Seguir sus datos es una parte fundamental del cumplimiento con la nueva directiva NIS2 emitida por la UE. Pero… ¿Cómo puede rastrear sus datos?
En el mundo actual, saber dónde viajan sus datos es tan importante como los propios datos. Imagine los datos como el flujo vital de un negocio, esenciales para sus operaciones diarias y su éxito a largo plazo. A medida que las empresas crecen y generan más datos, gestionarlos de manera segura y cumplir con las normativas se convierte en una tarea compleja. Es como intentar seguir todo lo que sucede en una ciudad bulliciosa, donde no necesariamente tiene control directo sobre todo.
La Unión Europea ha introducido la directiva NIS2, destacando la necesidad de que las empresas tengan una visión clara del recorrido de sus datos. No se trata solo de almacenar los datos de manera segura; se trata de comprender cada paso que dan, quién los accede y qué hacen con ellos. Piense en ello como saber exactamente dónde viajan sus datos, a quién visitan y qué experiencias viven. Este conocimiento es crucial para mantener los datos seguros y garantizar que las empresas cumplan con las normativas establecidas.
La Importancia de Rastrear sus Datos
La directiva NIS2 no se limita a marcar casillas para indicar que se cumple con la legislación. Se trata de demostrar de manera efectiva que se está protegiendo la información. Esto implica la necesidad de conocer todo el trayecto de los datos, desde su creación hasta su eliminación.
El Artículo 21, Párrafo 2, Puntos d y e de la directiva NIS2 describe lo siguiente:
“(d) Seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
(e) Seguridad en la adquisición, desarrollo y mantenimiento de sistemas de red y de información, incluyendo el manejo y la divulgación de vulnerabilidades”
Lo que esto significa en términos sencillos es que usted tiene la responsabilidad de verificar el recorrido de sus datos a lo largo de todo su trayecto. Esto implica que debe conocer quiénes son los responsables del tratamiento de sus datos y qué otros responsables del tratamiento están utilizando ellos mismos.
Comprender a dónde va su información y cómo llega allí es fundamental para identificar posibles fallos, garantizar su protección y evitar que cualquier dato no autorizado sea filtrado. Su empresa podría manejar los datos de manera segura y quizás incluso contar con una certificación como la ISO 27001, pero ¿qué sucede cuando los datos salen de su control?
Los Beneficios y Estrategias
La razón principal por la que es importante seguir los datos es que los ciberataques están siendo cada vez más sofisticados, y no solo van tras los datos que tienes, sino también tras los datos que otras empresas tienen sobre ti. Todos escuchamos sobre grandes ataques de vez en cuando, en los que incluso podrías haber sido afectado tu.
Si no sabes exactamente dónde están tus datos y cómo se están protegiendo, realmente no puedes saber cuán seguro estás frente a estas amenazas. Al monitorear tus datos en cada paso de su recorrido, estás construyendo una estrategia de defensa contra cualquier ciberataque.
Gestión de Riesgos
A veces, los datos pueden terminar siendo movidos, utilizados o almacenados de maneras o en lugares que no habías planeado. Cada nuevo paso que dan tus datos puede traer nuevos riesgos, y al saber adónde van, puedes identificar estos problemas desde el principio. Esto te permite encontrar soluciones rápidas para resolver estos inconvenientes antes de que se conviertan en problemas mayores.
Fomenta la confianza
Hoy en día, la mayoría de las personas, desde clientes hasta socios comerciales, quieren tener la certeza de que su información está segura y de que se cumplen las normativas. Demostrar que sabes dónde están tus datos en todo momento no solo te ayuda a cumplir con las leyes y mantener la seguridad, sino que también fortalece la confianza.
Retos y Consideraciones
Sin embargo, realizar un seguimiento de tus datos puede ser un desafío. Cada empresa que maneja tus datos, como los servicios en la nube o los subcontratistas, tiene su propio modo de operar. Además, los negocios digitales están en constante evolución, lo que implica que la forma en que tus datos se transfieren también puede cambiar.
Para abordar estos desafíos, es necesario ser meticuloso y proactivo al determinar cómo realizar un seguimiento de los datos. Esto implica llevar a cabo verificaciones detalladas para comprender exactamente cómo se mueve la información y hacia dónde se dirige. Establecer normas sólidas para la gestión de datos asegura que todas las partes que interactúan con tus datos los manejan de manera segura y conforme a la legislación vigente. Además, este proceso no debe ser un esfuerzo puntual, sino una práctica continua.
Cómo Seguir tus Datos
Ahora que entendemos por qué es importante e incluso beneficioso realizar un seguimiento de tus datos, a continuación te proporcionaremos algunas pautas que pueden ayudarte a hacerlo por tu cuenta.
Lo primero que hay que hacer para controlar los datos es averiguar cómo se mueven, tanto dentro como fuera de la empresa. Esto significa trazar un mapa de cada paso en el que se crean, guardan y trabajan los datos.
Al trazar el flujo de datos, anota también qué datos recopilas, por qué los recopilas, dónde se almacenan, cómo llegan de un lugar o servicio a otro y quién puede acceder a ellos en cada paso. Un mapa de este tipo te ayuda a entender y señalar dónde puede haber puntos débiles o problemas potenciales.
Paso 1: Contactar con los Proveedores de Servicios
El primer paso del seguimiento de los datos sigue siendo bastante sencillo. A menudo tus datos acaban siendo procesados o almacenados por otros, por ejemplo, tus servicios en la nube, herramientas de análisis o sistemas de gestión de clientes. Es muy importante que hables con esos proveedores para saber cómo tratan tus datos. Deberías investigar cómo siguen las normas, qué hacen para mantener los datos seguros y si utilizan otras empresas para ayudarles.
Una buena empresa transparente le ayudará con las preguntas que pueda tener. Otra forma de garantizar algunas cosas son los acuerdos de procesamiento. Estos acuerdos establecen las obligaciones que usted y su proveedor de servicios tienen para mantener a salvo los datos personales. No siempre es tan fácil conseguir y encontrar estos documentos, ya que algunas empresas lo ponen bastante difícil, lo que ya demuestra la importancia de hacer negocios con proveedores de servicios de confianza.
Paso 2: Identificar y Evaluar a los Subprocesadores
El siguiente paso puede ser un poco más difícil. Un gran obstáculo a la hora de vigilar tus datos es el seguimiento de su paso por los subprocesadores. Estos son los terceros, que tus principales proveedores de servicios utilizan para procesar los datos por ellos. Es crucial que conozcas a cada uno de estos subprocesadores que intervienen en el tratamiento de tus datos para saber qué ocurre con ellos de principio a fin. Una vez que sepas quiénes son, tienes que comprobar su nivel de seguridad y conformidad. Esto podría significar examinar sus certificaciones de seguridad (como ISO 27001), comprobar sus operaciones mediante auditorías o pedir pruebas de cómo protegen los datos. Debes asegurarte de que todas las empresas que tocan tus datos están tan comprometidas con su seguridad y el cumplimiento de las normas como tú.
Flujo de Datos Más Allá del Control Directo
Sus datos con frecuencia se trasladan a lugares fuera de su control directo. La lista de subprocesadores a menudo es extensa, y esto sin siquiera considerar los subprocesadores de dichos subprocesadores. Esta larga cadena de dónde se procesan y almacenan los datos puede convertir su seguimiento en una tarea complicada. Es imprescindible ser proactivo, mantener una supervisión constante y comprender a fondo los acuerdos entre su empresa y los servicios que utiliza.
Más Cosas a Tener en Cuenta
También es importante destacar que algunas empresas no solo utilizan subprocesadores, sino que también podrían vender datos. Un ejemplo notable es la nueva aplicación de Outlook de Microsoft, que, una vez que se acepta la declaración de privacidad, tiene permitido vender los datos de todos los correos electrónicos que se añadan a ella a más de 750 terceros.
La semana pasada, el Servicio de Inteligencia de los Países Bajos (la CIA de los Países Bajos) nos alertó sobre problemas de seguridad relacionados con el gobierno de los Estados Unidos. Incluso llegó a ser noticia a nivel nacional (artículo en neerlandés). Se trata de que el gobierno estadounidense puede acceder a todos los datos de las empresas estadounidenses bajo la Ley Patriota (Patriot Act) y la Ley de la Nube (Cloud Act). Esto incluye también a empresas esenciales y organizaciones gubernamentales en los Países Bajos y en el resto del mundo.
Mecanismos de Seguimiento
Más allá de saber cómo se mueven los datos y verificar a los proveedores de servicios, es importante implementar tanto soluciones tecnológicas como políticas para supervisar los datos en tiempo real. Esto podría implicar el uso de herramientas de gestión de datos que le permitan ver hacia dónde se dirige su información, configurar controles de acceso para hacer un seguimiento de quién está accediendo a sus datos y por qué, y cifrar los datos, ya sea cuando están en reposo o en tránsito. Lo más sencillo es si su proveedor de servicios le permite gestionar esto por sí mismo, lo que le brindaría un mayor control
Tampoco se trata de una tarea puntual; es un esfuerzo continuo. Otra parte clave de supervisar sus datos, que a veces se pasa por alto, es el factor humano. Enseñar a su equipo por qué es crucial hacer un seguimiento de los datos y cumplir con las normativas es muy importante. Esto podría implicar informarles sobre la NIS2, cómo se espera que se trate la información dentro de su organización y qué hacer si detectan una violación de datos. Tener un equipo que sepa qué hacer y que esté alerta ayuda a su empresa a gestionar los datos correctamente.
Identificación de Subprocesadores
Echemos un vistazo más de cerca a los subprocesadores, ya que esta parte del recorrido de los datos puede ser bastante ambigua.
El desafío inicial para las organizaciones es obtener una visión clara del ecosistema de subprocesadores, ya que los detalles de estas relaciones podrían estar ocultos dentro de los acuerdos de servicio o no compartidos en absoluto. O, incluso peor, podrían ser ocultados deliberadamente. Puede ser necesario recurrir a fuentes públicas, como el sitio web del proveedor o informes de la industria, para obtener una imagen más completa de cómo manejan los datos. El objetivo es elaborar una lista detallada de subprocesadores, sentando las bases para un examen más exhaustivo.
Evaluación de Riesgos y Participación
Después de identificar a los subprocesadores, el siguiente paso es evaluar la cadena de datos para identificar posibles riesgos. Esto requiere un análisis detallado de los protocolos de seguridad y los niveles de cumplimiento de cada subprocesador. Entre los factores importantes a considerar se incluyen el lugar donde se lleva a cabo el procesamiento de datos, las normativas legales de esas jurisdicciones y las certificaciones específicas de protección y seguridad de datos, como la ISO 27001, con las que cuenta cada subprocesador.
Interactuar directamente con los subprocesadores, o hacerlo a través de sus proveedores de servicios principales, es fundamental para obtener la información necesaria. Esto puede incluir el uso de cuestionarios o la realización de auditorías.
Este tipo de interacción con los proveedores posiblemente también abre una línea de comunicación para abordar cualquier problema que pueda surgir. Siempre es recomendable documentar estas interacciones, ya que contribuyen a la evidencia de cumplimiento necesaria bajo la directiva NIS2.
Ejemplo: Microsoft
Muchas empresas siguen utilizando los productos que ofrece Microsoft. Veamos cómo sería un análisis con Microsoft, sin entrar demasiado en detalles sobre si tus datos están realmente a salvo de análisis por parte de gobiernos extranjeros y si quieres que tus datos estén con una empresa que fue multada el año pasado con miles de millones de euros, por violaciones de la privacidad.
En primer lugar, Microsoft presenta un desafío significativo en términos de transparencia, lo que complica los esfuerzos de las empresas para garantizar una ciberseguridad y un cumplimiento normativo exhaustivos. Aunque Microsoft proporciona una lista que incluye 47 subprocesadores y 36 centros de datos en el momento de redactar este texto, los detalles sobre sus operaciones, cómo manejan los datos y cuáles son sus protocolos de seguridad siguen siendo poco claros.
Este problema se complica aún más por la expansión global de los subprocesadores, que operan bajo diferentes leyes de protección de datos según su ubicación. Aunque Microsoft asegura que los subprocesadores cumplen con el RGPD, debemos tener en cuenta que la propia Microsoft ha continuado violando el RGPD, por lo que cabe preguntarse qué significa realmente su palabra. Además, esto no necesariamente garantiza la seguridad de los datos, ya que también han sufrido varios hackeos y brechas de seguridad el año pasado.
De hecho, es muy difícil verificar a los subprocesadores por ti mismo, ya que las empresas matrices de estos subprocesadores provienen de diversos países, lo que agrega más complejidad y riesgos potenciales de seguridad. Aunque un subprocesador en sí mismo pueda estar ubicado en los Estados Unidos, la empresa matriz no siempre lo está. Puedes comprobar esto tú mismo, pero al seguir el rastro, en ocasiones terminas encontrando empresas propiedad del gobierno chino.
Además, muchos de estos subprocesadores no proporcionan una lista publicada de subprocesadores ni políticas relacionadas con la privacidad, lo que requiere que te pongas en contacto con ellos de alguna manera, lo cual también toma tiempo y podría resultar prácticamente imposible.
Cambios visibles en el mercado
Si su trabajo consiste en evaluar a Microsoft a la luz del NIS2, es posible que esté pensando en renunciar y mudarse a otro país, y no sería el único que siente que se trata de una tarea desalentadora. Lo que observamos es que esta toma de conciencia, junto con las preocupaciones sobre la privacidad y la seguridad, ha impulsado a cada vez más empresas y organizaciones gubernamentales a crear políticas en contra de que sus proveedores de servicios utilicen subprocesadores para el tratamiento y procesamiento de datos, o al menos a limitarlos. Este cambio está impulsado por la comprensión de que los subprocesadores añaden capas de complejidad a la seguridad de los datos, lo que a veces hace extremadamente difícil garantizar una protección completa.
Al reducir o evitar por completo la participación de subprocesadores, la gestión de los datos se simplifica considerablemente. Como mencionó el Servicio de Inteligencia holandés en el artículo de la semana pasada, actualmente es impensable que se deterioren los lazos con Estados Unidos, pero nunca se sabe lo que puede ocurrir en el futuro. Creemos que la UE continuará invirtiendo en infraestructuras locales y, con ello, en nuevas leyes y directivas. Por lo tanto, esa podría ser otra razón para considerar mantener sus datos completamente dentro de las fronteras de la UE.
Cómo simplificar el cumplimiento de NIS2
Si tiene en cuenta todo esto, es el momento perfecto para abandonar los proveedores que esté utilizando actualmente, ahorrándose a sí mismo y a su empresa mucho trabajo innecesario y, al mismo tiempo, mejorando sus estándares de seguridad y privacidad
En la UE existen muchas empresas que ofrecen todo tipo de servicios y productos para los diversos retos a los que pueda enfrentarse su empresa. Solo tiene que buscar aquellas que se ajusten a su política empresarial.
Si comparásemos un viaje de datos simplificado con Microsoft, pasarías de la situación de la imagen inferior, con decenas de subprocesadores en diferentes países y la posible venta de tus datos…
… a la situación siguiente, con menos proveedores, menos subprocesadores y alojamiento en la UE. En el caso de vBoxx, eso significaría productos alojados en los Países Bajos, sin subprocesadores y con asistencia personalizada.
Sus Próximos Pasos
El Gobierno neerlandés ha publicado una herramienta que le ayuda a comprobar rápidamente su conformidad con NIS2 (en neerlandés). Le recomendamos encarecidamente esta herramienta.
Si desea hablarnos sobre su caso de uso, estaremos encantados de ayudarle a determinar qué puede necesitar. Ofrecemos una amplia gama de servicios que su empresa requiere, como almacenamiento en la nube, correo electrónico, videoconferencia, gestión de contraseñas, así como servidores, alojamiento web y mucho más.
No tenemos subprocesadores. Tanto nosotros como nuestro centro de datos cuentan con la certificación ISO 27001 y somos totalmente de titularidad de la UE, por lo que no hay empresas matrices extracomunitarias implicadas. Envíenos un correo electrónico, llámenos o inicie un chat, y le ayudaremos de inmediato.
