¿Qué es el Reglamento General de Protección de Datos (RGPD)?

El Reglamento General de Protección de Datos (RGPD) es la ley de protección de los datos personales de la Unión Europea (UE) que tiene como objetivo proteger la privacidad de los ciudadanos de la UE. Promulgada en mayo de 2018, impone un conjunto unificado de normas a todas las organizaciones que procesan datos personales originarios en la UE, independientemente de su ubicación.

Dado que el RGPD se aplica a cualquier organización que procese los datos personales que tengan su origen en la UE (incluidas las organizaciones con sede en otras partes del mundo), es importante que todas las organizaciones evalúen el cumplimiento y se ajusten a las obligaciones establecidas en la normativa.

Las consecuencias del incumplimiento son significativas, con multas que alcanzan los 20 millones de dólares o el cuatro por ciento de los ingresos anuales mundiales de la empresa matriz, la cantidad que sea mayor.

¿Qué datos deben protegerse según el RGPD?

Se considera dato personal cualquier información que pueda utilizarse para identificar a una persona. A continuación, se muestran algunos ejemplos:

• Nombres
• Números de identificación
• Datos de ubicación
• Características identificables, ya sean físicas, fisiológicas, genéticas, comerciales, culturales o sociales
• Información de contacto como números de teléfono y direcciones
• Números de tarjetas de crédito o datos bancarios
• Números de empleados o de clientes
• Datos de cuentas
• Registros de vehículos y números de matrícula

Además de la protección de los datos personales generales mencionada anteriormente, el RGPD también exige un mayor nivel de protección de los datos personales confidenciales. En este tipo de datos se incluyen:

• Datos genéticos, biométricos y médicos
• Datos sobre raza y etnia
• Afiliaciones políticas
• Creencias religiosas o convicciones ideológicas
• Afiliaciones a sindicatos 

Si bien el RGPD se aplica específicamente a los datos personales que se originan en la UE, muchas empresas optan por aplicar los requisitos a todos los clientes, independientemente de cuál sea su ubicación, ya que puede resultar poco práctico, complejo y costoso mantener dos o más directivas de datos y la infraestructura necesaria para ello. Por este motivo, muchos consumidores que viven fuera de la UE también se benefician de la seguridad y protección que ofrece el RGPD.

¿Qué se indica en el RGPD sobre la ciberseguridad?

La protección de los datos es un componente fundamental tanto de la ciberseguridad como del cumplimiento del RGPD.

En el RGPD se describen seis principios específicos que deben cumplir las empresas cuando procesan datos personales:

1. Legitimación, equidad y transparencia
2. Limitación de la finalidad
3. Minimización de los datos
4. Limitación del plazo de conservación
5. Integridad y confidencialidad
6. Responsabilidad general

Si bien el RGPD ofrece orientación específica a las organizaciones con respecto al procesamiento de datos personales de la Unión Europea, las pautas exigen que las empresas utilicen su propio criterio (o consulten a expertos) para garantizar que siguen cumpliendo las normas.

Por ejemplo, en el artículo 5(1)(f) se establece que las organizaciones deben mantener una "seguridad adecuada de los datos personales, teniendo en cuenta el estado de la técnica, y aplicando medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo".

Esto plantea varias inquietudes importantes y de enormes consecuencias a las organizaciones:

• ¿Qué constituye una "seguridad adecuada de los datos personales"?
• ¿Qué constituyen "medidas técnicas y organizativas apropiadas"?
• ¿Qué constituye "un nivel de seguridad adecuado al riesgo"?
• Dado que el riesgo cibernético es un concepto en constante cambio, ¿cómo puede la empresa garantizar que las herramientas, las directrices y los procesos implementados brinden cobertura suficiente para garantizar el cumplimiento general de manera continua?

En el RGPD también se especifican otros puntos importantes que afectan al cumplimiento de una organización. Por ejemplo, cualquier brecha de datos que represente un riesgo para las personas debe comunicarse dentro de las 72 horas posteriores a que una organización tenga conocimiento de ella. Así se subraya la necesidad de que las organizaciones cuenten con un plan detallado de respuesta a incidentes, así como con sistemas que les permitan evaluar rápidamente el incidente y recopilar la información necesaria que debe trasladarse a las personas necesarias.

¿Qué controles de seguridad debería plantearse aplicar?

Dado que el RGPD se basa en gran parte tanto en la evaluación del nivel de riesgo específico de la organización como en la implementación de medidas "apropiadas" en función de ese riesgo, en el RGPD no existe ninguna solución de seguridad estándar.

Dicho esto, hay varias prácticas recomendadas que las organizaciones deben seguir para conocer sus riesgos y proteger a su organización tanto de las brechas de datos como de las posibles ramificaciones jurídicas asociadas al RGPD.

Implementar herramientas y directivas eficaces de gestión de identidades y acceso (IAM)

Uno de los principios fundamentales del RGPD es que a los datos personales recopilados por la organización solo deben poder acceder los empleados que tengan una necesidad específica y esencial de esos datos como parte de sus responsabilidades profesionales diarias. Esto permite garantizar que el acceso a la información de identificación personal (PII) y a los datos personales confidenciales se limite a la menor cantidad de personas posible.

La gestión de identidades y accesos (IAM) es un marco que permite al equipo de TI verificar la identidad de un usuario y confirmar sus derechos de acceso. Si bien la IAM se puede aplicar sin problemas a cualquier sistema, red o recurso, en el contexto del RGPD, esta gestión se centra en el acceso a los datos.

En la IAM, existen varias estrategias de acceso seguro que las organizaciones pueden usar, entre ellas:

• Zero Trust: marco de seguridad que obliga a todos los usuarios, pertenezcan o no a la red de la empresa, a pasar por un proceso de autenticación, autorización y validación continua para poder acceder o mantener el acceso a las aplicaciones y los datos. Todo ello por razones de seguridad.
• Principio del mínimo de privilegios (POLP): concepto de seguridad informática y práctica que proporciona a los usuarios derechos de acceso limitados en función de las tareas necesarias para su puesto de trabajo. Garantiza que sólo los usuarios autorizados y con identidades verificadas tengan los permisos necesarios para realizar trabajos dentro de una serie de sistemas, aplicaciones, datos y recursos.
• Autenticación multifactor (MFA): sistema de seguridad que otorga acceso a los usuarios sólo después de confirmar su identidad mediante más de un factor de autenticación, además de su nombre de usuario y contraseña. Este factor puede ser un código de seguridad enviado por un mensaje de texto o correo electrónico, un token de seguridad de una app de autenticación o incluso un identificador biométrico.

Desarrollar e implementar un programa de formación en ciberseguridad, incluida la formación en privacidad de datos

El RGPD se centra en proteger los datos frente a cualquier tipo de riesgo. Aquí se pueden incluir los métodos y las herramientas de ciberseguridad que protegen los datos frente a brechas externas, así como los pasos tomados y las directivas aplicadas para garantizar que los empleados gestionen los datos de manera adecuada a nivel interno.

Si bien los ciberdelincuentes recurren a una variedad de métodos para conseguir acceder a una organización, uno de los más habituales (y a menudo más fáciles) es tener como objetivo a los empleados mediante ataques de phishing coordinados u otras técnicas de ingeniería social. Para reducir este riesgo, las organizaciones necesitan desarrollar un programa de formación integral en ciberseguridad para empleados que instruya a las personas sobre los riesgos de seguridad habituales, promueva un comportamiento online responsable y describa los pasos a seguir cuando crean que puedan estar sufriendo un ataque.

Además, los empleados que tienen acceso a datos personales confidenciales deben recibir formación especial sobre privacidad de datos para garantizar que tomen las medidas necesarias para proteger dichos datos.

Implementar una solución integral de prevención de pérdida de datos (DLP)

La prevención de pérdida de datos (DLP) forma parte de la estrategia de seguridad general de una empresa que se centra en detectar y evitar la pérdida, la fuga o el uso indebido de datos a través de brechas, transmisiones de exfiltración y uso no autorizado.

DLP también es una forma que permite a las empresas identificar y clasificar la información personal confidencial y garantizar que las directivas de datos de la empresa cumplan con las normativas pertinentes, incluido el RGPD. Una solución de DLP correctamente diseñada y configurada agiliza la generación de informes para cumplir con estos requisitos de cumplimiento y auditoría.

Además de la identificación y clasificación de los datos personales confidenciales, algunas soluciones de DLP pueden rastrear cuándo se accede a los datos, se comparten o descargan y proporcionar alertas a los miembros necesarios del equipo.

Habilitación de técnicas de ofuscación de datos, incluida la pseudonimización y la anonimización con DLP

Otro componente de la DLP tiene que ver con la protección de los datos mediante técnicas de ofuscación.

La ofuscación de los datos es el proceso de ocultar los datos confidenciales o delicados para protegerlos frente a un acceso no autorizado. Las tácticas de ofuscación de datos pueden incluir:

• Enmascaramiento de los datos: el enmascaramiento de los datos, o anonimización de los datos, es una técnica de ofuscación de los datos mediante la cual los datos confidenciales como las claves de cifrado, la información personal o los tokens y las credenciales de autenticación se eliminan de los mensajes del log. El enmascaramiento de los datos cambia el valor de los datos mientras se utiliza el mismo formato para los datos enmascarados.
• Pseudonimización: la pseudonimización de los datos es una técnica de ofuscación de datos mediante la cual las organizaciones pueden anular la identificación de un registro de datos sustituyendo los campos de información de identificación personal con una entrada ficticia, o seudónimo.
• Cifrado: el cifrado de datos protege los datos convirtiendo el texto sin formato en información codificada, llamada texto cifrado, al que sólo se puede acceder a través del descifrado con la clave de cifrado correcta.
•  Tokenización: la tokenización de datos es el proceso de sustitución de un dato confidencial por otro valor, conocido como token, que no tiene ningún significado ni valor intrínseco. Hace que los datos no tengan ninguna utilidad para un usuario no autorizado.

Plantéate implementar una solución de gestión de riesgos internos (IRM) para organizaciones o sectores con un alto nivel de riesgo

Una amenaza interna es un riesgo de ciberseguridad que procede del interior de la organización, normalmente de un empleado, exempleado u otra persona con acceso directo a la red, los datos confidenciales y la propiedad intelectual de la empresa, y conocimientos de los procesos de negocio, las políticas de la empresa u otra información que puede ayudarle a perpetrar el ataque.

Cuando abordamos el cumplimiento del RGPD, la gestión de riesgos internos (IRM), solución que permite tener visibilidad sobre la actividad de los usuarios de alto riesgo, ayudando a los equipos de SOC y de amenazas internas a detectar, investigar y responder rápidamente a la vulneración de datos confidenciales por parte de los usuarios internos, puede ser un aspecto a tener muy en cuenta porque estos usuarios a menudo pueden provocar más daños que los atacantes externos en lo que se refiere a los datos personales. Por ejemplo, los usuarios internos suelen saber dónde se encuentran los datos, cómo acceder a ellos y, en algunos casos, cuáles son las lagunas de los sistemas de detección. La confianza implícita y el acceso que se les concede a los empleados, junto con su conocimiento institucional, pueden hacer que sea difícil distinguir una actividad de riesgo de un uso autorizado.

La IRM está adquiriendo cada vez más importancia a medida que los modelos de trabajo remoto o híbrido continúan creciendo y que los empleados tienen acceso a sistemas y datos a través de más aplicaciones y sistemas de mensajería que nunca para mejorar la productividad.

En la actualidad, la DLP y IRM suelen ser dos soluciones de seguridad separadas y distintas. Sin embargo, a medida que la protección de los datos se convierte en un elemento central de la mayoría de los programas de ciberseguridad, estas dos soluciones están comenzando a confluir.

Desarrollar un plan de respuesta a incidentes (IR)

Dado que en el RGPD se especifica que las organizaciones deben informar sobre una brecha de datos a la autoridad de protección de los datos en un plazo de 72 horas, las organizaciones que gestionan los datos personales europeos deben tener un plan detallado para abordar dichos incidentes.

La respuesta a incidentes (IR) es el término general utilizado para describir los pasos que llevan a cabo las empresas para prepararse, detectar, contener y recuperarse de una brecha de datos.

Una de las partes más importantes del plan de IR con respecto al RGPD es la notificación de incidentes. Aquí se incluyen todas las notificaciones, tanto internas como externas, que deben enviarse después de que se haya analizado y asignado la prioridad a un incidente. En este aspecto del plan también se deben incluir requisitos de generación de informes específicos del RGPD o de cualquier otra normativa pertinente.

Protección de los endpoints y gestión de vulnerabilidades

Los endpoints son el elemento de interconexión de la pérdida de los datos valiosos. Los datos empresariales no sólo se transmiten y quedan almacenados en los dispositivos, sino que también se utilizan para autenticar a los usuarios y a las identidades, así como para acceder a repositorios de código, cargas de trabajo en la nube, aplicaciones SaaS y archivos. Esto hace que la protección de los endpoints (la estrategia de ciberseguridad para defender los endpoints frente a la actividad maliciosa) sea un elemento importante para seguir cumpliendo el RGPD.

Asimismo, la gestión de vulnerabilidades (el proceso continuo y habitual de identificar, evaluar, informar, gestionar y corregir vulnerabilidades cibernéticas en endpoints, cargas de trabajo y sistemas) es otra medida de seguridad fundamental. La gestión de vulnerabilidades es una categoría amplia, que puede incluir actualizaciones de software y aplicaciones de parches para protegerse contra las últimas amenazas y exploits.

Utilizar SIEM y SOAR para automatizar los flujos de trabajo y facilitar los procesos de cumplimiento del RGPD

El RGPD hace que las organizaciones tengan que cumplir una serie de requisitos de informes. Las soluciones de seguridad centralizadas, como SIEM y SOAR, a menudo integran funciones de cumplimiento que recopilan automáticamente datos de las distintas herramientas y software y que agregan esos datos en un sólo informe. Estos informes se pueden personalizar para seguir cumpliendo los requisitos obligatorios del RGPD, así como de otras normativas.

Los sistemas SIEM y SOAR también pueden configurarse para generar alertas cuando se produzcan infracciones. De esta forma, los equipos de TI cuentan con información valiosa sobre los posibles riesgos podrán resolverlos más rápidamente, lo que no sólo reduce las posibles consecuencias de la brecha sino que también reduce los casos de incumplimiento.

Cómo puede ayudar CrowdStrike a cumplir el RGPD

La ciberseguridad desempeña un papel clave en la protección de los datos y el cumplimiento del RGPD. Las ofertas de productos de nueva generación, los servicios profesionales y la experiencia global de CrowdStrike pueden ayudar a las organizaciones a cumplir con sus obligaciones en materia del RGPD.

La plataforma CrowdStrike Falcon^® se ha diseñado teniendo en mente la protección de los datos. El modelo colaborativo y basado en la nube de CrowdStrike se centra en identificar indicadores de ataque (IOA) en tiempo real para detener las futuras amenazas sobre las que no sabemos nada, en lugar de simplemente los compromisos conocidos del pasado.

La plataforma Falcon también ofrece a los clientes lo que necesitan para detener las brechas mediante la implementación de medidas de seguridad de vanguardia con transparencia, portabilidad, minimización de datos y proporcionalidad para proteger a las empresas y promover intereses legítimos, como los de los considerandos 47, 48 y 49 del RGPD.