Mostrando entradas con la etiqueta GDPR. Mostrar todas las entradas
Mostrando entradas con la etiqueta GDPR. Mostrar todas las entradas

15 octubre 2018

GDPR en el contexto de Oracle E-Business Suite

El Reglamento general de protección de datos (GDPR) de la UE entró en vigencia el 25 de mayo de 2018. Este nuevo reglamento afecta a todas las organizaciones, agencias gubernamentales y empresas de todo el mundo que recopilan o utilizan datos personales vinculados a residentes de la UE.

Un primer paso importante es determinar si la aplicación Oracle E-Business Suite está dentro del alcance de GDPR. Cualquier aplicación o base de datos que contenga información personal sobre ciudadanos o residentes de la UE está dentro del alcance de GDPR, incluidos, entre otros, clientes, empleados, trabajos de contingencia y proveedores. Las siguientes consultas SQL ayudarán a determinar si el entorno de Oracle E-Business Suite contiene datos de GDPR en el ámbito. Estas consultas no son definitivas, pero proporcionan, al menos, un punto de partida en el proceso de alcance del GDRP.

Recursos Humanos: Solicitantes, trabajadores eventuales, empleados


TCA: Clientes, Organizaciones, Personas, Grupos



Proveedores

 

05 diciembre 2017

¿Hay vida más allá de Oracle? Evaluaciones de impacto de protección de datos bajo la GDPR

Las evaluaciones de impacto de protección de datos (DPIA) ayudan a las organizaciones a identificar, evaluar y mitigar o minimizar los riesgos de privacidad con las actividades de procesamiento de datos. Son particularmente relevantes cuando se introduce un nuevo proceso, sistema o tecnología de procesamiento de datos.

Los DPIA también respaldan el principio de rendición de cuentas, ya que ayudan a las organizaciones a cumplir con los requisitos del Reglamento General de Protección de Datos (GDPR) y demuestran que se han tomado las medidas adecuadas para garantizar el cumplimiento.

El incumplimiento de una DPIA adecuada, en su caso, constituye un incumplimiento del GDPR y podría generar multas de hasta el 2% de la facturación global anual de una organización o 10 millones €, el que sea mayor.

¿Cuándo debería realizarse un DPIA?


La GDPR exige que se lleve a cabo una DPIA donde el procesamiento de datos probablemente genere un alto riesgo para los derechos y las libertades de las personas físicas. Las tres condiciones principales identificadas en el GDPR son:
  • Una evaluación sistemática y exhaustiva de los aspectos personales relacionados con las personas físicas, que se basa en el procesamiento automatizado, incluida la elaboración de perfiles, y en la que se basan las decisiones que producen efectos jurídicos sobre la persona física o afectan de forma similar a la persona física.
  • Procesamiento a gran escala de categorías especiales de datos o de datos personales relacionados con condenas y delitos penales.
  • Monitoreo sistemático de un área de acceso público a gran escala.

Ejemplos de procesamiento de datos personales donde es probable que se requiera un DPIA

  • Compañía proveedora de servicio de telefonía e internet:
    • Retención de datos de llamadas, mensajes y accesos a internet
  • Grandes corporaciones: 
    • Una empresa que supervisa sistemáticamente las actividades de sus empleados, incluidas sus estaciones de trabajo y su actividad en Internet.
  • Bancos e intermediarios financieros: 
    • Una institución que crea una calificación crediticia o base de datos de fraude a nivel nacional.
    • Listas negras, tipo World-check, de verificación KYC ("Know Your Customer").
    • Listas AML (anti-lavado de dinero), como Accuity Global WatchList.
  • Empresas farmacéuticas e instituciones médicas: 
    • El archivo de datos sensibles personales pseudonimizados de proyectos de investigación o ensayos clínicos.
    • Un hospital que procesa los datos genéticos y de salud de sus pacientes en su sistema de información.
  • Compañías de marketing:
    • La recopilación de datos de redes sociales públicas para generar perfiles.

¿Cuándo debería realizarse un DPIA?

Se debe realizar un DPIA lo antes posible dentro de cualquier ciclo de vida del  proyecto de adaptación a GDPR, de modo que sus hallazgos y recomendaciones puedan incorporarse en el diseño de la operación de procesamiento.

Conocido como privacidad por diseño, la incorporación de características de privacidad de datos en el diseño de proyectos puede tener los siguientes beneficios:
  • Abordar los problemas con anticipación a menudo será más simple y menos costoso.
  • Los problemas potenciales se identifican en una etapa temprana.
  • Mayor conciencia de privacidad y protección de datos en toda la organización.
  • Las organizaciones tendrán menos probabilidades de violar el GDPR.
  • Es menos probable que las acciones sean intrusivas para la privacidad y tengan un impacto negativo en las personas.

Elementos clave de un DPIA exitoso

La GDPR no especifica qué proceso debe seguirse, para realizar un DPIA, sino que permite a las organizaciones introducir un marco que complementa sus prácticas de trabajo existentes. 
Un DPIA generalmente constará de los siguientes pasos clave:
  • Identifique la necesidad de un DPIA.
  • Describe el flujo de información.
  • Identificar la protección de datos y los riesgos relacionados.
  • Identificar soluciones de protección de datos para reducir o eliminar los riesgos.
  • Firme los resultados de DPIA.
  • Integra soluciones de protección de datos en el proyecto.

¿Quién debería participar en la realización de un DPIA?

La organización (controlador del dato) es la responsable de garantizar que se lleve a cabo la puesta en marcha de un DPIA. Esta puesta en marcha debe ser impulsada por personas con la experiencia y el conocimiento adecuados del proyecto en cuestión, normalmente el equipo del proyecto. Si su organización no posee suficiente experiencia y experiencia internamente, puede considerar contratar especialistas externos para que asesoren con su experiencia/conocimiento o realicen el mismo DPIA.

Bajo la GDPR es necesario que cualquier organización con un oficial de protección de datos designado (DPO) busque el consejo de la DPO. Este consejo y las decisiones tomadas deben documentarse como parte del proceso DPIA.

Los elementos clave del mapeo de datos en GDPR

Para mapear efectivamente sus datos, necesita comprender el flujo de información, describirlo e identificar sus elementos clave.

Comprender el flujo de información
Un flujo de información es una transferencia de información de una ubicación a otra, por ejemplo: 
  • Desde dentro hacia fuera de la Unión Europea.
  • Desde proveedores y subproveedores hasta clientes.
Describe el flujo de información
  • Recorra el ciclo de vida de la información para identificar usos de datos imprevistos o involuntarios. Esto también ayuda a minimizar qué datos se recopilan.
  • Asegúrese de consultar a las personas que utilizarán la información sobre las implicaciones prácticas.
  • Considere los posibles usos futuros de la información recopilada, incluso si no es inmediatamente necesaria.
Identificar sus elementos clave
Elementos de datos
  • ¿Qué tipo de información se está procesando (nombre, correo electrónico, dirección, etc.)  
  • En qué categoría pertenece (datos de salud, antecedentes penales, datos de ubicación, etc.)?
Formatos
  • ¿En qué formato almacena los datos (copia impresa, digital, base de datos, trae su propio dispositivo, teléfonos móviles, etc.)?
Método de transferencia
  • ¿Cómo se recopilan datos (publicaciones, teléfonos, redes sociales) y cómo se comparte internamente (dentro de su organización) y externamente (con terceros)?
Ubicación
  • ¿Qué ubicaciones están involucradas en el flujo de datos (oficinas, la nube, terceros, etc.)?
Responsabilidad
  • ¿Quién es responsable de los datos personales? A menudo, esto cambia a medida que los datos se mueven en toda la organización.
Acceso
  • ¿Quién tiene acceso a los datos en cuestión?

Los desafíos clave del mapeo de datos

  • Identificando datos personales: Los datos personales pueden residir en una serie de ubicaciones y almacenarse en varios formatos, como papel, electrónico y audio. Su primer desafío es decidir qué información necesita registrar y en qué formato.
  • Identificar salvaguardias técnicas y organizativas apropiadas: El segundo desafío probablemente sea identificar la tecnología apropiada, y la política y los procedimientos para su uso, para proteger la información y, a la vez, determinar quién controla el acceso a la misma.
  • Comprender las obligaciones legales y regulatorias: Su desafío final es determinar cuáles son las obligaciones legales y reglamentarias de su organización. Además del GDPR, esto puede incluir otros estándares de cumplimiento, como el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) e ISO 27001.
Una vez que haya completado estos tres desafíos, estará en condiciones de avanzar, ganándose la confianza de sus partes interesadas clave.

Otros pasos a tener en cuenta

Implantar, si es necesario, un sistema de gestión de información personal (PIMS)
BS 10012: 2017 es el estándar británico que especifica los requisitos para un sistema de gestión de información personal (PIMS) y está alineado con los requisitos del GDPR.

Proporciona una estructura bien definida para gestionar la protección de datos, y está diseñada para seguir el ciclo planificar-hacer-verificar-actuar (PDCA) para garantizar la mejora continua.

Haber implantado un sistema de gestión de seguridad de la información (ISMS)
La certificación acreditada según ISO 27001 demuestra que su empresa sigue las mejores prácticas de seguridad de la información y ofrece una evaluación independiente y experta de si sus datos están adecuadamente protegidos. Reconocido internacionalmente, es independiente del sector, no favorece ninguna tecnología o solución, y puede ser utilizado por organizaciones de cualquier tamaño.

El enfoque basado en riesgos ISO 27001 para implementar controles de seguridad de la información es un excelente enfoque para cumplir con el requisito de GDPR de que las organizaciones implementen controles técnicos y organizacionales apropiados para garantizar la "confidencialidad, integridad y disponibilidad" de los sistemas y servicios de procesamiento.

04 diciembre 2017

¿Hay vida más allá de Oracle? Lista de verificación de compatibilidad GDPR


La GDPR, o Reglamento General de Privacidad de Datos (UE) 2016/679, entrará en vigor en mayo de 2018. Tiene el potencial de alterar significativamente la forma en que las empresas gestionan y almacenan datos. Con más de 200 páginas, la regulación consolida y reemplaza las numerosas leyes locales de protección de datos, como la Ley de Protección de Datos del Reino Unido de 1998, la Privacywet belganuestra LOPD o la Bundesdatenschutzgesetz (BDSG) alemana. Las principales diferencias radican en la severidad de las posibles multas y nuevos requisitos tales como notificación de incumplimiento, derecho de acceso, derecho a ser olvidado, etc.

El objetivo principal de GDPR es fortalecer la seguridad y la protección de la privacidad de las personas. Mientras que GDPR comparte muchos principios de sus predecesores, que consta de 11 capítulos, 99 artículos y 187 considerandos, no es de ninguna manera una adaptación menor.

¿Quién esta sujeto a la GPRD?

El GDPR impone obligaciones legales a todos los controladores y procesadores de datos. se llama controlador de datos como la entidad que determina los propósitos y los medios de procesamiento de los datos personales, el procesador de datos se define como la entidad que procesa los datos personales en nombre del controlador. La GDPR se aplica al procesamiento llevado a cabo por organizaciones dentro del La UE y las organizaciones fuera de la UE que procesan o controlan los datos relacionados con residentes o nacionales de la UE.

Se centra principalmente en datos individuales, que se define en dos categorías de "Datos personales" y "datos personales confidenciales". Los datos personales incluyen datos tales como direcciones de correo electrónico y físicas, así como cualquier información que pueda usarse como un identificador en línea, una dirección IP. Los datos personales confidenciales arrojan una mayor neto y cubre elementos de datos tales como datos de salud, biométricos o genéticos.

Si todavía no cuenta con las herramientas y controles de seguridad necesarios, su la organización tendrá que implementar varios controles de seguridad nuevos, políticas, y procedimientos para demostrar el cumplimiento de GDPR. Por seguridad y organizaciones conscientes de la privacidad, la nueva regulación no debería provocar demasiado mucha sobrecarga técnica Para aquellos que aún no han logrado el cumplimiento de las leyes de protección de datos que GDPR reemplaza, el impacto será mucho mayor.

La GDPR requiere que las organizaciones mantengan un plan para detectar una violación de datos, evaluar regularmente la efectividad de las prácticas de seguridad y documentar evidencia de cumplimiento. En lugar de una dirección técnica específica, la regulación pone la responsabilidad en las organizaciones para mantener las mejores prácticas para la seguridad de los datos.


Punto1: Implementar una herramienta de Información de Seguridad y Gestión de Eventos con gestión de registros capacidades que cumplen con los requisitos de cumplimiento.

El Artículo 30 del GDPR establece que cada controlador y, cuando corresponda, el representante del controlador deberá mantener un registro de actividades de procesamiento bajo su responsabilidad.

Un SIEM (Herramienta de Información de Seguridad y Gestión de Eventos) suele ser una herramienta de seguridad fundamental para muchas organizaciones. Al implementar un SIEM, las compañías pueden monitorear a todos los usuarios y actividad del sistema para identificar el comportamiento sospechoso o malicioso. Esto se logra centralizando registros de aplicaciones, sistemas y establecer una red y correlacionar los eventos para alertar dónde se detecta actividad indeseable.

A continuación, puede investigar la causa de la alarma y crear una vista de lo que ocurrió al determinar si un método de ataque en particular se utilizó, mirando los eventos relacionados, la dirección IP de origen y destino, y otros detalles. También debe tener en cuenta los datos almacenados o procesados ​​en entornos de nube. Si los datos personales están en la nube, están dentro del alcance de GDPR, y por lo tanto es beneficioso elegir un SIEM que pueda mantener un registro de actividad en su nube pública y privada infraestructura, así como en las instalaciones.

Preguntas a responder:
  • ¿Tiene una forma de centralizar, analizar y almacenar datos de registro de todos sus entornos?
  • ¿Está alertado en tiempo real sobre cualquier actividad sospechosa o anómala?
  • ¿Tiene una forma de almacenar de forma segura los datos de registro sin formato y para garantizar su integridad?

Solución con Oracle

La interfaz de Audit Vault Server proporciona resúmenes gráficos de alertas. Estos incluyen un resumen de la actividad de alerta y las principales fuentes por cantidad de alertas. Puedes mediante un clic en los gráficos de resumen, acceder a informes más detallados. Para informar, las alertas se pueden agrupar por 
  • Fuente. 
  • Categoría de evento.
  • Gravedad del evento. 
También puede especificar notificaciones para las alertas generadas, por ejemplo, enviar automáticamente un correo electrónico a un usuario, como un oficial de seguridad o una lista de distribución. Las alertas también se pueden reenviar a syslog para facilitar la integración con un SIEM.



Un ejemplo de solución SIEM de terceros es HP ArcSight Security Information Event Management, que es un sistema centralizado para registrar, analizar y administrar mensajes de diferentes fuentes. Audit Vault Server reenvía mensajes al sistema ArcSight SIEM desde los componentes Audit Vault Server y Database Firewall.

No es necesario instalar software adicional para admitir esta integración. Se configura a través de la consola de Audit Vault Server y una vez habilitada la configuración se aplica inmediatamente. No es necesario reiniciar el servidor de Audit Vault.

Integración Oracle Audit Vault - Remedy y ArcSight

Integrar Oracle Audit Vault y Remedy Ticket System


Oracle Audit Vault 12c incluye una interfaz estándar para los sistemas de ticketing de BMC Remedy. Puede configurar Oracle Audit Vault para conectarse a BMC Remedy Action Request (AR) System Server 7.x. Esta conexión permite a Oracle Audit Vault generar tickets de problemas en respuesta a las alertas de Audit Vault.

Solo se puede configurar un servidor Remedy para cada instalación de Oracle Audit Vault. Después de que se haya configurado la interfaz, un auditor de Audit Vault necesita crear plantillas para mapear y manejar los detalles de la alerta.

Integración HP ArcSight


El sistema de administración de eventos de información de ArcSight Security de HP (SIEM) es un sistema centralizado para registrar, analizar y administrar mensajes de diferentes fuentes. Oracle Audit Vault puede reenviar mensajes a ArcSight SIEM.

No se necesita ningún software adicional para integrarse con ArcSight. La integración se realiza a través de configuraciones en la consola de Audit Vault Server.

Los mensajes enviados a ArcSight SIEM Server son independientes de cualquier otro mensaje enviado desde Audit Vault (por ejemplo, feeds de Syslog).

Hay tres categorías de mensajes enviados:
  • Sistema: mensajes de syslog de los subcomponentes de Audit Vault Server
  • Info: Registro de cambios específicos de la información del componente de Firewall de base de datos de Oracle AVDF.
  • Debug: una categoría que solo debe usarse bajo la dirección de Oracle Support.
Si quieres más información mira este video.


Punto 2: crea un inventario de todos los activos críticos que almacenan o procesan datos confidenciales para permitir para controles más estrictos que se aplicarán.

El GDPR es expansivo y cubre todos los sistemas de TI, redes y dispositivos, incluidos los dispositivos móviles. Por lo tanto, es esencial que hace un inventario de todos los activos en su infraestructura y establece dónde se guardan los datos personales.

Es importante inventariar todos los activos y ubicaciones que procesan o almacenan datos personales, una tarea que parece simple en su superficie, pero a menudo es un área donde las organizaciones luchan. Esto es especialmente cierto en entornos de TI dinámicos, como la nube pública y en casos donde los empleados están usando BYOD o activos no aprobados por IT. Vale la pena señalar que su empresa podría ser expuestos a ataques y multas reglamentarias si los empleados procesan o almacenan datos personales en dispositivos no aprobados.

Sin prácticas sólidas de gobierno en su lugar, puede ser fácil perder el control de los activos. Por tanto, es importante para muestrear sus sistemas, redes y almacenes de datos para determinar si los datos personales están expuestos fuera de los flujos y entornos de datos definidos. Tenga en cuenta que este es un proceso. Los inventarios necesita actualizarse constantemente a medida que cambia su negocio y tecnología.

Preguntas a responder:
  • ¿Qué activos están conectados a mi entorno en un momento dado?
  • ¿Estos activos procesan o almacenan datos personales?
  • ¿Qué puertos y protocolos se usan al transmitir o acceder a información personal?

Solución con Oracle

Los sistemas DAM (Gestión de activos digitales) nos ayudan a controlar todo el ciclo de vida de las imágenes, documentos y ficheros multimedia. Nos ahorran inversión en TI ya que centralizan el repositorio de objetos facilitando el acceso mediante bancos, álbumes y vistas, logrando la eficiencia operativa de los usuarios en casi cualquier organización que emplee ficheros de imagen o audiovisuales como parte de sus procesos de negocio.

Oracle DIVAdirector es un sistema de administración de activos digitales que le brinda control total de los activos alojados en Oracle DIVArchive a través de una interfaz familiar, de modo que puede ubicar, acceder y administrar rápidamente los medios.


Mediante este producto podrás:
  • Visualizar mediante credenciales de inicio de sesión y etiquetar contenido para una variedad de propósitos.
  • Integrar con los servicios de edición y acabado
  • Habilitar restauración parcial basada en código de tiempo (Timestamp)


Punto 3: Emprender el escaneo de vulnerabilidades a identificar dónde existen debilidades que podrían ser explotado.

La verdad sea dicha descubrimos y lo más preocupante, los atacantes descubren nuevas vulnerabilidades en sistemas y aplicaciones surgen casi diario. Por lo tanto, es esencial que su organización se mantenga alerta. Estas vulnerabilidades pueden existir en:
  • El software (Java, PHP, Javascript y que decir de nuestro querido .NET)
  • Configuración del sistema (Base de datos, servidor de aplicaciones, servidor web)
  • En lógica de negocios. (BPM, SOA)
  • En lógica de procesos. 
Así es importante considerar todos los aspectos de las vulnerabilidades y dónde ellos pueden existir Sin embargo, simplemente encontrar una vulnerabilidad a menudo no es suficiente. Hay muchos factores que deben considerarse como tales como si los sistemas están en el alcance de GDPR y lo que el la crítica al negocio es si se han intentado intrusiones y cómo los atacantes explotan la vulnerabilidad en el salvaje.

La evaluación efectiva de la vulnerabilidad requiere el escaneo continuo y el monitoreo de los activos críticos sobre los cuales los datos personales reside o es procesado. Es igualmente importante monitorear los entornos de la nube además de los entornos locales.

Al descubrir una vulnerabilidad, nos tenemos que preguntar:
  • ¿Cuántos registros personales podrían estar expuestos?
  • ¿Se han intentado intrusiones o exploits en el activo vulnerable?
  • ¿Cómo es explotada la vulnerabilidad por los atacantes en la naturaleza?


Punto 4: Realice evaluaciones de riesgos y aplique modelos de amenazas relevantes para su negocio.


El artículo 35 del GDPR requiere que las organizaciones realicen una evaluación de impacto de la protección de datos (DPIA) o similar. Considerando que el artículo 32 de la regulación requiere que las organizaciones "implementen medidas técnicas y organizativas apropiadas para asegurar un nivel de seguridad apropiado para el riesgo ".

El uso de un marco de seguridad de la información puede ayudar proporcionando un punto de partida para que las organizaciones comprendan mejor los riesgos que enfrenta el negocio. Los marcos existentes como NIST, ISO / IEC 27001 o estándares similares pueden ayudar a las empresas en emprender y apoyar el proceso DPIA.

Si bien GDPR no especifica un marco para las evaluaciones de riesgo o el modelado de amenazas, una empresa el cumplimiento de cualquier norma bien establecida e internacionalmente reconocida demostrará el cumplimiento de los artículos 32 y 25 es mucho más probable en caso de incumplimiento.

Preguntas a responder:
  • En caso de una violación de datos, ¿puedo demostrar que se implementaron los controles de seguridad adecuados?
  • ¿Sé a qué amenazas se enfrenta mi organización y la probabilidad de que se materialicen?
  • ¿Estoy al tanto de qué sistemas y unidades de negocios son de alto riesgo?

Punto 5: Realice pruebas regularmente para asegurarse de que los controles de seguridad funcionan según lo previsto.

El artículo 32 de la GDPR cubre la seguridad del procesamiento de datos personales. Entre los ejemplos que proporciona, se solicita un proceso para regularmente probando, evaluando y evaluando la efectividad de las medidas técnicas y organizativas para asegurar seguridad del procesamiento.

Evaluar y evaluar la efectividad de los controles de seguridad no es una hazaña fácil. Por lo general, cuanto mayor es el entorno TI, cuanto más dispares sean las pilas de tecnología, y cuanto más complejo sea el entorno. Por lo tanto, más difícil es ganar garantía.

Existen tres amplias técnicas para validar la efectividad de los controles de seguridad:
  • Manual de cumplimiento. Esto implica auditorías, revisiones de aseguramiento, pruebas de penetración y actividades del Equipo Rojo (el término Equipo Rojo se usa tradicionalmente para identificar a grupos altamente calificados y organizados que actúan como rivales ficticios).
  • Productos de seguridad integrados y consolidados, de modo que es necesario administrar e informar menos productos puntuales.
  • El uso de tecnologías de aseguramiento automatizadas.

Con estos métodos, puede obtener una medida de seguridad de que sus sistemas
están asegurados según lo previsto. Sin embargo, vale la pena recordar que la seguridad no es un esfuerzo de una sola vez, sino un proceso continuo y repetible.

Preguntas a responder:
  • ¿Qué nivel de confianza tiene en sus herramientas de seguridad?
  • Si una herramienta o sistema falla, ¿se alertaría automáticamente?
  • ¿Se están utilizando todas las herramientas de seguridad como se ha definido?

Punto 6: Implemente controles de detección de amenazas para informarle de manera oportuna cuando ocurra una infracción.

La GDPR requiere que las organizaciones informen al organismo regulador dentro de las 72 horas de estar al tanto de la infracción. Para alto riesgo eventos, el controlador debe notificar a los interesados ​​sin demora indebida (Artículo 31). El tiempo de compromiso típico continúa midiéndose en minutos, mientras que el tiempo de descubrimiento permanece en semanas o meses, en tales circunstancias, es esencial tener capacidades integrales de detección de amenazas que puedan detectar problemas tan pronto como ocurren.

Las amenazas pueden materializarse internamente en la empresa (normalmente) o externamente. Pueden estar en las instalaciones (on premise) o en entornos de nube (on cloud). Por lo tanto, es importante poder recopilar y correlacionar eventos rápidamente; y complementa la información con inteligencia de amenazas confiable para estar al tanto de las amenazas emergentes.

No hay un solo lugar o herramienta que sea apto para todos los propósitos. A veces se descubre una amenaza en el punto final, el perímetro o analizando el tráfico interno. Por lo tanto, los controles deben colocarse en consecuencia en el ambiente para aumentar la probabilidad de detectar amenazas tan pronto como ocurran.

Preguntas a responder:
  • ¿Podrás identificar y responder a una violación tan pronto como ocurra?
  • ¿Conoce los tipos de ataques a los que su empresa está sometida?
  • ¿Conocen los empleados cómo informar una infracción?

Punto 7: Supervisar el comportamiento de la red y del usuario para identificar e investigar incidentes de seguridad rápidamente.

La GDPR se centra en garantizar que los datos de los ciudadanos se recopilen y utilicen de manera adecuada para los fines que se establecieron. Por lo tanto es importante enfocarse no solo en amenazas externas o malware, sino también para detectar si los usuarios están accediendo a los datos adecuadamente. 



El contexto es crítico cuando se evalúa el comportamiento del sistema y la red. Por ejemplo, una gran cantidad de tráfico de Skype en la red utilizada por su equipo interno de ventas es probablemente una parte normal de las operaciones. Sin embargo, si el servidor de la base de datos alberga su lista de clientes de repente muestra una explosión de tráfico de Skype, algo es probable que esté mal.



Hay muchos métodos que se pueden implementar para monitorear patrones de comportamiento. Un método es utilizar el análisis de NetFlow, que proporciona las tendencias de alto nivel relacionadas con qué protocolos se usan, qué hosts usan el protocolo y el ancho de banda uso. Cuando se utiliza en conjunto con un SIEM, puede generar alarmas y recibir alertas cuando su NetFlow va por encima o debajo de ciertos umbrales.


Preguntas a responder:
  • ¿Sabes cómo se ve el tráfico "normal" en tu red?
  • ¿Sería capaz de detectar si un usuario legítimo está extrayendo datos de clientes?
  • ¿Un aumento o caída en el tráfico elevará las alarmas?

Punto 8: Tener un plan de respuesta a incidentes documentado y practicado.

Para cumplir con las regulaciones de GDPR, las organizaciones deben tener un plan para detectar y responder a una potencial violación de datos para minimizar su impacto en los ciudadanos de la UE. En el caso de un ataque o intrusión, un proceso simplificado de respuesta a incidentes puede ayudarlo a responder de manera rápida y eficaz para limitar el alcance de la exposición.



Si tiene procesos y controles unificados de detección de amenazas para alertarlo sobre un incidente, su plan de respuesta a incidentes debe poder determinar de forma rápida y precisa el alcance del impacto. Debe investigar todos los eventos relacionados en el

contexto de otra actividad en su entorno de TI para establecer una línea de tiempo, y la fuente de ataque debe ser investigada para contener el incidente.



Una vez que haya contenido el incidente, debe evaluar si se produjo una posible infracción de los datos personales y decidir si se requieren informes según GDPR. Luego, debe priorizar y documentar todas las tácticas de respuesta y reparación. Asegúrese de verificar que las actividades de respuesta a incidentes hayan solucionado correctamente el problema. Tendrá que informar al regulador de todos los pasos dados y, cuando sea necesario, informar a los ciudadanos de la UE afectados.


Preguntas a responder:
  • ¿Están todas las partes relevantes informadas y conscientes de qué hacer en caso de un incidente?
  • ¿Se practica el plan de respuesta a incidentes para garantizar que funcione en escenarios del mundo real?
  • ¿La documentación está completa y actualizada?

Punto 9: Tener un plan de comunicación para notificar a las partes relevantes.

En caso de incumplimiento, su organización debe informar al organismo regulador dentro de las 72 horas de haber tenido conocimiento de la infracción. Para eventos de alto riesgo, el responsable del tratamiento debe notificar a los interesados sin demora (Artículo 31).



La notificación a la autoridad que supervisa la GDPR, en cada país, es requerida por lo menos para:

  • Descripción la naturaleza de la violación.
  • Proporcionar el nombre y los datos de contacto del responsable de protección de datos de la organización, normalmente el CSO.
  • Describir las posibles consecuencias de la violación.
  • Describir las medidas tomadas o propuestas a tomar por el controlador de datos para abordar la violación y mitigar sus efectos adversos.
Preguntas a responder:
  • ¿Puedo identificar si los sistemas en el alcance de GDPR se ven afectados en una violación?
  • ¿Tengo los detalles de contacto del organismo regulador que debo notificar?
  • Si es necesario, ¿tengo un mecanismo confiable para contactar a los clientes afectados?

Punto 10:  ¡Enhorabuena! Estas preparado para el desafío de la GDPR.





22 octubre 2017

Oracle y Principales Regulaciones de datos en España (Parte 2)

En nuestra primera parte hablamos de las regulaciones ENS y LOPD y como abordarlas usando los productos de Oracle. Veamos ahora otras regulaciones y como Oracle nos puede ayudar.


Esquema Nacional de Interoperabilidad (España)

Considerando que las recientes leyes 39/2015 (Procedimiento Administrativo Común de las Administraciones Públicas), del 2 de octubre pasado y 40/2015 (Régimen Jurídico del sector Público) consagran definitivamente el uso de los medios electrónicos en las relaciones entre los ciudadanos y sus Administraciones Públicas, y de estas entre sí, varias entidades públicas vienen exigiendo que las soluciones y servicios prestados por terceros sean evidenciadas a través de una auditoría independiente.


General Data Protection Regulation (Europa)


Con toda la actividad en torno al nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea, algunas organizaciones se esfuerzan por comprender el impacto que tendrá, incluidas, entre otras, las siguientes:


  • Multas potenciales hasta el 4% de la facturación anual de ingresos y costos legales y recursos.
  • Revisión y modificación de procesos, aplicaciones y sistemas de la organización.
  • Nuevos y más estrictos requisitos de privacidad y seguridad que deben abordarse.

Abordar el cumplimiento de la GDPR requiere una estrategia coordinada que involucre a diferentes entidades de la organización, incluidas las legales, los recursos humanos, el marketing, la seguridad, la informática y otros. El tema puede involucrar información recopilada de varias entidades (clientes y empleados), así como también comunicaciones coordinadas y tecnología utilizada.



Por lo tanto, las organizaciones deben tener una estrategia y un plan de acción claros para abordar los requisitos del GDPR con miras a la fecha de vencimiento del 25 de mayo de 2018.

Aprovechando nuestra experiencia acumulada a lo largo de los años y nuestras capacidades tecnológicas, Oracle se compromete a ayudar a los clientes a implementar una estrategia diseñada para abordar el cumplimiento de la seguridad GDPR. Este artículo explica cómo se pueden utilizar las soluciones de Oracle Security para ayudar a implementar un marco de seguridad que se dirija a GDPR.

Definir una estrategia de seguridad para enfrentar amenazas, reducir el riesgo y mantener el cumplimiento continuo

Es importante tener una estrategia global que se adapte fácilmente a este panorama regulatorio en constante cambio.

El hecho de que existan más y más regulaciones de seguridad se puede explicar, en parte, por el aumento en las brechas de datos y los incidentes de seguridad cibernética. Ya sea que impliquen espionaje, crimen organizado o delitos relacionados con información privilegiada, los cibercriminales están obteniendo beneficios ilícitos de los mal diseñados sistemas de tecnología de la información. Esto finalmente pone en peligro el libre flujo de información, que es una de las claves para una economía y una sociedad prósperas.

GDPR promueve el uso de mejores prácticas y conceptos de seguridad bien establecidos. GDPR requiere "controladores" (como un cliente contratando servicios) y "procesadores" (como proveedores de servicios en la nube) para adoptar medidas de seguridad adecuadas diseñadas para garantizar un nivel de seguridad apropiado al nivel de riesgo que pueda afectar los derechos y libertades de los individuos cuyos datos está siendo recopilados y utilizados por el controlador ("sujetos de datos"). La ley entonces insiste en el análisis de riesgos y la implementación de medidas de seguridad (también conocidas como controles de seguridad) para abordar esos riesgos.

En general, GDPR aborda los principios clave:
  • Seguridad
  • Confidencialidad
  • Integridad
  • Disponibilidad de sistemas y datos. 

Oracle tiene una larga historia y un historial comprobado de seguridad de datos y sistemas. La seguridad de Oracle incluye un conjunto completo de soluciones híbridas en la nube, desde el chip hasta las aplicaciones, que ayudan a prevenir, detectar, responder y predecir amenazas de seguridad; también puede ayudar a abordar regulaciones como el GDPR.

Los beneficios de implementar estratégicamente la tecnología correcta, con controles de seguridad efectivos, pueden ayudar:

  • Tratar los requisitos reglamentarios
  • Reducir el riesgo (ya sea impulsado por el cumplimiento normativo u otras necesidades)
  • Mejorar la ventaja competitiva al permitir una mayor flexibilidad y un tiempo de comercialización más rápido
  • Habilitar transformaciones digitales.

En última instancia, la implementación de una seguridad efectiva ofrecerá a las organizaciones la oportunidad de mejorar su seguridad de TI y su organización de seguridad de TI.

Artículos clave que afectan la seguridad de TI

Con 99 artículos y 173 considerandos, GDPR incluye algunos requisitos clave que afectan directamente la forma en que las organizaciones implementan la seguridad de TI.
La protección de las personas cuyos datos personales se recopilan y procesan es un derecho fundamental que necesariamente incorpora la seguridad de TI. En la sociedad moderna, los sistemas de TI son omnipresentes y los requisitos de GDPR requieren una buena seguridad de TI.

En particular, para proteger los datos personales, es necesario, lo siguiente:
  • Sepa dónde residen los datos (inventario de datos)
  • Revise y, cuando sea necesario, modifique las aplicaciones existentes (modificación de la aplicación)
  • Integrar la seguridad en la arquitectura de TI (integración de arquitectura)
  • Comprender la exposición al riesgo (conciencia del riesgo)
En la siguiente tabla destaca los artículos de GDPR más relevantes que hablan sobre seguridad de TI:

Categoría Seguridad
Referencia a artículo del la GDPR
Conciencia del riesgo
Art. 35 Evaluación de impacto de la protección de datos Solicitud
Inventario de datos
Art. 30 Registros de procesamiento
Modificación de la aplicación
Art. 15 Derecho de acceso del interesado
Art. 16 Derecho a la rectificación
Art. 17 Derecho a borrado ('derecho al olvido')
Art. 18 Derecho a la restricción del procesamiento
Art. 19 Obligación de notificación con respecto a la rectificación o borrado de
datos personales o restricción del procesamiento
Art. 20 Derecho a la portabilidad de datos
Arquitectura de integración
Art. 5  Principios relacionados con el procesamiento de datos personales
Art. 24 Responsabilidad del controlador
Art. 25 Protección de datos por diseño y por defecto
Art. 28 Procesador
Art. 32 Seguridad del procesamiento
Art. 34 Comunicación de una violación de datos personales al sujeto de los datos

La creación y mantenimiento de un inventario de datos es un requisito en virtud del artículo 30 (registros de procesamiento) del GDPR, y más generalmente, también el punto de partida de cualquier actividad relacionada con la recopilación y el manejo de datos personales.

La mitigación de riesgos es una parte importante de la buena seguridad de TI. Las organizaciones deben mitigar los riesgos que pueden conducir a una violación de datos personales y deben considerar ejecutar una evaluación de seguridad y riesgo. 

Para ciertos derechos del sujeto de los datos (artículos 15 a 20), es posible que deba implementar cambios que habiliten estos derechos (por ejemplo, "derecho al olvido"). Debido a que los cambios se implementan dentro de aplicaciones específicas que pueden contener información de los sujetos de datos, es necesario conocer el modelo de datos específico y la lógica de negocios para ejecutar la función solicitada.

Se pueden implementar medidas adicionales dentro de la arquitectura. Por ejemplo, este es el caso del cifrado de red o cifrado base de datos. Las medidas que es posible implementar en la arquitectura son normalmente más sencillas y menos costosas que las modificaciones de la aplicación, y en general son más sólidas porque no están limitadas por la necesidad de conocer los modelos de datos de la aplicación y la lógica empresarial. En las multinacionales (si, las que estamos pensando todos), donde a menudo ocurre una "profunda" estratificación del sistema de TI y falta de conocimiento de la aplicación, este puede ser un enfoque más fácil para ayudar a proteger los datos personales.

Oracle Security Solutions y GDPR

El siguiente diagrama proporciona una representación de alto nivel del marco de soluciones de seguridad de Oracle, que incluye una amplia gama de productos y servicios en la nube.


Descubrimiento. Productos locales y servicios en la nube que pueden ayudar a descubrir datos personales y flujos de datos de mapas. Esta la tecnología incluye la disciplina del gobierno de datos y proporciona capacidades tales como el linaje de datos, el activo
inventario y descubrimiento de datos.

Enriquecimiento. El enriquecimiento incluye modificaciones de la aplicación que pueden ser necesarias para cumplir con los derechos de los datos
sujeto (Art. 15-20). Además, puede ser necesario consolidar los datos del cliente para obtener una vista única de los datos sujetos en toda la organización.

Fundamento. El conjunto completo de tecnologías operacionales maduras que forman parte del ADN de Oracle para habilitar buena seguridad de TI con énfasis en la disponibilidad y el rendimiento de los servicios. Esto incluye la nube híbrida soluciones desde arquitectura de máxima disponibilidad y sistemas diseñados hasta sistemas operativos y procesadores. Estas soluciones pueden ayudar a abordar la "disponibilidad y resistencia de los sistemas y servicios de procesamiento; y la capacidad de
restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en el caso de una falla física o técnica incidente "(Art. 32).

Realización. Las tecnologías en la nube híbrida de Oracle que imponen políticas de seguridad y controles que protegen a las personas, software y sistemas. Esto abarca productos y servicios que brindan información predictiva, preventiva, detectivesca y controles de seguridad receptivos a través de la seguridad de la base de datos, gestión de identidad y acceso, monitoreo, administración, y análisis de comportamiento del usuario.

Soluciones de seguridad (aplicación)

Los controladores y procesadores de datos deben implementar medidas de seguridad adecuadas diseñadas para garantizar que el nivel de seguridad sea apropiado para los riesgos asociados con los datos que se procesan, como se describe en el artículo 32 GDPR ("seguridad del procesamiento").

El artículo 32 hace referencia a la seudonimización y al cifrado como ejemplos de posibles medidas de seguridad apropiadas. El GDPR finalmente deja la decisión y la responsabilidad a las organizaciones responsables de implementar un marco de seguridad para elegir las medidas apropiadas que garanticen la confidencialidad, la integridad, la disponibilidad y la capacidad de recuperación de datos y sistemas. Una idea errónea común, a menudo dispersada por los proveedores de seguridad, es que el GDPR enumera las tecnologías específicas que se aplicarán. En realidad, el GDPR responsabiliza al controlador y al controlador y requiere que consideren los riesgos asociados con los datos que manejan y adopten los controles de seguridad adecuados para mitigar estos riesgos. Las organizaciones no necesariamente abordan incluso los controles de seguridad más básicos que incluyen, por ejemplo:
  • Cifrar datos confidenciales en reposo y en tránsito
  • Sistemas de parches dentro de un marco de tiempo razonable
  • Recoge los registros del sistema para encontrar actividad anómala
  • Mantener el "privilegio mínimo" o "separación de deberes" para cuentas privilegiadas
  • Controlar el acceso a, o la distribución de, credenciales de usuario de producción
  • Máscaras de datos de producción que se copian en entornos de desarrollo

La sección de aplicación del marco de soluciones de Oracle incluye cuatro grupos que abarcan medidas de seguridad básicas que las organizaciones deberían considerar implementar.

Protege los datos. La implementación del cifrado para datos en reposo y en movimiento es uno de los primeros pasos más comunes para la protección de datos, ya que es relativamente simple y eficaz. La encriptación a menudo se implementa porque está diseñada para evitar el acceso no autorizado, es transparente para las aplicaciones y los usuarios, proporciona un fuerte control preventivo y las soluciones modernas suelen experimentar un impacto de bajo rendimiento. Las tecnologías adicionales de protección de datos incluyen la gestión de claves de cifrado, la redacción de datos de capa de aplicación y el enmascaramiento de datos de producción sensibles para su uso en entornos no productivos con fines de prueba y desarrollo.

Controles de acceso. El cifrado de datos sin controles de seguridad que determinan quién tiene acceso autorizado no tiene sentido. Por lo tanto, es necesario implementar tecnología de acceso y gestión de identidades tanto para los usuarios de la aplicación como para el personal de TI, incluidos los administradores del sistema.

Monitorear, bloquear y auditar. Con las amenazas de seguridad innovadoras de hoy en día, es fundamental implementar una supervisión inteligente y automatizada de incidentes de seguridad y rendimiento. Los componentes y aplicaciones de software producen registros y pistas de auditoría. Para mitigar las infracciones de datos, es fundamental recopilar y analizar feeds y registros de amenazas internas y externas para detectar y mitigar las amenazas.

Configuraciones seguras. Para una seguridad de seguridad adecuada, el software debe actualizarse, configurarse correctamente y parchearse regularmente. La gestión de configuración segura se requiere cada vez más como parte de las mejores prácticas internacionales porque los ciberdelincuentes a menudo aprovechan las vulnerabilidades del software no parcheado para robar datos confidenciales
.
Estos cuatro requisitos de seguridad forman parte de muchos requisitos normativos globales y de las mejores prácticas de seguridad conocidas:
  • ISO 27000
  • NIST 800-53
  • PCI-DSS 3.2
  • OWASP 

Productos de seguridad de Oracle que pueden ayudar a la dirección GDPR

Oracle ofrece productos de seguridad en las instalaciones y en la nube para entornos de nube híbrida que están diseñados para ayudar a proteger los datos, administrar las identidades de los usuarios y supervisar y auditar los entornos de TI. La siguiente tabla proporciona una descripción breve del producto organizada por el tipo de medida de seguridad. Cada producto ofrece más funcionalidades que las descritas, por lo que debe consultar con su representante de ventas de Oracle para obtener más detalles.