La industria de TI ama los temas de actualidad. La nube, la infraestructura hiper convergente y el machine learning son grandes temas de conversación, pero dos de los temas más actuales que se debaten hoy por hoy en las conversaciones casuales de TI son el ransomware y el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea (UE).Al tratarse de temas tan actuales individualmente, ¿qué sucede cuando dos de estas ideas colisionan? Recientemente, me preguntaron: “¿Cuál es el impacto del ransomware en lo que respecta al GDPR?” y creó el suceso inusual de una colisión de temas en TI.
¿Hay un impacto?
Sin lugar a dudas, la respuesta es sí. El GDPR existe para proteger nuestra información personal. Por lo tanto, si poseemos información sobre un ciudadano de la UE, nuestra principal preocupación es garantizar el cuidado de esos datos y asegurarnos de que estén seguros, protegidos y accesibles.
Como parte de nuestros requisitos en virtud del GDPR, es esencial que evitemos una violación de datos. ¿A qué nos referimos por violación? El término se describe dentro de los artículos del GDPR de la siguiente manera:
“Violación de los datos personales” significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración o divulgación no autorizada de, o acceso a, los datos personales transmitidos, almacenados o procesados de alguna otra manera, ya sea de forma accidental o ilegal.
Si observamos el extracto anterior, se vuelve más claro cómo el ransomware conduce a una posible violación en virtud del GDPR. Por definición, el ransomware es un malware que evita o limita que las víctimas accedan a datos críticos o incluso a sus sistemas completos.
Hasta ahora, la respuesta a un ataque de ransomware ha sido relativamente directa: ya sea que usted haya asegurado la Disponibilidad de sus datos y pueda recuperar rápidamente los datos comprometidos, o esté expuesto a perderlos. Si no cuenta con una solución de recuperación de datos confiable en funcionamiento, sus opciones para resumir sus operaciones empresariales sin pérdida de datos son limitadas. Tenga en cuenta que todos los expertos en seguridad cibernética y tecnología, así como también los funcionarios gubernamentales, aconsejan firmemente pagar el ransomware,.
El GDPR introduce un nuevo desafío, como también una nueva oportunidad para el ciberdelincuente. En vez de preocuparse por los tecnicismos problemáticos del ransomware, su amistoso vecino, el ciberdelincuente, ahora tiene una nueva amenaza en su arsenal. Él puede exponer una violación de sus datos basada en ransomware a las autoridades competentes, haciendo que su organización quede expuesta a fuertes multas u otras sanciones.
¿Qué debemos hacer?
¿Qué exige el GDPR de las organizaciones? Si observamos el Artículo 32, obtenemos cierta guía sobre nuestras responsabilidades clave como dueños de datos para tener:
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua para procesar sistemas y servicios.
- La capacidad de restaurar la disponibilidad y el acceso a datos personales de manera oportuna en el caso de un incidente físico o técnico.
- Un proceso para realizar pruebas, evaluaciones y valoraciones de la efectividad de medidas técnicas y organizacionales para garantizar la seguridad del procesamiento.
Aunque que el GDPR no es una regulación técnica o un problema de TI a resolver, requiere un mayor compromiso por parte de los departamentos de TI para garantizar que las estrategias de seguridad de datos existan, que las soluciones estén actualizadas y que los interesados/accionistas estén bien informados sobre sus responsabilidades. Existen determinadas áreas en donde el compromiso de TI es fundamental:
- Ayudar a garantizar la integridad de los datos
- Ayudar a garantizar la Disponibilidad de los datos
- Proporcionar una plataforma para pruebas efectivas y flexibles
¿Entonces cómo debe ser una tecnología apropiada?
La realidad es que ninguna tecnología va a proporcionar todo lo que usted necesita, pero es bueno estar consciente de los tipos de tecnologías que pueden ayudar.
Idealmente, un conjunto de soluciones incluiría un nivel de inteligencia para detectar la actividad del ransomware, con la capacidad de apagar e identificar rápidamente cualquier conjunto de datos afectado. La TI proporcionaría una opción para tomar la información sobre los conjuntos de datos comprometidos y presentarla a mi solución de recuperación para automatizar el proceso de recuperación. También incluiría una solución de recuperación que puede recuperar rápidamente los datos y mantener la Disponibilidad, y a la vez proporcionarnos la habilidad de construir entornos de prueba para practicar nuestra respuesta ante los incidentes de destrucción de datos, como un ataque de ransomware.
¿Veeam ayuda?
Aunque Veeam no es de ninguna manera una herramienta de cumplimiento del GDPR, o incluso una solución de identificación del ransomware, Veeam Availability Suite puede desempeñar un rol importante al garantizar que su programa de cumplimiento sea efectivo al tratar no solo con los problemas como el ransomware, sino también con un amplio rango de desafíos de programas de cumplimiento.
Sin embargo, la capacidad de interactuar con herramientas de terceros para una rápida identificación de (y una recuperación desde) una posible violación, brinda un valor enorme. Si consideramos la estrategia general de Veeam de garantizar la Disponibilidad a través de múltiples repositorios, tanto en las instalaciones como en la nube, para mantener el cumplimiento y la Disponibilidad de los datos en toda la infraestructura sin importar la ubicación, entonces esto es valioso y fundamental para una estrategia de cumplimiento de la empresa moderna.
Resumen
Comenzamos con la pregunta: ¿qué impacto tiene el ransomware en el GDPR? Hemos contestado esa pregunta al discutir cómo el impacto y el riesgo del ransomware requiere de evaluación y mitigación, como con todos los demás posibles riesgos de cumplimiento.
Afortunadamente, esto proporcionó un contexto e ideas útiles para garantizar que usted pueda cumplir con la necesidad de la estrategia de cumplimiento de su negocio.