Conformidad, Privileged Access Management

RGPD y PAM: Lo que las multinacionales necesitan saber

La Unión Europea está a punto de promulgar su nueva normativa en materia de privacidad: el Reglamento General de Protección de Datos (RGPD). El RGPD, que reemplazará a la normativa de privacidad actual de la UE, tan solo es la última regulación de una larga lista que se remonta a 1980. Esta nueva normativa, además de aclarar y simplificar numerosos requisitos en relación con la protección de datos, también añade nuevas normas que, con toda seguridad, conllevarán desafíos para los negocios internacionales que se lleven a cabo en la UE.

De hecho, el RGPD se aplica a toda empresa que trate con los datos personales de cualquier residente de la UE, independientemente de si esta se ubique o no en la Unión Europea. Por ejemplo, una empresa de EE. UU. que tenga una filial en la Unión Europea (o que simplemente haga negocios con sus ciudadanos) estará sujeta a esta normativa. En pocas palabras, el RGPD afecta a prácticamente todas las empresas del mundo, sea cual sea su tamaño.

Algunas de las nuevas normas más importantes del RGPD son:

Privacidad diseñada e integrada en los procesos empresariales: por defecto, los niveles de privacidad deben ser altos.
Creación de la figura del responsable de la protección de datos (RPD): las organizaciones con más de 250 empleados deben nombrar a alguien que se encargue de la protección de los datos.
Consentimiento: de acuerdo con la RGPD, los ciudadanos de la UE deben dar su consentimiento válido y explícito para el tratamiento de sus datos personales. El «responsable del tratamiento de los datos» tiene que ser capaz de probar la existencia de un consentimiento u «opt-in» (consentimiento previo y voluntario de los futuros destinatarios a recibir comunicaciones por medio de un correo electrónico).
Derecho a la supresión: el RGPD actualiza el «derecho al olvido» existente con la introducción del «derecho de supresión». Ahora cualquier ciudadano de la UE puede solicitar la eliminación de sus datos personales en determinadas circunstancias.
Violaciones de datos: en caso de que se produzca una violación de datos, el RPD tendrá la obligación legal de comunicar el incidente a la «Autoridad de Control» de su respectivo país en un máximo de 72 horas, así como a los individuos afectados.
Portabilidad de los datos: los ciudadanos europeos pueden mover sus datos personales entre sistemas sin que el responsable del tratamiento de los datos pueda impedirlo.
Ampliación de los requisitos de notificación: los responsables del tratamiento de los datos deben especificar durante cuánto tiempo se conservarán los datos personales de un usuario.
Evaluación del impacto de la protección de datos: cuando se prevean riesgos específicos asociados a los derechos y libertades de los interesados (aquellos individuos cuyos datos se han recopilado), los responsables del tratamiento de sus datos deben llevar a cabo una evaluación sobre el impacto a la protección de los mismos.
Sanciones más elevadas: el RGPD incrementa las sanciones relacionadas con las violaciones de datos, con multas de 20 millones de euros o hasta el 4% de los ingresos, lo que sea mayor.

El potencial impacto del RGPD en el IT y la ciberseguridad

Las nuevas normas del RGPD van mucho más allá de la esfera de la privacidad, ya que estas afectan a una buen aparte de las prácticas de IT y ciberseguridad. En lo que respecta a los negocios internacionales, lo más seguro es que el RGPD afecte a su gestión y protección de datos, desarrollo de software y administración de los sistemas. Asimismo, la introducción de la figura del responsable de la protección de datos (RPD) afectará a la forma en la que funcionan y se comunican los equipos de IT y seguridad. Este será el equivalente a una autoridad reguladora interna, y cualquier empleado que gestione los datos personales ahora estará en cierto modo obligado a mantener informado al RPD sobre las decisiones y actividades relacionadas con el cumplimiento del RGPD.

Con el RGPD la privacidad se vuelve parte de cada aspecto de la informática. Por ejemplo, una multinacional que tenga filiales en la UE tiene que rastrear sus movimientos de datos en todo el espacio europeo y el RPD debe poder auditar dichos movimientos.

La «Privacidad desde el Diseño» afecta a cómo los sistemas están diseñados y desarrollados. El derecho a la supresión y portabilidad de los datos creará nuevos flujos de trabajo que necesitarán la programación de nuevas funciones en los sistemas de registro, como los sistemas de gestión de relaciones con clientes (CRM).

En resumen, el RGPD supone un cambio importante tanto para los equipos IT como para los de seguridad.

No deje de garantizar la privacidad de sus clientes solo porque las nuevas normas sean complejas

No olvide que el objetivo principal del RGPD es proteger los datos personales de los individuos.

Como profesionales de las tecnologías de la información y seguridad, es fácil referirnos al RGPD como otro nuevo obstáculo que tenemos que sortear para cumplir con la normativa; pero como ciudadanos del mundo, esta nueva normativa representa una gran oportunidad para que las empresas se tomen más en serio la privacidad de los datos.

Las leyes de protección de datos anteriores al RGPD se remontan a 1995, y estaban diseñadas para un mundo cuya infraestructura informática era principalmente fija e interna. Hace veinte años era prácticamente impensable manejar la cantidad de datos diferentes que manejamos hoy en día, ni tampoco concebíamos las consecuencias que hoy en día tiene una violación de datos. El RGPD, además introducir una gran cantidad de requisitos nuevos, trae algunas ventajas y beneficios, especialmente para las empresas con sede en la UE.

No deje que el RGPD se convierta en otro mero papeleo. Tómeselo como una oportunidad para proteger a sus datos y crear transparencia mientras lo hace.

El RGPD y la Gestión del Acceso Privilegiado (PAM)

La gestión de los usuarios privilegiados es una de las principales actividades que hay que llevar a cabo para lograr cumplir con el RGPD.

Un usuario privilegiado es aquel que tiene acceso administrativo o «root» a un sistema y que, por lo tanto, puede añadir, modificar o eliminar cuentas de correo electrónico en el Microsoft Exchange Server, por ejemplo. Estos privilegios de acceso deben estar estrechamente controlados y ser revocados con facilidad cuando dejan de ser necesarios.

La Gestión del Acceso Privilegiado (PAM) es una disciplina de seguridad que utiliza herramientas y prácticas para mantener una organización a salvo del mal uso accidental o deliberado de los accesos privilegiados. Una solución PAM:

Ofrece una manera segura y directa de autorizar y monitorear a los usuarios privilegiados de todos los sistemas importantes.
Otorga y revoca privilegios a los usuarios solo para los sistemas en los que están autorizados.
Gestiona de forma rápida y centralizada el acceso a diferentes sistemas.
Crea una pista de auditoría inalterable de cualquier operación privilegiada.

El cumplimiento del RGPD exige realizar un seguimiento para controlar el acceso administrativo a cualquier sistema que gestione datos personales, como por ejemplo la supervisión de la forma en la que varios administradores gestionan y protegen los datos de una empresa internacional en varios territorios de la UE. Es necesario documentar los accesos privilegiados para determinar la conformidad con el RGPD.

En este sentido, una solución PAM puede documentar el cumplimiento del RGPD al mismo tiempo que agiliza las auditorías internas y externas. También puede mostrar qué roles y personas de una organización están autorizados para modificar las políticas de protección de datos.

Un riesgo típico del RGPD sería tener un usuario privilegiado en un país de la UE cuyos registros de acceso no son transparentes. Sin darse cuenta, este usuario podría incumplir las normas del RGPD y, como consecuencia, suponer grandes costes a la organización debido a las multas del RGPD u otros litigios.

Las soluciones PAM también pueden facilitar los nuevos propósitos de «Privacidad desde el Diseño» del RGPD. Tal y como las recientes violaciones de datos muestran, la seguridad de los datos debe empezar por los que tienen más acceso. PAM es una forma de abordar el problema y debería incluir la incorporación, el mantenimiento y la salida de la aplicación. PAM debe incluirse en el sistema desde la integración inicial, pasando por todos los cambios que se produzcan durante su vida útil, y terminando con la retirada final del sistema tras su desmantelamiento. PAM puede comprobar los flujos de trabajo de los usuarios individuales para garantizar y documentar la legitimidad de sus acciones.

La solución de WALLIX: PAM para el RGPD

WALLIX ofrece una solución PAM que está a la altura de los desafíos del RGPD. La solución de WALLIX combina las sólidas capacidades de PAM con una facilidad de instalación, mantenimiento y uso. Su arquitectura sin agentes se encarga de optimizar el despliegue y las actualizaciones periódicas de las redes y sistemas.

WALLIX abarca tanto los despliegues en la nube como los que se realizan in situ. Su pasarela tiene un inicio de sesión único para el acceso de los administradores del sistema. Gracias a esta función, el Departamento de TI puede definir y aplicar las políticas de privacidad para administradores y empleados de cualquier parte del mundo. Otras de sus funciones principales son:

Access Manager: gestiona el acceso a las cuentas privilegiadas, creando un único punto de entrada de la definición y aplicación requerida para la conformidad con el RGPD. Un usuario privilegiado solicita acceso a un sistema a través del Access Manager. El Access Manager sabe a qué sistemas puede acceder el usuario y a qué nivel de privilegio, permitiendo a los superadministradores añadir, modificar y eliminar cuentas de usuarios privilegiados en él.

Vault de contraseñas: evita que los usuarios privilegiados sepan las contraseñas actuales a los sistemas críticos. Es imposible llevar a cabo una anulación manual en un dispositivo físico. En cambio, WALLIX guarda estas contraseñas en un vault seguro y permite el acceso de un usuario privilegiado a un sistema una vez que ha despejado al Access Manager. El vault de contraseñas refuerza los controles internos al garantizar que un administrador no pueda cambiar la configuración de la gestión o protección de datos en un dispositivo local.

Session Manager: rastrea las acciones llevadas a cabo durante la sesión de una cuenta privilegiada. Para propósitos de transparencia sobre incidentes, el Session Manager de WALLIX ofrece detalles exhaustivos sobre los informes de la DPA.

La solución de WALLIX es ligera. Establece fácilmente el tipo de PAM omnipresente y sostenible que el RGPD necesita para funcionar eficazmente en una organización multinacional. Se instala rápidamente independientemente del sistema y, a medida que cambian los sistemas subyacentes, no necesita un mantenimiento complejo ni actualizaciones de agentes. Esto conduce a un nivel de flexibilidad que es crítico para el cumplimiento del RGPD. Las normas del RGPD volverán a cambiar y seguramente habrá un período durante el cual las cuestiones específicas de la aplicación de las normas evolucionarán a medida que se resuelvan los detalles prácticos.

Para más información, descargue nuestra guía gratuita sobre la Gestión del Acceso Privilegiado y el inminente cambio que supone el RGPD, o haga clic aquí para solicitar una demostración en directo de nuestra solución PAM WALLIX Bastion.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

RGPD y PAM: Lo que las multinacionales necesitan saber

El potencial impacto del RGPD en el IT y la ciberseguridad

No deje de garantizar la privacidad de sus clientes solo porque las nuevas normas sean complejas

El RGPD y la Gestión del Acceso Privilegiado (PAM)

La solución de WALLIX: PAM para el RGPD

La integración de RSA Authentication Manager con PAM

Casos de uso de PAM. Objetivo: Proteger su organización

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca