Blog Home Topics: GDPR

WAF y DDoS le ayudan a preparar el camino para cumplir el GDPR

ene. 18, 2017 por Radware
WAF y DDoS le ayudan a preparar el camino para cumplir el GDPR por Pascal Geenens
 
Los datos son la moneda de cambio de la economía digital, el petróleo del siglo XXI. Los datos personales representan nuestro activo económico generado por nuestras identidades y nuestro comportamiento y lo intercambiamos por productos y servicios de mayor calidad. Las plataformas en línea actúan como intermediarios en un mercado bilateral que recopila datos de los consumidores y venden espacios publicitarios a empresas. A cambio de nuestros datos recopilados, obtenemos un servicio aparentemente gratuito.
 
El crecimiento y la capitalización bursátil de proveedores de plataformas sociales, como Facebook, y motores de búsqueda, como Google, evidencian el valor de los datos personales. Los datos personales también ofrecen nuevas alternativas para monetizar servicios a medida que nuevas organizaciones encuentran dificultades para facturar dinero "real" por las noticias digitales, y aprovechan nuestra disposición a pagar por una selección de noticias "gratuitas" con nuestros datos personales. Tres de cada cuatro personas prefieren un registro gratuito con acceso selectivo en lugar de un registro de pago con acceso completo.
 

El delito acecha donde existen objetos de valor

Compartir información sobre nuestro paradero en Facebook, publicar una imagen con nuestras coordenadas GPS actuales en los metadatos en Instagram, utilizar Foursquare para encontrar un buen lugar para comer y beber. ¿Has comprado un nuevo coche super chulo? Publica una imagen en Facebook. ¿Se aseguró de difuminar la matrícula en la imagen de su coche? Una entrañable foto familiar en el restaurante, la tarjeta de crédito sobre la mesa... estos son solo algunos ejemplos de filtraciones de información social y personal que los delincuentes pueden aprovechar.
 
 
La ciberdelincuencia se intensifica y los resultados económicos que los delincuentes obtienen en relación con datos personales, ya sea a través de su venta o utilizados en extorsiones, son más que considerables. La filtración y vulneración de registros personales puede emplearse como estrategia para depreciar el valor de una organización (el ataque a Yahoo!) o socavar la confianza de sus clientes. Únicamente en 2016, se hizo público el robo de 2.200 millones de registros en prácticamente 3.000 filtraciones de datos. Y la tendencia es imparable, ya que comenzamos este nuevo año con la filtración de 1,5 millones de registros de usuarios después de que Esports Entertainment Association (ESEA) se negara a pagar un rescate de 100.000 $.

El Reglamento General de Protección de Datos

En enero de 2012, la Comisión Europea propuso una reforma integral de las normas sobre protección de datos en la UE. El Reglamento General de Protección de Datos (GDPR) representa la principal reforma realizada en la legislación sobre protección de datos en los últimos 20 años. El propósito del nuevo conjunto de normas es devolver a los ciudadanos de la UE el control sobre sus datos personales y simplificar el entorno normativo a las empresas mediante un contexto homogéneo en todos los Estados Miembros de la UE. El reglamento proporciona protección en relación con el procesamiento de los datos personales y la libertad de movimientos de estos datos, y entrará en vigor a partir del 25 de mayo de 2018.
 

Generación de oportunidades de negocio

La investigación de los consumidores realizada durante los últimos años muestra un deterioro de la confianza y un aumento de los niveles de preocupación en relación con la protección y procesamiento de los datos personales, y se considera que este hecho influirá en el futuro crecimiento de las tecnologías digitales. Para el ciudadano de la UE, el GDPR supone un fortalecimiento de sus derechos individuales, a la vez que permite que las empresas restauren la confianza de sus clientes. El GDPR genera oportunidades de negocio para organizaciones establecidas, de tamaño pequeño y grande, organizaciones de países miembros de la UE y extranjeras, e iguala las condiciones para que las empresas de servicios en la nube de la UE compitan con los grandes proveedores globales de servicios en la nube dentro del mercado de la UE. Este nuevo reglamento proporcionará a las empresas que desarrollen su actividad empresarial en la UE una oficina centralizada para estas cuestiones, ya que únicamente tratarán con una única autoridad supervisora. La existencia de una legislación única permitirá ahorrar recursos económicos e impulsará la actividad empresarial en toda la UE.
 

Acciones dirigidas a la aplicación del reglamento

La otra cara del GDPR es un nuevo conjunto completo de reglas normativas y medidas que una organización que controle o procese cualquier forma de datos personales debe cumplir e implementar. Los datos personales se interpretan en el amplio sentido del término e incluyen cualquier información relacionada con una persona, independientemente de que haga referencia o no a su vida privada, profesional o pública, y puede abarcar desde un nombre, una imagen, una dirección de correo electrónico, detalles financieros, publicaciones en redes sociales o incluso la dirección IP de un equipo. El incumplimiento del GDPR conllevará una medida coercitiva que incluye multas de hasta 20.000.000 € o el 4% de los ingresos globales anuales en caso de infracción de las normas de protección de datos. El GDPR incluye provisiones que promueven la rendición de cuentas y buen gobierno, y permiten auditar las no conformidades, lo que daría lugar a sanciones de hasta 10.000.000 € o el 2% de los ingresos globales anuales.
 

Alcance global

Siempre que una empresa desee comerciar o realizar actividades empresariales con uno o varios Estados Miembros de la UE, deberá demostrar su idoneidad; es decir, sus normas de protección de datos deberían ser equivalentes al GDPR de la UE a partir de mayo de 2018. Esto prácticamente convierte al GDPR en un reglamento global, con alcance mundial, que afecta a organizaciones y empresas en todo el planeta.

¿Qué implicaciones tiene para las empresas en línea y los proveedores de servicios en la nube?

Para las empresas en línea y los proveedores de servicios en la nube, el cumplimiento del GDPR implica el respeto de los principios de "Privacidad por diseño" y "Protección de datos por diseño" durante el diseño, desarrollo, implementación y despliegue de aplicaciones o servicios Web, y cualquier componente o servicio relacionado. La rápida adopción de servicios en la nube ha intensificado la preocupación en relación con la correcta preparación de estas aplicaciones y servicios. Un estudio reciente realizado por Symantec/Bluecoat demuestra que el 98% de las aplicaciones actuales presentes en la nube no ofrecen un nivel de preparación mínimamente razonable para GDPR.
 

WAF/DDoS y el GDPR

De acuerdo con el considerando 39 del GDPR, el procesamiento de los datos personales debe realizarse de manera que se garanticen niveles de seguridad y confidencialidad adecuados, incluida la prevención del acceso o uso no autorizado de los datos personales y equipos empleados en el procesamiento. El considerando 49 da un paso más al exigir la capacidad de una red o un sistema de información de resistir eventos accidentales o acciones ilícitas o maliciosas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales almacenados o transmitidos, y la seguridad de los servicios relacionados ofrecidos por, o accesibles a través de, estas redes y sistemas. El considerando estipula literalmente "Esto podría incluir por ejemplo evitar el acceso no autorizado a las redes de comunicaciones electrónicas, y la distribución maliciosa de códigos y poner fin a los ataques de denegación de servicio y a los daños a los sistemas informáticos y de comunicación electrónica".
 
La mayoría de las empresas se enfrentarán a la urgente necesidad de aumentar la protección de las aplicaciones y servicios publicados en todos los aspectos y fines relacionados con prevención de filtraciones de datos, control de acceso, prevención de ataques basados en la Web y prevención de ataques de denegación de servicio. Los proveedores líderes de servicios de aplicaciones Web y protección API en la nube y locales, así como servicios de mitigación de denegación de servicio en la nube e híbridos siempre activos, proporcionan una solución idónea para esta necesidad imperiosa. Un servicio en la nube WAF y DDoS completamente administrado proporciona una alternativa ágil para cumplir uno de los requisitos de conformidad normativa, así como una estrategia sencilla de conformidad con el GDPR.

Pascal Geenens
Como "Cyber Security Evangelist" para Radware, Pascal contribuye a poner en práctica el liderazgo intelectual de la empresa en el actual escenario de amenazas de seguridad para EMEA y Latinoamérica. Pascal aporta más de dos décadas de experiencia en numerosos aspectos de las Tecnologías de la Información y cuenta con un título en Ingeniería Civil de la Universidad Libre de Bruselas, especializado en electrónica con un proyecto final sobre computación paralela. Antes de Radware, Pascal adquirió experiencia trabajando con los principales proveedores en la nube como ingeniero de consultoría para Juniper, como consultor independiente especializado en arquitectura de redes de sensores, automatización y desarrollo de sistemas PLC y como auditor de software e infraestructura de seguridad. Ha sido un ponente regular en conferencias de IBM EMEA para desarrollo de kernel AIX y Perl.
 
Radware
© 2008-2017 Radware, Ltd. All rights reserved.