esté posiblemente desfasado”, tal y como dice el documento.

20 directrices

Aunque las nuevas directrices de la Oficina Europea de Protección de Datos van a ser increíblemente útiles para los responsables de la protección de datos, ya que los 18 ejemplos enumerados proporcionan esencialmente una hoja de ruta que recorre las ejecuciones necesarias en casos específicos de violación de datos, sigue faltando un elemento importante.

En este contexto, sería conveniente que las directrices incluyeran 20 ejemplos (en vez de los 18 de la guía), de modo que las violaciones de datos en la nube y de terceros proveedores se exploraran con mucho más detalle.  Todo lo que tenemos por el momento es la recomendación de "desactivar los servicios en la nube abiertos", lo que demuestra una falta de comprensión de cómo se utilizan exactamente los servicios en la nube en las empresas. Uno no se limita a "desactivar los servicios en la nube abiertos". Nuestros datos muestran que el 83% de los usuarios de empresas utilizan instancias personales de aplicaciones en la nube en dispositivos corporativos gestionados, subiendo una media de 20 archivos a instancias personales cada mes. Lo más probable es que estos servicios en la nube ni siquiera sean del Shadow IT, sino que suelen ser servicios confiables a priori, como Microsoft OneDrive, Google Drive y Box. 

Neil Thacker, CISO de EMEA de Netskope