El control de identidad, clave para cumplir con GDPR

La compañía especializada en seguridad lo hace desde el punto de vista de controlar la identidad para que las organizaciones puedan decidir si conceder o denegar el acceso a datos confidenciales de servicios de terceros, según las políticas que correspondan de GDPR. La plataforma que propone SailPoint para el control de identidad proporciona seguridad, eficiencia operacional y experiencia en entornos TI complejos. Además, permite abordar aspectos relacionados con la capacidad de revisar o ajustar los diferentes accesos que se producen a los datos confidenciales, garantizando un control y el apropiado despliegue de medidas para cumplir con la normativa. Aquí están toda una serie de recomendaciones:

Prepararse para GDPR con el poder de la identidad

En el último año, las filtraciones de datos y los ciberataques han seguido apareciendo en los titulares y repercutido en los resultados de las empresas. La filtración de datos de Yahoo! costó a la compañía 350 millones de dólares en su acuerdo con Verizon y WannaCry se convirtió en el peor desastre digital que ha golpeado a una organización en muchos años, afectando al transporte y a los hospitales en todo el mundo. A medida que las filtraciones de datos siguen aumentando tanto en frecuencia como en gravedad, no sorprende que entren en vigor reglamentos para hacer que las organizaciones sean responsables de sus esfuerzos de ciberseguridad o de la falta de ellos.

Las organizaciones deben centrarse en varios aspectos para asegurarse de que están preparadas para sortear los obstáculos que exige el cumplimiento del RGPD, que incluye saber dónde se almacenan todos los datos, quién puede acceder a ellos y cómo se concede este acceso.

Descubrir quién tiene acceso a qué datos

El mejor lugar para empezar es realizar un minucioso análisis de riesgos y un cartografiado de los datos y sus titulares en toda la infraestructura. Deben saber quiénes son sus usuarios y dónde se encuentran los datos en riesgo, si están en una base de datos o en una hoja de cálculo, en un dispositivo NAS o en la nube. Las organizaciones que no den este primer paso de asignar de forma activa la responsabilidad sobre los datos se exponen a unas considerables sanciones por parte del RGPD.

Práctica del menor privilegio

Una vez se han cartografiado los datos y sus titulares, las organizaciones deben reforzar los controles que determinan quién tiene acceso a datos concretos. Es obligatorio eliminar los accesos innecesarios e indeseados a sistemas, aplicaciones y datos. Esto significa que los usuarios deben tener acceso con el «menor privilegio» y solo a los recursos mínimos que necesiten y el acceso a datos confidenciales debe estar muy limitado. Además, estos privilegios deben comprobarse de manera constante y repetida.

Protección de datos confidenciales

Una vez que las organizaciones han identificado quién tiene acceso a los datos confidenciales y lo que hacen con ese acceso, pueden adoptar medidas para protegerlos conforme a unas buenas prácticas. Esto es especialmente importante para los datos almacenados en archivos o carpetas, a menudo fuera de los firewalls corporativos.

Control de la actividad de los usuarios

Tras todos estos esfuerzos, las organizaciones deben poner en marcha un control constante de la actividad para mejorar la reducción de los riesgos y conocer el uso apropiado. Este control continuado puede avisar en tiempo real al personal apropiado si se detecta una actividad inapropiada o solicitudes anormales, lo que permite su reparación inmediata.

La responsabilidad es la clave

El cumplimiento del RGPD también significa un mayor grado de responsabilidad. Las empresas deben estar preparadas para ofrecer pruebas de cumplimiento si se les solicita y, en consecuencia, documentar todas las políticas, procedimientos y operaciones de procesamiento de los datos. Deben poder responder con rapidez a preguntas fundamental esacerca de dónde se encuentran todos los datos confidenciales y quién tiene acceso a ellos.

Vencer al tiempo

Puesto que el cumplimiento del RGPD requiere la notificación en 72 horas a las personas en alto riesgo y cuyos datos se han filtrado, la automatización es una obligación. Unos tiempos de respuesta como estos no formaban parte de las anteriores iniciativas de cumplimiento. La automatización resulta obligatoria, en especial para empresas grandes, ya que los posibles riesgos y sanciones aumentan con el tamaño. La concesión y la cancelación automática de acceso permite a las organizaciones intensificar los controles de seguridad al tiempo que posibilita la eficiencia empresarial.

El control de la identidad, el camino para cumplir con GDPR

Un camino seguro para cumplir estos estrictos requisitos del RGPD es situar la identidad en el centro de las estrategias de seguridad. El control de la identidad ayuda a las organizaciones a Iograr el cumplimiento, ya que les ofrece medios de conceder y denegar el acceso a datos confidenciales según sus políticas de RGPD, así como la capacidad de revisar y ajustar de forma regular el acceso a los datos confidenciales según sea necesario para mantener el cumplimiento.

Con el poder de la identidad, las empresas tendrán total visibilidad acerca de quién tiene acceso a los datos y conocimientos sobre cómo se aprovecha este acceso, lo que les da medios no solo para cumplir el RGPD y otros requisitos reglamentarios, sino también para hacer realidad una mejor seguridad global. Además de abordar los reglamentos y evitar costes, estas medidas incrementarán la confianza de los clientes y, en última instancia, harán que las empresas no aparezcan en los titulares por los motivos equivocados.