Las 6 prácticas que nos ayudarán a mantener el cumplimiento con la GDPR

El cumplimiento con la GDPR no se alcanza con una acción puntual, sino a través de una actividad de evaluación continua de los procesos, tecnologías y personas. Tras diseñar el plan de acción para adecuar los procesos corporativos a la nueva regulación mediante la implantación de los procedimientos y herramientas apropiados para ello, es necesario seguir trabajando a fin de evaluar amenazas de ciberseguridad y buscar las mejores fórmulas para protegernos.

Esta nueva fase, una vez entrada en vigor la normativa europea, se compone de una serie de prácticas que conviene institucionalizar en la organización, destacando las siguientes:

Los empleados, factor clave en la seguridad de la empresa

Invertir en soluciones enfocadas a la identificación y evaluación de los riesgos de ciberseguridad, como proxys, firewalls, antivirus, VPN, contratación de servicios de auditorías, etc. no servirá de mucho si se mantiene en el olvido uno de los flancos más sensibles: los empleados.

El diseño y ejecución de un Plan de Concienciación Proactivo en Ciberseguridad para Empleados en el que se incluyan actividades de phishing simulado sobre un conjunto determinado de empleados, así como relativas a formación y buenas prácticas relacionadas con la seguridad en el puesto de trabajo: uso correcto de dispositivos móviles, USBs, acceso a Wi-Fi, correo electrónico, navegadores, bajo ningún concepto facilitar user/password por teléfono a nadie, etc., es un paso imprescindible.

Gestión de privilegios y análisis de comportamiento

La formación de los empleados resulta fundamental a la hora de garantizar la integridad de los datos y el cumplimiento de normativas como la GDPR, sin embargo, esta actividad debe ir acompañada por la incorporación de  herramientas que ayuden a evitar malas prácticas que se suceden, en la mayor parte de los casos, por desconocimiento. Ente ellas destacan las soluciones de gestión de privilegios.

Este tipo de soluciones definen de forma centralizada las reglas que permiten o deniegan actividades a los usuarios de acuerdo al perfil de cada uno de ellos, ayudando, así,  a reducir riesgos de ataque y limitando los posibles daños causados por una brecha de seguridad. Asimismo, son de gran ayuda a la hora de demostrar el cumplimiento con las leyes vigentes, ya que simplifican el trabajo de los auditores, que podrán tener una visión clara de las acciones realizadas por cada usuario.

Un paso más allá de la gestión de privilegios nos encontramos con las soluciones de análisis de comportamiento, conocidas como UBA (User Behavior Analytics). Las organizaciones pueden implementar soluciones de gestión de privilegios, pero aún con ello, hay compañías en las que se siguen detectando malas prácticas, por ejemplo, empleados que comparten sus credenciales con otros compañeros, permitiendo que suplanten su identidad y que accedan a datos sensibles o confidenciales. En otros casos, las empresas no son capaces de gestionar los privilegios adecuadamente, otorgando más de los necesarios y provocando que algunos empleados tengan un acceso inapropiado a datos sensibles.

Con el fin de evitar este tipo de situaciones, lo más recomendable es la implantación de soluciones UBA, con las que los administradores de TI serán capaces de monitorizar y analizar de forma automatizada los patrones de acceso y de comportamiento de todos sus usuarios, logrando identificar actividades anómalas que puedan ser una señal de un posible ataque, deteniéndolo con mayor rapidez y minimizando el posible perjuicio que pudiera llegar a causar.

Las soluciones UBA, que surgieron como una necesidad de los departamentos de marketing para controlar los patrones de comportamiento de los clientes, se han convertido en una plataforma de inteligencia artificial capaz de detectar amenazas en tiempo real que resulta, hoy en día, una herramienta clave para la seguridad de las organizaciones.

Evaluación del Riesgo de Ciberseguridad

La adaptación a las distintas normativas existentes exige un conocimiento profundo del estado de la seguridad de los sistemas. Para alcanzarlo, todas las organizaciones deberían llevar a cabo una evaluación de riesgo de ciberseguridad que sirviera para mostrar las medidas a tomar dirigidas a reducir las vulnerabilidades.

La aplicación de un servicio de Evaluación del Riesgo de Ciberseguridad permitirá identificar y evaluar los componentes de riesgo de los sistemas TIC con respecto a los procesos de negocio: amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia.

Este servicio recurrente emplea ingeniería social y pruebas dinámicas del rango de IPs publicadas destinado a la recogida completa y fiable de evidencias de brechas reales y potenciales de seguridad.

Por otra parte, también sigue siendo necesario conocer el estado de seguridad de la red, llevando a cabo una serie de auditorías tanto internas como externas. Las auditorías perimetrales externas consisten en el análisis de vulnerabilidades de seguridad del rango de IPs corporativas. En ellas, no solo se procede a la identificación del riesgo de ciberseguridad de las aplicaciones que residan en esas páginas, sino que se investiga información que la empresa facilita a través de ellas (por medio de ficheros, generalmente), ya que en ocasiones los hackers utilizan esa información para sus actividades de fraude. Las auditorías perimetrales internas consisten, básicamente, en pruebas dinámicas de seguridad estando físicamente dentro o cerca de la oficina de la organización a auditar, accediendo a través de la wi-fi

Con este tipo de auditorías, cualquier empresa podrá llevar a cabo una evaluación del riesgo de ciberseguridad, identificando las brechas existentes en sus redes accesibles, así como los datos que pueden llegar a quedar expuestos.

 Auditorías de ciberseguridad para aplicaciones

Se trata de una práctica recurrente que permite identificar posibles brechas en todos los aplicativos software de la organización (web, móviles y de escritorio). En una auditoría completa se deberían llevar a cabo diferentes tipos de análisis: Análisis de seguridad del código fuente; análisis automatizado y pruebas manuales de aplicaciones en ejecución.

Una vez descubiertas las vulnerabilidades, es preciso implementar las medidas de protección adecuadas para impedir el acceso fraudulento a los datos corporativos. En este sentido, resulta clave el uso de herramientas tecnológicas de monitorización y prevención de fugas que sean capaces de proporcionar visibilidad en tiempo real sobre los datos sensibles, actividades sospechosas, análisis de comportamiento de los usuarios y que ofrezcan una respuesta a las amenazas dirigidas a las aplicaciones de alto riesgo.

Conozca la RASP: Autoprotección de aplicaciones en tiempo real

A través de la tecnología RASP, una evolución del WAF (Web Application Firewall), es posible bloquear ataques que intentan explotar vulnerabilidades de los sistemas en producción, causando un impacto mínimo de rendimiento.

Asimismo, las organizaciones pueden integrar su tecnología RASP con las pruebas de seguridad que se realizan en entornos de preproducción, para una comunicación automatizada e inmediata de las vulnerabilidades identificadas.

 SOC, externalice la seguridad

Las compañías que no cuenten con los conocimientos o recursos necesarios para garantizar su seguridad pueden externalizar esta tarea mediante la contratación de un Security Operations Center (SOC). Los SOCs ofrecen un servicio experto, al disponer de la inteligencia más avanzada en la detección y el tratamiento de amenazas. Además, es un servicio flexible, que se adapta a la situación y tamaño de cada empresa en cada momento y que se comercializa en un modelo de pago por uso, por lo que supone una buena opción para mantener la seguridad reduciendo los costes asociados.

Por Luis Redondo
Responsable del Área de Ciberseguridad de MTP

Ver más historias