RGPD

El Reglamento General de Protección de Datos (RGPD) de la UE, que entró en vigor en mayo de 2018, se identifica como el impulsor clave para que las empresas den los primeros pasos en seguridad cibernética. Más de un año después de la implementación del RGPD, la legislación se considera justificadamente como un defensor de la seguridad.

El RGPD ha alentado y obligado a algunas organizaciones en los últimos 12 meses a comprometerse formalmente con la seguridad cibernética por primera vez. Y a otras a fortalecer sus políticas y procesos existentes.

Bajo esta reforma, los ciudadanos de la Unión Europea tendrán más control sobre la seguridad de sus datos personales. Y los sitios web deberán seguir estrictos mandatos de cumplimiento para garantizar que estos datos estén protegidos.

Entonces, ¿qué significa esto para el futuro de la ciberseguridad, y cómo se verá afectada la economía digital en su conjunto?

Incluso si tu empresa no tiene afiliación directa con la UE, es importante estar al tanto de lo que implica el cumplimiento del RGPD y crear una estrategia de procesamiento de datos por adelantado.

El hecho de que te encuentres fuera de las fronteras del RGPD no significa que no tengas conexiones europeas a través de proveedores, clientes o partes interesadas.

Las sanciones por incumplimiento son graves, lo que significa que ahora es el momento de prepararse.

Esto es lo que debes saber sobre cómo el RGPD cambiará el panorama de la seguridad cibernética y qué medidas se pueden tomar para prepararse.

Consecuencias del RGPD en la ciberseguridad

No sorprende que el RGPD sea el impulsor clave de la seguridad cibernética. Ha aumentado significativamente el nivel de conciencia entre las empresas europeas sobre las violaciones de datos resultantes del delito cibernético y la necesidad de protección. El RGPD ha dado peso a la ciberseguridad al dar al cibercrimen consecuencias más tangibles.

Más específicamente, analizando empresas en toda Europa, vemos que es la amenaza de sanciones financieras detrás del RGPD y el daño a la reputación resultante lo que ha estimulado la acción.

El RGPD ha logrado forzar acciones que se habían retrasado mucho.

Sin embargo, también ha habido un inconveniente. Con tanta presión sobre las organizaciones para cumplir con los requisitos complejos, hemos visto la fatiga de RGPD. Abrumados por la información y las demandas sobre lo que tenían que hacer, muchas organizaciones simplemente se dieron por vencidas y volvieron a las prácticas laborales anteriores.

Otro problema con el RGPD fue que adoptó un enfoque único para todos. Esto significó que muchos requisitos se dejaron abiertos y demasiado amplios, lo que ha dejado a las empresas más vulnerables.

Claramente, todavía queda mucho trabajo por hacer y se necesita presión. Tan pronto como se lleven a cabo las auditorías, habrá multas, cobertura de prensa y, ni que decir tiene, acción.

Instamos a las empresas a que sean proactivas en lugar de reactivas y a tomar medidas positivas para revisar lo que se ha puesto en práctica con carácter prioritario. Los controles de ciberseguridad no deberían ser solo para cumplir con los requisitos del RGPD sino también para proteger sus activos comerciales clave de manera más amplia.

Cláusulas de ciberseguridad

Hay cinco artículos o cláusulas individuales que tienen requisitos específicos de seguridad cibernética:

  • ¿Cómo te proteges frente a accesos no autorizados, pérdidas o daños?
  • ¿Cómo aseguras y demuestras que proteges los datos?
  • ¿Qué medidas adoptas para protegerte contra las amenazas externas, robos de datos o accesos no autorizados?
  • ¿Qué pasos adoptas para protegerte de ataques internos a los datos?
  • ¿Puedes notificar cualquier brecha de seguridad detalladamente antes de 72 horas?

Para la monitorización y las operaciones de seguridad en las empresas que cumplen con el RGPD, existe un mayor enfoque en la prevención de violaciones de seguridad y privacidad. Además, es imprescindible poder responder rápidamente cuando se produce un problema, comprenderlo y tomar medidas.

Como mínimo, las empresas que manejan datos personales deberán:

  • Monitorizar continuamente la evidencia y los registros en torno a las transacciones de datos y las infracciones con la recopilación, el procesamiento y el almacenamiento integrales de los registros de actividad
  • Detectar y responder a los problemas rápidamente para cumplir con las reglas de notificación y reducir las multas demostrando controles efectivos, supervisión y contención de las infracciones
  • Lograr un cumplimiento demostrable del RGPD, así como satisfacer las necesidades comerciales.

Seguridad basada en riesgos

Los programas de seguridad basados ​​en el riesgo proporcionan un marco para la priorización de las amenazas. Las organizaciones evalúan los riesgos individuales que enfrentan considerando dos factores:

  • probabilidad de que ocurra un evento específico, y
  • cualquier impacto que el evento pueda causar.

El resultado determina la importancia atribuida a cada riesgo.

Las organizaciones pueden usar este marco básico no solo para aumentar las ciberdefensas en áreas priorizadas, sino también para reducir la seguridad donde el nivel de riesgo no justifica los controles de seguridad que pueden restringir el rendimiento del negocio.

Una comprensión detallada del riesgo puede actuar tanto como un facilitador comercial como una medida defensiva.

Algunas áreas de un negocio pueden actuar más rápidamente y con mayor flexibilidad, mientras que otras áreas con más riesgo requerirán más protección.

Después de identificar y clasificar los riesgos, las organizaciones pueden mitigar los riesgos de seguridad de datos más graves mediante la implementación de una estrategia de seguridad que protege los datos con elementos disuasivos tecnológicos, políticas y capacitación adecuados.

Este enfoque también prepara a las organizaciones para los peores escenarios de riesgo cibernético con detección integral de intrusos y planes de respuesta.

Modificación de lo que se consideran datos personales

Este es un término amplio que cubre todo lo que se usa para revelar la identidad de una persona en línea. Pero bajo el RGPD, la definición de datos personales se ampliará aún más.

Además de los conceptos básicos de nombre, número de teléfono y dirección de correo electrónico, también se debe tener en cuenta información como un código postal, licencia de conducir, pasaporte, tarjeta de crédito, cuenta bancaria, dirección IP, lugar de trabajo, afiliación sindical, factores sociales, genética y biometría.

Antes de recopilar estos datos, es necesario:

  • obtener el consentimiento explícito de la persona,
  • aclarar cómo se utilizará la información y
  • respetar el derecho de cada individuo a retirar su consentimiento en cualquier momento. Entonces los datos almacenados deben borrarse por completo.

Restricción en la recopilación y el almacenamiento de datos

Dado que el RGPD se presta a la expectativa de una mayor privacidad de los datos, esto genera presión sobre las empresas para reforzar su ciberseguridad e incluso integrar nuevas prácticas. Esto significa ser muy específico sobre lo que califica como consentimiento.

Asumir que cualquier persona que visite tu página web te haya otorgado acceso a su información personal para fines de marketing ya no es una opción: debes obtener permiso para sus datos a través de una acción afirmativa y un lenguaje inequívoco que se indique visiblemente en el sitio web.

Además, el procesamiento de datos debe ser monitorizado sistemáticamente, y una violación pública de este material sensible debe ser reportada dentro de las 72 horas posteriores a la violación de seguridad.

Insuficiencia de las tecnologías de firewall estándar

En este mundo hiperconectado, casi todos los equipos de oficina, desde ordenadores e impresoras hasta unidades de HVAC y sistemas de alarma y dispositivos móviles, ahora están habilitados para Internet. Esto aumenta el potencial de que incluso las redes más seguras se vean comprometidas, por lo que en respuesta, las medidas preventivas deben ser más sofisticadas.

La protección de firewall es beneficiosa, pero este software ya no es adecuado por sí solo.

Un enfoque de múltiples niveles para la ciberseguridad es más efectivo. Opta por tecnologías que cifran datos no estructurados, automatizan todo el procesamiento manual, condensan el almacenamiento en una ubicación y refuerzan la seguridad de las transferencias de archivos administradas.

Integración de los puntos finales de acceso a la red

Debido a que varios dispositivos conectados pueden aumentar el riesgo de que los datos personales sean explotados, todos los puntos finales de acceso a la red deben tener un tablero de entrada consolidado.

Lo que conseguimos con esto es:

  • agilizar la gestión de datos en los diversos puntos finales,
  • mejorar la visibilidad de toda la red de puntos finales para que los equipos de TI internos puedan supervisar y proteger el flujo de datos,
  • controlar quién puede moverse a través de un punto final para minimizar cualquier amenaza de acceso remoto y
  • optimizar la detección y respuesta tiempo para actividades sospechosas.

Además, la fusión de estos puntos finales de la red creará una pista de auditoría meticulosa y segura para garantizar que sigas siendo responsable de todas las directivas de cumplimiento del RGPD.

Evaluación e información de los riesgos de seguridad

La fuga de datos puede ocurrir en cualquier etapa de la cadena de suministro, por lo que es importante realizar verificaciones de rutina en todos los aspectos de este marco, incluido el tráfico del sitio web, la interacción de las redes sociales, los hilos de correo electrónico y otras formas de participación en línea.

Esto identificará las áreas que son más vulnerables a una violación de seguridad, y podremos tomar las medidas correctas para reducir la probabilidad de una penetración de datos.

Una evaluación exhaustiva del riesgo también evalúa la eficacia del funcionamiento del software de acceso a la red para mitigar la propagación de virus, malware y otros factores externos que contribuyen a la pérdida o el robo de datos. Cuanto más información tengas de los riesgos, mejor equipado estarás para evitarlos.

Establecer estrategias sólidas de procesamiento de datos

Bajo el RGPD, la protección de datos se divide entre dos niveles distintos: el controlador y el procesador.

El propietario o gerente de un negocio que obtiene la información personal de los clientes luego decide cómo se utilizan esos datos es el controlador. Y los empleados responsables de ejecutar las directivas de un controlador son los procesadores. Para evitar cualquier uso indebido de datos, se necesitan protocolos sólidos para verificar el equilibrio de potencia.

Por esta razón, más compañías están contratando oficiales de protección de datos (DPO) para que sirvan como el principal punto de contacto para todas las actividades de procesamiento de datos. Además de proporcionar responsabilidad para el controlador, un DPO puede educar a todos los miembros del equipo sobre el cumplimiento del RGPD y asegurarse de que esos parámetros se sigan en todos los ámbitos.

El cumplimiento de las normas de privacidad de datos es el factor principal para ganar la confianza del consumidor o compensar la pérdida de confianza, como en el caso del reciente escándalo Cambridge Analytica de Facebook. El RGPD requerirá que cualquier uso de datos personales dependa del consentimiento preciso e inequívoco a riesgo de multas por incumplimiento.

Entonces, en el futuro, Facebook y otras corporaciones estarán sujetas a un protocolo rígido destinado a evitar situaciones como Cambridge Analytica.

El RGPD pone en manos de las personas el derecho de proporcionar o retener, compartir o eliminar sus datos.

Medidas a adoptar por las empresas

Teniendo en cuenta el contexto antes mencionado, se recomienda que las empresas y sus gerentes de ciberseguridad responsables de la seguridad de los datos personales hagan que su relación sea lo más transparente posible para ambas partes.

Esto se puede hacer de la siguiente manera:

  • Definir el alcance de la responsabilidad. Los gerentes de ciberseguridad deben tener una comprensión clara de su rol específico con respecto a la implementación del RGPD, los sistemas y departamentos que están cubiertos, y sus derechos de acceso.
  • Definir el territorio. Es necesario comprender el alcance territorial del cumplimiento del RGPD del que es responsable una persona específica. ¿Es el lugar donde se encuentra físicamente el gerente o es más amplio? Esta pregunta debe responderse especialmente en los casos de empresas de grupos internacionales donde una persona puede estar a cargo de varias organizaciones.
  • Definir las leyes aplicables. Debe quedar claro para ambas partes qué leyes son aplicables a su relación. ¿Son solo las leyes de implementación del RGPD o son también actos vinculantes relacionados con la privacidad y la seguridad? ¿Cuáles son las reglas para responsabilizar a las empresas y empleados?
  • Acuerda la comunicación. Si el alcance de la responsabilidad se superpone con otros gerentes o empleados, es crucial acordar cómo trabajan juntos y cómo se distribuyen las tareas comunes.
  • Demuéstralo. Todos los acuerdos alcanzados sobre el alcance de la responsabilidad, la distribución de tareas y la responsabilidad deben ser demostrables. Si es posible y razonable ponerlos en papel, debe hacerse. Otras opciones (como comunicar los términos principales por correo electrónico) también son relevantes si la empresa y el gerente de ciberseguridad podrán probar, si se produce un conflicto, que todas las partes interesadas aceptaron un cierto orden.