¿Cómo cumplir con el RGPD? – Globb Security

Un poco más… ya queda poco…

http://globbsecurity.com/como-cumplir-con-el-rgpd-42948/

Transcripción literal:

No pasa un día sin que oigamos hablar de una organización que ha sufrido un fallo de seguridad, donde datos sensibles han sido puestos en peligro. Los ataques dirigidos son cada vez más comunes y más exitosos, lo que plantea un serio desafío para los administradores de seguridad de todo el mundo.

En el caso de una violación de datos personales, la fecha de entrada en vigor del RGPD se acerca y justifica que haya cada vez más ruido. Descrito por la Unión Europea como el cambio más importante en la regulación de la confidencialidad de datos de los últimos 20 años, tiene como objetivo proporcionar orientación sobre cómo una organización garantiza el acceso y uso de los datos de carácter personal de manera apropiada.

¿Cómo cumplir con el RGPD?

La mayor parte de la norma es de sentido común, pero los legisladores tienen la habilidad de convertirla en algo aparentemente insuperable.

Sin embargo, la mejor manera de comenzar es conociendo los conceptos básicos ya que, el RGPD cuenta con 11 capítulos y casi 100 artículos, lo que significa que hay que abordar un gran número de directrices referidas a la gestión del acceso a los datos.

  • Implementar medidas técnicas y organizativas apropiadas: debe demostrar que ha tenido en cuenta y ha integrado la protección de datos en sus actividades de tratamiento de la información. [Artículos 5, 24, 25, 28 y 32]
  • Impedir el acceso no autorizado a los datos: El acceso no autorizado también incluye la destrucción accidental o ilícita, la pérdida, alteración o divulgación no autorizada de datos personales transmitidos, almacenados o tratados de cualquier modo. [Artículos 4, 5, 23, 32]
  • Informar a las partes interesadas de una violación: Debe informar a su autoridad de supervisión y la parte implicada en los datos de cualquier violación que podrían “socavar los derechos y libertades de las personas” en las 72 horas siguientes a la primera detección de la violación. [Artículos 33, 34]
  • Mantener un registro impecable: debe mantener un registro de las actividades de procesamiento de datos, incluyendo información sobre los “destinatarios con los cuales los datos personales han sido o serán divulgados”, es decir todos aquellos que tienen acceso a los datos. [Artículos 5, 28, 30, 39, 47]

Para los dominios de Windows Active Directory, UserLock y FileAudit pueden ayudarte a cumplir con el RGPD

El verdadero desafío es la efectividad de los piratas informáticos obteniendo un acceso autorizado a los recursos a través del uso de complejas campañas de phishing e ingeniería social. Para los administradores de seguridad, puede ser tedioso tratar de identificar actividades sospechosas y accesos a los datos cuando el adversario tiene credenciales válidas y autorizadas. Es por ello que controlar todos los accesos a los datos sensibles, tanto autorizados como no, se vuelve esencial. Los atacantes buscan los datos, y para eso deben acceder a ellos antes de poder extraerlos. Tener visibilidad es la clave.

UserLock y FileAudit contribuyen juntos a reforzar la seguridad de acceso, y por tanto, le ayudarán a cumplir con el RGPD:

• Demuestre que ha tomado medidas técnicas para mejorar la seguridad

• Impida los accesos no autorizados a los datos

• Detecte una violación para que pueda notificar rápidamente a las autoridades, mitigando las multas

• Mantenga un registro de auditoría claro de la actividad de la red, archivos y carpetas para probar el cumplimiento de la norma

¿Cómo puede ayudarle UserLock a abordar el RGPD?

El cumplimiento comienza con la seguridad de las conexiones

El propósito del RGPD es proteger los datos contra todo acceso no autorizado. La conexión es por tanto la primera línea de defensa contra los accesos no autorizados.

UserLock amplía la seguridad de las conexiones para garantizar que cualquier persona que se conecte al sistema de su empresa (y acceda a los datos) sea realmente quien dice ser. UserLock usa más que un nombre de usuario y una contraseña para confirmar una identidad. El software analiza la información contextual sobre cada conexión – el día y hora de la conexión, la dirección IP, la estación de trabajo de la conexión, e incluso la frecuencia de la conexión – y restringe las conexiones en función de la información contextual aprobada por el equipo IT.

De esta forma, con UserLock, una organización puede:

• Asegurar el acceso a la red haciendo que los datos personales sean identificables, auditados y atribuidos a un usuario individual

• Prevenir el acceso no autorizado

• Eliminar el comportamiento descuidado de los usuarios

• Reportar eventos de acceso sospechoso en tiempo real

• Auditar todos los eventos de acceso de manera centralizada

La conexión es un punto esencial tanto para vigilar el cumplimiento de RGPD, como para prevenir el acceso potencialmente inapropiado (violación de cumplimiento).

Obtenga más información sobre el papel de las conexiones para el cumplimiento de los mandatos de la norma.

¿Cómo le ayuda FileAudit a adaptarse al RGPD?

Audita el acceso (autorizado y no autorizado) a los datos personales

El RGPD establece que el acceso no autorizado a los datos incluye la destrucción accidental o ilegal, la pérdida, la alteración o la divulgación no autorizada de datos personales transmitidos, almacenados o procesados de cualquier manera.

FileAudit es una solución que simplifica en gran medida la auditoría de los accesos a archivos y carpetas en servidores Windows. El nivel granular de administración de los accesos a los archivos ayuda a las organizaciones a superar los requisitos normativos y evitar penalizaciones.

Con FileAudit, una organización puede:

• Identificar los accesos (e intentos de acceso) inapropiados

• Enviar alertas cuando FileAudit detecta el acceso masivo, copia, eliminación o movimiento de archivos

• Indicar desde dónde el usuario accedió al archivo

• Ayudar a minimizar los riesgos de acceso en momentos inusuales o inesperados

• Centralizar y archivar todos los eventos de acceso a los archivos

FileAudit ayuda a demostrar a los reguladores que vuestra empresa protege los datos personales de manera efectiva vigilando a fondo todas las actividades de acceso a los datos que se encuentran en los archivos, carpetas y archivos compartidos. Las organizaciones pueden así, dar respuestas específicas a preguntas sobre accesos inapropiados, alteración o destrucción de datos personales.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.