SEGURIDAD Y CUMPLIMIENTO GDPR

9l_326fiszk-luca-bravo.jpg
slide1-1.jpg
code-1839406_1921

La GDPR es el marco legal propuesto por la unión europea que
entró en vigencia en mayo de 2018. Esta propuesta proporciona un
cambio significativo en la forma de tratar datos por parte de las
empresas, nace, entre otras cosas para garantizar la privacidad de
los usuarios y para unificar la seguridad dentro de europa.
Se trata por tanto de una ley de obligado cumplimiento por parte de
todo tipo de empresas, tanto pequeñas como grandes. Cada una de
las cuales tendrá que adaptar sus procesos para lograr el
cumplimiento de seguridad en cuanto al tratamiento de datos.
A la hora de securizar una organización el primer paso de todos es
determinar los activos y su nivel de sensibilidad. Es imprescindible
conocer cuales son los activos más sensibles y dotarlos de la
seguridad necesaria para en cualquiera de los casos dificultar el
acceso no deseado y cumplir con las tres leyes de la seguridad, el
CID, Confidencializad Integridad y Disponibilidad.
En muchas ocasiones una empresa no es consciente de la cantidad
de información que comparte en la red, Google y otras herramientas
indexan toda la información por donde pasan sus robots,
metadatos, archivos con información que no deberían ser públicos
pueden indexarse en la herramienta, de hecho muchos arboles de
ataque comienzan con un footprinting y con un fingerprinting que
buscan identificar mediante herramientas de OSINT cualquier tipo
de información que pueda facilitar al atacante su labor siendo toda
la información publica y accesible en la red.

1. Formación al personal.

El eslabón más débil en seguridad es el usuario final.
Un mínimo de formación a las personas que utilizan el correo
electrónico diariamente es imprescindible. No descargar un
presupuesto en un .rar de un tercero no reconocido puede
ahorrar muchos problemas dentro de la organización.
1. Gestión de acceso a la red.
Este punto se realiza con la instalación de un firewall, no
siendo valido la información facilitada por el router de la
operadora de telecomunicaciones. Es preciso tener la

posibilidad de poder crear reglas para gestinoar el flujo de
información .
Como posible ampliación es recomendabel implementar una
NAC, este tipo de herramientas limitan el acceso a la red a
determinados dispositivos dependiendo de cómo se
parametrice la herramienta, pudiendo limitar el acceso a
determinadas mac filtradas por fabricantes o a determinados
dispositivos que no tengan instalada la ultima actualización de
un determinado sistema operativo ,por ejemplo un dispositivo
movil que no esté actualizado con la ultima versión de Android
o IOS

2. Descubrimiento y clasificación de datos.

Se trata de determinar cuales son los datos sensibles y quién
tiene permisos de acceso a dichos datos. En la normativa se
establecen una serie de datos que se catalogan como
sensibles entre los que entrarían datos relacionados con la
salud de pacientes y datos de orientación política asi como de
raza entre otros.
Para el descubrimiento de activos podemos utilizar
herramientas como Nmap que ofrece una buena solución asi
como NAGIOS. Ambas son de código abierto y su
implementación es bastante sencilla. Existen otras
herramientas de pago que aportan otro tipo de
funcionalidades pero para empezar las descritas realizan
correctamente su función.

3. Cifrado de datos

Este punto puede ser suplido por la herramienta de
SEALPATH. Sealpath mantiene cifrada la información
encapsulando los archivos en su plataforma dotando de
acceso a ciertos usuarios con privilegio. Sealpath es bastante
sencillo de utilizar aunque el coste es algo elevado. Por otro
lado, con la herramienta ENDPOINTPROTECTOR podemos
realizar esta misma acción al mismo implementando un
apliance en la organización al mismo tiempo que realizamos
las acciones correctas para la prevención de fuga de datos.
En el caso de SEALPATH, gracias al encapsulado y al cifrado
que realiza, nos permite utilizar herramientas freemium
implementadas por terceros permitiendo su uso y previniendo
las posibles fugas de información. En ocasiones dichos proveedores de soulciones gratuitas ofrecen en sus versiones
gratuitas ciertos problemas de seguridad como por ejemplo
DROPBOX que permite en algunos archivos la indexación en
google.

4. Gestión de dispositivos móviles

La gestión de los dispositivos móviles puede realizarse
mediante la herramienra anterioemente mencionada, la NAC,
pudiendo realizar un portal cautivo que determine qué
dispositivos deben aislarse en un almacen de cuarentena.
Mediante una correcta gestión de la NAC es posible
determinar los servicios a los que pueden acceder dichos
dispositivos, esto es debido a la gran cantidad de malware
que se puede propagar mediante dispositivos externos a la
organización.


5. Gestión de parches en todos los dispositivos. Seguridad
puesto de trabajo


Este punto hace mención al inventario de software de
dispositivos que se conectan a la red y pueden tener acceso a
datos. Mediante la implementación de un SIEM, en concreto
OSSIM dispondremos, gracias a OPENVAS de un análisis de
vulnerabilidades en tiempo real, pudiendo determinar
determinadas tareas que permitan el inventario de software y
los posibles parches a aplicar al parque de software.

6. Autenticación multifactor o accesos privilegiados, es decir,
gestión de contraseñas


La autenticación multifactor es una herramienta muy potente
para crear one time paswords. Los beneficios de utilizar este
tipo de seguridad dentro de una organización son multiples,
reduciendo considerablemente la posibilidad de una fuga de
contraseña, un posible cracking de passwords. La herramienta
propuesa debe integrar multiples herramientas y se
sincronizarse mediante RADIUS con la organización. La
implementación del doble factor puede realizarse mediante
multitud de tokens, dependiendo del entorno en el que deban
implementarse, es posible generar tokens por SMS, por
correo electrónico, por OTP móvil mediante una app o incluso
mediante una tarjeta física de coordenadas, en entornos
donde el acceso a internet es limitado o complicado.

Por otro lado, la gestión de contraseñas puede realizarse con
múltiples herramientas, (ver las PVA) una propuesta gratuita
puede ser keepass y como propuesta comercial tenemos ARK
utilizada por el gobierno de los estados unidos para gestionar
contraseñas de las administraciones publicas.

7. Seguridad de correo electrónico

El correo electrónico es por lo general la vía de comunicación con el
exterior más vulnerable ya que depende en parte del uso dado por
los usuarios. Es uno de los mayores puntos de entrada de
amenazas dentro de una organización, normalmente mediante
técnicas que utilizan el phishing, cada vez más dirigido.
Es por ello que es complicado recomendar una herramienta u otra,
dependerá de cada caso concreto pero como recomendación previa
utilizar el protocolo DKIM y el otro que no me acuerdo.

8. Monitorizacion de actividad de los usuarios.

Este punto esta cubierto por un firewall, mediante el firewall se
monitoriza el uso que está realizando el usuario.

9. Prevención de fuga de información (DLP)

Como herramienta de DLP proponemos
ENDPOINTPROTECTOR, una herramienta que limita la
utilización de puertos a ciertos dispositivos. Mediante la
instalación de un apliance dentro de la organización podemos
restringir el acceso a cierta información denegando la copia
de información confidencial, lo cual, a su vez, nos permite
cumplir con la normativa de protección de datos. Imposibilita
la copia de datos mediante pantallazos si existe una palabra
clave protegida o mediante copiar y pegar, tanto a dispositivos
extraíbles como a correos y otro tipo de documentos. Una
correcta parametrización es importante a la hora de implantar
estos dispositivos.

10. Evaluación de riesgos.

Evaluación continua de riesgos.
Se trata de poner a prueba las medidas de seguridad que
tiene una organización implantadas, por ejemplo ver en
tiempo real como reacciona una organización ante un ataque
de malware o intentando un ataque de intrusión. Mediante

estas acciones es posible determinar cuales son los puntos
débiles de una organización para mejorarlos.

11. Inteligencia sobre amenazas.


Existen varias herramientas que identifican amenazas
basándose en la inteligencia colectiva. Se trata de bases de
datos que albergan información compartida por
organizaciones de todo el mundo y que ayudan a otras a
contrarrestar posibles amenazas identificándolas gracias a
esta información. Para ello los equipos de seguridad de cada
empresa tendrán que incorporar un SIEM para aplicar esta
información recibida y compararla en tiempo real con la
correlación de eventos de la organización. Esta información
colectiva permitirá a la organización la toma de decisiones y la
configuración de alertas en base a información de terceros.
Un SIEM permite realizar este tipo de procesos de forma
automática. En el caso de OSSIM, herramienta open source
de la empresa Alien Vault se realiza mediante OTX
EXCHANGE que permite lo mencionado anteriormente
compartir información sobre amenazas con organizaciones de
todo el mundo, algo que, a su vez, es de obligado
cumplimiento por la GDPR (buscar articulo donde cita que hay
que decir obligatoriamente