redseguridad 080

red seguridad primer trimestre 2018 29 retos 2018 opinión DPO serán de obligado cumplimiento en todos los niveles jerárquicos de la organización, dándose la paradoja de que no podrá ser despedido salvo que se detecte una mala praxis. Necesidad de cifrar Miles de empresas necesitan cifrar. Mediante ataques informáticos, una importante cantidad de informa- ción confidencial, datos personales y secretos comerciales son sustraí- dos a diario. Por este motivo, las compañías de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información, y cuya aplicación es requerida por la propia normativa europea. No obstante, las empresas que cifran son sumamente escasas y, en muchas ocasiones, incluso igno- ran que están sufriendo brechas de seguridad a través de las que son sustraídos los datos que deben cus- todiar. Tenemos ante nosotros un gran desafío, un reto para la ciber- seguridad de todas estas empresas. Existe una necesidad, y en empre- sas proveedoras de seguridad como la nuestra tenemos las herramientas necesarias para que puedan cumplir con los requisitos de la GDPR. Podríamos decir que la protec- ción requerida por la nueva normativa europea se basa en dos ejes bási- cos, que se reforzarían con un tercer vector. En primer lugar, hablaríamos de la protección de la información por medio del cifrado para impedir que una posible brecha de seguridad acabe con el robo o copia de nues- tros datos. Pero la solución escogida para cifrar no puede ser cualquiera. Debe tener características concretas, como las que posee Deslock by Eset, que facilita el cifrado de portátiles, dispositivos extraíbles, correos elec- trónicos y archivos de empresas de todos los tamaños. Además, el sis- tema profesional de cifrado robusto escogido debe cumplir con los están- dares de calidad que la ley indica, y ha de ser capaz de mantener en todo momento las condiciones del cifrado cumpliendo siempre con los requisi- tos de confidencialidad, integridad, disponibilidad y resiliencia permanen- te de los sistemas. Por último, la solución escogida para cifrar la infor- mación tiene que disponer de una herramienta que permita la gestión centralizada de la solución. En segundo término, la nueva nor- mativa obliga a proteger los accesos con la aplicación de herramientas de doble factor de autenticación (2FA). Concretamente, en la regulación se indica que será necesario implemen- tar herramientas que puedan ayudar a proteger el acceso a la información para evitar que se puedan producir accesos no deseados. En nuestro caso, la herramienta que recomenda- mos es Eset Secure Authentication, una potente autenticación de doble factor con una contraseña de un solo uso que introducimos directamente en el smartphone de los empleados y/o colaboradores, aprovechando así para tapar otro posible agujero de seguridad y tener implementadas, de paso, una correcta política de BYOD ( bring your own device ). Por último, el tercer vector que mencionaba con anterioridad se correspondería con la conveniencia de implantar un DLP en la empre- sa para intentar mitigar una posible brecha de seguridad interna. Este extremo no está contemplado en el GDPR, pero como empresa de ciberseguridad proponemos adoptar soluciones que eviten la fuga de infor- mación, protegiéndola frente a una amplia gama de amenazas de segu- ridad con un origen común: el factor humano. Hablaríamos de soluciones como Safetica, por ejemplo. Comunicación Finalmente, es necesario señalar que una de las principales novedades que se incluyen en este nuevo reglamento es la obligación de comunicar cual- quier incidente que haya terminado con una la filtración de datos de los usuarios. Sin embargo, si la empresa dispone de un sistema de cifrado, se dificultará que los datos puedan ser vistos por cualquiera y, por tanto, tal y como indica la normativa, esta noti- ficación solo deberá comunicarse a la agencia nacional de protección de datos correspondiente. Somos conscientes de que la nueva normativa genera una carga de trabajo adicional para todas las empresas que manejan datos de terceros y que tie- nen que ponerse al día, pero el tiempo apremia. Este es un desafío obligatorio para todas las empresas que tratan información personal. Las compañías de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información. especial