Una nueva era de riesgos en protección de datos

Una de las partes más importantes y desafiantes de la función del CISO es comunicar conceptos complejos en un lenguaje que la cúpula directiva entienda. Sin esta habilidad crucial, podría ser difícil conseguir la tan necesaria participación de alto nivel en grandes proyectos y en el cambio cultural. Esto era así hasta ahora. Con la llegada del GDPR (Reglamento General de Protección de Datos, por sus siglas en inglés), la protección de datos, la privacidad y la ciberseguridad se han convertido en una cuestión que atañe a los consejos de administración. Esta semana, la situación ha cambiado y ha subido de nivel, con una multa colectiva de más de 313 millones de euros impuesta por el regulador del Reino Unido a BA y Marriott.

Si en el pasado se toparon con un muro de piedra, ahora es el momento de que los CISO argumenten con más urgencia que nunca a favor de una inversión adicional para mitigar el claro riesgo para los negocios de las multas regulatorias.

La Oficina del Comisionado de Información (ICO) desempeñó un papel decisivo en la elaboración del GDPR, y actuó como principal autoridad supervisora en nombre de las autoridades de protección de datos de los Estados miembros de la UE cuando emitió las multas esta semana. A Marriott International se le ha impuesto una sanción de poco más de 110 euros, mientras que la de British Airways asciende a más de 204 millones de euros. Esto equivale al 1,5% de su volumen de negocios mundial en 2017, y está significativamente por debajo del máximo posible del 4%. Ambas compañías apelarán la cuantía de las sanciones, pero una cosa está clara: ningún consejo de administración en ninguna parte del mundo puede ignorar el impacto potencial del GDPR en su cuenta de resultados final y en su reputación corporativa.

En el caso de Marriott, los problemas de la empresa fueron heredados del grupo hotelero Starwood que adquirió en 2016. Pero eso no es excusa, tal y como señala el ICO. El gigante hotelero debería haber actuado con la diligencia debida siendo más eficaz y haber puesto en marcha “medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos”. Es cierto que se trata de una empresa estadounidense, pero 30 millones de los 339 millones de registros de visitantes expuestos en la brecha masiva durante varios años pertenecían a ciudadanos de la UE. El alcance del GDPR es mundial.

En el caso de BA, se trata de una infracción en 2018 de 500.000 registros de clientes, incluidos los números de tarjetas, los detalles de las reservas de viajes y los nombres y direcciones. Los atacantes comprometieron su sitio web con el famoso código digital de skimming conocido como Magecart, en lo que parece haber sido un ataque altamente dirigido en el que hicieron todo lo posible por permanecer ocultos. No obstante, el ICO afirma que podría y debería haberlo hecho mejor. El resultado final, dice la comisionada de información Elizabeth Denham, es este: “Cuando se le confían datos personales, debe cuidarlos”. Esto también envía el claro mensaje de que si usted utiliza a terceros para cualquier tipo de servicio o subcontratación, debe tomar las medidas adecuadas para garantizar la seguridad de la cadena de suministro, ya que usted sigue siendo el responsable en última instancia y será multado en caso de que se produzca una infracción.

No hay una solución milagrosa cuando se trata del cumplimiento de GDPR, del mismo modo que no hay una forma garantizada de mantenerse 100% libre de sufrir brechas de seguridad. Todo lo que pueden hacer las organizaciones es demostrar que se preocupan por los mejores intereses de sus clientes, siguiendo las mejores prácticas del mercado y los marcos probados y establecidos. Como parte de estas mejores prácticas, recomendamos contar con un enfoque de defensa en profundidad de seguridad que combine una serie de técnicas de protección contra amenazas intergeneracionales en las capas de servidor, endpoint y red.

A continuación propongo algunas ideas:

1. Realizar una auditoría completa de los datos para determinar qué es lo que procesa, dónde fluye y cómo de alto es el riesgo.

2. Aplicar los controles de seguridad adecuados a esos datos. La protección de endpoints, servidores, la red y el gateway web y de correo electrónico debe proceder idealmente de un único proveedor de confianza. Un enfoque del tipo XGen ofrece una combinación de técnicas de defensa contra amenazas conectadas en cada capa.

3. Aplicar un cifrado robusto a los datos de alto riesgo en reposo y en tránsito.

4. Implementar monitorización continua de las amenazas de red.

5. Mejorar la educación y formación del usuario final con herramientas de simulación de phishing, como Phish Insight.

6. Mantener actualizados todos los dispositivos y el software.

7. Seguir los estándares y marcos de buenas prácticas, tales como los que proponen Cyber Essentials, el sistema de gestión de información personal (PIMS) BS 10012:2017, o el sistema de gestión de seguridad de la información (ISMS) ISO 27001:2013.

8. Auditar la cadena de suministro para mitigar el riesgo de terceros y actualizar los contratos para que reflejen el nuevo régimen de GDPR.

9. Restringir los controles de acceso y aplicar la autenticación multifactor (MFA).

Y lo que es más importante, las empresas europeas deben recordar que el cumplimiento no es un destino que pueda olvidarse una vez que se llega a él. Se trata, en cambio, de un viaje continuo que requerirá una atención y una inversión constantes, a medida que cambien los entornos tecnológicos, el panorama de amenazas y los requisitos normativos.

 José Battat es Director general de Trend Micro Iberia