Archivo de la etiqueta: GDPR

Facebook cumple 15 años: ¿Qué significa esto para los equipos de seguridad?

La red social más popular del mundo ha cumplido 15 años. En los últimos años, su tendencia a recoger los datos personales de sus usuarios le ha causado graves problemas, exponiendo a decenas de millones de clientes a publicidad política específicamente dirigida y al robo de identidad a gran escala. Incluso es cuestionable que sin Facebook y empresas como ésta, los legisladores nunca habrían sentido la necesidad de crear el GDPR.

Pero, ¿cuáles son los principales retos de seguridad para los equipos de TI en el futuro? Estos, de hecho, giran principalmente en torno al shadow IT.

Una sombra sobre la seguridad

Hace quince años todo el mundo hablaba del riesgo de BYOD (Bring Your Own Device) en la empresa. Hoy en día, no es necesariamente el dispositivo el que representa el mayor riesgo para la seguridad corporativa en este contexto, sino las aplicaciones que se ejecutan en esos dispositivos. Cuando hablamos de la amenaza de BYOA (Bring Your Own Applications) hay dos aplicaciones de Facebook que se sitúan en primer plano: WhatsApp y Messenger.

El problema, como ocurre con la mayoría de las TI ocultas, o shadow IT, es que estos productos de consumo son están tan extendidos y se utilizan tanto que, a menudo, los usuarios empresariales evitan los equivalentes corporativos. Se estima que el año pasado hubo aproximadamente 1.500 millones de usuarios mensuales de WhatsApp y más de 1.300 millones de usuarios de Messenger. ¿Por qué molestarse en usar un producto inferior cuando es más rápido y más fácil a la hora de configurar grupos en plataformas como ésta con colegas? En ocasiones, pueden salvar vidas: se dice que los médicos del Servicio Nacional de Salud (NHS) de Reino Unido han confiado mucho en estas plataformas en el pasado para colaborar rápidamente en situaciones de emergencia.

Sin embargo, a pesar de su facilidad de uso y de sus capacidades de cifrado seguro de extremo a extremo, estas aplicaciones representan un riesgo para las TI corporativas. ¿Por qué? Porque los equipos de TI no supervisan lo que se comparte a través de estas plataformas. Podría ser una IP corporativa altamente sensible, tratarse de datos de propiedad intelectual, o de datos de clientes/empleados, que ahora están regulados por el GDPR. Es poco probable que los consumidores hayan dado su consentimiento explícito para que sus datos sean compartidos en dichas plataformas de terceros.

El uso generalizado de plataformas de mensajería de consumo como estas expone a la organización a ciberriesgos por varios motivos. Las cuentas pueden estar protegidas con contraseñas débiles o con credenciales reutilizadas en otros sitios. Esto significa que podrían ser fácilmente descifradas,  adivinadas o forzadas en ataques de relleno de credenciales. El año pasado, incluso surgió la noticia de una nueva táctica que apuntaba a las debilidades de los sistemas de correo de voz de los operadores para acceder ilegalmente a las cuentas de WhatsApp. El phishing también sigue siendo una táctica popular para difundir malware y obtener acceso a cuentas de mensajería. Justo a principios de febrero, se advirtió a los diputados ingleses sobre una nueva estafa de phishing que se estaba llevando a cabo después de que se comprometiera la cuenta de WhatsApp de un miembro del partido conservador.

Aunque el año pasado WhatsApp mejoró la granularidad de los controles que se dan a los administradores de grupos de chat, el riesgo de fuga de datos sigue existiendo. Es cierto que se podría dejar a los individuos en grupos mucho tiempo después de que estos hayan dejado la organización, ofreciéndoles la oportunidad de enviar información corporativa sensible a su nuevo empleador, o de hacerla pública en caso de que tuvieran algún tipo de resentimiento.

Recuperar el control

Todo ello debería plantear algunas cuestiones importantes para los responsables de seguridad TI. Lo que sucede a continuación es crítico porque las organizaciones no pueden seguir adelante durante los próximos 15 años permitiendo a un gran número de empleados manejar datos confidenciales a través de canales no regulados. Si es así, es posible que terminen siendo una de las más de 60.000 empresas que ya han reportado brechas de datos a los reguladores de GDPR.  

Los responsables de TI necesitan acercarse a sus usuarios. Necesitan aceptar por qué los empleados están utilizando esas apps e intentar, al menos, fomentar un uso más seguro. Esto podría incluir la autenticación multifactor (2FA) para un acceso seguro a la cuenta, y garantizar que los dispositivos móviles tengan un borrado remoto y se bloqueen automáticamente con un código de acceso después de unos segundos de inactividad. Se debe instar a los administradores de grupos a auditar a los miembros en todos los chats grupales para asegurarse de que solo se incluya al personal legítimo. El NHS de Reino Unido ya ha publicado una guía para su personal: otras organizaciones deberían hacer lo mismo.

Esto podría requerir un cambio de mentalidad en nombre de las TI. Pero hay que ser conscientes de que si no se innova, los empleados lo harán, en detrimento de la seguridad y el cumplimiento. 

En el lado positivo, Facebook está haciendo sus propios movimientos hacia el espacio de la mensajería empresarial con su plataforma Workplace. Se trata de un paso positivo, dado que las herramientas de seguridad de terceros están disponibles para conectarse a las instalaciones a través de las API, lo que proporciona a los departamentos de TI una mayor visibilidad y control sobre la mensajería y la colaboración. Podría valer la pena ofrecer esto al personal como una alternativa segura a WhatsApp y Messenger. Sin embargo, mientras los usuarios sigan favoreciendo las apps de consumo más populares, los administradores de TI tendrán que ser más proactivos.

Un pequeño número de empresas ha intentado facilitar aún más las cosas a los usuarios finales utilizando los inicios de sesión de Facebook para sus aplicaciones empresariales. No obstante, esta es una tendencia que no nos gustaría ver crecer en los próximos años. Hay un equilibrio entre usabilidad y seguridad, y como demostró la brecha de Facebook del año pasado, consolidar los inicios de sesión en un solo proveedor de plataforma puede en realidad aumentar el ciberriesgo.   

Facebook no es en sí mismo el problema aquí, por supuesto. Las herramientas de Google, Slack y otros proveedores representan desafíos similares para la seguridad TI de las empresas. Es el único nombre más grande que existe. Y si sabemos algo sobre los ciberdelincuentes, es que siempre gravitarán hacia los grupos más grandes de usuarios.

El ransomware WannaCry pone de manifiesto fallos de seguridad graves antes de la llegada del GDPR

10 julio 2017

Después de que corrieran ríos de tinta sobre el tema, las empresas afectadas de todo el mundo han podido contener por fin el WannaCry.  Pero, por ahora, no parece haber intención de dejar caer este asunto en el olvido. De hecho, podemos aprender de las numerosas lecciones que ha dejado este ataque informático sin precedentes: ¿por qué ha sido tan eficaz? ¿Qué soluciones y técnicas va a hacer falta poner en práctica para evitar que se repita?

Lamentablemente, las empresas afectadas por el WannaCry deberán hacer frente a sanciones punitivas si este incidente se volviera a producir dentro de un año.  En efecto, la entrada en vigor del reglamento europeo de protección de datos personales o RGPD se acerca rápidamente y genera entre las empresas la necesidad de reformar sus sistemas de seguridad informática.

¿Violación de datos personales o ransomware?

En primer lugar, no queda claro si relaciona un ataque de ransomware con la ley europea de protección de datos personales. Después de todo, los datos de las empresas afectadas por WannaCry estaban cifrados y no se robaron.

No obstante, repasemos con más atención el contenido del RGPD:

El artículo 4.12 establece:

“[…] se entenderá por […]violación de la seguridad de los datos personales[…] toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Los hackers responsables del WannaCry han tenido acceso a los datos de los clientes de forma ilícita y, seguramente, una vez cifrados, los destruyeron.

Encontramos algo similar en el artículo 5.1:

«Los datos personales serán: […] f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)».

Además, el artículo 32 declara que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas «apropiadas» para garantizar un nivel de seguridad adecuado al riesgo».

Y añade: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

El WannaCry podría haberse evitado

¿Cómo ha afectado WannaCry a las empresas? No haber arreglado un fallo conocido del protocolo SMB (CVE-2017-0144) de Windows permitió que los responsables del ataque depositaran el malware destructor en el sistema infectado y cifraran los archivos de la empresa con 176 extensiones, entre ellas, las que utilizan Microsoft Office, las bases de datos, los archivos, los archivos multimedia y un gran número de lenguajes de programación. Y, por supuesto, entre esos archivos se encontraban los datos importantes de los clientes regulados por el RGDP.

Entonces, ¿qué significa esto para los legisladores? Para empezar, que todas las empresas que tratan con datos de clientes que se vieran afectadas por el WannaCry podrían haber sido consideradas culpables por haber permitido el «tratamiento no autorizado o ilícito» de los datos regulados. De hecho, técnicamente, esas empresas han sufrido una violación de datos personales —incluso aunque no se robase ningún dato— por la pérdida de dichos datos o por su destrucción debido a un ataque de ransomware. Y lo que es aún peor: al parecer, había disponible una actualización de seguridad de Microsoft varias semanas antes de que se produjera el ataque. Se puede pensar entonces que las empresas afectadas no han seguido el ritmo de la implementación de actualizaciones y no han adoptado las medidas de seguridad adecuadas a la vista de los riesgos evidentes, incluso disponiendo de un parche virtual que brindaba la opción de proteger los sistemas no corregidos y de controlar así los problemas de seguridad de las aplicaciones.

Invertir en un sistema de seguridad eficaz

Las empresas afectadas por este ataque pueden dar testimonio del devastador impacto de WannaCry.  No obstante, si los hechos hubiesen acontecido un año más tarde, habrían sido perseguidas por la no conformidad con los principios del RGPD, y habrían recibido sanciones que podrían suponer el 4 % del volumen de negocio anual y hasta 20 millones de euros. Asimismo, también habrían estado obligadas a notificar la violación de los datos a las autoridades competentes cuanto antes y, a ser posible, en el plazo de las 72 horas posteriores al descubrimiento de la incidencia. Algo que, ya de por sí, habría tenido un impacto aún más negativo en su reputación y en los costes derivados de este ataque.

Si junio marca la cuenta atrás para la entrada en vigor del RGPD, el mensaje que hay que difundir es bien simple: las mejores prácticas de seguridad han tenido éxito al proteger a las empresas frente al WannaCry y, a partir del 25 de mayo de 2018, seguirán ayudándolas a evitar las sanciones económicas directas del RGPD.

Fuentes relacionadas:

  1. Ransomware WannaCry/WCry: Plusieurs pays touchés par cette cyber-attaque de grande ampleur
  2. Las PYME y el almacenamiento de datos

¿Cómo impactará GDPR en las empresas fuera de la UE?

Por José Battat, director general de Trend Micro para España y Portugal

Los ciberataques copan cada vez más titulares, afectan tanto a negocios como a personas, y lo que los hackers buscan es robar datos confidenciales y realizar pagos rápidos. Las técnicas son cada vez más sofisticadas para evitar la detección, convencer a los usuarios de descargar archivos maliciosos y extorsionar a las empresas para que paguen por recuperar sus datos. Con los años, las brechas han enseñado a usuarios individuales y responsables de empresas muchas lecciones, pero las organizaciones deben prepararse para las posibles amenazas del futuro. De acuerdo con una investigación de PricewaterhouseCoopers, los ciberdelincuentes están incrementando el uso de estafas de phishing e incluso están comprometiendo dispositivos móviles para acceder a áreas más sensibles dentro de las redes corporativas.

Todos los integrantes de una organización son responsables de proteger los datos de clientes y empresas, pero los resultados de los esfuerzos de seguridad varían. La protección se ha convertido en una prioridad y las instituciones gubernamentales están creando sus propias iniciativas para garantizar que todas las empresas sigan protocolos cibernéticos. Recientemente, la Unión Europea lazó el Reglamento General de Protección de Datos, que tendrá impacto en todas las transacciones dentro de los estados miembros de la UE. Echemos un vistazo más de cerca al GDPR y cómo afectará a las empresas fuera de la UE.

Reglas y consecuencias del GDPR

El GDPR incluye disposiciones para proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones dentro de los 28 estados miembros de la UE, y regula la exportación de datos personales fuera de la UE. Las compañías solo podrán almacenar y procesar datos personales cuando un individuo lo consienta y no podrá retenerlos por más tiempo de lo necesario. La información debe ser portable de una compañía a otra y debe ser borrada si se requiere. GDPR también contempla la notificación obligatoria de las brechas de datos y los motivos para una investigación adicional.

Habrá nuevos roles establecidos bajo el GDPR para ayudar a mantener, procesar y proteger los registros de datos personales. Los procesadores de datos gestionan los registros de datos de cualquier empresa que realiza actividades con esta información, haciéndolos responsables de las infracciones. Los controladores son los responsables de garantizar que los contratistas externos cumplan con las regulaciones de GDPR. Finalmente, se elige un oficial o responsable de protección de datos para supervisar la estrategia de seguridad de datos y el cumplimiento del GDPR.

Esperar podría costarle… y mucho
El cumplimiento de estos requisitos probablemente supondrá una gran inversión y un replanteamiento de la estrategia comercial actual. Las empresas deben poder mostrar que están listas para cumplir con el nuevo reglamento antes del 25 de mayo de 2018. Si no se cumplen las normas, el GDPR exige sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, la que sea mayor.

Con multas tan altas se pone a las organizaciones en una posición difícil. La mayoría de las empresas con sede en Estados Unidos esperan invertir entre 1 y 10 millones de dólares para cumplir con los requisitos de GDPR, y el 9% cree que gastará por encima de estos márgenes, según se publica en algún medio. La legislación cambia en gran medida la forma en que los datos personales de los clientes se almacenan, procesan y protegen, pero no define qué es realmente un nivel razonable de protección. Los altos objetivos y los grandes vacíos que aún existen dentro del GDPR pueden dar mucho margen de maniobra cuando se trata de evaluar las multas por las brechas de datos y por incumplimiento, lo que se suma a una situación ya desafiante.

El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación

Las organizaciones tienden a optar por la postura de “esperar y ver” para determinar cómo se aplican las reglas antes de seguir adelante con una respuesta. De hecho, el 50% de las empresas afectadas por el GDPR no cumplirán plenamente el plazo, según Gartner. Mientras el método reaccionario puede haber funcionado en el pasado, un enfoque pasivo provocará multas masivas por incumplimiento y la pérdida de negocio. Las empresas deben estar listas para GDPR desde el primer día. El colaborador empresarial Patrick Lastennet señaló que GDPR ayudará a ganar más negocios en Europa si se toman medidas preventivas para proteger los datos. El GDPR se debe concebir como las mejores prácticas para mitigar los riesgos y garantizar que la coordinación y el esfuerzo estén disponibles desde el principio.

Pasos a seguir ahora

El GDPR trae consigo un cambio importante, pero las organizaciones de EE.UU. no pueden aplicar su propio Brexit a esta situación. De hecho, podría ponerlos en una posición de desventaja competitiva si no cumplen. En cambio, los responsables empresariales deben tomar medidas definitivas ahora para cumplir con el plazo de entrada en vigor de la ley y hacer que su infraestructura sea segura para los datos personales de todos los clientes.

En primer lugar, será necesario auditar los datos que maneja la empresa. Averiguar qué datos tiene, dónde y por qué, será esencial para saber cuánto tiempo debe mantenerse la información y los procesos utilizados para eliminarla. Por ejemplo, se requiere que la información de pacientes médicos se almacene durante un período de tiempo diferente a los datos financieros. El colaborador de InformationWeek, Martin James, señaló que una solución de base de datos ayudará a proporcionar una vista única de sus datos, aportando visibilidad total. Este tipo de sistema también se puede utilizar para programar la eliminación de datos e identificar cualquier actividad inusual.

Los directivos también deberán rehacer los formularios de consentimiento y divulgación para clientes comerciales. Mantener una estrategia coherente para todos los consumidores ayudará a cumplir con la evolución normativa y rastrear las preferencias individuales. Los interesados necesitarán aprobar cada caso de uso de su información, incluidos los perfiles y los propósitos del big data. Ser transparente sobre a dónde van los datos y para qué se utilizan será esencial para atraer y autorizar aprobaciones y establecer relaciones más sólidas con los consumidores.

Al auditar sus propias capacidades, también será necesario evaluar a los proveedores y sus acuerdos de nivel de servicio. Las vulnerabilidades de terceros fueron la causa de algunos de los ataques más importantes, incluida la brecha de Target. Si un tercero no puede demostrar que cumple con el GDPR, será ilegal que trabaje con los datos de la UE. Evite multas y busque proveedores que se comprometan con el nivel de seguridad necesario.

“Considere hacer que los estándares del GDPR sean el estándar para su empresa en todo el mundo”, escribió James. “Eficiencia de datos mejorada, mejor protección de datos, mejores relaciones y confianza con los clientes: todos estos aspectos tienen el potencial de situar a su empresa a la vanguardia y protegerla mejor contra futuras brechas de datos”.

GDPR podría ser el primer paso en una nueva era de requisitos cibernéticos. No deje para mañana lo que pueda hacer hoy. Para obtener más información sobre cómo proteger los sistemas y cumplir con el “Estado del arte de la seguridad” de manera efectiva.

Fuente: http://www.revistabyte.es/actualidad-byte/impactara-gdpr-las-empresas-la-ue/