Akamai Technologies, Inc., la mayor plataforma de entrega en la nube del mundo y en la que confían más usuarios, advierte a las organizaciones de toda Europa que deben adoptar un enfoque basado en los riesgos a la hora de procesar los datos personales.
A menos de cinco meses para que entre en vigor el RGPD, las empresas deben adoptar los protocolos de seguridad adecuados y ser capaces de demostrar su aplicación en caso de que se produzca una filtración de datos. Este consejo, que forma parte del último white paper de Akamai, Protección de recursos web basada en pruebas, destaca la necesidad de que las organizaciones empiecen a analizar exhaustivamente sus sistemas para entender bien dónde están los riesgos y garantizar el cumplimiento.
Gerhard Giese, responsable de Arquitectura de Seguridad Empresarial de Akamai Technologies advierte: "Hay que contar con pruebas suficientes de que se han adoptado las medidas adecuadas para proteger los datos personales que se procesan para mitigar los riesgos asociados a las actividades de procesamiento de datos y así evitar cuantiosas multas para las empresas. En el caso de una filtración, la responsabilidad de justificar que se tomaron las medidas adecuadas recae en la organización."
No hacer uso de la tecnología más reciente o basarse en un conocimiento limitado del panorama de amenazas en rápida evolución podría llevar a las autoridades a preguntarse hasta qué punto se tuvieron en cuenta los riesgos.
Giese agrega: "Muchas empresas siguen utilizando tecnologías que las exponen a más ataques, ya se trate de vulnerabilidades asociadas a conexiones VPN en forma de accesos innecesarios a la red corporativa o de la selección de soluciones de seguridad simplemente menos eficaces Si existe una solución sencilla y práctica que no han implementado, deben plantearse si pueden afirmar de verdad que han mitigado el riesgo de forma adecuada".
La localización también aumenta la complejidad asociada a los requisitos de conformidad y se traduce en la obligación de las empresas de cumplir los establecidos localmente en varios países del mundo. Si bien existen similitudes, los matices individuales complican la tarea de demostrar el cumplimiento de cada una de las normativas.
Pasos para demostrar el cumplimiento del RGPD
Akamai sugiere cuatro pasos que las empresas para demostrar que se tiene un enfoque basado en los riesgos adecuado con respecto a la protección de sus recursos online:
1. Aprender de los fallos de otros
Si una empresa espera hasta que es atacada para responder a una nueva amenaza, será menos probable que se defienda adecuadamente. Los proveedores de seguridad que protegen a las empresas de todo el mundo son capaces detectar las amenazas en una ubicación y aplicar lo que aprenden al resto de clientes antes de que se produzca un nuevo ataque.
2. Mantener y documentar las reglas del firewall de aplicaciones web
Si se produce una infracción de seguridad, la autoridad de protección de datos requerirá pruebas en las que se describan los pasos dados para reducir el impacto al mínimo. Por lo tanto, en el caso los recursos online resulta prioritario demostrar que la empresa cuenta con un firewall de aplicaciones eficaz que se actualiza constantemente para responder al panorama de amenazas en constante evolución.
3. Controlar el acceso de terceros a datos de carácter personal
Proporcionar acceso de terceros a las redes es una necesidad para las empresas, pero este acceso puede poner los datos personales y la seguridad general en riesgo. Por lo tanto, asegurarse de utilizar un sistema que permite realizar un seguimiento de los accesos a estas redes y mitigar los riesgos asociados a los no autorizados es imprescindible si las empresas quieren ser capaces de demostrar ante la autoridad de protección de datos que se han tomado las medidas necesarias.
4. Crear una barrera entre la red y las amenazas potenciales
Si la primera línea de defensa de una empresa se sitúa en el perímetro de la red, la amenaza está demasiado cerca para sentirse cómodo. Establecer una barrera, como una red de distribución de contenido (CDN), entre la infraestructura de la empresa y cualquier posible actor malintencionado, puede ayudar a detectar amenazas antes de que se conviertan en un problema, además de permitir a la empresa canalizar el tráfico en caso de ataques de denegación de servicio.
