Seguridad y cumplimientoinfo.cloudchampion.es/rs/294-UWH-949/images/GDPR-CISO... · 2018. 1....
Transcript of Seguridad y cumplimientoinfo.cloudchampion.es/rs/294-UWH-949/images/GDPR-CISO... · 2018. 1....
1
Guía para Chief Information Security Officers
GDPR: Seguridad y cumplimiento normativo
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 2
Mantener la seguridad en los entornos de TI de las organizaciones es cada día
más complejo. El concepto de ciberseguridad clásica ha evolucionado, como lo
ha hecho nuestro perímetro. Si antes construíamos grandes muros
tecnológicos para proteger nuestro castillo, desde un tiempo a esta parte, con
la interconexión con proveedores de servicios, las cadenas de suministro, la
aparición de la nube, el B2B y el B2C, los dispositivos móviles, sensores en el
mundo del IoT… nuestra infraestructura ha ido creciendo más y más y lo
seguirá haciendo.
Ahora las fronteras para garantizar la seguridad están más difusas, y en
muchas ocasiones ciertas organizaciones que están detrás de estas
interconexiones no tienen el conocimiento ni las medidas de seguridad que
otras sí tienen. Podemos citar por ejemplo las vulnerabilidades del software de
dispositivos, como la nueva generación de Internet of Things (IoT) que antes
comentábamos.
Organismos como el World Economic Forum indican en su análisis Global Risk
Report que precisamente uno de los cinco mayores riesgos para la economía
global vuelve a ser el tecnológico: concretamente el incidente masivo de
fraude o robo de datos. Es decir, la ciberseguridad en materia de custodia de
información. Consciente del riesgo de estos ataques, el pasado 21 de
diciembre la Unión Europea anunció la puesta en marcha de un Equipo de
Respuesta de Emergencia Informática para las instituciones de la UE (CERT-EU,
por sus siglas en inglés).
La entrada en vigor del reglamento GDPR nos obliga a tomar cartas en el
asunto, en las medidas que toda organización debe tomar para preservar la
seguridad de los datos recabados de los ciudadanos europeos, almacenados
en una creciente cantidad de fuentes y tipos de información, con estándares
de la industria en constante evolución. Queda patente que tanto
organizaciones privadas como públicas necesitan mejores soluciones para
gestionar el crecimiento explosivo de los datos en formato electrónico.
GDPR ha venido para quedarse como compañero de viaje
El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés),
que moderniza profundamente las leyes de protección de datos y los derechos
de privacidad individuales por primera vez en 20 años, nos impone la
necesidad de una mayor gobernanza de datos a todas las organizaciones que,
residiendo o no en la Unión Europea, recopilen o procesen datos personales
de residentes en la UE.
GDPR da un protagonismo especial al CISO (Chief Information Security Officer)
dentro de las organizaciones, como responsable de la creación,
implementación y supervisión de estrategias y programas diseñados para
limitar los riesgos de información, a lo largo de toda la empresa y a los niveles
que permitan el desarrollo de la actividad del negocio. Es decir, estrategias
para el tratamiento de riesgos que sean oportunas, rentables, no excesivas, y
GDPR regula la recopilación,
el almacenamiento, el uso y el
intercambio de datos
personales
GDPR da un
protagonismo especial
al CISO (Chief
Information Security
Officer) como
responsable de la
creación,
implementación y
supervisión de
estrategias y programas
diseñados para limitar
los riesgos de
información.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 3
que respalden los procesos y objetivos de la organización
y en línea con los riesgos que cada una pueda y deba
asumir.
Según IDC Research España, el 36% de las empresas
españolas considera la nueva regulación como una
ventaja competitiva o una oportunidad para mejorar la
eficiencia del gobierno de la información y su seguridad.
Como tal oportunidad, los CISO deben establecer las
prioridades para reforzar la confianza de los clientes a la
hora de proteger sus datos personales, aplicando para
ello políticas de protección de datos, creando y probando
regularmente planes de respuesta a incidentes, y
asegurando la privacidad y seguridad de los datos
personales que se venden o intercambian con terceras
partes.
Ahora más que nunca, tanto los clientes (o ciudadanos, en
un contexto de sector público) se toman la custodia de su
información personal mucho más en serio que antes, y esa
preocupación sobre datos y privacidad influyen en sus
decisiones de cara a su relación con nuestras
organizaciones.
Primera fase: descubrimiento y evaluación
El primer paso hacia el cumplimiento de GDPR es evaluar
si aplica a mi organización y, de ser así, en qué medida.
Este análisis incluye la comprensión de los datos que la
organización procesa y dónde residen, porque GDPR
regula la recopilación, el almacenamiento, el uso y el
intercambio de datos personales. Entendiendo como tales
aquellos que se relacionan con una persona física
identificada o identificable, tanto de forma directa como
indirecta. Entender por qué se recopilaron, cómo se
procesan y se comparten, y cuánto tiempo se conservan
para el fin con el que fueron cedidos.
Es preciso inventariar los almacenes de datos, y las
ubicaciones dependen de la infraestructura de cada
organización y de la tecnología que esté implementada.
Por lo general, éstos residirán en varias ubicaciones, tanto
centralizadas (on-premise, nube pública, nube privada o
híbrida), como descentralizadas (los usuarios finales
pueden almacenar datos en sus equipos personales,
existiendo solo como una instancia en el dispositivo del
usuario final o sincronizados con una ubicación
centralizada), en dispositivos removibles (llaves USB o
discos duros externos), y por supuesto, en las soluciones
de backup que tengamos en marcha. Y no olvidemos
tampoco lo registrado por dispositivos multimedia, como
los circuitos de CCTV.
Segunda fase: Gestión
Una vez que se ha completado el inventario, es necesario
desarrollar e implementar un plan de gobierno de datos, y
por ello la entrada en vigor de GDPR es buen momento
para instaurar una cultura ética y de cumplimiento de la
ley. Porque en su artículo 24 incorpora el principio de
accountability o “responsabilidad proactiva”, a través del
cual queda claro que debemos garantizar y poder
acreditar que tratamos y custodiamos los datos aplicando
las medidas técnicas y organizativas apropiadas para
nuestra organización.
El reglamento europeo proporciona a las personas con las
que se relacionan los datos un mayor control sobre cómo
se captura y utiliza su información personal. Como
consecuencia, éstas pueden, por ejemplo, solicitar que su
organización proporcione información sobre el
procesamiento de sus datos personales, la eventual
transferencia de sus datos a terceros, los mecanismos para
la corrección de errores o la restricción en el
procesamiento posterior. Todas estas solicitudes deben
abordarse y resolverse dentro de períodos de tiempo
limitados.
A la hora de abordar la gestión responsable del
tratamiento de datos personales y las amenazas de
seguridad de los sistemas en cada organización, el papel
del CISO resulta fundamental. Como garantes de la
supervisión y administración del control de acceso a la
información, GDPR nos obliga a revisar los procesos
actuales con el fin de asegurar la conformidad, definiendo
políticas, roles y responsabilidades para el acceso. Para,
por ejemplo, brindar a la organización la seguridad de
que efectivamente se respeta la demanda de una
determinada persona a la hora de eliminar o transferir sus
datos.
El camino: seguridad, transparencia y gestión
simplificada
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 4
Tercera fase: Protección
Cualquier CISO, como responsable de la generación e
implantación de políticas de seguridad de la información,
es consciente de que la seguridad de los datos es una
tarea cada día más compleja. Hay que identificar y
considerar muchos tipos de riesgos, que van desde la
intrusión física hasta la pérdida accidental, los empleados
deshonestos, los ataques externos de los hackers, o la
ampliación del perímetro de seguridad, para dar cabida a
nuevos dispositivos.
La creación de planes de gestión de riesgos y la adopción
de medidas de mitigación de riesgos (como la protección
mediante autenticación multifactor, los registros de
auditoría y el cifrado de las comunicaciones o a nivel de
dispositivo), pueden ayudar a garantizar el cumplimiento.
Abordando el alcance de los nuevos entornos híbridos, en
los que los servicios cloud adquieren un papel
fundamental, la nube de Microsoft está específicamente
diseñada para ayudarle a comprender los riesgos y
defenderse de ellos, y con frecuencia es más segura en
muchos aspectos que los tradicionales entornos on-
premise.
Por ejemplo, nuestros centros de datos, que dan
cobertura a los servicios de Azure y Office 365, cumplen
con el más amplio conjunto de estándares internacionales
y específicos de la industria, como ENISA IAF, ISO/IEC
27001, 27018, FedRAMP, SOC 1 y SOC 2, HIPAA, Esquema
Nacional de Seguridad / ENS o la AEPD, incluyendo
vigilancia física las 24 horas y estrictos controles de
acceso.
Cuarta fase: Informes
GDPR establece nuevos estándares en transparencia,
rendición de cuentas y mantenimiento de registros. La
organización tendrá que ser más transparente no solo
sobre cómo maneja los datos personales, sino también
sobre cómo se mantiene activamente la documentación
que define tanto los procesos como el uso de los datos
personales.
Por ello, las organizaciones que procesan datos
personales deberán mantener registros sobre
• Los fines para los cuales los recaban y procesan los
datos
• Las categorías de datos personales procesados
• La identidad de terceros con quienes se comparten
datos
• A qué y a quienes de terceros países se transmiten
los datos personales y la base legal de tales
transferencias
• Las medidas de seguridad organizativas y técnicas,
y
• Los tiempos de retención aplicables a diversos
conjuntos de datos.
Una forma de mantener toda esta información al día y
revisada pasa por el empleo de herramientas de auditoría,
que pueden ayudar a asegurar que cualquier
procesamiento de datos cuenta con un seguimiento y un
registro, en cualquiera de las fases de recopilación, uso,
custodia o intercambio.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 5
Consideraciones
principales para un CISO
La exigencia normativa de GDPR se
extiende más allá de los habituales
enfoques de seguridad y análisis de
riesgos, para incluir nuevos requisitos de
procesamiento, como la documentación
vinculada al propio procesamiento de
datos, el consentimiento explícito del
propietario de los datos y la generación
de informes.
Los CISOs deberán involucrar a los
departamentos legales y de
cumplimiento normativo para que
colaboren en la revisión e identificación
de aquellos procesos que deban
modificarse para un mejor cumplimiento
acorde con los requisitos de GDPR.
Los sistemas y procesos deberán
rediseñarse para brindar un mejor
soporte tecnológico a la hora de facilitar
el borrado de datos, las solicitudes de
portabilidad y toda la documentación
vinculada al procesamiento.
Detectar Gestionar Proteger Informar
Utilice plantillas de eDiscovery para identificar tipos de datos personales.
Encuentre, clasifique, configure políticas y administre datos fácilmente con Advanced Data Governance.
Aproveche Advanced eDiscovery para exportar y/o eliminar datos personales de Exchange, SharePoint, etc.
Archive y preserve el contenido en sus sistemas Office 365.
Proteja automáticamente contra la divulgación accidental mediante la aplicación de políticas sobre datos confidenciales.
Proteja el correo electrónico de los sofisticados ataques de malware de hoy con Advanced Threat Protection.
Evite que registros confidenciales sean utilizados por usuarios no autorizados con Data Loss Protection.
Descubra y proteja proactivamente contra amenazas y riesgos avanzados con Threat Intelligence y Advanced Security Management.
Lleve a cabo evaluaciones de riesgos utilizando herramientas integradas con Service Assurance Dashboard.
Haga un seguimiento e informe de las actividades de los usuarios con registros de auditoría detallados.
¿Cómo puede ayudarle Office 365?
Microsoft 365
Estamos viviendo un momento de inflexión. La transformación digital supone el mayor cambio que cualquiera de nosotros haya visto a lo largo de su vida.
Las empresas invierten en tecnología para optimizar operaciones, transformar productos, atraer clientes y dar mayores capacidades a sus empleados.
El desafío consiste en encontrar la manera de empoderar a las personas para hacer mejor su trabajo. Y esto comienza con el fomento de una cultura del trabajo y de colaboración que sea inspiradora para todos.
Para proporcionar la tremenda oportunidad de crecimiento empresarial e innovación, simplificamos la experiencia del cliente combinando Office 365, Windows 10 y Enterprise Mobility + Security, formando juntos parte de Microsoft 365.
Una solución completa e inteligente que permite a las personas ser más creativas, trabajar juntas y de forma segura.
1
2
3
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 6
Encriptación de nube y correo electrónico
• Protegiendo mediante cifrado los datos
almacenados en los servidores
• Empleando cifrado de datos en tránsito mediante
SSL/TLS
• Mediante gestión de amenazas, supervisión de
seguridad e integridad de archivos/datos,
aplicadas a detección de problemas y alteración
de datos
• Con el cifrado de mensajes de Office 365, incluido
en Azure Rights Management
• S/MIME proporciona acceso de correo electrónico
seguro basado en certificados
• El cifrado de mensajes de Office 365 le permite
enviar correos encriptados a cualquier persona
Prevención de pérdida de datos
• Office 365 proporciona una amplia gama de
funciones DLP en sus aplicaciones para evitar que
los datos sensibles se filtren dentro o fuera de la
organización
• Office 365 ayuda a empoderar a los usuarios finales
a través de continuas políticas de formación
• Los administradores pueden rastrear la efectividad
de las políticas DLP con informes integrados en
Office 365
Control de acceso
• La autenticación multifactor protege el acceso al
servicio incorporando factores como la biometría o
el propio teléfono
• Rights Management Services previene el acceso a
nivel de archivo sin las credenciales de usuario
correctas
• Customer LockBox proporciona a los clientes un
control explícito ante la eventualidad de que un
ingeniero de Microsoft pueda necesitar acceso
para resolver un problema concreto
Conformidad
• Office 365 cumple con los requisitos específicos de
ISO 27001, cláusulas de la UE, HIPAA BAAA, FISMA
y nivel Alto frente al Esquema nacional de
Seguridad y la LOPD.
• Nuestro acuerdo de procesamiento de datos
detalla la privacidad, la seguridad y el manejo de
los datos de los clientes, lo que le ayuda a cumplir
con las reglamentaciones locales.
• La retención legal y el eDiscovery (descubrimiento
electrónico) están integrados en el servicio, lo que
ayuda a encontrar, preservar, analizar y
empaquetar contenido electrónico para una
solicitud o investigación legal.
• La API de actividad de administración de Office 365
facilita la monitorización de la seguridad y
cumplimiento
Gestión de dispositivos
• Office 365 e Intune protegen los datos en
dispositivos móviles sin sacrificar la productividad
del usuario
• Mediante la creación de políticas de acceso
condicional los gestores pueden administrar
políticas sobre cómo se accede a los datos y se
comparten entre aplicaciones y dispositivos.
• Nuestras tecnologías permiten eliminar
selectivamente datos corporativos y aplicaciones
de dispositivos
El CISO debe garantizar que cualquier
persona que entre en contacto con
datos de clientes o de la propia
empresa comprenda las implicaciones
que conlleva un uso o recopilación
inadecuados de los datos, así como los
requisitos de seguridad de la empresa.
Por ello, tanto las herramientas
seguras de colaboración como de uso
compartido de archivos se están
convirtiendo en una necesidad para las
organizaciones.
Cómo la tecnología puede ayudar a resolver las preocupaciones del CISO
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 7
Recursos
Herramienta de Evaluación de GDPR
Centro de Confianza
Centro de Confianza de Office 365
Microsoft 365
Microsoft para las Empresas
Proveedores de soluciones Microsoft
Office para profesionales de TI
Detectar Gestionar Proteger Informar
Office y
Office 365
Prevención ante la pérdida de datos
Gobierno Avanzado de Datos
Office 365 eDiscovery
Gobierno avanzado de datos
Journaling (Exchange Online)
Advanced Thread Protection
Always encripted
Service Assurance
Logs de Auditoría de Office 365
Customer Lockbox
Windows Windows Search Windows Defender
Windows Hello
Devide Guard
Windows Defender
Advance Thread Protection
Enterprise
Mobility
Suite
Azure AD Application Catalog Cloud Application Security Azure Information Protection Microsoft Intune
Azure AD RBAC & Dynamic groups Azure AD Privileged identity management Azure Information Protection Cloud Application Security
Azure MFA Acceso Condicional Azure Identity Protection Azure Information Protection Microsoft Intune Cloud Application Security
Azure AD Advanced Reports Advanced Threat Analytics Azure Information Protection Microsoft Intune
Soluciones y tecnologías para el puesto de trabajo
El compromiso de Microsoft
Cumplir el Reglamento General de Protección de Datos
(GDPR) no es un proyecto puntual y acotado en el
tiempo. Exige un aprendizaje y esfuerzo continuos y
establecer alianzas con proveedores de máxima con-
fianza.
En Microsoft estamos firmemente comprometidos con
nuestros clientes en el cumplimiento de GDPR, a los
que les ayudamos simplificando su viaje, aportando
recursos, reduciendo sus riesgos y proporcionando una
amplia red de expertos, en total coordinación con
nuestros partners.
Nuestro objetivo conjunto es el de garantizar la seguri-
dad de las organizaciones, para facilitar su transforma-
ción digital a través de una plataforma integral, una
inteligencia única y las mejores alianzas tecnológicas.
Lo que nos permite ofrecer soluciones de seguridad en
áreas clave como identidad, aplicaciones y datos, dis-
positivos e infraestructura.
GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 8
Contacto
Dirección
Teléfono
Website
Nombre del partner
Incluir aquí texto del partner.