La entrada en vigor de la normativa europea sobre protección de datos (General Data Protection Regulation, GDPR) supone un importante reto para cualquier organización, por dos motivos fundamentales: en primer lugar por el alto grado de exigencia que esta regulación impone a las empresas, muy superior a cualquier normativa de las que han estado vigentes hasta la fecha en materia de gestión y protección de datos de clientes, usuarios o ciudadanos. En segundo lugar por la enorme complejidad de los entornos de TI actuales, en los cuales es muy difícil mantener el control de lo que está ocurriendo en todo momento.
Efectivamente, los entornos de TI actuales, debido a la integración de tendencias tecnológicas como BYOD, IoT o cloud computing, requieren configuraciones muy complejas y dinámicas que exigen muchos recursos para gestionarlas. Si unimos a esto el alto nivel de control y protección que exige la normativa GDPR, muchas empresas se pueden ver en dificultades, abocadas a un callejón sin salida y expuestas a importantes sanciones. La directriz para cumplir con GDPR es clara: se trata de tomar todas las medidas necesarias para proteger la información que los usuarios proporcionan a la organización, sobre todo de los datos más sensibles.
El papel de la red en el GDPR
La red juega un papel muy importante en el cumplimiento de. GDPR. En primer lugar porque toda la información corporativa, incluyendo los datos sensibles de clientes, viajan y son accesibles a través de ella. Por otro lado, las amenazas que pueden comprometer esa información de clientes también vienen de la red.
Afortunadamente, este papel crítico de la red es a la vez una oportunidad, ya que puede convertirse en un potente aliado para ayudar a la empresa en el cumplimiento de GDPR. La red es una increíble fuente de información, que bien aprovechada incrementa notablemente el control que se tiene sobre todos los recursos TIC. Si se saca todo el partido a la información que viaja por la red, se incrementará el conocimiento de la infraestructura de TI y esto permitirá controlar y proteger la información crítica. Sin conocimiento no puede haber control y sin control no puede haber protección.
Los ejemplos de cómo un buen “gobierno” de la red puede ayudar a cumplir con GDPR son innumerables: controlar el acceso a red de dispositivos BYOD que no cumplan con las directivas corporativas en cuanto a seguridad, saber si las aplicaciones que se están utilizando en la red son corporativas o las ha instalado un departamento sin el conocimiento de TI, mantener de forma automática inventarios actualizados de todos los dispositivos de infraestructura, saber si, cada vez que se cambia o añade un switch, el nuevo dispositivo cumple en su configuración con las políticas corporativas o dispone de la última versión de firmware, monitorizar el comportamiento de los dispositivos IoT, fuente permanente de amenazas, impedir la formación de silos o compartimentos estancos dentro de la infraestructura, etc.
Es cierto que el principal impulsor del cumplimiento es a menudo evitar sanciones de la administración, bastante severas, por cierto. Sin embargo, el esfuerzo en adaptarse a GDPR se puede considerar desde una perspectiva más positiva, como una oportunidad para mejorar el control de la organización sobre su propia infraestructura de TI, aprovechando la potencia de la red.
Esto proporcionará a la organización muchas ventajas adicionales, más allá del mero cumplimiento, y no sólo en el ámbito de las TIC, como puede ser disponer de seguridad mejorada en todos los dominios, sino también de negocio, como son la mejora de la reputación de la empresa, al integrar la seguridad por defecto, obtener certificaciones y adherirse a códigos de conducta que certifican el cumplimiento, impedir el daño que la marca puede sufrir en caso de un evento de seguridad, y construir una relación con empleados y clientes.
José Carlos García
Senior systems engineer de Extreme Networks