Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 2

viernes, 27 de julio de 2018

gdpr mdr image

En el anterior artículo comentamos la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos (AEPD), y la importancia de evaluar y concretar las medidas de detección. Veamos ahora, conforme al Reglamento General de Protección de Datos (RGPD), que implica dotarse de herramientas y capacidades “punteras” para detectar brechas de seguridad, y, en definitiva, ser más ciber-resilientes.

Tecnología, Personas y Procesos conforme al estado de la técnica y la resiliencia
Existen en el mercado una gran cantidad de diferentes soluciones tecnológicas de los fabricantes, los cuales cambian sus versiones en numerosas ocasiones en distintos momentos del año, o lanzan soluciones nuevas, tratando de hacer frente y anticipar la constante evolución y sofisticación de las amenazas cibernéticas. La Comisión Europea es consciente de ello, y sabe que la evolución de la tecnología va muy por delante de la legislación, por eso en el RGPD contempló que las medidas que debes aplicar deben garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica(2) (lo que es adecuado hoy puede no serlo mañana) y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.

Esta guía de la AEPD sigue sin aclarar este término "estado de la técnica (state-of-the-art) del RGPD, que es precisamente uno de los aspectos más controvertidos a la hora de invertir en la infraestructura de seguridad de las organizaciones, para mejorar su resiliencia, y para cumplimiento normativo. Como ya vimos, la AEPD indica algunas medidas “sin exhaustividad”, a favor de un enfoque amplio diseñado para alentar las mejores prácticas del día y garantizar que la regulación siga siendo relevante a medida que evolucionan las tecnologías, trasladando a los responsables el reto de adaptar de manera continua las condiciones de los tratamientos de datos personales que realizan.

Una encuesta de Trend Micro entre 1000 responsables de TI reveló una confusión generalizada acerca de lo que implica precisamente el término “estado de la técnica”: 

  • El 30% de los encuestados lo define como comprar seguridad de un líder establecido en el mercado, y otro 17% piensa que significa usar productos que superan las pruebas independientes de terceros(3);
  • Adicionalmente, el 16% cree que se refiere a productos que están altamente cualificados por los informes de analistas(4) , y el 14% cree que cubre nuevas empresas que brindan tecnología innovadora;
  • Es preocupante que el 12%  de los responsables de la toma de decisiones de TI estén más preocupados por el precio de los productos de seguridad que por el hecho de que los productos en los que invierten cumplan con los requisitos de RGPD. Por otro lado el 9% no pudo proporcionar una definición al respecto.
Como organización necesitas tener tu propia interpretación del “estado de la técnica” de tus medidas de prevención, detección y respuesta.

No es fácil en todos los casos determinar con precisión si se ha producido o no un ciberincidente y, en caso positivo, identificar en un primer instante su categoría y severidad. Actualmente conforme RGPD(5) las empresas deben notificar una brecha de seguridad sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, si constituye un riesgo para los derechos y las libertades de las personas físicas, o los sistemas (Directiva NIS(6)). En algunos casos toda la gestión del incidente será interna, y en muchos otros casos la gestión del incidente será realizada mayoritariamente de forma externa.

Cuanto menos tiempo pasa un atacante dentro de tu entorno, menor daño es capaz de producir, y si encima te puedes anticipar (ciberinteligencia), mucho mejor. Según el último informe de tendencias 2017 de FireEye(7) , el año pasado las organizaciones necesitaron una media global de 101 días para detectar una brecha de seguridad (y el 37% eran reportadas por terceros). Aunque la detección de la brecha de seguridad provenga de la comunicación de un tercero, lo que la guía de la AEPD denomina “fuente externa”, en el supuesto que sufras una brecha de seguridad que afecte a datos de carácter personal (sobre todo nivel alto), igual tendrás que demostrar  frente a la AEPD y/o los perjudicados por la brecha de seguridad, que empleaste medidas técnicas y organizativas apropiadas conforme al “estado de la técnica”, e incluso podrían cuestionar tu capacidad de resiliencia(8) (tu capacidad para resistir, proteger y defender el uso del ciberespacio de los atacantes).

Y no solo conforme a la tecnología, sino también a las personas y procesos empleados para ser capaz de detectarlas.  La AEPD en su guía indica que las políticas de seguridad de la información y protección de datos deben incluir una parte relativa a la gestión de brechas, con la consiguiente asignación de recursos humanos y medios materiales proporcionales a los tratamientos que se realizan.

Servicios MDR (Managed Detection & Response)
La realidad es que las organizaciones tienen dificultades para implantar, administrar y usar una combinación efectiva de experiencia y herramientas para detectar amenazas, especialmente amenazas avanzadas y amenazas internas. Encontrar las personas adecuadas, las herramientas y el tiempo para realizar estas actividades internamente es difícil, pero asociarse con un proveedor de MDR (Managed Detection and Response) hace que esas responsabilidades sean más fáciles de compartir. Los servicios de MDR satisfacen la necesidad de organizaciones de todos los tamaños que carecen de recursos de seguridad interna y experiencia, y desean expandir sus inversiones más allá de las tecnologías de seguridad preventivas para abordar sus carencias de detección, respuesta y monitorización las 24 horas del día, los 7 días de la semana. Una solución de MDR ayuda a tu equipo de seguridad a detectar, investigar y tomar medidas contra los atacantes más rápidamente que las herramientas de seguridad tradicionales no diseñadas para detectar amenazas avanzadas.

Gartner(9)  recomienda a los responsables de seguridad TI utilizar los servicios de MDR para agregar capacidades de detección de amenazas, respuesta a incidentes, y monitorización 24/7 cuando no existen o son inmaduras dentro de una organización. Mar España, directora general de AEPD recomendó también precisamente durante el acto de presentación  de la “Guía para la gestión y notificación de brechas de seguridad”, entre otras cosas el hecho de que “es importante buscar alianzas con expertos y recibir asesoramiento de calidad porque uno llega hasta dónde puede llegar”.

Tal y como se indica en la guía de la AEPD, se hace necesario disponer de la adecuada capacidad de respuesta a ciberincidentes, que, detectando rápidamente ataques y amenazas, minimice la pérdida o la destrucción de activos tecnológicos o de información, mitigue la explotación dañina de los puntos débiles de las infraestructuras y alcance la recuperación de los servicios a la mayor brevedad posible.

Exposición Digital, Detección y Respuesta Gestionada (MDR)
Algunas preguntas que tendrás que hacerte si quieres estar preparado para responder a los incidentes de seguridad son:

interrogante image
¿Cómo detecto e identifico las brechas de seguridad? ¿Quién actualiza y maneja las herramientas de prevención, detección y respuesta?

¿Qué tipo de incidentes de seguridad puedo detectar, identificar y subsanar internamente, y para cuáles necesito ayuda externa?

¿Puedo demostrar cumplimiento con las medidas de seguridad exigidas por el Reglamento General de Protección de Datos (RGPD) y/o Directiva NIS?

¿Somos resilientes?


Para las amenazas provenientes más allá de tu perímetro, con nuestros servicios de ciberseguridad de Exposición Digital ayudamos a las empresas a comprender la exposición de sus activos a los riesgos digitales, analizamos sus vulnerabilidades, monitorizamos toda la actividad de amenazas y alertamos cuando identificamos riesgos, y ayudamos en la respuesta a la amenaza. Desde un plano proactivo, proporcionamos servicios de inteligencia táctica y estratégica para ayudarte a prepararte y adaptar tus defensas de acuerdo a la evolución de las nuevas técnicas y metodologías empleadas por los adversarios, facilitando de esta forma una mejor prevención y más rápida detección de futuros ataques.

No existe una única solución de detección y respuesta óptima para todas las organizaciones. Nuestro servicio de Detección y Respuesta Gestionada incluye un laboratorio (MDR Lab) de análisis continuo de las tecnologías apropiadas disponibles en el mercado. Dependiendo del perfil de riesgo de una organización, sus soluciones actuales ya desplegadas, y el nivel de madurez actual de sus equipos de seguridad, existirá una opción en el mercado más acertada para evolucionar sus defensas hacia una postura de seguridad más activa y resiliente. De esta forma podemos ofrecer a las organizaciones una visión clara, vanguardista y agnóstica del mercado MDR, y ayudarles a implantar aquellas soluciones que más se adecuan a su política de seguridad.

Y para completar a los equipos de detección y respuesta del cliente, o para hacernos cargo si carece de capacidades propias, ofrecemos acceso inmediato a expertos sin los desafíos de encontrarlos, contratarlos y retenerlos. Nuestros equipos de analistas de inteligencia, responders y expertos forenses detectan proactivamente las alertas relevantes, haciéndolas visibles y proporcionando el contexto y las guías de remediación necesarias a través de nuestra solución completa, que incluye además los procedimientos adecuados para una rápida notificación y respuesta de incidentes. Nuestros equipos de MDR realizan cacerías regulares para buscar herramientas, técnicas y procedimientos del atacante, ofreciendo a las organizaciones un nivel de seguridad previamente inalcanzable.

Trabajamos con los socios más punteros para ofrecer las mejores e innovadoras soluciones de detección y respuesta. Juntos sumamos más.

» Guía AEPD para la gestión y notificación de brechas, pero, ¿cómo detectarlas? – Parte 1

2   Arts. 25 y 32 RGPD
3   Por ejemplo, las que realiza NSS Labs.
5   Art. 33 RGPD
8   Art.32.1.b) RGPD: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
9   Market Guide for Managed Detection and Response Services, Gartner, Junio 2018


Pablo Alarcón Padellano
Responsable de Alianzas Estratégicas
pablo.alarcon@11paths.com 

No hay comentarios:

Publicar un comentario