gdpr

Preparados… listos… GDPR! (for dummies)

A pocos meses de que GDPR o “General Data Protection Regulation” arranque de forma oficial, la cruda realidad es que una gran cantidad de empresas todavía no están preparadas o (lo que es peor) desconocen aquello en lo que les afecta.

Y no, aquí no hablamos de algo que se pueda ignorar hasta que venga una multa para empezar a mirarlo, las leyes de protección de datos se han hecho mayores y vienen con mucha fuerza… dispuestas a dar guerra. ¿De verdad piensas que no hay que tomarlas en serio?

A lo largo de este artículo, de forma sencilla, voy a tratar de explicarte lo más importante que debes saber sobre la nueva GDPR, ¿estás listo?

Un poco (muy poco) de historia

Nada menos que cuatro años ha durado la preparación de esta ley que fue aprobada por el Parlamento Europeo el 14 de Abril del 2.016. La fecha oficial de entrada en vigor (esto márcalo en el calendario con rojo) es el 25 de Mayo del 2.018. A partir de esa fecha, aquellas organizaciones que no cumplan con sus requisitos se podrán enfrentar a elevadas multas que se definen como un 4% de la facturación con un máximo de 20 millones.

De forma muy resumida, podemos decir que el (en Español) Reglamento General de Protección de Datos se ha diseñado para unir las características de las diferentes leyes de protección de datos existentes en Europa. El claro objetivo es proteger la privacidad de todos los ciudadanos de la Unión Europea con el mismo nivel de detalle.

De forma muy sencilla, ¿en qué consiste GDPR?

Aunque el texto es largo y complejo, no debes tener miedo o pensar en GDPR como un ogro que viene a poner multas sin más. Al contrario, es una gran oportunidad para concienciar e involucrar a todas las partes de la empresa en una cultura de seguridad que tanta falta hace tanto ahora como (mucho más) en el futuro cercano.

Podemos reducir todo a cuatro sencillas reglas:

1 – La información:

Conoce de forma clara la información que almacenas y el motivo por el que lo haces. También será necesaria la existencia de un responsable de dicha información y unos métodos claros y seguros de almacenamiento.

Se acabó almacenar datos personales que no necesitamos por si en un futuro me hacen falta. Se acabó no saber dónde los tengo o si se cifran de alguna forma. Ahora las respuestas a todo esto deben ser dadas de forma clara por el responsable de la información.

2 – El cifrado:

Cifra, cifra y cifra (es un tema personal, encriptar no me gusta). A estas alturas no nos podemos permitir almacenar información sensible si no está cifrada. No cometas ese error y cifra todo aquello que no quieras que se sepa en el caso de que una hipotética fuga de información ocurra en tu empresa.

3 – La cultura de seguridad:

La seguridad no es algo que se aplica al final de los procesos como una capa de pintura. GDPR nos pide a gritos que se establezca de forma general una cultura de seguridad en todos los niveles de las organizaciones.

Sólo si vamos de la mano con los procesos, procedimientos y controles de seguridad podremos avanzar como compañía en un mundo (cada vez más) lleno de amenazas digitales.

4 – Los incidentes:

Prepárate para caer, te van a atacar, te van a entrar y se va a saber. Olvídate de las multas, puede que la multa sea calderilla frente al destrozo en imagen que te puede hacer una intrusión. ¿Recuerdas el caso de Yahoo con su venta a Horizon en la que el precio de compra bajó 350 millones tras una gran fuga de información? No hace falta que explique qué duele más, si 350 millones de pérdida o 20 millones de multa, ¿verdad?

Además, el nuevo reglamento te va a obligar a comunicar el incidente en un máximo de 72 horas así que se va a saber sí o sí.

Aprovecha la oportunidad y prepara un plan de contingencia y continuidad de negocio. Emplea tus recursos no sólo en prevenir, también en detectar y en corregir.

¿Y al usuario cómo le afecta esto?

Aunque no lo va a notar de forma agresiva, va a notar ligeros cambios destinados a ofrecerle:

  • El derecho a la información y la transparencia.
  • El derecho de acceso y rectificación.
  • El derecho a borrar (‘derecho al olvido’).
  • El derecho a restringir el procesamiento.
  • El derecho a la portabilidad de datos.
  • El derecho a oponerse.

¿Más o menos claro?

Por supuesto, si quieres más detalle, puedes acceder al portal oficial y a cientos de recursos sobre el tema en internet.

Espero haberte ayudado a comprender mejor este gran cambio. Recuerda que, si tienes alguna duda, puedes dejar un comentario y te responderé lo mejor que pueda.

Saludos!

IDGSecurity

SecurityInside Live: IDGSecurity 2018

El proceso de transformación digital que están abordando las empresas y la sociedad, de forma generalizada, obliga a operar en un entorno diferente y, aunque es cierta la gran oportunidad que se abre tanto en el mundo de los negocios como en la sociedad, hay que ser conscientes de los riesgos. La Ciberseguridad se ha posicionado como el eje de cualquier proyecto de transformación y en la mayor preocupación tanto de CEO, como de CIO y CISO. Ya no se trata solo de proteger sino de ser proactivos y ser capaces de detectar y responder a los ataques de la forma más inmediata posible.

Leer más

SecurityInside Live: CyberCamp 2017

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.

CyberCamp 2017 se celebra en el Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017. El principal objetivo de CyberCamp es identificar, atraer e impulsar a todos aquellos que tengan talento en materia de ciberseguridad:

  • Identificar trayectorias profesionales de los jóvenes talentos.
  • Llegar a las familias, a través de actividades técnicas, de concienciación y difusión de la ciberseguridad para todos.
  • Despertar e impulsar el talento en ciberseguridad mediante talleres y retos técnicos.

Si no puedes asistir, no te preocupes ya que emiten los Talleres y Conferencias en directo a través de videostreaming:

 

Leer más

Ransomware (¿seguro que tu empresa no está en peligro?)

Lamentablemente, nos estamos acostumbrando a ver noticias constantes de ciberataques desde hace ya demasiado tiempo. Parece que la gente tomó conciencia del problema tras el ataque hace unos meses del ransomware WannaCry gracias a su alta repercusión sobre Telefónica, los centros NHS del Reino Unido y otras organizaciones de todo el mundo (de hecho, las ofertas de empleo se triplicaron en la bandeja de entrada de LinkedIn…).

Es evidente que la amenaza planteada por los ciberdelincuentes está en constante evolución, ya que casi a diario se lanzan nuevos tipos de malware cada vez más inteligentes. De hecho, desde entonces hemos visto múltiples ataques a gran escala en Europa, paralizando los sistemas de información sin discreción.

Todo el espectro de pymes y grandes empresas han sido víctimas de los brotes de WannaCry, de hecho hemos visto como empresas de toda Europa fueron atacadas por un ataque ransomware conocido como “Bad Rabbit”.

¿Pero esto pasa mucho?

Es habitual pensar que son las empresas más grandes con marcas conocidas las que están más expuestas a estos ataques, ya que poseen una gran cantidad de datos, lo que podría ser un objetivo claro para los ciberdelincuentes. Pero en realidad las empresas más pequeñas son más vulnerables a los ciberataques, ya que no cuentan con los recursos, tecnología y formación necesarios para prevenirlos.

El informe sobre el estado global de seguridad de la información de PwC indica que las empresas tienen que desembolsar un promedio de 980.000 € cada año como resultado de violaciones de seguridad cibernética.

Con menos recursos, muchas PYMES corren el riesgo de fracasar si no hacen más para protegerse.

Para hacernos una idea, una encuesta de violaciones de seguridad de la empresa EY indicaba que una cuarta parte de las empresas se ven afectadas por una violación de la seguridad cibernética cada mes. No debemos tomarlo como un dato exacto, pero debería servir como una señal de advertencia para las empresas tanto grandes como pequeñas.

¿Cómo me protejo?

A las PYMES no les queda más remedio que aumentar el presupuesto de defensa de seguridad cibernética, pero mientras eso ocurre, al menos deberían pensar en:

  • Asegurarse de haber instalado software antivirus y antimalware en todos los dispositivos de la organización.
  • Adquirir software de forma legal y, por supuesto, asegurarse de instalar regularmente cada actualización.
  • Teniendo en cuenta que la gran mayoría de los ciberataques son el resultado de un error humano, asegurarse de capacitar a su personal sobre cómo evitar que el negocio sea vulnerable a los ataques.
  • Echar un vistazo a los consejos de SecurityInside.info para PYMES sin dinero.

La mejor opción es emplear expertos

Las empresas que no lo tengan, deberían considerar la contratación de profesionales que tengan la experiencia para defenderse de estos ataques. Hay un número creciente de empresas a las que pueden subcontratar, en caso de que no tengan los fondos para contratar a un Responsable de Seguridad.

En cualquier caso, está claro que el problema está ahí y ha venido para quedarse. Como empresa o PYME no puedes quedarte esperando, el momento de actuar es ahora.

¿Para qué sirve un CISO (aka responsable de seguridad)?

Cuando me preguntan en qué trabajo y contesto que soy responsable de seguridad, lo habitual es que me imaginen organizando a personas que controlan puertas y pasean por pasillos en busca de ladronzuelos.

Cuando digo que soy responsable de seguridad en una empresa de tecnología, lo habitual es que me imaginen evitando que nos roben los móviles, los portátiles o las teles.

Cuando digo que soy responsable de seguridad de la información, lo habitual es que no tengan ni idea de qué les hablo. Entonces les explico que mi tarea es proteger la información valiosa de la compañía contra ataques informáticos de gente mala, fugas de información, malware, … Es entonces cuando me miran con cara de asombro y me dicen “ah, que eres un hacker!!”.

Pues no, no me considero un hacker y hago un inciso para explicar lo que yo entiendo por hacker. Me basaré en la definición dada por “The Internet Engineering Task Force (IETF®)”, muy del gusto de la comunidad de seguridad:

hacker –  A person who delights in having an intimate understanding of the  internal workings of a system, computers and computer networks in particular. The term is often misused in a pejorative context, where “cracker” would be the correct term.

Partiendo de la base de que considero un hacker a una persona apasionada de la tecnología que aprende constantemente con el objetivo de llevarla hasta el límite para poder mejorarla, no me considero hacker ya que no entro en la parte final de la definición. Quizás si un half-hacker, pero para mí los hackers de verdad son gente tan top como los ponentes habituales de los congresos de seguridad, los creadores de tecnología, los que sin formación académica terminan siendo muy importantes dentro de grandes empresas, …

Pero volviendo a lo del principio, al final siempre surgen dudas sobre las tareas que realiza un CISO o responsable de seguridad así que te voy a hacer un pequeño resumen.

El CISO o responsable de seguridad en la norma ISO 27.001

Ahora que estoy trabajando en el contenido del Máster de seguridad y continuidad de negocio del que voy a ser docente, concretamente en la parte relacionada con auditoría 27.001, estoy describiendo cómo no se da como obligatorio el nombramiento de un responsable de seguridad. El motivo es sencillo, la norma se puede ajustar a compañías de cualquier tamaño y las pequeñas normalmente no tendrán recursos para mantener una persona que se encargue únicamente de esas tareas.

Sin embargo, en empresas de más tamaño, es importante que exista esa figura para que pueda realizar las siguientes tareas:

  • Conformidad:
    • Desarrollar la lista de partes interesadas relacionadas con la seguridad de la información.
    • Desarrollar la lista de requisitos de las partes interesadas.
    • Permanecer en contacto continuo con autoridades y grupos de intereses especiales.
    • Coordinar todos los esfuerzos relacionados con la protección de datos personales.
  •  Documentación:
    • Proponer el borrador de los principales documentos de seguridad de la información, por ejemplo, Política de seguridad de la información, Política de clasificación, Política de control de acceso, Uso aceptable de activos, Evaluación del riesgo y metodología de tratamiento de riesgos, Declaración de aplicabilidad, Plan de tratamiento de riesgos, etc.
    • Ser responsable de revisar y actualizar los documentos principales.
  • Gestión de riesgos:
    • Enseñar a los empleados cómo realizar la evaluación de riesgos.
    • Coordinar todo el proceso de evaluación de riesgos.
    • Proponer la selección de salvaguardas.
    • Proponer los plazos para la implementación de salvaguardas.
  • Administración de recursos humanos:
    • Realizar comprobaciones de verificación de antecedentes de candidatos de trabajo.
    • Preparar el plan de capacitación y concientización para la seguridad de la información.
    • Realizar actividades continuas relacionadas con la sensibilización.
    • Realización de capacitación de inducción sobre temas de seguridad para nuevos empleados.
    • Proponer acciones disciplinarias contra empleados que realizaron la infracción de seguridad.
  • Relación con la alta dirección:
    • Comunicar los beneficios de la seguridad de la información.
    • Proponer objetivos de seguridad de información.
    • Informar sobre los resultados de la medición.
    • Proponer mejoras de seguridad y acciones correctivas.
    • Proponer presupuesto y otros recursos requeridos para proteger la información.
    • Informar requisitos importantes de las partes interesadas.
    • Notificar a la alta dirección sobre los principales riesgos.
    • Informar sobre la implementación de salvaguardas.
    • Asesorar a los principales ejecutivos en todos los asuntos de seguridad.
  • Mejoras:
    • Asegurarse de que se realizan todas las acciones correctivas.
    • Verificar si las acciones correctivas han eliminado la causa de las no conformidades.
  • Gestión de activos:
    • Mantener un inventario de todos los activos de información importantes.
    • Eliminar los registros que ya no se necesitan.
    • Desechar los medios y equipos que ya no se usan de forma segura.
  • Terceros:
    • Realizar la evaluación de riesgos para las actividades a subcontratar.
    • Realizar verificación de antecedentes para los candidatos de outsourcing.
    • Definir cláusulas de seguridad que deben formar parte de un acuerdo.
  • Comunicación:
    • Definir qué tipo de canales de comunicación son aceptables y cuáles no.
    • Preparar el equipo de comunicación para ser utilizado en caso de una emergencia o desastre.
  • Gestión de incidentes:
    • Recibir información sobre incidentes de seguridad.
    • Coordinar la respuesta a incidentes de seguridad.
    • Preparar evidencia para la acción legal después de un incidente.
    • Analizar incidentes para evitar su recurrencia.
  • Continuidad del negocio:
    • Coordinar el proceso de análisis del impacto comercial y la creación de planes de respuesta.
    • Coordinar el ejercicio y la prueba.
    • Realizar una revisión posterior al incidente de los planes de recuperación.
  • Técnico:
    • Aprobar los métodos apropiados para la protección de dispositivos móviles, redes de computadoras y otros canales de comunicación.
    • Proponer métodos de autenticación, política de contraseñas, métodos de cifrado, etc.
    • Proponer reglas para el teletrabajo seguro.
    • Definir las características de seguridad requeridas de los servicios de Internet.
    • Definir principios para el desarrollo seguro de los sistemas de información.
    • Revisar los registros de las actividades del usuario para reconocer el comportamiento sospechoso.

Básicamente, en esto consiste mi día a día. Pero no te voy a engañar, también me preocupa la gente que entra por la puerta o anda por los pasillos, sobre todo cuando vienen de visita…

Cuando tomas la decisión de convertirte en un profesional de la seguridad, como es mi caso, te das cuenta de que tienes que vivir en continua semi-paranoia para que no se te escape nada. Aunque mi visión de todo esto es siempre intentar que la seguridad sea lo primero, pero seguido muy de cerca por la usabilidad, ya que si les hago a mis compañeros el trabajo imposible, entonces mal vamos. En este sentido te recomiendo que le eches un vistazo a la entrada en la que cuento cómo ofrezco la seguridad a los departamentos vía API.

Espero haberte ayudado a comprender un poco mejor lo que hace un responsable de seguridad.

¡Hasta la próxima!