La securización de los servidores web ante la nueva ley de protección de datos
Nur Pulad, Director de Grandes Cuentas en Fortinet Iberia, reflexiona en este artículo en cómo afectará la nuevo propuesta de ley de Protección de Datos de la Unión Europea a las empresas.
Por fin vio la luz la propuesta de la Comisión para reformar el marco legal que regula la protección de los datos personales y que tiene como objetivos fortalecer los derechos y abordar los retos de la consumerización de las nuevas tecnologías. Parece que la UE ha decidido finalmente escuchar las voces, que desde la industria de seguridad, desde las asociaciones de consumidores, clamaban por una legislación más acorde a las necesidades actuales del usuario europeo. La llegada de una regulación paneuropea, que sustituya a las leyes locales implementadas por los estados miembros en los años 90, permitirá reducir los costes administrativos en 2.300 millones de euros al año. Asimismo, reforzará la confianza de los consumidores en los servicios online, contribuyendo al crecimiento de la industria TI en Europa.
Sin duda, casos sonados como la pérdida de contraseñas y datos personales de las tarjetas de crédito de los usuarios del servicio de juego online de PlayStation o el robo de la base de datos de la Policía Nacional, han sido un detonante para la creación de esta nueva ley. Además de los usuarios afectados por estos ataques, también las empresas e instituciones objeto del robo vieron cómo descendía su volumen de negocio y como se dañaba su reputación, con un descrédito que, en ocasiones, es difícil de superar. ¿Cómo le dice un padre a su hijo/a que ya no le deja jugar con sus amigos a la consola en modo online porque teme que sus datos de tarjeta de crédito no estén garantizados? Si el usuario se ve amenazado, ¿Por qué no cambiar de proveedor o de consola?
Centrándonos en cómo afectará la nueva ley al sector empresarial, una de las consecuencias más inmediatas es que las empresas atacadas deberán notificar, tan pronto sea posible, a una autoridad de supervisión nacional cualquier brecha de seguridad que afecte a datos personales de sus usuarios. Aquellas que violen las leyes de protección de datos dentro de la UE podrán ser multadas con hasta un millón de euros o un 2% de los ingresos globales anuales de la compañía. Llegados a este punto cabe preguntarse si es más importante la confianza del cliente o la multa que pueden verse obligados a pagar por no cumplir con la normativa europea.
Dada la posibilidad de que además de sufrir ataques haya que pagar una elevada multa, la empresa se ve en la obligación de implementar una solución que le permita securizar su entorno a la vez que disponer de reportes sobre las amenazas en tiempo real de tal manera que pueda dar parte a las autoridades pertinentes. Y todo ello sin que suponga un esfuerzo económico y humano que merme la capacidad de negocio de la propia compañía.
Entre todos los aspectos a analizar me gustaría hacer una especial mención al protagonismo que cobrará la securización de los servidores web y de las bases de datos. En ellos se alberga una ingente cantidad de información crítica: datos personales de los usuarios, detalles de tarjetas de crédito, etc. que requiere la máxima protección. Y en este punto nos asaltan múltiples preguntas: ¿cómo adelantarnos a los posibles ciberataques que podemos sufrir cuando estos se transforman continuamente? ¿cómo escudriñar todo el tráfico entrante y saliente sin que afecte al rendimiento de las aplicaciones web? ¿cómo analizar la multitud de parámetros que deberíamos barajar a la hora de establecer unas reglas que garanticen unos servidores seguros?
La respuesta pasa por los firewall para aplicaciones web, capaces de brindar protección especializada multicapa contra las amenazas a que se ven expuestas empresas de todos los tamaños, proveedores de servicios de aplicaciones y proveedores SaaS. El poder combinar, en una única plataforma, capacidades de cortafuegos tanto para aplicaciones web como XML, acelerar el tráfico web y el balanceo de tráfico de las aplicaciones, permitirá a las empresas protegerse frente a ataques dirigidos contra la infraestructura de las aplicaciones y los servicios web.
Por otro lado, la facilidad de manejo de la solución es un punto clave a la hora de implementar una solución para la protección de datos a nivel de aplicación. Desde nuestro punto de vista lo más lógico es que el propio sistema sea capaz de explorar y analizar automáticamente las aplicaciones web protegidas, detectar los puntos débiles de seguridad, vulnerabilidades potenciales, conocidas y desconocidas, de las aplicaciones. Con el fin de simplificar al máximo la gestión se requerirá un sistema que facilite la construcción de manera automática y dinámica de un modelo de seguridad de las aplicaciones protegidas supervisando continuamente la actividad de los usuarios en tiempo real y permitir notificar o bloquear los accesos que se salen de la pauta.
Lógicamente, para la protección de las bases de datos que albergan información sensible se requerirán soluciones que ofrezcan evaluaciones de vulnerabilidades escalables, sencillas de implementar y gestionar.
Sin duda, estamos ante un reto para las compañías de seguridad, si bien ya estamos preparados para dar respuestas satisfactorias a esta problemática. Es momento de que las empresas y administraciones públicas se preocupen por la imagen y fidelización del usuario.