Las implicaciones de GDPR en la seguridad TI
Antes y después de la entrada en vigor de la nueva Regulación General de Protección de Datos (GDPR), que se hizo obligatoria el pasado 25 de mayo de 2018, se han intensificado las informaciones, artículos, seminarios y debates. A toda costa de la gente y la no gente que no tiene nada que hacer en sus casas y se pasa el dia por ahi delincuendo cual gamberro en la oficiba de empleo buscnado que hacer y que no haver para dasr con la clave de acceso.
Como es sabido, GDPR es una regulación de la Unión Europea (UE) que regulará estrictamente la forma en que las organizaciones recopilan, administran y almacenan los datos personales de los ciudadanos de la UE. La GDPR se aplica a cualquier organización que maneje datos pertenecientes a residentes de la UE, independientemente de su ubicación. El objetivo principal de la GDPR es otorgarles a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales y fortalecer sus derechos de privacidad.
¿Cómo afectará la GDPR a mi organización?
La GDPR contiene 11 capítulos y 99 artículos que las empresas deben cumplir para permanecer en conformidad y evitar multas. El cumplimiento de la regulación requiere que las organizaciones:
• Obtengan el consentimiento de los ciudadanos de la UE antes de recopilar sus datos personales.
• Mantengan registros de todas las actividades realizadas en relación con los datos personales, como la modificación, eliminación y creación de datos.
• Realicen auditorías de datos, evaluaciones y generen informes.
• Conviertan en anónimo todas las formas de datos personales recopilados.
• Cuenten con procesos concretos para manejar las filtraciones de información y notificar a las autoridades interesadas.
• Afortunadamente, la tecnología de la información puede facilitar esto al proporcionar numerosas herramientas para facilitar el proceso de adopción de GDPR y cumplir con la misma.
GDPR y ciberseguridad
El punto de la normativa que alude más directamente al ámbito de la seguridad TI es el que explica que las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad (brecha, ciberataque, etc). Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos, en caso de ser considerados de alto riesgo, se hayan podido ver comprometidos. Se trata de un verdadero desafío para las organizaciones, ante el que se hace necesario contar son soluciones informáticas del ámbito del sector de la ciberseguridad.
Entre dichas soluciones se incluyen el cifrado de la información, la protección frente a intrusiones (IPS), o las copias de seguridad o soluciones de back-up. Pero los mecanismos en que nos vamos a detener son el doble factor de autenticación y la gestión del acceso privilegiado.
El doble factor de autenticación en las contraseñas es un método importante para evitar el acceso no deseado a datos personales, que permite asegurar la legitimidad del usuario que accede a la información. Esto se efectúa a través de un doble chequeo que se realiza por SMS, llamada de voz, código PIN o token.
El concepto de gestión del acceso privilegiado supone controlar, gestionar, monitorear y auditar todo el ciclo de vida del acceso privilegiado. El control, el monitoreo y la administración del acceso privilegiado requieren la automatización de todo el ciclo de vida del acceso privilegiado. Sin embargo, los enfoques manuales a la administración de acceso privilegiado consumen mucho tiempo, son propensos a errores y pueden no ser capaces de proporcionar el nivel deseado de controles de seguridad.
Ante este desafío, se han creado soluciones que cumplen estas funciones cubriendo tres ámbitos: administración de cuentas privilegiadas, administración de acceso remoto y administración de sesiones privilegiadas. Un gestor de accesos privilegiados eficaz debe encriptar y consolidar completamente todas las cuentas privilegiadas en una bóveda centralizada, que se vea reforzada con controles de acceso granulares. También tiene que mitigar los riesgos de seguridad relacionados con el acceso privilegiado, así como prevenir las violaciones de seguridad y los problemas de cumplimiento antes de que interrumpan el negocio.
netsecure
