La cuenta regresiva para la Regulación General de Protección de Datos de la Unión Europea (GDPR) ha comenzado y el tiempo avanza rápidamente. Mientras que los medios están llenos de comentarios, guías y soluciones para los lineamientos del GDPR, aún no se han logrado interpretaciones concluyentes de sus diversos aspectos. La intención básica de la GDPR, sin embargo, es clara: la protección de datos más específicamente, la seguridad de los datos personales.
El término datos personales supone una cobertura extremadamente amplia en el GDPR. Cualquier dato que se relacione con "una persona física identificable" se clasifica como datos personales. Las organizaciones generalmente procesan y almacenan digitalmente cosas como nombres de clientes, direcciones de correo electrónico, fotografías, información de trabajo, conversaciones, archivos multimedia y mucha otra información que podría identificar a las personas.
Los datos personales son omnipresentes y se encuentran en casi cada pieza de TI. Si su organización desea cumplir con la GDPR, entonces necesita definir y aplicar estrictos controles de acceso, así como rastrear meticulosamente el acceso a los datos.
Los ciberataques pueden originarse tanto desde dentro del perímetro de una empresa como desde el exterior. Los análisis de los recientes ciberataques de alto perfil revelan que los hackers tanto externos como internos están explotando el acceso privilegiado para perpetrar ataques. La mayoría de los ataques comprometen los datos personales que procesan o almacenan las aplicaciones y los dispositivos de TI. Los investigadores de seguridad señalan que casi todos los tipos de ciberataques hoy en día implican cuentas privilegiadas.
Tanto en los ataques internos como externos, el acceso no autorizado y el uso indebido de cuentas privilegiadas, las "claves del reino de TI" se han convertido en las principales técnicas utilizadas por los delincuentes. Las contraseñas administrativas, las cuentas predeterminadas del sistema así como las credenciales codificadas de forma fija en los scripts y en las aplicaciones, se han convertido en los principales objetivos que utilizan los delincuentes cibernéticos para obtener acceso.
Los hackers normalmente lanzan un simple ataque de phishing o spear-phishing como una forma de ganar un punto de apoyo en la máquina de un usuario. Luego, instalan software malicioso y buscan contraseñas administrativas omnipotentes que otorgan privilegios de acceso ilimitados para moverse lateralmente por la red, infectar todas las computadoras y desviar datos. En el momento en que el hacker obtiene acceso a una contraseña administrativa, toda la organización se vuelve vulnerable a los ataques y el robo de datos. Los dispositivos de seguridad perimetrales no pueden proteger completamente a las empresas contra este tipo de ataques de privilegios.
Se requiere que las organizaciones trabajen con terceros, como proveedores, socios comerciales y contratistas para una variedad de propósitos. Muy a menudo, los socios externos cuentan con acceso privilegiado remoto a recursos físicos y virtuales dentro de la organización.
Incluso si su organización cuenta con sólidos controles de seguridad, nunca se sabe cómo los terceros manejan sus datos. Los hackers podrían explotar fácilmente vulnerabilidades en su cadena de suministro o lanzar ataques de phishing contra aquellos que tienen acceso y obtienen acceso a su red. Es imperativo que el acceso privilegiado otorgado a terceros sea controlado, administrado y monitoreado.
Además, personas malintencionadas que incluyen personal de TI descontento, técnicos codiciosos, empleados despedidos y personal de TI que trabaja con terceros podrían colocar bombas lógicas o robar datos. El acceso administrativo no controlado es una posible amenaza para la seguridad, que pone en peligro su negocio.
La GDPR requiere que las organizaciones garanticen y demuestren el cumplimiento de sus políticas de protección de datos personales. La protección de los datos personales, a su vez, requiere un control completo sobre el acceso privilegiado, el principio fundamental de la GDPR. Controlar el acceso privilegiado requiere que:
Como se explicó anteriormente, el control, el monitoreo y la administración del acceso privilegiado requieren la automatización de todo el ciclo de vida del acceso privilegiado. Sin embargo, los enfoques manuales a la administración de acceso privilegiado consumen mucho tiempo, son propensos a errores y pueden no ser capaces de proporcionar el nivel deseado de controles de seguridad.
Password Manager Pro es una solución completa para controlar, gestionar, monitorear y auditar todo el ciclo de vida del acceso privilegiado. Ofrece tres soluciones en un solo paquete: administración de cuentas privilegiadas, administración de acceso remoto y administración de sesiones privilegiadas.
Password Manager Pro encripta y consolida completamente todas sus cuentas privilegiadas en una bóveda centralizada, que se ve reforzada con controles de acceso granulares. También mitiga los riesgos de seguridad relacionados con el acceso privilegiado, así como previene las violaciones de seguridad y los problemas de cumplimiento antes de que interrumpan su negocio.
En conjunto, estas capacidades le permiten lograr un control total sobre el acceso privilegiado en su organización, sentando así una base sólida para el cumplimiento de GDPR.
El cumplimiento total de la GDPR requiere una variedad de soluciones, procesos, personas y tecnologías. Como se mencionó anteriormente, la automatización de la administración de acceso privilegiado sirve como base para cumplir con la GDPR. Junto con otras soluciones, procesos y personas apropiadas, la administración de acceso privilegiado ayuda a reforzar la seguridad de TI y evitar las filtraciones de información. Este material se proporciona solo con fines informativos y no se debe considerar como asesoramiento legal para el cumplimiento de GDPR. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, con respecto a la información en este material.
