Ir al contenido
Avanet
Reglamento General de Protección de Datos: cómo puede ayudar Sophos

Reglamento General de Protección de Datos: cómo puede ayudar Sophos

29. MARZO 2018

Ya hace bastante tiempo que el Parlamento Europeo aprobó, el 14 de abril de 2016, el nuevo Reglamento General de Protección de Datos, más conocido como RGPD. Esta normativa entra en vigor el 25 de mayo de 2018, de modo que las empresas han dispuesto de casi dos años para prepararse. Mientras tanto se ha escrito mucho sobre el tema, también porque las empresas estadounidenses están igualmente obligadas a cumplir el Reglamento general de protección de datos (General Data Protection Regulation).

En este artículo queremos mostrar hasta qué punto Sophos puede ayudarle a cumplir los requisitos del nuevo reglamento. No entraremos al detalle de lo que recogen los 11 capítulos y 99 artículos. Muchos textos siguen siendo bastante ambiguos y dejan margen para la interpretación. Los lobbies han hecho un buen trabajo, ya que las grandes empresas pueden permitirse procesos judiciales que se prolonguen durante años para aclarar matices de redacción. Para las pymes esto no es precisamente ideal; preferiríamos disposiciones claras. Los primeros juicios irán definiendo cómo deben interpretarse determinados artículos.

Para empezar, y dado que Avanet tiene su sede en Suiza: sí, las empresas suizas con clientes en la UE también se ven afectadas por el RGPD.

Muchas empresas no están haciendo nada por el momento y aceptan el riesgo de ser demandadas. Algunos Estados miembros ya han anunciado que no disponen de recursos suficientes para tramitar todas las denuncias.

¿De qué trata exactamente el nuevo reglamento?

A continuación presentamos algunos ejemplos para hacerse una idea de qué trata y de qué manera puede ayudar la seguridad de TI:

  • Los ciudadanos de la UE tienen derecho a solicitar a las empresas sus datos personales.Aquí algunas empresas ya se encuentran con un problema. En el peor de los casos, un empleado tendrá que dedicar varias horas a recopilar todos esos datos.
  • Los ciudadanos de la UE pueden solicitar la eliminación de sus datos.De nuevo, esto supone un reto para el departamento de TI, ya que también se hace referencia a las copias de seguridad. No todas las soluciones permiten eliminar registros individuales de los backups, y el requisito puede entrar en conflicto con las obligaciones de conservación de datos.
  • Si una empresa sufre un robo de datos, existe una obligación de notificación, salvo que los datos estuvieran cifrados.Con este ejemplo llegamos de lleno al tema principal, ya que es aquí donde la seguridad de TI adquiere de repente una importancia crucial.

La seguridad de TI debe tomarse en serio

A nosotros, personalmente, nos parece positivo que el RGPD aporte más argumentos para que el tema de la seguridad de TI se tome en serio de una vez. Quien lo ignore y siga pensando que no necesita una solución sólida para su empresa será, tarde o temprano, sancionado por negligencia grave. Todavía vemos con demasiada frecuencia PCs, servidores u otros sistemas conectados directamente a Internet sin protección alguna, y se ignoran actualizaciones y parches importantes.

Que Windows XP ya no reciba parches no significa que el sistema sea seguro. A algunos les puede hacer gracia, pero realmente hay personas que lo creen.

También vemos con mucha frecuencia usuarios que navegan por Internet con navegadores que hace mucho que no se actualizan. Utilice siempre un navegador moderno y correctamente actualizado en materia de seguridad.

La industria del ransomware se adapta

Vivimos en una época en la que el ransomware y los exploits se encuentran entre los métodos de ataque más eficaces. Esta “industria” también se está preparando para el 25 de mayo. Ya se han detectado nuevas variantes de ransomware que no cifran los datos y exigen Bitcoins por la clave de descifrado, sino que van filtrando datos de la empresa durante semanas en segundo plano para, posteriormente, mostrar un mensaje de este tipo:

Tenemos tus datos. Transfiere XXX Bitcoins o los publicaremos.

En este caso, la copia de seguridad —que muchos consideraban la solución contra el ransomware clásico— ya no ayuda. Si los datos se publican, se generan dos consecuencias: daños de imagen y una sanción de la UE que puede alcanzar los 20 millones de euros o el 4 % del volumen de negocio anual.

Protección: sencilla y relativamente económica

Hay algunas normas básicas que deberían cumplirse siempre:

  • Utilice un sistema operativo actual (PC, servidor, smartphone, dispositivos IoT).
  • Aplique actualizaciones de software con regularidad.
  • Instale una solución antivirus profesional. → En nuestra opinión, soluciones como Avira, Avast, Windows Defender y compañía no son suficientes si se analiza la tecnología que hay detrás. Hablamos de tecnología, porque el marketing y los textos de estas soluciones suelen ser excelentes. Si uno se cree esas descripciones, los productos gratuitos también protegen contra todo. Además, recomendaríamos siempre Sophos Intercept X. Para servidores existe Sophos Server Protection.
  • Cifre sus soportes de datos (discos duros, memorias USB, etc.). → Esto le ayudará en caso de pérdida de un dispositivo. BitLocker para Windows y FileVault para macOS son buenas opciones. Puede activarlos manualmente en unos pocos equipos o gestionarlos de forma centralizada en muchos dispositivos con Sophos Device Encryption.
  • Cifre sus archivos. → Existen herramientas como VeraCrypt (sucesor gratuito de TrueCrypt) o Cryptomator. En VeraCrypt todos los datos se guardan en un único contenedor, lo que resulta incómodo y no es ideal desde el punto de vista de la seguridad (por ejemplo, una sola contraseña para todos los datos). Cryptomator (también gratuito) lo resuelve mejor: cada archivo se cifra con su propia clave (incluido el nombre del archivo) y los archivos siguen siendo individuales, lo que también es mejor para las copias de seguridad. ¿Qué ofrece Sophos en este ámbito? Para empresas pequeñas, en nuestra opinión, todavía no hay una solución realmente adecuada, salvo que estén dispuestas a operar un servidor Windows con base de datos e integración en AD. En ese caso, Sophos SafeGuard es una buena opción. Sea cual sea el producto, un buen cifrado depende de una contraseña segura, que además no debería ser la misma para todos los servicios.

El RGPD menciona explícitamente el cifrado como método adecuado para proteger los datos en caso de brecha (artículo 34).

  • Forme a sus usuarios. → Lo ideal es que los mecanismos de protección estén ahí pero nunca se tengan que utilizar, lo mismo que ocurre con las copias de seguridad. Por desgracia, algunos usuarios no lo saben y hacen clic en todo lo que se les presenta, reaccionando de forma poco adecuada ante los correos de phishing, lo que repercute negativamente en la seguridad de TI. Para eso existe, por ejemplo, Sophos Phish Threat. Permite crear campañas de phishing y poner a prueba a los empleados, para después impartirles la formación adecuada. El objetivo es sensibilizarlos y que sean conscientes de que un correo electrónico no siempre es auténtico, aunque parezca perfecto.
  • Proteja los dispositivos móviles. → Los correos electrónicos profesionales, contactos y calendarios suelen residir en dispositivos móviles. También se lleva consigo información corporativa de forma habitual. Por tanto, los portátiles, smartphones y tabletas deben estar protegidos, gobernados por directivas coherentes y, si es necesario, poder borrarse remotamente. Sophos Central Mobile ayuda en todo ello.
  • Asegure sus redes. → Cuando tenga cubiertos al menos el 50 % de los puntos anteriores, puede centrarse en la seguridad de red. Un firewall correctamente configurado puede marcar la diferencia y, además, ayudar a asegurar las redes inalámbricas. Véase la Sophos XG Firewall.
  • Cifre el correo electrónico. → Hace años que se habla de cifrar el correo electrónico, pero, fuera de ciertos sectores, todavía no se ha generalizado, principalmente porque no resulta especialmente cómodo. Sophos tiene varias soluciones en este ámbito, aunque, siendo sinceros, todavía no las consideramos del todo maduras ni especialmente adecuadas para pymes.

En resumen, estos son los puntos que le recomendamos abordar para no ser de los primeros en infringir inadvertidamente el RGPD. 😉

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.