Gestión de accesos e identidades para cumplir con el GDPR

seguridad corporativa

Gestión de accesos e identidades para cumplir con el GDPR

El nuevo Reglamento General de Protección de Datos (RGPD) de la UE obliga a las empresas a tener más control y protección de los datos referidos a personas con los que trabajan, por lo tanto a mejorar la seguridad corporativa. Muchas organizaciones están en plena adaptación a esta normativa que será obligatoria a partir del próximo 25 de mayo. En ese camino resulta imprescindible analizar y estudiar cómo mejorar la gestión de accesos e identidades para cumplir con el GDPR (General Data Protection Regulation).

Seguridad corporativa para cumplir con el GDPR

El GDPR (General Data Protection Regulation) establece un entorno de seguridad corporativa TI en el que decidir y supervisar quién tiene acceso a qué es de vital importancia. Es cierto que implantar un sistema de gestión de accesos e identidades o IAM (Identity and Access Management) en inglés no aumenta directamente la rentabilidad ni aporta funcionalidades de negocio claras, pero su transcendencia es máxima.

Los accesos sin control o los robos de identidades están en los orígenes de muchos ciberataques. Y la fuga de información no solo puede poner en riesgo un negocio o acabar con su reputación, en el caso del nuevo reglamento europeo supone arriesgarse a multas de hasta 600.000 €. Como vemos, la gestión de accesos impacta directamente en la estrategia de ciberseguridad corporativa.

¿Qué es una solución IAM? ¿Por qué la necesito?

Los ‘padres’ del GDPR son conscientes de que las organizaciones se mueven hoy en día en nuevos escenarios (Movilidad y Cloud, BYOD -Bring Your Own Device-, aplicaciones móviles, Internet de las Cosas…) y era necesaria una puesta al día de las legislaciones sobre la protección de los datos personales. Estos ya no están ubicados solamente en tradicionales repositorios físicos de acceso limitado, sino que fluyen peligrosamente por el mundo online. Urge desplegar infraestructuras TI seguras.

Las empresas se enfrentan a multitud de dispositivos y servicios cuyos accesos hay que controlar para poder cumplir con GDPR. De ahí la importancia de contar con un sistema IAM con el que identificar a las personas y controlar sus accesos a los sistemas corporativos en los que pueden encontrarse todo tipo de datos referidos a empleados, clientes, proveedores, colaboradores…

Una solución para la gestión de accesos e identidades establece asociaciones entre derechos del usuario y restricciones siguiendo reglas establecidas según la definición de políticas de seguridad de la empresa. Estas herramientas se implantan en la arquitectura TI empresarial como Sistema OnPremise o en entornos Cloud como servicio de pago por uso (IDaaS).

En su configuración se determina qué dispositivos y usuarios están autorizados para trabajar en la red empresarial y qué pueden hacer atendiendo a diversos factores: ubicación, tipo de dispositivo, rol profesional, etc.

¿Cuál es la mejor solución de gestión de accesos e identidades?

Como punto de partida, los sistemas IAM tienen que automatizar el inicio, la captura, el registro y la gestión de las identidades de los usuarios así como sus permisos de acceso. En el mercado existen múltiples productos; para ayudarte en tu decisión te apuntamos algunas cuestiones que tienes que valorar antes de seleccionar uno.

Administración sencilla

Es una condición común para cualquier recurso IT, aquí también. Conviene que no solo sea sencillo de configurar para que la automatización de los procesos que pondrá en marcha sea eficaz, sino que en cualquier momento, el administrador pueda ver y cambiar inmediatamente cualquier derecho de acceso. Además, debe permitir crear servicios de directorio centralizado que impidan que las contraseñas terminen escritas por los empleados en archivos o papeles en su intento por recordar las de todos los sistemas.

Gestión automática de accesos y permisos por aprobación

Un sistema que relaciona automáticamente puestos de trabajo, ubicación e ID del área de negocio para responder a solicitudes de acceso es un sistema ágil y seguro… pero hay que dar un paso más. También debe dejar margen para que ciertos permisos tengan que ser asignados bajo petición, aplicando si se requiere algunas revisiones a modo de flujo de trabajo. Unas serán permitidas y otras denegadas según lo establecido en las reglas de configuración. Esta aprobación/revisión por etapas es básica para controlar eficazmente los accesos.

Máxima compatibilidad con los recursos TI

Es importante que la solución sea compatible con el mayor número de BBDD, Sistemas Operativos, Softwares de gestión, plataformas de correo electrónico, así como con cualquier tipo de aplicación que contenga datos de carácter personal… y tanto en entornos físicos, virtuales y en la Nube.

Gestión y restablecimiento de contraseñas

Contar con herramientas que, en caso de olvido de los credenciales, permitan generar preguntas para que los usuarios recuperen por sí solos contraseñas libera al departamento TI de atender sus solicitudes.

Análisis de comportamientos y alertas

Poder monitorizar los accesos de los usuarios con privilegios permite contener al máximo los riesgos. Estableciendo alertas se pueden detectar acciones maliciosas para detenerlas y mejorar los controles de seguridad con medidas adicionales.

Tanto la obligatoriedad del GDPR como la necesaria Transformación Digital de las empresas son dos buenos motivos para revisar en profundidad cómo se está gestionando el acceso a los datos críticos corporativos y sacar las conclusiones oportunas para implantar soluciones para una seguridad integral.

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.

Infraestructura TI