Panda protege los datos desestructurados de las empresas ante la llegada del GDPR

A pocos días de que se celebre el Día Internacional de la Protección de Datos, la multinacional española de soluciones de seguridad informática, Panda Security, ha presentado su nuevo acuerdo de colaboración con la compañía everis y ha realizado una conferencia con consejos de cómo abordar la nueva normativa europea GDPR a través de su programa Panda Data Control.

Acuerdo Panda y everis

Panda Security ha firmado un acuerdo de colaboración con everis Aeroespacial, Defensa y Seguridad por la cual combinarán la tecnología de protección en el puesto de trabajo de Panda Security con las soluciones de ciberseguridad de everis. A raíz de esta alianza, ambas empresas han presentado Integral Enterprise Defense, un nuevo servicio de monitorización, gestión, tratamiento, análisis, evaluación y asesoramiento en ciberseguridad para los clientes que utilicen Panda Adaptive Defense.

Abordar el GDPR

A raíz de este nuevo acuerdo, Panda ha dado una conferencia sobre uno de los principales temas de seguridad de este 2018: el GDPR.

A pocos meses de que se empiece a aplicar este nuevo reglamento de protección de datos muchas empresas siguen sin haber realizado la necesaria inversión para adaptar su negocio al cumplimiento de esta nueva ley. El GDPR exige a las empresas la protección de todos los datos personales, es decir, aquellos que sirvan para identificar a una persona, no solo el DNI o el número de teléfono son datos personales, sino que en esta categoría pueden entrar hasta la identidad sexual o la ideología política. Descubrir de qué datos personales dispone la empresa y dónde están almacenados es el primer pasos a seguir en la implantación de medidas de seguridad necesarias para cumplir con el GDPR.

Dentro de esta primera fase de adaptación, Miriam Serna, Directora de Producto en Panda, ha explicado durante la conferencia las funciones que realiza el servicio Panda Data Control para ayudar a las empresas a realizar este proceso de búsqueda y análisis de datos. El programa se encargaría de buscar datos desestructurados, es decir, aquella información que no está en una base de datos o contenida en algún otro tipo de estructura de datos. Panda Data Control se centra en datos desestructurados textuales en los dispositivos y servidores.

La función Data Discovery es la encargada de realizar un inventario indexado, mediante algoritmos de machine learning, de todos los ficheros donde se han encontrado datos personales desestructurados. Sin embargo, no se encarga de todos los datos, sino que establece un nivel de sensibilidad del dato, monitorizando aquellos que se encuentren en ese nivel, como a explicado Serna, para no provocar una avalancha de datos.

La siguiente fase a seguir es la búsqueda de vulnerabilidades. Aquí es dónde entra la necesidad de educar a los empleados tanto en la nueva ley como en mantenimiento y protección informática. El pasado año el fabricante de productos de memoria, Kingston, presentaba un estudio en el que se afirmaba que el 94% de las memorias USB que usan los empleados no usan ningún tipo de encriptación y casi la mitad admitía haber perdido algún pendrive.

Una de las novedades que aporta el GDPR es la necesidad de llevar un control y realizar informes sobre el tratamiento, uso y tránsito que tiene los datos. la normativa establece que si se produce una violación de la seguridad, la compañía tiene como máximo 72 horas para presentar un informe a la Agencia de Protección de Datos explicando cómo se ha producido esa vulneración, qué datos se han visto comprometidos y qué medidas se van a implantar para que esta brecha no vuelva a producirse.

Programas como Panda Data Control ya incluyen funcionalidades específicas que monitorizan las diferentes operaciones que se realizan sobre los ficheros desestructurados. Cuando estos ficheros va a ser copiados o movidos desde el dispositivo, se realiza dicha operación de exfiltración sobre navegadores.

Por último, el resultado de esa monitorización continua se sincroniza con la Plataforma de Adaptive Defense y su módulo de Advanced Visualization Tool donde la empresa dispone de informes y alertas sobre las acciones que se realizan de los datos en reposos, uso y tránsito para poder detectar rápidamente un uso indebido de los datos personales desestructurados en los dispositivos protegidos de la compañía.

Durante este evento, Miriam Serna, ha recordado que aunque las multas por no cumplir la nueva ley son altas (20.000.000€ o el 4% del volumen de negocio total anual global del ejercicio financiero anterior) la perdida de reputación o de confianza entre los clientes puede suponer un coste más alto que las propias sanciones.