Tecnología

Qué herramientas usar para implantar el GDPR en tu empresa

GDPR
Escrito por Redacción TICbeat

A menos de un mes de la entrada en vigor de la GDPR muchas empresas todavía no cuentan con las herramientas adecuadas para proteger los datos que custodian.

El próximo 25 de mayo entra en vigor de la nueva Regulación General de Protección de Datos (GDPR por sus siglas en inglés) y, según datos estadísticos, solo el 25% de las empresas cumplirían actualmente con la nueva normativa europea sobre el tratamiento de datos.

La principal diferencia entre la normativa impuesta por la Directiva de Protección de Datos que estaba en vigor hasta ahora y el nuevo reglamento GDPR es que, mientras que la primera eran una serie de directrices orientativas sobre la protección de los datos de terceros, el GDPR es de obligado cumplimiento para las empresas, bajo pena de duras sanciones que pueden oscilar entre el 4% de la facturación anual hasta una multa de 20 millones de euros.

El creciente volumen de datos que gestionan las empresas y el alto valor de estos para los ciberdelincuentes ha llevado a la Unión europea a tomar cartas en el asunto obligando a las empresas a reforzar la seguridad en la gestión de estos datos y el uso que se hacen de ellos.

España, el país menos preparado para la llegada del GDPR

A pesar de que el texto legal recogido en la nueva normativa hace que el nuevo modelo de gestión parezca muy complejo de implementar para pymes y autónomos, en realidad todo pivota sobre tres puntos clave:

  • Cifrado de datos y dispositivos para mantenerlos a salvo incluso si se producen vulneraciones en la seguridad de la red de la empresa.
  • Control de acceso a los datos, para garantizar que solo usuarios autenticado pueden acceder y usar esos datos.
  • Medidas para reforzar la seguridad en la gestión interna de los datos estableciendo métodos de control y formando a los empleados para minimizar el riesgo de fugas de información que puedan terminar en brechas de seguridad.

Empresas como ESET, especializadas en la seguridad informática, han creado diversas herramientas de fácil implementación para el cumplimiento del reglamento GDPR en empresas de cualquier tamaño.

Identifica y protege los datos de los usuarios

El nuevo reglamento establece que los datos de carácter personal y que puedan identificar al propietario de los mismos deben protegerse de cualquier tipo de brecha de seguridad o vulnerabilidad protegiéndolos mediante cifrado.

Es en el apartado del cifrado donde ESET plantea su primera herramienta para facilitar la implementación del GDPR para trabajadores autónomos y pymes. En este aspecto, la nueva normativa indica de forma clara en su Razón 83, que aquellas empresas que hayan aplicado un cifrado robusto a los datos personales que gestionan, no tienen la obligación de comunicar a los afectados las brechas de seguridad que sufren.

Control de acceso por contraseña

La herramienta ESET Deslock Encryption ofrece una solución sencilla de integrar en el flujo de trabajo ya que requiere una intervención mínima del usuario que gestiona los datos, proporcionándoles una fortaleza de cifrado con certificación FIPS 140-2 de nivel 1. Esto ya sitúa a esta herramienta por encima de las exigencias mínimas de fortaleza e integridad recogidas por la nueva norma GDPR. La herramienta Deslock Encryption de ESET permite aplicar dos tipos de cifrado: al continente y al contenido.

En el primer caso, el cifrado se realiza directamente a la unidad de almacenamiento donde se guardan los datos. De ese modo el sistema de cifrado se comporta como una caja fuerte en la que, una vez el usuario ha terminado de usar el dispositivo, se cifra automáticamente haciendo inaccesible todo el contenido hasta que se vuelve a activar introduciendo la clave de desbloqueo correcta.

¿Cumples con el Reglamento General de Protección de Datos?

Este sistema de cifrado debe emplearse en los ordenadores y dispositivos en los que se gestionan los datos personales de forma que, en caso de acceso no autorizado a ellos o robo, las unidades permanezcan protegidas e inaccesibles.

Otro de los sistemas de cifrado que pueden usarse para cumplir con la normativa de la GDPR es el cifrado granular o cifrado de archivos y textos individuales. En este tipo de cifrado todos los archivos y cadenas de texto que contengan datos quedarán cifradas, pero sin alterar la naturaleza del archivo.

Cifrado de dispositivos

De ese modo, las aplicaciones podrán reconocer qué tipo de archivo se está gestionando, pero no se podrá acceder a su contenido. Este tipo de cifrado resulta especialmente útil para gestionar listados de clientes o correo electrónico de forma que el cliente de correo reconoce que es un archivo de correo con un remitente y un destinatario, pero el cuerpo del correo y sus adjuntos permanecen cifrados hasta que se introduce la clave de validación.

Todo este proceso de cifrado y descifrado de archivos, así como todas las tareas de gestión de claves quedaría centralizado en la solución de seguridad Deslock Encryption de ESET para conseguir el mejor equilibrio entre seguridad y usabilidad necesario para que las empresas cumplan con la normativa del GDPR sin provocar una gran alteración del procesado actual de los datos. Todo ello gestionado desde una consola de administración centralizada que facilita la implementación de políticas de cifrado para cada dispositivo de forma remota.

Doble factor de autenticación

El segundo pilar fundamental sobre el que se debe articular toda la estrategia de integración a la normativa GDPR es la restricción de los controles de acceso a la información sensible mediante herramientas certificadas de doble factor de autenticación (2FA).

En el texto de la normativa GDPR de obligado cumplimiento para las empresas a partir del 25 de mayo se establece que deben implementarse herramientas que ayuden a proteger el acceso a la información para evitar los accesos no autorizados incluso tras el hipotético caso de que se hayan podido vulnerar los sistemas de cifrado.

Descubren 1.400 millones de contraseñas robadas en la Dark Web

En ese supuesto, la mejor opción es utilizar una herramienta de autenticación de doble factor con contraseñas de un solo uso.

Esta herramienta se instala directamente en el smartphone de los empleados o colaboradores autorizados a acceder a los datos personales de los usuarios. Cuando el usuario quiere acceder al sistema de gestión de datos desde su ordenador, se le solicita un usuario y contraseña que se envía en forma de token a un segundo dispositivo de confianza, como puede ser su smartphone o su smartwatch. Cuando el usuario confirma en su segundo dispositivo la autenticidad de la solicitud de acceso, el sistema permite el acceso a los datos.

contrasenas espanoles

ESET Secure Authentication es una herramienta desarrollada por ESET que, además de proporcionar una capa extra de seguridad en la doble autenticación de los usuarios, refuerza las políticas de seguridad en aquellas empresas que utilizan el modelo BYOD (Bring Your Own Device o trae tu propio dispositivo).

Los sistemas de doble autenticación de usuarios refuerzan la seguridad de acceso ya que se prescinde por completo de contraseñas débiles para que puedan ser recordadas por los empleados para optar por un modelo de contraseñas robustas y de un solo uso que se gestionan desde dos dispositivos diferentes, lo cual resulta mucho más garantista para la integridad de los datos.

La implementación de herramientas como ESET Secure Authentication tienen un bajo coste de mantenimiento ya que, a diferencia de otras que se basan en tokens de hardware, no precisa de inversión adicional en nuevos servidores o complementos. Se instala fácilmente en los equipos ya existentes y se implementa mediante un plugin en el servidor. Una herramienta asequible para que cualquier empresa pueda cumplir sin problemas con los requisitos del GDPR.

Refuerzo frente a las brechas de seguridad

Dado que los sistemas de cifrado son lo suficientemente robustos como para que no merezca la pena intentar vulnerarlos con ataques de fuerza bruta, los ciberdelincuentes intentan aprovechar el eslabón más débil de la cadena de seguridad, que paradójicamente son los propios empleados que gestionan esos datos personales.

perfiles de empleados según sus motivaciones

La utilización de malware o de ingeniería social para hacerse con las contraseñas y claves de cifrado de los dispositivos que contienen los datos está a la orden del día, por lo que extremar las precauciones y reforzar la seguridad en torno a los empleados y colaboradores que gestionan esos datos puede ser una iniciativa que te evitará problemas en el futuro.

Es precisamente en este punto donde resulta decisiva la intervención de un software DLP (Data Loss Prevention).

Este tipo de herramientas de control de fugas de datos actúan a modo de cortafuegos para reforzar el control de la información y mantenerla dentro del ámbito de la empresa, evitando así la filtración involuntaria de los datos que la empresa custodia y que, a la larga, puede convertirse en una potencial brecha en su seguridad.

El capital humano es una pieza clave en la fuga de datos empresariales

Safetica es un herramienta distribuida por ESET para prevenir la fuga de información empresarial debido a un error humano evitando que, por ejemplo, se envíen por error correos electrónicos a otras personas o empresas con los datos privados que custodias o que puedan imprimirse listados con esos datos.

Con la implementación de las herramientas adecuadas el cumplimiento de la normativa GDPR no tiene por qué ser traumática para el normal funcionamiento de las empresas ganando en seguridad y ahorrándoles muchos problemas a las empresas más pequeñas que, por falta de recursos, son las que más acusan estos cambios normativos.

 

TICbeat para ESET.

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.