Uso de la autenticación de dos factores en conformidad con el GDPR

Dirk Denayer, 27 de Septiembre de 2021

Un estudio recientemente publicado de ENISA, la Agencia Europea de Seguridad de las Redes y de la Información que asesora a sus estados miembro y a organizaciones del sector privado en relación con la implementación de legislación en la UE, incluye pautas sobre la forma de tomar las medidas adecuadas para cumplir con el Reglamento General de Protección de Datos (GDPR). Las recomendaciones de ENISA incluyen la autenticación de dos factores y la seguridad de aplicaciones móviles como medidas técnicas en situaciones de alto riesgo.

El GDPR se ha convertido en el marco legal principal para la protección de datos en la UE, y representa un significativo paso en pos de la privacidad de los ciudadanos de la UE. Además, el GDPR es aplicable a cualquier compañía que ofrezca bienes o servicios a ciudadanos de la UE, más allá de su tamaño, ubicación o sector industrial, y maneje datos personales como encargada de controlar o procesar esos datos.

Significativamente, y según la definición del artículo 32 del GDPR, una de las obligaciones centrales de estas compañías es aplicar medidas técnicas para proteger estos datos personales, al afirmar que los encargados de controlar y procesar los datos “deben implementar medidas técnicas y organizacionales adecuadas para garantizar un nivel de seguridad conforme al riesgo”.

Las consecuencias y los costos de la no conformidad pueden ser sustanciales, hasta el 4 % de la facturación global anual o 20 millones de euros, la cifra más alta de las dos. Además, están obligadas a informar todas las no conformidades en 72 horas, ya que corren el riesgo de sufrir un importante daño de marca.

Pautas de ENISA en conformidad con el GDPR

El estudio de ENISA sobre cómo adoptar medidas de seguridad técnicas y organizacionales para lograr conformidad con el GDPR utiliza un enfoque basado en el riesgo para definir las medidas adecuadas en distintas áreas.

Por ejemplo, en el área de control de acceso y autenticación, ENISA recomienda implementar la autenticación de dos factores en casos de alto riesgo y en ciertos casos de impacto mediano, de la siguiente manera: “La autenticación de dos factores debe usarse preferentemente para acceder a sistemas que procesen datos personales. Los factores de autenticación pueden ser contraseñas, tokens de seguridad, unidades USB con un token secreto, biometría, etc.”.

En el área de los dispositivos móviles, ENISA menciona que este tipo de dispositivos aumenta la exposición a robo y pérdida accidental. Además, es probable que se utilicen para fines personales, por lo que deben tomarse medidas especiales para garantizar que los datos relacionados con aspectos comerciales no estén en peligro. Esto dio pie a la creación de la pauta donde se afirma que “debe considerarse la autenticación de dos factores para acceder a dispositivos móviles, y los datos personales almacenados en el dispositivo móvil deben encriptarse”.

Por último, al referirse al desarrollo de aplicaciones, ENISA recomienda asegurarse de tomar en cuenta la seguridad de los datos personales. Durante el ciclo de desarrollo, esto abarca “respetar prácticas recomendadas y prácticas, marcos y normas de desarrollo seguros, reconocidos y de última generación,” incluso para casos de bajo riesgo.

Conclusiones

A menos de un año para que entren en vigencia de las disposiciones del GDPR, las organizaciones recién están comenzando a considerar los cambios que deben realizar y la ampliación de su perspectiva sobre la estrategia comercial y la seguridad de la información existente.

Sin embargo, no puede predecirse el plazo requerido para los cambios y la forma en que estos cambios afectarán a su organización. Por ese motivo, ENISA le recomienda a la UE que aumente la comunicación y genere conciencia para convencer a las organizaciones de que deben tomar medidas relacionadas con el GDPR.

Por todo esto, estoy convencido de que este informe de ENISA será un buen punto de partida a fin de que las organizaciones evalúen su nivel de preparación para la conformidad.

Más información sobre la autenticación de dos factores, la seguridad de aplicaciones móviles y el blindaje de aplicaciones de VASCO que incluye soluciones de RASP Security.

 

Dirk Denayer es gerente de soluciones de negocios en OneSpan. Se unió a OneSpan en 2016 con 20 años de experiencia en soluciones de software empresarial en el nivel de ventas, marketing y entrega. Antes de unirse a OneSpan, trabajó en Exact Software, CODA y Unit4.