Si recordamos nuestro artículo sobre el Reglamento General de Protección de Datos, comentábamos que las empresas deberán reforzar la seguridad en todos los aspectos, para poder garantizar la privacidad de los datos y el cumplimiento de la normativa La cuestión es que el propio Reglamento no aclara muy bien a qué se refiere con ese refuerzo de seguridad y se limita a señalar que las empresas deberán implantar sistemas con un nivel de seguridad razonable. ¿Qué quiere decir exactamente esto? ¿Hasta dónde estamos obligados a mejorar?
Ciertamente, es una definición un tanto peculiar para un estándar de seguridad. Razonable se puede referir a muchas cosas, pero normalmente basta con fijarse en un estándar de seguridad que impida, en cualquier caso referido en el RGPD, una violación de los datos o un incumplimiento de la normativa.
El @CISecurity ha creado una ckecklist con los controles mínimos de #seguridad razonable para aplicaciones comerciales Share on XPara entender esto mejor, observamos una checklist creada por el Center for Internet Security (CIS) de California. Aquí se listan los controles de seguridad mínimamente razonables para aplicaciones comerciales:
- Inventario de dispositivos autorizados y no autorizados.
- Inventario de software autorizado y no autorizado.
- Configuraciones de seguridad para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.
- Evaluación continua de vulnerabilidades.
- Uso controlado de los privilegios administrativos.
- Mantenimiento, seguimiento y análisis de registros de auditoría.
- Protección de correo electrónico y navegación web.
- Defensas de malware.
- Limitación y control de puertos de red, protocolos y servicios.
- Capacidad de recuperación de datos.
- Configuraciones seguras para dispositivos de red como cortafuegos, enrutadores y conmutadores.
- Defensa de fronteras.
- Protección de Datos.
- Acceso controlado basado en need-to-know.
- Control de acceso inalámbrico
- Seguimiento y control de cuentas.
- Evaluación de habilidades de seguridad y entrenamiento apropiado del personal.
- Seguridad del software de aplicación.
- Respuesta y gestión de incidencias.
- Pruebas de penetración y ejercicios de red team (simular ataques).
El mero hecho de cumplir con este checklist no garantiza que cumplamos con los requisitos suficientes de seguridad. Por ejemplo, podemos disponer de herramientas para combatir el malware, pero no actualizarlas convenientemente.
Generalmente, estas listas están incompletas. Se pueden requerir mecanismos de defensa no listados para implementar una seguridad razonable. Depende de muchas cosas, por eso la seguridad debe ser un proceso holístico que tenga en cuenta cómo funciona el negocio, cuáles son los activos valiosos para los atacantes externos y la propia corporación.
Una checklist es un buen punto de partida, pero es necesario realizar un análisis profundo de las necesidades de seguridad antes de nada.
Deja tu comentario sobre "¿Qué es «seguridad razonable» en el contexto del RGPD?"