El RGPD y la Gestión del Acceso Privilegiado (PAM): lo que las multinacionales necesitan saber

La Unión Europea está a punto de promulgar su nueva normativa en materia de privacidad: el Reglamento General de Protección de Datos (RGPD). El RGPD, que reemplazará a la normativa de privacidad actual de la UE, tan solo es la última regulación de una larga lista que se remonta a 1980. Esta nueva normativa, además de aclarar y simplificar numerosos requisitos en relación con la protección de datos, también añade nuevas normas que, con toda seguridad, conllevarán desafíos para los negocios internacionales que se lleven a cabo en la UE.

De hecho, el RGPD se aplica a toda empresa que trate con los datos personales de cualquier residente de la UEindependientemente de si esta se ubique o no en la Unión Europea. Por ejemplo, una empresa de EE. UU. que tenga una filial en la Unión Europea (o que simplemente haga negocios con sus ciudadanos) estará sujeta a esta normativa. En pocas palabras, el RGPD afecta a prácticamente todas las empresas del mundo, sea cual sea su tamaño.

Algunas de las nuevas normas más importantes del RGPD son:

  • Privacidad diseñada e integrada en los procesos empresariales: por defecto, los niveles de privacidad deben ser altos.
  • Creación de la figura del responsable de la protección de datos (RPD): las organizaciones con más de 250 empleados deben nombrar a alguien que se encargue de la protección de los datos.
  • Consentimiento: de acuerdo con la RGPD, los ciudadanos de la UE deben dar su consentimiento válido y explícito para el tratamiento de sus datos personales. El «responsable del tratamiento de los datos» tiene que ser capaz de probar la existencia de un consentimiento u «opt-in» (consentimiento previo y voluntario de los futuros destinatarios a recibir comunicaciones por medio de un correo electrónico).
  • Derecho a la supresión: el RGPD actualiza el «derecho al olvido» existente con la introducción del «derecho de supresión». Ahora cualquier ciudadano de la UE puede solicitar la eliminación de sus datos personales en determinadas circunstancias.
  • Violaciones de datos: en caso de que se produzca una violación de datos, el RPD tendrá la obligación legal de comunicar el incidente a la «Autoridad de Control» de su respectivo país en un máximo de 72 horas, así como a los individuos afectados.
  • Portabilidad de los datos: los ciudadanos europeos pueden mover sus datos personales entre sistemas sin que el responsable del tratamiento de los datos pueda impedirlo.
  • Ampliación de los requisitos de notificación: los responsables del tratamiento de los datos deben especificar durante cuánto tiempo se conservarán los datos personales de un usuario.
  • Evaluación del impacto de la protección de datos: cuando se prevean riesgos específicos asociados a los derechos y libertades de los interesados (aquellos individuos cuyos datos se han recopilado), los responsables del tratamiento de sus datos deben llevar a cabo una evaluación sobre el impacto a la protección de los mismos.
  • Sanciones más elevadas: el RGPD incrementa las sanciones relacionadas con las violaciones de datos, con multas de 20 millones de euros o hasta el 4% de los ingresos, lo que sea mayor.

El potencial impacto del RGPD en la ciberseguridad y la TI

Las nuevas normas del RGPD van mucho más allá de la esfera de la privacidad, ya que estas afectan a una buen aparte de las prácticas de ciberseguridad y TI. En lo que respecta a los negocios internacionales, lo más seguro es que el RGPD afecte a su gestión y protección de datos, desarrollo de software y administración de los sistemas. Asimismo, la introducción de la figura del responsable de la protección de datos (RPD) afectará a la forma en la que funcionan y se comunican los equipos de seguridad y TI. Este será el equivalente a una autoridad reguladora interna, y cualquier empleado que gestione los datos personales ahora estará en cierto modo obligado a mantener informado al RPD sobre las decisiones y actividades relacionadas con el cumplimiento del RGPD.

Con el RGPD la privacidad se vuelve parte de cada aspecto de la TI. Por ejemplo, una multinacional que tenga filiales en la UE tiene que rastrear sus movimientos de datos en todo el espacio europeo y el RPD debe poder auditar dichos movimientos.

La «Privacidad desde el Diseño» afecta a cómo los sistemas están diseñados y desarrollados. El derecho a la supresión y portabilidad de los datos creará nuevos flujos de trabajo que necesitarán la programación de nuevas funciones en los sistemas de registro, como los sistemas de gestión de relaciones con clientes (CRM).

En resumen, el RGPD supone un cambio importante tanto para los equipos de TI como para los de seguridad

No deje de garantizar la privacidad de sus clientes solo porque las nuevas normas sean complejas

No olvide que el objetivo principal del RGPD es proteger los datos personales de los individuos.

Como profesionales de las tecnologías de la información y seguridad, es fácil referirnos al RGPD como otro nuevo obstáculo que tenemos que sortear para cumplir con la normativa; pero como ciudadanos del mundo, esta nueva normativa representa una gran oportunidad para que las empresas se tomen más en serio la privacidad de los datos.

Las leyes de protección de datos anteriores al RGPD se remontan a 1995, y estaban diseñadas para un mundo cuya infraestructura informática era principalmente fija e interna. Hace veinte años era prácticamente impensable manejar la cantidad de datos diferentes que manejamos hoy en día, ni tampoco concebíamos las consecuencias que hoy en día tiene una violación de datos. El RGPD, además introducir una gran cantidad de requisitos nuevos, trae algunas ventajas y beneficios,  especialmente para las empresas con sede en la UE.

No deje que el RGPD se convierta en otro mero papeleo. Tómeselo como una oportunidad para proteger a sus datos y crear transparencia mientras lo hace

El RGPD y la Gestión del Acceso Privilegiado (PAM)

La gestión de los usuarios privilegiados es una de las principales actividades que hay que llevar a cabo para lograr cumplir con el RGPD.

Un usuario privilegiado es aquel que tiene acceso administrativo o «root» a un sistema y que, por lo tanto, puede añadir, modificar o eliminar cuentas de correo electrónico en el Microsoft Exchange Server, por ejemplo. Estos privilegios de acceso deben estar estrechamente controlados y ser revocados con facilidad cuando dejan de ser necesarios.

La Gestión del Acceso Privilegiado (PAM) es una disciplina de seguridad que utiliza herramientas y prácticas para mantener una organización a salvo del mal uso accidental o deliberado de los accesos privilegiados. Una solución PAM:

  • Ofrece una manera segura y directa de autorizar y monitorear a los usuarios privilegiados de todos los sistemas importantes.
  • Otorga y revoca privilegios a los usuarios solo para los sistemas en los que están autorizados.
  • Gestiona de forma rápida y centralizada el acceso a diferentes sistemas.
  • Crea una pista de auditoría inalterable de cualquier operación privilegiada.

El cumplimiento del RGPD exige realizar un seguimiento para controlar el acceso administrativo a cualquier sistema que gestione datos personales, como por ejemplo la supervisión de la forma en la que varios administradores gestionan y protegen los datos de una empresa internacional en varios territorios de la UE. Es necesario documentar los accesos privilegiados para determinar la conformidad con el RGPD.

En este sentido, una solución PAM puede documentar el cumplimiento del RGPD al mismo tiempo que agiliza las auditorías internas y externas. También puede mostrar qué roles y personas de una organización están autorizados para modificar las políticas de protección de datos.

Un riesgo típico del RGPD sería tener un usuario privilegiado en un país de la UE cuyos registros de acceso no son transparentes. Sin darse cuenta, este usuario podría incumplir las normas del RGPD y, como consecuencia, suponer grandes costes a la organización debido a las multas del RGPD u otros litigios.

Las soluciones PAM también pueden facilitar los nuevos propósitos de «Privacidad desde el Diseño» del RGPD. Tal y como las recientes violaciones de datos muestran, la seguridad de los datos debe empezar por los que tienen más acceso. PAM es una forma de abordar el problema y debería incluir la incorporación, el mantenimiento y la salida de la aplicación. PAM debe incluirse en el sistema desde la integración inicial, pasando por todos los cambios que se produzcan durante su vida útil, y terminando con la retirada final del sistema tras su desmantelamiento. PAM puede comprobar los flujos de trabajo de los usuarios individuales para garantizar y documentar la legitimidad de sus acciones.

La solución de WALLIX: PAM para el RGPD

WALLIX ofrece una solución PAM que está a la altura de los desafíos del RGPD. La solución de WALLIX combina las sólidas capacidades de PAM con una facilidad de instalación, mantenimiento y uso. Su arquitectura sin agentes se encarga de optimizar el despliegue y las actualizaciones periódicas de las redes y sistemas.

WALLIX abarca tanto los despliegues en la nube como los que se realizan in situ. Su pasarela tiene un inicio de sesión único para el acceso de los administradores del sistema. Gracias a esta función, el Departamento de TI puede definir y aplicar las políticas de privacidad para administradores y empleados de cualquier parte del mundo. Otras de sus funciones principales son:

  • Access Manager: gestiona el acceso a las cuentas privilegiadas, creando un único punto de entrada de la definición y aplicación requerida para la conformidad con el RGPD. Un usuario privilegiado solicita acceso a un sistema a través del Access Manager. El Access Manager sabe a qué sistemas puede acceder el usuario y a qué nivel de privilegio, permitiendo a los superadministradores añadir, modificar y eliminar cuentas de usuarios privilegiados en él.
  • Vault de contraseñas: evita que los usuarios privilegiados sepan las contraseñas actuales a los sistemas críticos. Es imposible llevar a cabo una anulación manual en un dispositivo físico. En cambio, WALLIX guarda estas contraseñas en un vault seguro y permite el acceso de un usuario privilegiado a un sistema una vez que ha despejado al Access Manager. El vault de contraseñas refuerza los controles internos al garantizar que un administrador no pueda cambiar la configuración de la gestión o protección de datos en un dispositivo local.
  • Session Manager: rastrea las acciones llevadas a cabo durante la sesión de una cuenta privilegiada. Para propósitos de transparencia sobre incidentes, el Session Manager de WALLIX ofrece detalles exhaustivos sobre los informes de la DPA.

La solución de WALLIX es ligera. Establece fácilmente el tipo de PAM omnipresente y sostenible que el RGPD necesita para funcionar eficazmente en una organización multinacional. Se instala rápidamente independientemente del sistema y, a medida que cambian los sistemas subyacentes, no necesita un mantenimiento complejo ni actualizaciones de agentes.  Esto conduce a un nivel de flexibilidad que es crítico para el cumplimiento del RGPD. Las normas del RGPD volverán a cambiar y seguramente habrá un período durante el cual las cuestiones específicas de la aplicación de las normas evolucionarán a medida que se resuelvan los detalles prácticos.

Para más información, descargue nuestra guía gratuita sobre la Gestión del Acceso Privilegiado y el inminente cambio que supone el RGPD, o haga clic aquí para solicitar una demostración en directo de nuestra solución PAM WALLIX Bastion.