Data Loss Prevention y GDPR

Pero, ¿realmente están tan protegidos como pensamos?

La forma de hacer negocios y el tratamiento de los datos personales ha cambiado mucho en estos últimos años.

Las empresas se enfrentan al reto de detectar dónde se almacenan los datos (dispositivos móviles, nube o de forma local en la empresa), entender cómo los utilizan los usuarios, (ya dentro o fuera de la red)  y protegerlos de forma adecuada para evitar robos o pérdidas de los mismos.

En el escenario actual…

• Las empresas están cada vez mas expuestas a ciberataques.
• En España, aproximadamente el 47% de los ciberataques que tienen su origen dentro de la compañía son realizados por empleados o ex empleados (Estudio PWC 2018)*
• La pérdida de datos sensibles es la principal consecuencia negativa de un ciberataque para el 48% de las empresas españolas*.
• Las audiorías internas y externas, incumplimientos legales y sus correspondientes multas (RGPD)

(*)Datos de la Encuesta Mundial sobre el Estado de la Seguridad de la Información 2018 (PWC)

¿Qué tipo de datos es importante proteger?

BBDD de clientes y marketing

Auditorías internas

Datos relativos a Recursos Humanos

Planes de empresa e Informes Financieros

La pérdida de datos (ejemplos prácticos)

Vamos a ver una serie de situaciones cotidianas que se dan habitualmente y que ponen en riesgo los datos corporativos:

El principal motivo de la pérdida de datos en la empresa es el malware (del tipo Crytolocker o Ransomware) y el Phising.

Brechas o agujeros de seguridad que provocan el acceso no autorizado a los sistemas y la pérdida de información.

Sistemas operativos, navegadores y antivirus sin actualizar

Documentos corporativos que se guardan de forma centralizada en el servidor sin hacen copias de seguridad.

Cuentas de usuario con permisos de administrador local (los empleados al tener un nivel máximo de privilegios, pueden instalar aplicaciones y realizar cambios en el sistema).

Factores humanos (cometidos de forma intencionado o no).

• Almacenar información sensible en equipos personales no protegidos por una solución dlp (tanto en unidades de almacenamiento internas, externas o en Cloud).
• Imprimir datos en papel, grabarlos en CD o DVD, hacer fotos y/o capturas de pantalla con el móvil.
• Borrar accidental o intencionadamente datos de la empresa (trabajador que destruye un CD o un USB con datos de clientes o trabajadores).
• Usuarios que comparten información confidencial p.e. (al enviar un email a un destinatario incorrecto) o publicarla en un foro y redes sociales.
• Pérdida de un portátil o cualquier otro dispositivo que tenga información de la empresa (sin cifrar).
• Facilitar la contraseña a un compañero para acceder a información restringida.
• Dar la clave del wifi de la oficina a nuestros clientes.

Data Loss Prevention (DLP), qué es

Una Solución que permite monitorizar, analizar y controlar los medios de entrada y salida de información, como el email, web, mensajería instantánea, USB… para proteger los datos confidenciales de la empresa y asegurar el cumplimiento de las políticas de seguridad.

♥ Una solución Data Loss Prevention (DLP) o Prevención de perdida de datos, nos permite asegurarnos que los usuarios finales no difunden información sensible o importante de la empresa.

♥ Monitoriza, detecta y bloquea los flujos de datos transportados por la red corporativa (en movimiento), la información en uso (con la que el usuarios estén interactuando) y los datos en reposo (que se almacenan de forma permanente).

Data Loss Prevention (DLP) para cumplir con el GDPR

Estas son las formas en las que el DLP nos ayuda con el cumplimiento del GDPR

Identificar dónde se almacenan los datos personales.

El GDPR exige que se haga un Registro de Datos: que los administradores sepan identificar dónde se almacena la información, quién tiene acceso a ella, con quién se comparte, etc.

La mayoría de las soluciones DLP brindan servicios de descubrimiento de datos.
Permite a los administradores escanear los equipos y dispositivos de una empresa en busca de datos confidenciales definidos por políticas, perfiles de cumplimiento, determinada información de tipo personal, extensiones de archivos, nombres de archivos, etc.

De esta forma, las empresas saben exactamente qué datos tienen y generar los informes que les soliciten las Autoridades de Protección de Datos (DPA).

Almacenar los datos por período necesario y eliminarlos cuando no los necesitemos.

Otro requisito del GDPR es la transparencia. Debemos informar a nuestros clientes de qué vas a hacer exactamente con sus datos, quién tendrá acceso a ellos y por cuánto tiempo.

Si cualquier persona nos solicita borremos sus datos (aplicando su «derecho al olvido») debemos eliminar todo (incluso los metadatos).

Utilizando el DLP en modo descubrimiento, los administradores pueden aplicar acciones de remediación como el cifrado o eliminación determinados de datos confidenciales.

Los administradores con el DLP tienen la posibilidad de eliminar datos personales de forma remota.

Limitar el uso que los usuarios hacen de los datos.

El GDPR con el principio de minimización establece que «los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados».

Es decir, debemos garantizar que los datos se pueden recopilar y usar sólo para los fines que se hayan transmitido al interesado y para los que recibimos el consentimiento.

Debemos evitar que los usuarios guarden datos confidenciales en su nube o aplicaciones que no sean corporativas

La tecnología DLP nos facilita el cumplimiento de este requisito a través de la monitorización de los datos en uso:
Utilizando escáneres potentes, podemos aplicar una serie de políticas que restrinjan o bloqueen la transferencia de los datos dentro o fuera de la empresa. Por ejemplo,  que los usuarios sólo puedan modificar el contenido de los archivos pero no cargarlo, copiarlo, pegarlo ni imprimirlo.

Prevenir la manipulación y la pérdida de datos confidenciales.

La privacidad por diseño, significa que las empresas son legalmente responsables de cualquier pérdida o uso no autorizado de la información personal que recopilan. La tecnología DLP evita este tipo de incidentes escaneando los datos en reposo y en movimiento.

Además, con las políticas de uso aceptable, podemos limitar o bloquear por completo la transferencia de activos confidenciales, y garantizar así que la información permanece dentro nuestra empresa.

Cumplir con los estándares de seguridad y normativos.

El dlp nos permite monitorizar posibles fugas de datos personales. Con el escaneo de los datos en tránsito y en reposo podemos determinar si se han producido infracciones a la política dlp de la empresa.

Con el GDPR es obligatorio notificar a la Autoridad Supervisora y a los afectados la violación de los datos en un plazo máximo de 72 horas.

La notificación debe incluir información específica sobre la naturaleza de la brecha, el número y el tipo de registros efectuados, el nombre del DPO, medidas para mitigar los riesgos, etc.

El dlp funciona en tiempo real analizando los flujos de información, monitorizando las violaciones de datos.

Esta herramienta es imprescindible para dar una respuesta rápida a las amenazas, ya que además notificar al administrador el incidente, es posible visualizar un informe detallado de todas las circunstancias de la violación (necesario en el caso de las auditorías y notificación a la Autoridad Competente).