Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Entender los requisitos de cumplimiento de la UE: GDPR, Cyber Essentials

Illumio Editorial
,
October 15, 2020
23 min. lectura

En primera parte de esta serie de blogs, analice el panorama del cumplimiento de normas y cómo cada una de las diferentes industrias tiene sus propios términos de gobierno y orientación sobre ciberseguridad. Esto fue seguido por un post sobre regulación y controles de seguridad en el sector de Sistemas Críticos y Tecnología Operacional, área en la que tuvo experiencia directa y que me fascina a medida que ahí se desarrolla la ciberseguridad. A partir de ahí, me mudé al Reperse de servicios financieros presente en la UE.

Aquí, pasaremos a un mandato ligeramente tangencial, GDPR, y también veríamos Cyber Essentials/Cyber Essentials/Cyber Essentials Plus como un conjunto de pautas del NCSC (Centro Nacional de Seguridad Cibernética del Reino Unido) sobre ciberseguridad.

Reglamento General de Protección de Datos - GDPR

Muchos de ustedes están familiarizados con el Reglamento General de Protección de Datos (GDPR), ya sea que afecte directamente su vida y trabajo en la UE, o si se aplica a los datos con los que trabaja y los sistemas con los que interactuamos.

Sin entrar en muy detalles, GDPR se centra principalmente en la protección de datos, el manejo de datos y las problemas de privacidad para los ciudadanos de la UE Información de identificación personal (PII). Los pilares básicos le dan a las personas el control sobre sus datos y exigen que los controladores y procesadores de datos se manden “medidas técnicas y organizativas apropiadas” para aplicar los principios de protección de datos. Lanzándose en la primavera de 2018, y aplicable en todas las organizaciones que manejan los datos de los ciudadanos de la UE, el GDPR es amplio, pero tiene como objetivo unificar el control de la PII como una regulación (control) en lugar de una directiva (orientación).

Por lo tanto, GDPR significa algunas cosas para los profesionales de ciberseguridad. En este caso, las organizaciones necesitan:

  • Administrar el riesgo de seguridad
  • Proteja los datos personales contra ataques de ciberataques
  • Conectar eventos de seguridad
  • Mminimizar el impacto

Estos pueden abordarse en un número de maneras, incluida la aplicación de Ciberesenciales directrices en el Reino Unido, que discutiremos más adelante en esta publicación.

Por ahora, me gustaría Profundizar en cómo interpretamos y aplicamos los requisitos, en específico a través de la lente de la microsegmentación, la prevención de la brecha, y la reducción del movimiento lateral.

Principios básicos del RGPD y cómo ayuda a Illumio

Hay una serie de pautas que puede utilizar para ayudar a cumplir con los estándares GDPR desde una perspectiva de ciberseguridad, que se descalifique en la guía de resultados de seguridad del GDPR de NCSC. De estos, una serie de requisitos específicos entran en gran medida bajo el ámbito de la microsegmentación:

A) Administrar el riesgo de seguridad

Tiene estructuras organizativas, políticas y procesos aptos para comprender, evaluar y administrar de manera simultánea los riesgos de seguridad para los datos personales

Connte:

A. 3 Administración de Activos

Este requisito generalmente se refiere a los datos en sí bajo GDPR, pero los sistemas de manejo de datos/alojamiento de datos en sí pueden ser visualizado y mapeado, y luego segmentado de manera adecuada para evitar accesos a los inadeptos.

A. 4 Procesadores de datos y cadena de suministro

Usted incluye y administra los riesgos de seguridad para sus operaciones de procesamiento que pueden surgir como resultado de las dependencias de terceros, como procesadores de datos. Esto incluye asegurarse de que emplee las medidas de seguridad necesarias.

Mapa de dependencia de aplicaciones, mediante Iluminación, es una función principal de Illumio Core y permite una mejor comprensión de la capacidad de su organización con sistemas externos.

B) Proteger los datos personales contra ataques de ciberataques

Tiene medidas de seguridad para protegerse contra ataques informáticos que cubran los datos personales que trata y los sistemas que lo hacen.

De manera similar a lo anterior, la directriz central aquí está en torno a la prevención de ataques informáticos, ergo, la prevención del movimiento lateral de manera correcta hacia los sistemas que tienen datos regidos por el GDPR. Esto es exactamente contra lo que protege la microsegmentación.

C) Conectar eventos de seguridad

Puede detectar eventos de seguridad que se relacionen con los sistemas que retienen datos personales y monitorizar el acceso autorizado de los usuarios a esos datos

C.1 Monitoreo de seguridad

Supervise bien el estado de los sistemas que traten datos personales y supervise el acceso de los usuarios a esos datos, incluida la actividad anómala del usuario.

Una vez más, el mapa de dependencia de aplicaciones entra en juego aquí. El monitoreo de los flujos de aplicaciones dentro y fuera de las aplicaciones o sistemas críticos es extremadamente poderoso cuando se monitoriza el riesgo o un cambio en el comportamiento. Junto con la capacidad de integrar con sistemas como SIEM y SOAs, permite una reacción rápida a los ataques, como la cuarentena de un dispositivo que está comprometido.

Para las organizaciones que adoptan una postura de confianza cero, las políticas de Illumio ponen a una organización en el frente antes de que un ataque incluso tenga la oportunidad de establecerse, y protege inherentemente a los sistemas críticos del movimiento lateral para alcanzar la cadena.

D) minimizar el impacto

Usted puede:

minimizar el impacto de una violación de datos personales

Restauración de sus sistemas y servicios

Esto se ocupa de la radio de explosión, en específico de la comprensión y minimización del mismo. Nuevamente, hacer referencia a los sistemas aquí en oposición a los datos en sí.

Para ayudar a cumplir con estos requisitos, hay una serie de pautas específicas a las que se puede hacer referencia, e incluso toda la organización se dedica a asesorar y proporcionar orientación sobre el cumplimiento de los estándares de cumplimiento de GDPR. Una de esas pautas a las que se puede hacer referencia como punto de partida en el Reino Unido es Cyber Essentials, y su versión auditada externamente, Cyber Essentials Plus:

Cyber Essentials, Cyber Essentials Plus

CyberEssentials

Cyber Essentials es un conjunto de pautas simples de ciberseguridad publicadas por NCSC, que cualquier organización puede usar para ayudar a proteger su organización y puede ayudar cuando se trata de cumplir con el GDPR, o de otra manera. Cyber Essentials en sí es una opción de autoevaluación, con Cyber Essentials Plus disponible como una versión validada externamente. Los requisitos son los mismos para ambos, solo cambia el método de atestación.

El alcance puede incluir toda la infraestructura de TI o un subconjunto. Las aplicaciones Web están dentro del ámbito de manera de manera por lo que se ha de tener en cuenta.

A partir de Versión 2.1 — Agosto 2020, los requerimientos específicos giran alrededor de algunas áreas clave:

  • Cortafuegos
  • Configuración segura
  • Control de acceso del usuario
  • Protección contra malware
  • Administración de parches

De estas, hay tres secciones principales con las que Illumio puede ayudar: cortafuegos, configuración segura y protección contra malware. Algunos aspectos del control de acceso del usuario también se pueden abordar con el Illumio Segmentación Adaptativa de Usuarios la manera de ser.

Cortafuegos

Todos los dispositivos tienen servicios de red, que generan alguna forma de comunicación con otros dispositivos y servicios. Al limitar el acceso a estos servicios, reduzca su exposición a los ataques. Esto se puede lograr usando firewalls y dispositivos de red equivalentes.

Un firewall de límites es un dispositivo de red que puede frenar el tráfico de red entrante y saliente a los servicios de su red de computadoras y dispositivos móviles. Puede ayudar a proteger contra ataques cibernéticos Cyber Essentials: Requisitos para la infraestructura de TI mediante la implementación de restricciones, como 'reglas de cortafuegos ', las cuales pueden permitir o bloquear el tráfico según su origen, destino y tipo de protocolo de comunicación.

Alternativamente, se puede configurar un firewall basado en host en un dispositivo. Esto funciona de la misma manera que un firewall de límites, pero solo protege el único dispositivo en el que está configuración. Este enfoque puede proporcionar reglas más personalizadas y significa que las reglas se utilizan en el dispositivo dondequiera que se use. Sin embargo, esto aumenta el overhead administrativo de la administración de reglas de firewall.

Illumino utiliza principalmente el firewall del sistema operativo principal basado en host y el programa de tal manera que pueda lograr fácilmente una postura de seguridad dinámica y de confianza cero. Hacer uso de firewalls individuales existentes permite una política muy granular, cercana al dispositivo y a los datos que necesitan ser protegidos.

Configuración segura

Las computadoras y los dispositivos de red no siempre son seguros en sus prefunciones. Las listas estándar para usar a menudo tienen uno o más puntos débiles, como:

  • una cuenta administrativa con una contraseña por configuración, conocida por el usuario
  • cuentas de usuario prehabilitadas pero innecesarias (a veces con prerrogativas de acceso especiales)
  • aplicaciones o servicios prefabricados pero no es de pago

Las instalaciones prepagadas de computadoras y dispositivos de red pueden proporcionar a los ciberatacantes una variedad de oportunidades para el acceso no autorizado a la información confidencial de una organización, a menudo con facilidad.

Nuevamente, aquí Zero Trust como modelo de políticas aumenta masivamente la seguridad de una carga de trabajo, y minimiza el acceso a “aplicaciones o servicios inservicios" mencionados.

Protección contra malware

La ejecución de software que se descarga de Internet puede exponer un dispositivo a una infección de malware.

El malware, como virus informáticos, gusanos y spyware, es un software que ha sido escrito y distribuido de manera intencionado para realizar acciones maliciosas. Las posibles fuentes de infección por malware son archivos adjuntas maliciosas de correo electrónico, descargas (incluye las tiendas de aplicaciones) e instalación directa de software no autorizado.

Con esta orientación, ambos Núcleo de Illumio y Illumio Edge ayudan a prevenir la parte de movimiento lateral de una infección de malware, minimizando el radio de explosión y evitando el consiguiente compromiso de las aplicaciones críticas del negocio.

En conclusión

En ambos casos de control y orientación, la interpretación suele ser crítica. El GDPR es conocido por ser difícil de interpretar e implementar, con una dirección relativamente abierta en cuanto a las formas específicas en las que cumplir los objetivos requeridos. Las multas relacionadas con GDPR toman en cuenta la intención y el esfuerzo requerido para cumplir con los requisitos, además de los detalles técnicos de los controles implementados.

Del mismo modo, Cyber Essentials proporciona un esquema básico sobre cómo aumentar la seguridad, pero está abierto a múltiples formas de llegar allí. La visibilidad granular que proporciona Application Dependency Mapping y la postura de seguridad de negación predeterminada y confianza cero que se hace posible con Illumio ayuda a las organizaciones a recorrer un largo camino para cumplir con estos dos conjuntos de pautas de seguridad.

Para obtener más información sobre el enfoque Zero Trust de Illumio, visite https://www.illumio.com/solutions/zero-trust.

Temas relacionados

Cumplimiento de normas
Microsegmentación

Artículos relacionados

No lo vuelvas: 4 pasos para crear un plan de migración a la nube
Ciberresiliencia

No lo vuelvas: 4 pasos para crear un plan de migración a la nube

Estos pasos le ayudarán a construir un plan de migración a la nube ganador, con el fin de alcanzar la madurez de la migración a la nube.

Leer más
Seguridad de confianza cero, mentalidad de “asumir una brecha” y el proyecto de ley de reforma de datos del Reino Unido
Ciberresiliencia

Seguridad de confianza cero, mentalidad de “asumir una brecha” y el proyecto de ley de reforma de datos del Reino Unido

Si bien el 90 por ciento de las organizaciones planea priorizar una estrategia de seguridad Zero Trust en 2022, sorprendentemente pocas creen que experimentarán una brecha.

Leer más
¿Deberíamos preocuparnos de que la ciberseguridad se vuelva demasiado dependiente de la IA?
Ciberresiliencia

¿Deberíamos preocuparnos de que la ciberseguridad se vuelva demasiado dependiente de la IA?

Obtenga información sobre por qué la IA es una bendición para la ciberseguridad a pesar de sus debilidades y cómo combinar el poder de la IA con el intelecto humano puede aliviar los temores sobre la excesiva dependencia de la IA.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información