Cómo contribuye la plataforma de seguridad de nueva generación al cumplimiento del RGPD
CÓMO CONTRIBUYE LA PLATAFORMA DE PALO ALTO NETWORKS AL CUMPLIMIENTO DEL RGPD
Invertir en ciberseguridad es imprescindible para proteger los datos personales y cumplir el RGPD.
La gran mayoría de los requisitos del RGPD giran en torno a la gestión de los datos, sobre todo en lo que tiene que ver con su recopilación y tratamiento. Este reglamento obliga a avisar cuando se recopilan datos personales, prohíbe tratar datos sin la debida autorización, exige llevar un registro del tratamiento de los datos, requiere en ciertos casos que se nombre a un responsable de la protección de datos y establece reglas relativas a la transferencia de datos personales a terceras partes y terceros países, entre otras cosas.
Pero todo esto no debería eclipsar el hecho de que la seguridad de los datos también es un pilar del RGPD. El RGPD tiene una terminología específica relativa a la seguridad, tal como se explica en más detalle a continuación. Además, otra clave para garantizar la seguridad de los datos personales es protegerlos tanto de las exfiltraciones por parte de ciberatacantes como de las fugas internas. Por lo tanto, a la hora de prepararse para el RGPD, es imprescindible que las organizaciones no inviertan únicamente en actividades de cumplimiento normativo y en tecnologías y procesos de gestión de la información, sino también en ciberseguridad.
Resumen de las disposiciones pertinentes del RGPD (en este enlace está disponible el texto completo del RGPD):
Tema |
Resumen de las disposiciones |
Seguridad del tratamiento de datos |
Las organizaciones deben tomar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Estas medidas deben tener en cuenta el estado de la técnica. [Articulo 32] Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento. [Considerando 39] Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. [Considerando 83] |
Notificación de brechas de datos |
---------------------------------------------------------------------------------------------- En caso de robo o pérdida de datos o de que estos sufran algún tipo de daño, se debe notificar a las autoridades de control, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo importante para el individuo. La notificación debe tener lugar sin dilación indebida y, de ser posible, a más tardar 72 horas después de que se haya tenido constancia de ella. En determinados casos, habrá que enviar notificaciones a los individuos. Las notificaciones deben facilitar una serie de datos sobre la violación de la seguridad de los datos, como su naturaleza, las categorías y el número de registros de datos personales afectados, las posibles consecuencias, las medidas adoptadas para poner remedio a la violación de la seguridad de los datos y mitigar los efectos, etc. [Artículos 33 y 34] |
Multas administrativas |
---------------------------------------------------------------------------------------------- Las autoridades de control impondrán multas administrativas en caso de infracciones del RGPD, en función de las circunstancias de cada caso individual. Al decidir la imposición de una multa y su cuantía, las autoridades deben tener en cuenta numerosos factores, como el grado de responsabilidad a la hora de implementar las medidas técnicas u organizativas, teniendo en cuenta el estado de la técnica disponible en virtud del Artículo 32. [Artículo 83] |
Para facilitar las iniciativas de las organizaciones en materia de seguridad y protección de datos con respecto al cumplimiento del RGPD, Palo Alto Networks® puede ayudar en lo siguiente:
1. Protección de los datos personales. El RGPD exige que se garantice la seguridad del tratamiento de los datos, teniendo en cuenta el estado de la técnica. Eso es justo lo que ofrece nuestra plataforma de seguridad de nueva generación: seguridad a nivel de aplicación, red y endpoint, así como en la nube.
2. Prevención de brechas de datos. Para cumplir el RGPD, es crucial prevenir las brechas de datos, tanto las provocadas por ataques de hackers como las resultantes de fugas accidentales. Una buena ciberseguridad es esencial para garantizar que las aplicaciones y los datos personales y cruciales para la empresa estén protegidos en todo momento. Nuestra plataforma de seguridad de nueva generación está diseñada para la prevención.
3. Notificación de brechas de datos. En el desafortunado caso de que se produzca una brecha de datos, hay que notificarla. Nuestra plataforma de seguridad de nueva generación ayuda a determinar qué datos personales se han visto afectados y a aportar datos clave sobre las medidas adoptadas para responder a la brecha.
Nuestra cartera de productos ofrece numerosas soluciones con funciones y características que responden a estas necesidades, tal como se describe aquí.
Protección de los datos personales
El RGPD exige que se garantice la seguridad del tratamiento de los datos, teniendo en cuenta el estado de la técnica. La plataforma de Palo Alto Networks protege los datos a nivel de aplicación, red y endpoint, así como en la nube.
Para proteger los datos, incluidos los personales, y reducir los riesgos cibernéticos, es necesario contar con controles integrados, automatizados y eficaces que permitan detectar y prevenir las amenazas conocidas y desconocidas en todas las fases del ciclo de vida del ataque.
La plataforma Palo Alto Networks Next-Generation Security Platform, diseñada desde cero para la prevención, permite a las organizaciones apostar sin miedo por una estrategia eminentemente digital implementando iniciativas tecnológicas clave en la nube y, cada vez más, en redes móviles para proteger sus datos más valiosos tanto del riesgo de exfiltración por parte de ciberdelincuentes como de posibles fugas accidentales.
La plataforma Palo Alto Networks Next-Generation Security Platform combina la seguridad de la red y del endpoint con la inteligencia sobre amenazas para brindar una protección automatizada y no solo detectar los ciberataques, sino también prevenirlos. Nuestra plataforma aúna de forma nativa todas las funciones de seguridad clave, como cortafuegos, filtrado de URL, IDS/IPS y protección avanzada del endpoint y frente a amenazas. Todas estas funciones se han integrado específicamente en la plataforma pensando en la prevención de las ciberamenazas y comparten de forma nativa información esencial entre sus respectivas disciplinas, por lo que nuestra plataforma garantiza una seguridad superior a la que brindan los antivirus y cortafuegos antiguos, las UTM o los productos independientes de detección de amenazas. En resumen, una mejor seguridad hace posible una mejor protección de los datos.
Tecnología puntera
El RGPD exige que se tomen medidas de seguridad técnicas y organizativas teniendo en cuenta el estado de la técnica. Los sistemas de seguridad antiguos están montados de forma apresurada a base de productos independientes que resuelven problemas específicos y han resultado ser ineficaces a la hora de prevenir los ciberataques, que son cada vez más sofisticados y numerosos, y están cada vez más automatizados. Los directores de seguridad de la información deberían revisar estos productos antiguos atentamente para determinar si incorporan los últimos avances tecnológicos.
El panorama de las amenazas evoluciona constantemente y, en consecuencia, también la tecnología debe actualizarse para prevenir las nuevas amenazas. La plataforma Palo Alto Networks Next-Generation Security Platform combina la seguridad de la red y del endpoint con la inteligencia sobre amenazas para brindar una protección automatizada y no solo detectar los ciberataques, sino también prevenirlos. A diferencia de los productos independientes antiguos, nuestra plataforma aprovecha el efecto de red de miles de clientes, partners tecnológicos e investigadores que comparten información sobre las amenazas. Creamos soluciones tecnológicas que previenen los ataques en los lugares clave, desde el punto de vista táctico y estratégico, en los que tienen que actuar los ciberdelincuentes para salirse con la suya y actualizamos las protecciones más recientes de nuestra cartera de clientes global en solo cinco minutos. En términos cuantitativos, generamos más de un millón de medidas de prevención nuevas a la semana conforme detectamos ciberamenazas inéditas o de «día cero». Con nuestra plataforma, las organizaciones pueden usar de forma segura todas las aplicaciones cruciales para llevar a cabo su actividad empresarial, emprender nuevas iniciativas tecnológicas sin miedo a correr riesgos y protegerse de ciberataques polifacéticos, ya sean básicos o complejos. En el caso de los directores de seguridad de la información que deseen apostar por la tecnología más puntera, Palo Alto Networks debería estar entre las opciones que valorar.
Prevención de brechas de datos
Para cumplir el RGPD, es crucial prevenir las brechas de datos, tanto las provocadas por ataques de hackers como las resultantes de fugas accidentales. Una buena ciberseguridad es esencial para garantizar que las aplicaciones y los datos personales y cruciales para la empresa estén protegidos en todo momento.
Nuestra plataforma brinda cuatro técnicas de prevención clave que influyen en la seguridad de los datos y, al mismo tiempo, ayudan a cumplir el RGPD.
- Visibilidad completa. Nuestra plataforma garantiza la visibilidad de todo el tráfico ―en la red, el endpoint y la nube―, clasificado por aplicación, usuario y contenido. No se puede detener ni proteger lo que no se ve. La visibilidad completa facilita la información contextual necesaria para aplicar políticas de seguridad dinámicas.
- Reducción de la superficie de ataque. La superficie de ataque está creciendo rápidamente conforme prolifera la cantidad de aplicaciones y dispositivos (ya sean SaaS, en la nube o IoT) que utilizan las empresas. Cuantas más vías de acceso hay disponibles para infiltrarse en una organización, más oportunidades tienen los ciberdelincuentes de exfiltrar datos personales. Nosotros aplicamos un modelo de seguridad positivo que reduce la superficie de ataque, pues solo se permite utilizar las aplicaciones autorizadas a los usuarios pertinentes, y se prohíbe todo lo demás.
- Prevención de amenazas conocidas. Numerosas brechas de datos se deben a amenazas conocidas, como malware, exploits de aplicaciones y troyanos utilizados para robar información. En el perímetro, nuestra plataforma controla los propios vectores de amenazas gestionando de forma detallada todos los tipos de aplicaciones. De este modo, se reduce de inmediato la superficie de ataque de la red y, a continuación, se analiza todo el tráfico permitido para detectar exploits, malware, URL maliciosas y archivos o contenidos restringidos o peligrosos. En el endpoint, Palo Alto Networks combina la inteligencia sobre amenazas de nuestra comunidad global de clientes con nuestro sistema exclusivo de prevención, que aúna varios métodos para bloquear el malware y los exploits conocidos antes de poner en riesgo la seguridad de los endpoints.
- Prevención de amenazas desconocidas. Nuestra plataforma no se limita a detener las amenazas conocidas, sino que detecta y bloquea de forma proactiva el malware y los exploits desconocidos que se suelen utilizar en los ataques dirigidos y sofisticados. Cuando se detecta un malware o exploit inédito, el servicio de análisis de amenazas en la nube WildFire® crea y comparte automáticamente un nuevo control en sus dispositivos de prevención, como los cortafuegos de nueva generación y la protección avanzada del endpoint de Traps™, en solo cinco minutos y sin intervención humana. Además, Traps implementa un sistema exclusivo que combina varios métodos para bloquear las técnicas básicas utilizadas por los exploits de día cero, así como para detectar y bloquear el malware desconocido de forma que los endpoints no se vean afectados.
Para evitar quebraderos de cabeza relativos a la privacidad y la transferencia de datos, ofrecemos WildFire EU, una implementación en la nube localizada que analiza los datos sin que estos salgan nunca de las fronteras de la UE.
Estas técnicas de prevención son posibles gracias a WildFire, el motor de análisis y prevención más avanzado del sector para hacer frente a los exploits y el malware de día cero especialmente evasivos. El servicio basado en la nube adopta un enfoque de varias técnicas en el que confluyen los análisis dinámico y estático, técnicas innovadoras de aprendizaje automático y un entorno de análisis pionero basado en hardware para detectar y prevenir incluso las amenazas más evasivas. WildFire va más allá de los métodos tradicionales que se utilizan para detectar amenazas desconocidas, pues reúne las ventajas de cuatro técnicas independientes para configurar un sistema de detección de alta fidelidad y resistente a las evasiones.
- Análisis dinámico: observa los archivos a medida que se detonan en un entorno virtual personalizado y resistente a la evasión, lo que permite detectar exploits y malware de día cero mediante cientos de características de comportamiento.
- Análisis estático: detecta con eficacia el malware y los exploits que intentan evadir los análisis dinámicos, además de detectar al instante variantes del malware existente.
- Aprendizaje automático: extrae miles de características únicas de cada archivo, entrenando un clasificador de aprendizaje automático predictivo para detectar malware y exploits nuevos de un modo que no es posible solo con el análisis estático o dinámico.
- Análisis de hardware: envía automáticamente las amenazas evasivas a un entorno de hardware real para su detonación, con lo que impide a los ciberdelincuentes implementar técnicas de análisis anti-VM.
Combinando estas técnicas, WildFire detecta y previene el malware y los exploits desconocidos con gran eficacia y prácticamente sin falsos positivos.
Gestión centralizada de los procesos de seguridad
El RGPD se aplica a toda organización que trate datos personales de residentes de la UE, independientemente de dónde se encuentre físicamente la sede de la organización. En el caso de numerosas multinacionales u organizaciones grandes, el tratamiento de los datos personales puede tener lugar en distintas ubicaciones, y todas ellas deben cumplir el reglamento. El servicio de gestión de la seguridad de la red Panorama™ permite a las organizaciones crear políticas consolidadas y fáciles de aplicar, así como gestionar nuestros cortafuegos de nueva generación. Con Panorama, es posible implementar una política centralizada y regional, así como delegar fácilmente esta cuestión a los administradores regionales según las necesidades o preferencias de la organización. La clave es la flexibilidad a la hora de implementar políticas según las necesidades de la empresa y las leyes regionales que estén en vigor. Por ejemplo, un administrador de Panorama puede aplicar políticas de seguridad para los cortafuegos que se encuentren en una sucursal de Singapur o Brasil, aunque los administradores regionales de dichas ubicaciones no estén al tanto de la necesidad de proteger los datos para cumplir el RGPD.
Prevención de la exfiltración o fuga de datos
A veces se producen brechas de datos debido a fugas o exfiltraciones, dos problemas que se pueden prevenir con la ayuda de nuestra plataforma.
Con nuestra plataforma de seguridad de nueva generación, se previenen las exfiltraciones de datos con un modelo de defensa para cada fase crítica del ciclo de vida del ataque, desde el intento inicial de superar el perímetro hasta el momento en que el atacante llega al objetivo principal y trata de exfiltrar datos personales y confidenciales, pasando por la distribución de malware, la explotación del endpoint o el movimiento lateral por la red.
Para garantizar que se cumpla el RGPD en todo momento, es crucial prevenir fugas/intercambios de datos accidentales en toda la infraestructura por parte de los usuarios internos y las comunidades de partners. Los usuarios finales constituyen uno de los riesgos más habituales, en especial cuando utilizan aplicaciones SaaS. Como no suelen contar con la formación necesaria ni ser conscientes de los riesgos que estas suponen, a veces pueden provocar fugas de datos personales accidentalmente. Nuestra plataforma de seguridad previene las exfiltraciones y fugas de datos de varias formas:
- Seguridad en la red. Para proteger los datos dentro de su organización, los perfiles de filtrado de datos integrados en el cortafuegos de nueva generación ayudan a prevenir fugas de datos accidentales en la capa de la red. Los administradores de los sistemas pueden aplicar políticas para inspeccionar y controlar el contenido que circula por la red y ayudar así a frenar la transferencia no autorizada de datos confidenciales, como números de tarjetas de crédito.
- Seguridad en las aplicaciones SaaS. Las organizaciones tienen que controlar el acceso a las aplicaciones SaaS, aplicar políticas que controlen el intercambio de información y detener las fugas de datos.
- Las organizaciones que desempeñan su actividad dentro de Europa pueden optar por el centro de datos SaaS regional de Prisma™ con sede en la UE para ajustarse a su preferencia en cuanto a la ubicación de los datos.
◦ Nuestra plataforma proporciona estas capacidades mediante los cortafuegos de nueva generación (por ejemplo, las tecnologías User-ID™, App-ID™ y Content-ID™) y el servicio de seguridad Prisma™ SaaS. El cortafuegos de nueva generación analiza todo el tráfico que circula de la red a las aplicaciones SaaS y a la inversa. Sin embargo, hay actividades en la nube que pueden ser invisibles para los servicios de seguridad integrados, como los permisos para compartir datos o el acceso a datos en la nube desde fuera de la red (sin VPN). En estos casos, Prisma SaaS funciona como complemento del cortafuegos de nueva generación, utilizando las API de SaaS para conectarse directamente con las propias aplicaciones SaaS. De este modo, se puede ver todo lo que han cargado o compartido los usuarios. Con Prisma SaaS, los usuarios pueden ver y supervisar los archivos que se cargan en todos los activos de las aplicaciones SaaS empresariales, como Box, Microsoft® Office, Dropbox®, Salesforce® y Secure Data Space, entre otras. A continuación, se pueden aplicar políticas para controlar que se haga un uso responsable de los activos (incluidos los datos personales) y para evitar fugas de datos accidentales provocadas por errores humanos, como los intercambios promiscuos o involuntarios y la publicación de contenidos con enlaces que puedan verse expuestos a internet. Si se descubre que se ha infringido una política, se genera una alerta. Es posible configurar Prisma SaaS para que corrija el riesgo automáticamente.
- Seguridad en el endpoint. La protección avanzada del endpoint de Traps utiliza un sistema que combina varios métodos para bloquear de forma preventiva amenazas conocidas y desconocidas, incluidos los exploits de día cero y el malware desconocido, con el fin de evitar poner en riesgo la seguridad de los endpoints.
- Detención de robos de credenciales. El robo de credenciales es un vector de amenaza habitual en las brechas de datos, ya que es relativamente sencillo robar una contraseña y obtener el nivel de acceso deseado.
◦ Nuestra plataforma cuenta con capacidades para detener los ataques basados en credenciales en las distintas fases de su ciclo de vida.
Muchas veces los atacantes recurren al phishing por correo electrónico o mediante las redes sociales para engañar a los usuarios y lograr que les envíen sus credenciales empresariales. Para acabar con las fugas de credenciales, nuestra plataforma impide que los usuarios las envíen a sitios desconocidos y no autorizados. Como las credenciales robadas se suelen utilizar para acceder a los sistemas críticos de la organización, también protegemos del movimiento lateral; para ello, aplicamos políticas de autenticación multifactor (MFA) que controlan el acceso a estas aplicaciones cruciales, que contienen datos confidenciales.
Además, AutoFocus™, nuestro servicio de inteligencia sobre amenazas contextual, procesa inteligencia sobre amenazas de terceros y la convierte en medidas de prevención en nuestra plataforma de seguridad mediante la aplicación MineMeld™. Una vez recopilados los indicadores de riesgo, MineMeld filtra, desduplica y consolida los metadatos de todas las fuentes, lo que permite a los equipos de seguridad analizar un conjunto de datos más útil, con información contextual procedente de distintas fuentes, lo cual facilita la aplicación de políticas.
Notificación de brechas de datos
En el desafortunado caso de que se produzca una brecha de datos, hay que notificarla.
De producirse una brecha de datos personales, el RGPD exige que se notifique a las autoridades de control, a menos que sea improbable que el evento constituya un riesgo para los derechos o las libertades de las personas físicas. En la notificación se deberá informar de aspectos como los datos que se han visto afectados y las medidas que se han adoptado.
Nuestra plataforma puede ayudar a garantizar que se cumpla este requisito del RGPD en caso de brecha. Por ejemplo, AutoFocus brinda los datos de análisis necesarios para la corrección y ayuda a saber quién fue el usuario, cuál fue la amenaza, qué impacto tuvo y qué nivel de riesgo supuso. Todo ello puede ayudar a cumplir los requisitos en materia de notificación.
Además, se pueden usar los cortafuegos de nueva generación para formar a los usuarios mediante páginas de notificación personalizadas. Los administradores del sistema pueden añadir el mensaje que deseen a las páginas de notificación, de forma que cada vez que se produzca una fuga de datos accidental, el usuario final reciba ese mensaje. Por ejemplo, el mensaje en cuestión podría contener
un enlace a las políticas de datos y las prácticas recomendadas de la empresa. De este modo, mejora la prevención general, así como las iniciativas relacionadas con la notificación encaminadas a formar a los usuarios.
- Artículo 4 (1) del RGPD: «“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».