Guía rápida para asegurarse de que tus PCs e impresoras cumplen las normas

10/11/2018Tiempo de Lectura 6 Min

Las consecuencias de una brecha de datos en un cliente o una empresa pueden ser catastróficas para una compañía de cualquier tamaño. El daño que hace a la reputación, a los clientes y a los usuarios finales es solo la punta del iceberg. Las empresas podrían pagar las consecuencias en forma de importantes sanciones, impuestas por unas estrictas normas de obligado cumplimiento. Dado que los firewalls ya no son suficientes para proteger tus datos, las empresas deben implementar múltiples capas de protección en cada extremo de la red: desde los PCs a las impresoras. De esta manera podrán construir sus defensas y gestionar el cumplimiento de los requisitos.

En el mundo tecnológico de hoy, la proliferación de dispositivos está desembocando en complejas infraestructuras multidispositivo y multiplataforma. Mientras, las empresas siguen centrándose en convertirse en organizaciones móviles y en satisfacer las demandas de su plantilla de trabajadores. Cada uno de estos dispositivos es un punto de acceso y de salida para los datos de la empresa y puede tener un coste en materia de seguridad. En la actualidad, uno de los principales desafíos a los que se enfrentan las compañías es cómo controlar y securizar los datos sin que afecte a las operaciones del negocio. Los datos se almacenan y procesan con cada vez mayor frecuencia fuera del alcance de los firewalls, por lo que asegurar los datos es más complicado para los encargados de proteger la red.

El aumento de los ciberataques ha desembocado en la implementación de normas de seguridad de los datos que afectan a empresas de todo el mundo. Directivas como la Ley de Reforma General de Protección de Datos en la UE (RGPD) no sólo tienen relevancia para organizaciones con sede en la UE. También se aplican a cualquier entidad que recopile datos de residentes en la UE.

La RGPD de la UE advierte a las empresas de que tendrán que pagar multas significativas si se descubre que no cumplen con las normas a seguir tras un ataque. Estas multas se añaden a la destrucción financiera ocasionada por la propia brecha de seguridad. Otras normas, como la Directiva de seguridad de red y sistemas de la información (Directiva NIS), han impuesto nuevos requisitos de seguridad de las redes y la información a los operadores de servicios esenciales y a los proveedores de servicios digitales (DSPs). Ahora, las empresas están obligadas a informar a las autoridades competentes de determinados incidentes de seguridad o a los equipos de respuesta frente a incidentes de seguridad informática (CSIRTs). La presión ha comenzado.

Requisitos clave de la RGPD de la UE

Las empresas deben cumplirla si recopilan datos en la UE

Si una organización recopila y utiliza datos personales en la UE, tiene que cumplirla. Esto incluye a quienes compran bienes y servicios, así como al control del comportamiento de los clientes para utilizar esos datos. Por ejemplo, si su empresa rastrea la actividad online para mejorar la segmentación de los clientes. Incluso si su empresa se encuentra fuera de la UE, cada dispositivo que accede a los datos de los clientes debe estar securizado.

Las empresas deben ser meticulosas en el mantenimiento de la documentación

Los requisitos relacionados con el mantenimiento de la documentación, con la puesta en marcha de valoraciones del impacto y con la comunicación de brechas de seguridad llevan mucho tiempo. Cada vez que se añade un dispositivo nuevo a la red, debe securizarse de acuerdo con sus políticas y controlado por la herramienta SIEM (Sistema de gestión de eventos e información de seguridad) para rastrear problemas, poner en marcha sistemas de refuerzo y permitir la comunicación del cumplimiento de normas.

Las empresas deben comunicar una brecha de seguridad en un plazo máximo de 72 horas

Las empresas deben enviar sus notificaciones a la Asociación de Protección de Datos, sin retrasos injustificados, antes de 72 horas. Si no lo hacen, deben enviar una justificación razonada. Este requisito está diseñado para proteger el derecho de los individuos a saber lo que está pasando con sus datos personales y a comprender si las empresas que guardan sus datos tienen en marcha los procedimientos, herramientas y productos adecuados para controlarlos, así como para identificar riesgos y detener ataques.

Las empresas tienen que pagar fuertes penalizaciones si no cumplen

Las normas de la RGPD de la UE cuentan con un sistema escalonado de penalizaciones. Será la gravedad de la brecha lo que dicte la cuantía de la multa. La máxima penalización a pagar podría llegar al 4% de su volumen de ventas anual, hasta llegar a los 20 millones de euros [1].

3 trucos para asegurarse de que tus PCs e impresoras cumplen las normas

En lo que respecta a la protección de PCs e impresoras, hay algunos pasos prácticos que dar para asegurarse de que tus dispositivos de los extremos de la red cumplen con estas normas.

1. Prepararse para auditorías

Para prepararse para cualquier auditoría, los equipos de TI deberían asegurarse de que pueden monitorizar la infraestructura de TI al completo. Incluso los dispositivos de los extremos de la red, como los PCs y las impresoras. Además, deberían programar valoraciones periódicas para asegurarse de que todos los dispositivos de los extremos de la red, incluso la flota de impresoras al completo, cumple con la normativa.

2. Llevar a cabo una auditoría completa

Los equipos de TI deben identificar cada dispositivo que tiene acceso a los datos de tu empresa y clientes, y valorar el grado de seguridad que tiene. También es recomendable que empleen una herramienta de gestión de seguridad de flotas. Con ellas pueden identificar al momento dispositivos nuevos, y aplicar automáticamente ajustes de políticas de seguridad corporativa.

3. Adoptar por defecto la seguridad

Los equipos de TI deben poner en marcha las normas adecuadas, de manera que el cumplimiento de los requisitos no sea una tarea a posteriori, sino un sistema intrínseco a la introducción de nuevos dispositivos y servicios en la red. Asegúrate de que puedes controlar cada dispositivo, incluso las impresoras, y envía la información sobre incidentes o anomalías a tus herramientas de control y asesoría de vulnerabilidades de la red. Por ejemplo, a una herramienta SIEM.

¿Quieres más información sobre cómo implementar capas de seguridad que incluyan cada extremo final de su red? Empieza aquí.

[1] https://eugdprcompliant.com/es/multas-por-incumplimiento/

 

Tektonika Staff 10/25/2018 Tiempo de Lectura 6 Min

Vigile su flota de impresoras con estos tres controles de seguridad

El crecimiento de Internet ha ofrecido a las empresas oportunidades sin precedentes en relación a la comunicación y al comercio. Pero también a los...

Tektonika Staff 09/27/2018 Tiempo de Lectura 4 Min

¿Envías información a tus impresoras de forma segura?

Defender los datos de los hackers, de amenazas internas y de ataques maliciosos de terceros nunca ha sido sencillo. El Internet de las Cosas (IoT, por...

Tektonika Staff 08/24/2018 Tiempo de Lectura 7 Min

La ciberseguridad aprovecha el aprendizaje de las máquinas para su…

Los investigadores están realizando grandes avances para mejorar la inteligencia artificial, con el objetivo de ofrecer la supervisión proactiva y...

Dejar un comentario

Tu correo electrónico no se hará público. Los campos obligatorios están marcados con un asterisco. Required fields are marked *