Claves para cumplir con RGPD en un entorno de Cloud Híbrido
El Reglamento General de Protección de Datos (RGPD) entró en vigor hace casi un año. Son muchas las empresas que se han adaptado al Reglamento, algunas mejor que otras. Las normativas de protección de datos siempre son complejas de cumplir por sus requisitos y, en el caso del RGPD, existen puntos en concreto que son muy estrictos.
Uno de los objetivos del nuevo Reglamento es aumentar la transparencia del tratamiento que las empresas realizan de los datos de carácter personal a nivel europeo y de manera uniforme, aunque la legislación española ya resultaba bastante exigente en esta materia. Con la llegada del RGDP, los usuarios tienen un mayor control sobre sus datos, y una mayor visibilidad y protección de la información que las empresas pueden tener sobre ellos. Se proporcionan mecanismos para la consulta y la eliminación de los datos personales, y todo debe ser completamente transparente.
Desde el lado de las empresas, es necesario contar con herramientas que protejan esa información personal recopilada y, en caso de que exista una brecha o una fuga de información, puede resultar necesario notificarla a quien corresponda en un plazo breve, ya que, si no se cumple con estas directrices, la multa puede ser enorme: hasta 20 millones de euros, o el 4% de la facturación global.
El RGPD en pocas palabras
Describir cada apartado del RGPD queda fuera del alcance de este artículo. Sin embargo, podemos resumir los puntos principales que se han de tener en cuenta del lado empresarial. El primero de ellos es que la normativa busca fortalecer la privacidad de las personas. Esto implica que las condiciones para conseguir el consentimiento para el tratamiento de datos son más estrictas. Además, el lenguaje que se utiliza para solicitar el consentimiento debe ser claro, sencillo y fácil de entender.
En el tratamiento de los datos personales deben respetarse los derechos que el RGPD reconoce a las personas físicas. Entre ellos se encuentran el derecho de acceso, que permite conocer el tipo de datos que se van a tratan; el derecho de rectificación, que permite solicitar la corrección de datos incompletos o erróneos; el derecho de oposición, por el cual el interesado puede negarse al tratamiento de sus datos; o el derecho de supresión, que permite solicitar la eliminación completa de los datos almacenados.
Además, el RGPD ha reconocido nuevos derechos, como el de la portabilidad de los datos, que faculta al usuario a recibir sus datos del responsable en un formato estructurado, de uso común y lectura mecánica.
En cuanto a la seguridad de los datos, el Reglamento establece que cada organización requerirá un nivel de seguridad particular en función del estado de la técnica, los costes de aplicación, la naturaleza, el alcance y los fines del tratamiento o en función de los riesgos existentes. Por eso, lo que recoge la norma es que se han de garantizar «medidas de seguridad apropiadas». Esto significa que las empresas deberán analizar qué datos tratan, cómo y con qué finalidad, para establecer esas medidas de seguridad en función de los riesgos.
Además, en el caso de que se produzca una violación de seguridad que afecte a los datos, debe ser notificada en un plazo de 72 horas, junto con toda la información disponible sobre el alcance de dicha brecha, si dicha violación conlleva un riesgo para los derechos y libertades de las personas físicas. Esto tiene implicaciones severas en ciberseguridad, que no solo ha de proteger los datos, sino establecer los mecanismos necesarios antes, durante y después de cualquier amenaza.
Cómo cumplir con el RGPD en un entorno de Cloud Híbrido
La particularidad de un entorno de Cloud Híbrido, bastante habitual hoy, es que se trabaja con una integración de servicios de Nube Privada y Pública. Esto significa que, si bien la parte Privada suele tener unos niveles de seguridad extra que favorecen el almacenamiento seguro de los datos sensibles, la libre circulación de datos hacia la Nube Pública puede suponer algún problema adicional según el RGPD. Y no es porque la Nube Pública sea menos segura, en términos absolutos.
Es necesario disponer de herramientas y procedimientos específicos que nos aseguren un nivel total de cumplimiento del reglamento. Veamos algunas de las más importantes:
- Políticas y accesos. Es necesario definir muy bien qué personas, con qué permisos y con qué nivel de seguridad acceden a la red. Para ello es necesario implementar un sistema de administración de acceso eficiente y consistente.
- Soluciones de seguridad de red preparadas para anticipar ataques avanzados. Es importante disponer de visibilidad y anticipación ante amenazas, así como análisis automatizado y medidas de contención ante cualquier amenaza, conocida o desconocida. El objetivo es reducir el tiempo de detección de los compromisos de seguridad —para poder cumplir con el plazo de 72 horas establecido—.
- Sistemas que proporcionan protección ante amenazas avanzadas. Los Next Generation Firewalls, por ejemplo, son cortafuegos que incorporan funcionalidades de seguridad como antimalware —antivirus, antispyware, antispam—, sistemas de prevención antintrusiones o VPN. Esta solución permite detectar las amenazas analizando el tráfico de la red, y prevenir problemas de seguridad, actividades sospechosas o fugas de datos.
- Más crítico, aún, que los sistemas de seguridad descritos, son los sistemas de protección contra fugas de información por parte de los usuario Dichas fugas pueden ser conscientes o inconscientes. El simple hecho de utilizar herramientas no autorizadas para compartir información con otros usuarios puede llevar a una infracción grave del RGPD. Se hace necesario disponer de herramientas de protección en la capa DNS que nos permitan tener un control y visibilidad total sobre estas actividades, y poder bloquearlas si es necesario.
- Otro punto débil en cualquier organización está en el correo electrónico y en la navegación web. Es necesario disponer de herramientas capaces de detectar y neutralizar las amenazas más frecuentes por estas vías.
- El ransomware es una de las amenazas más importantes por sus implicaciones. Ya sea a través de ingeniería social, o bien porque el usuario desconoce la amenaza y descarga un archivo malicioso, las consecuencias suelen ser costosas para las organizaciones. Para defenderse de este ataque y prevenir sus consecuencias, la protección a nivel DNS vuelve a ser crucial para bloquear cualquier intento de comunicación con el exterior.
- El RGPD recoge como una de las medidas de seguridad apropiadas que el tráfico esté cifrado extremo a extremo, así que tener ese tráfico totalmente controlado ayuda a identificar qué tráfico no lo está —y es una amenaza, o una filtración no autorizada—. Las herramientas que permiten analizar el tráfico cifrado nos permitirán cumplir con esta norma.