1

Guía para Chief Information Security Officers

GDPR: Seguridad y cumplimiento normativo

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 2

Mantener la seguridad en los entornos de TI de las organizaciones es cada día

más complejo. El concepto de ciberseguridad clásica ha evolucionado, como lo

ha hecho nuestro perímetro. Si antes construíamos grandes muros

tecnológicos para proteger nuestro castillo, desde un tiempo a esta parte, con

la interconexión con proveedores de servicios, las cadenas de suministro, la

aparición de la nube, el B2B y el B2C, los dispositivos móviles, sensores en el

mundo del IoT… nuestra infraestructura ha ido creciendo más y más y lo

seguirá haciendo.

Ahora las fronteras para garantizar la seguridad están más difusas, y en

muchas ocasiones ciertas organizaciones que están detrás de estas

interconexiones no tienen el conocimiento ni las medidas de seguridad que

otras sí tienen. Podemos citar por ejemplo las vulnerabilidades del software de

dispositivos, como la nueva generación de Internet of Things (IoT) que antes

comentábamos.

Organismos como el World Economic Forum indican en su análisis Global Risk

Report que precisamente uno de los cinco mayores riesgos para la economía

global vuelve a ser el tecnológico: concretamente el incidente masivo de

fraude o robo de datos. Es decir, la ciberseguridad en materia de custodia de

información. Consciente del riesgo de estos ataques, el pasado 21 de

diciembre la Unión Europea anunció la puesta en marcha de un Equipo de

Respuesta de Emergencia Informática para las instituciones de la UE (CERT-EU,

por sus siglas en inglés).

La entrada en vigor del reglamento GDPR nos obliga a tomar cartas en el

asunto, en las medidas que toda organización debe tomar para preservar la

seguridad de los datos recabados de los ciudadanos europeos, almacenados

en una creciente cantidad de fuentes y tipos de información, con estándares

de la industria en constante evolución. Queda patente que tanto

organizaciones privadas como públicas necesitan mejores soluciones para

gestionar el crecimiento explosivo de los datos en formato electrónico.

GDPR ha venido para quedarse como compañero de viaje

El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés),

que moderniza profundamente las leyes de protección de datos y los derechos

de privacidad individuales por primera vez en 20 años, nos impone la

necesidad de una mayor gobernanza de datos a todas las organizaciones que,

residiendo o no en la Unión Europea, recopilen o procesen datos personales

de residentes en la UE.

GDPR da un protagonismo especial al CISO (Chief Information Security Officer)

dentro de las organizaciones, como responsable de la creación,

implementación y supervisión de estrategias y programas diseñados para

limitar los riesgos de información, a lo largo de toda la empresa y a los niveles

que permitan el desarrollo de la actividad del negocio. Es decir, estrategias

para el tratamiento de riesgos que sean oportunas, rentables, no excesivas, y

GDPR regula la recopilación,

el almacenamiento, el uso y el

intercambio de datos

personales

GDPR da un

protagonismo especial

al CISO (Chief

Information Security

Officer) como

responsable de la

creación,

implementación y

supervisión de

estrategias y programas

diseñados para limitar

los riesgos de

información.

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 3

que respalden los procesos y objetivos de la organización

y en línea con los riesgos que cada una pueda y deba

asumir.

Según IDC Research España, el 36% de las empresas

españolas considera la nueva regulación como una

ventaja competitiva o una oportunidad para mejorar la

eficiencia del gobierno de la información y su seguridad.

Como tal oportunidad, los CISO deben establecer las

prioridades para reforzar la confianza de los clientes a la

hora de proteger sus datos personales, aplicando para

ello políticas de protección de datos, creando y probando

regularmente planes de respuesta a incidentes, y

asegurando la privacidad y seguridad de los datos

personales que se venden o intercambian con terceras

partes.

Ahora más que nunca, tanto los clientes (o ciudadanos, en

un contexto de sector público) se toman la custodia de su

información personal mucho más en serio que antes, y esa

preocupación sobre datos y privacidad influyen en sus

decisiones de cara a su relación con nuestras

organizaciones.

Primera fase: descubrimiento y evaluación

El primer paso hacia el cumplimiento de GDPR es evaluar

si aplica a mi organización y, de ser así, en qué medida.

Este análisis incluye la comprensión de los datos que la

organización procesa y dónde residen, porque GDPR

regula la recopilación, el almacenamiento, el uso y el

intercambio de datos personales. Entendiendo como tales

aquellos que se relacionan con una persona física

identificada o identificable, tanto de forma directa como

indirecta. Entender por qué se recopilaron, cómo se

procesan y se comparten, y cuánto tiempo se conservan

para el fin con el que fueron cedidos.

Es preciso inventariar los almacenes de datos, y las

ubicaciones dependen de la infraestructura de cada

organización y de la tecnología que esté implementada.

Por lo general, éstos residirán en varias ubicaciones, tanto

centralizadas (on-premise, nube pública, nube privada o

híbrida), como descentralizadas (los usuarios finales

pueden almacenar datos en sus equipos personales,

existiendo solo como una instancia en el dispositivo del

usuario final o sincronizados con una ubicación

centralizada), en dispositivos removibles (llaves USB o

discos duros externos), y por supuesto, en las soluciones

de backup que tengamos en marcha. Y no olvidemos

tampoco lo registrado por dispositivos multimedia, como

los circuitos de CCTV.

Segunda fase: Gestión

Una vez que se ha completado el inventario, es necesario

desarrollar e implementar un plan de gobierno de datos, y

por ello la entrada en vigor de GDPR es buen momento

para instaurar una cultura ética y de cumplimiento de la

ley. Porque en su artículo 24 incorpora el principio de

accountability o “responsabilidad proactiva”, a través del

cual queda claro que debemos garantizar y poder

acreditar que tratamos y custodiamos los datos aplicando

las medidas técnicas y organizativas apropiadas para

nuestra organización.

El reglamento europeo proporciona a las personas con las

que se relacionan los datos un mayor control sobre cómo

se captura y utiliza su información personal. Como

consecuencia, éstas pueden, por ejemplo, solicitar que su

organización proporcione información sobre el

procesamiento de sus datos personales, la eventual

transferencia de sus datos a terceros, los mecanismos para

la corrección de errores o la restricción en el

procesamiento posterior. Todas estas solicitudes deben

abordarse y resolverse dentro de períodos de tiempo

limitados.

A la hora de abordar la gestión responsable del

tratamiento de datos personales y las amenazas de

seguridad de los sistemas en cada organización, el papel

del CISO resulta fundamental. Como garantes de la

supervisión y administración del control de acceso a la

información, GDPR nos obliga a revisar los procesos

actuales con el fin de asegurar la conformidad, definiendo

políticas, roles y responsabilidades para el acceso. Para,

por ejemplo, brindar a la organización la seguridad de

que efectivamente se respeta la demanda de una

determinada persona a la hora de eliminar o transferir sus

datos.

El camino: seguridad, transparencia y gestión

simplificada

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 4

Tercera fase: Protección

Cualquier CISO, como responsable de la generación e

implantación de políticas de seguridad de la información,

es consciente de que la seguridad de los datos es una

tarea cada día más compleja. Hay que identificar y

considerar muchos tipos de riesgos, que van desde la

intrusión física hasta la pérdida accidental, los empleados

deshonestos, los ataques externos de los hackers, o la

ampliación del perímetro de seguridad, para dar cabida a

nuevos dispositivos.

La creación de planes de gestión de riesgos y la adopción

de medidas de mitigación de riesgos (como la protección

mediante autenticación multifactor, los registros de

auditoría y el cifrado de las comunicaciones o a nivel de

dispositivo), pueden ayudar a garantizar el cumplimiento.

Abordando el alcance de los nuevos entornos híbridos, en

los que los servicios cloud adquieren un papel

fundamental, la nube de Microsoft está específicamente

diseñada para ayudarle a comprender los riesgos y

defenderse de ellos, y con frecuencia es más segura en

muchos aspectos que los tradicionales entornos on-

premise.

Por ejemplo, nuestros centros de datos, que dan

cobertura a los servicios de Azure y Office 365, cumplen

con el más amplio conjunto de estándares internacionales

y específicos de la industria, como ENISA IAF, ISO/IEC

27001, 27018, FedRAMP, SOC 1 y SOC 2, HIPAA, Esquema

Nacional de Seguridad / ENS o la AEPD, incluyendo

vigilancia física las 24 horas y estrictos controles de

acceso.

Cuarta fase: Informes

GDPR establece nuevos estándares en transparencia,

rendición de cuentas y mantenimiento de registros. La

organización tendrá que ser más transparente no solo

sobre cómo maneja los datos personales, sino también

sobre cómo se mantiene activamente la documentación

que define tanto los procesos como el uso de los datos

personales.

Por ello, las organizaciones que procesan datos

personales deberán mantener registros sobre

• Los fines para los cuales los recaban y procesan los

datos

• Las categorías de datos personales procesados

• La identidad de terceros con quienes se comparten

datos

• A qué y a quienes de terceros países se transmiten

los datos personales y la base legal de tales

transferencias

• Las medidas de seguridad organizativas y técnicas,

y

• Los tiempos de retención aplicables a diversos

conjuntos de datos.

Una forma de mantener toda esta información al día y

revisada pasa por el empleo de herramientas de auditoría,

que pueden ayudar a asegurar que cualquier

procesamiento de datos cuenta con un seguimiento y un

registro, en cualquiera de las fases de recopilación, uso,

custodia o intercambio.

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 5

Consideraciones

principales para un CISO

La exigencia normativa de GDPR se

extiende más allá de los habituales

enfoques de seguridad y análisis de

riesgos, para incluir nuevos requisitos de

procesamiento, como la documentación

vinculada al propio procesamiento de

datos, el consentimiento explícito del

propietario de los datos y la generación

de informes.

Los CISOs deberán involucrar a los

departamentos legales y de

cumplimiento normativo para que

colaboren en la revisión e identificación

de aquellos procesos que deban

modificarse para un mejor cumplimiento

acorde con los requisitos de GDPR.

Los sistemas y procesos deberán

rediseñarse para brindar un mejor

soporte tecnológico a la hora de facilitar

el borrado de datos, las solicitudes de

portabilidad y toda la documentación

vinculada al procesamiento.

Detectar Gestionar Proteger Informar

Utilice plantillas de eDiscovery para identificar tipos de datos personales.

Encuentre, clasifique, configure políticas y administre datos fácilmente con Advanced Data Governance.

Aproveche Advanced eDiscovery para exportar y/o eliminar datos personales de Exchange, SharePoint, etc.

Archive y preserve el contenido en sus sistemas Office 365.

Proteja automáticamente contra la divulgación accidental mediante la aplicación de políticas sobre datos confidenciales.

Proteja el correo electrónico de los sofisticados ataques de malware de hoy con Advanced Threat Protection.

Evite que registros confidenciales sean utilizados por usuarios no autorizados con Data Loss Protection.

Descubra y proteja proactivamente contra amenazas y riesgos avanzados con Threat Intelligence y Advanced Security Management.

Lleve a cabo evaluaciones de riesgos utilizando herramientas integradas con Service Assurance Dashboard.

Haga un seguimiento e informe de las actividades de los usuarios con registros de auditoría detallados.

¿Cómo puede ayudarle Office 365?

Microsoft 365

Estamos viviendo un momento de inflexión. La transformación digital supone el mayor cambio que cualquiera de nosotros haya visto a lo largo de su vida.

Las empresas invierten en tecnología para optimizar operaciones, transformar productos, atraer clientes y dar mayores capacidades a sus empleados.

El desafío consiste en encontrar la manera de empoderar a las personas para hacer mejor su trabajo. Y esto comienza con el fomento de una cultura del trabajo y de colaboración que sea inspiradora para todos.

Para proporcionar la tremenda oportunidad de crecimiento empresarial e innovación, simplificamos la experiencia del cliente combinando Office 365, Windows 10 y Enterprise Mobility + Security, formando juntos parte de Microsoft 365.

Una solución completa e inteligente que permite a las personas ser más creativas, trabajar juntas y de forma segura.

1

2

3

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 6

Encriptación de nube y correo electrónico

• Protegiendo mediante cifrado los datos

almacenados en los servidores

• Empleando cifrado de datos en tránsito mediante

SSL/TLS

• Mediante gestión de amenazas, supervisión de

seguridad e integridad de archivos/datos,

aplicadas a detección de problemas y alteración

de datos

• Con el cifrado de mensajes de Office 365, incluido

en Azure Rights Management

• S/MIME proporciona acceso de correo electrónico

seguro basado en certificados

• El cifrado de mensajes de Office 365 le permite

enviar correos encriptados a cualquier persona

Prevención de pérdida de datos

• Office 365 proporciona una amplia gama de

funciones DLP en sus aplicaciones para evitar que

los datos sensibles se filtren dentro o fuera de la

organización

• Office 365 ayuda a empoderar a los usuarios finales

a través de continuas políticas de formación

• Los administradores pueden rastrear la efectividad

de las políticas DLP con informes integrados en

Office 365

Control de acceso

• La autenticación multifactor protege el acceso al

servicio incorporando factores como la biometría o

el propio teléfono

• Rights Management Services previene el acceso a

nivel de archivo sin las credenciales de usuario

correctas

• Customer LockBox proporciona a los clientes un

control explícito ante la eventualidad de que un

ingeniero de Microsoft pueda necesitar acceso

para resolver un problema concreto

Conformidad

• Office 365 cumple con los requisitos específicos de

ISO 27001, cláusulas de la UE, HIPAA BAAA, FISMA

y nivel Alto frente al Esquema nacional de

Seguridad y la LOPD.

• Nuestro acuerdo de procesamiento de datos

detalla la privacidad, la seguridad y el manejo de

los datos de los clientes, lo que le ayuda a cumplir

con las reglamentaciones locales.

• La retención legal y el eDiscovery (descubrimiento

electrónico) están integrados en el servicio, lo que

ayuda a encontrar, preservar, analizar y

empaquetar contenido electrónico para una

solicitud o investigación legal.

• La API de actividad de administración de Office 365

facilita la monitorización de la seguridad y

cumplimiento

Gestión de dispositivos

• Office 365 e Intune protegen los datos en

dispositivos móviles sin sacrificar la productividad

del usuario

• Mediante la creación de políticas de acceso

condicional los gestores pueden administrar

políticas sobre cómo se accede a los datos y se

comparten entre aplicaciones y dispositivos.

• Nuestras tecnologías permiten eliminar

selectivamente datos corporativos y aplicaciones

de dispositivos

El CISO debe garantizar que cualquier

persona que entre en contacto con

datos de clientes o de la propia

empresa comprenda las implicaciones

que conlleva un uso o recopilación

inadecuados de los datos, así como los

requisitos de seguridad de la empresa.

Por ello, tanto las herramientas

seguras de colaboración como de uso

compartido de archivos se están

convirtiendo en una necesidad para las

organizaciones.

Cómo la tecnología puede ayudar a resolver las preocupaciones del CISO

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 7

Recursos

Herramienta de Evaluación de GDPR

Centro de Confianza

Centro de Confianza de Office 365

Microsoft 365

Microsoft para las Empresas

Proveedores de soluciones Microsoft

Office para profesionales de TI

Detectar Gestionar Proteger Informar

Office y

Office 365

Prevención ante la pérdida de datos

Gobierno Avanzado de Datos

Office 365 eDiscovery

Gobierno avanzado de datos

Journaling (Exchange Online)

Advanced Thread Protection

Always encripted

Service Assurance

Logs de Auditoría de Office 365

Customer Lockbox

Windows Windows Search Windows Defender

Windows Hello

Devide Guard

Windows Defender

Advance Thread Protection

Enterprise

Mobility

Suite

Azure AD Application Catalog Cloud Application Security Azure Information Protection Microsoft Intune

Azure AD RBAC & Dynamic groups Azure AD Privileged identity management Azure Information Protection Cloud Application Security

Azure MFA Acceso Condicional Azure Identity Protection Azure Information Protection Microsoft Intune Cloud Application Security

Azure AD Advanced Reports Advanced Threat Analytics Azure Information Protection Microsoft Intune

Soluciones y tecnologías para el puesto de trabajo

El compromiso de Microsoft

Cumplir el Reglamento General de Protección de Datos

(GDPR) no es un proyecto puntual y acotado en el

tiempo. Exige un aprendizaje y esfuerzo continuos y

establecer alianzas con proveedores de máxima con-

fianza.

En Microsoft estamos firmemente comprometidos con

nuestros clientes en el cumplimiento de GDPR, a los

que les ayudamos simplificando su viaje, aportando

recursos, reduciendo sus riesgos y proporcionando una

amplia red de expertos, en total coordinación con

nuestros partners.

Nuestro objetivo conjunto es el de garantizar la seguri-

dad de las organizaciones, para facilitar su transforma-

ción digital a través de una plataforma integral, una

inteligencia única y las mejores alianzas tecnológicas.

Lo que nos permite ofrecer soluciones de seguridad en

áreas clave como identidad, aplicaciones y datos, dis-

positivos e infraestructura.

GDPR: Seguridad y cumplimiento normativo. Guía para Chief Information Security Officers 8

Contacto

Dirección

Teléfono

Email

Website

Nombre del partner

Incluir aquí texto del partner.