Cyber Essential

¿Qué es GDPR?

El Reglamento General de Protección de Datos (GDPR en inglés) es una regulación de la Unión Europea (UE) que rige estrictamente las formas en que las organizaciones recopilan, gestionan y almacenan datos personales.

El GDPR tiene como objetivo dar a los ciudadanos de la UE el control sobre cómo y por qué se utilizan sus datos personales, y estandarizar las regulaciones de privacidad de datos en toda la UE. Sin embargo, es importante tener en cuenta que si su organización maneja datos pertenecientes a interesados de la UE o del Espacio Económico Europeo (EEE), debe cumplir con el GDPR, independientemente de dónde se encuentre su empresa.

¿Por qué debería cumplir con el GDPR?

Si bien las organizaciones se preocupan por los estrictos aspectos punitivos del GDPR, es fácil pasar por alto los beneficios que el cumplimiento del mismo traerá a su negocio.

Simplificar procesos y aplicaciones

Unificar todos sus repositorios de datos y tener una idea clara del tipo y el propósito de la recopilación de datos ayudará a su organización a optimizar el acceso a los datos y las solicitudes de modificación, lo que redundará en una mayor seguridad.

Obtener una ventaja competitiva

Implementar medidas estrictas para proteger la información personal demuestra la importancia que se le da a la privacidad de los datos y mejorará la confianza del cliente.

Lograr un cambio cultural

El cumplimiento es un proceso de mejora gradual que traerá consigo una cultura de "seguridad por diseño" dentro de su empresa.

¿Cómo TI puede ayudar a cumplir GDPR?

Con 99 artículos a seguir, el cumplimiento de GDPR es un proceso de varios pasos. Aquí hay una lista de control para TI que le ayudará a comenzar.

01 Un repositorio central para almacenar, ver, monitorear y analizar datos de log de varios entornos
02 Un mecanismo de alerta en tiempo real para detectar la actividad sospechosa que tiene lugar dentro del entorno de TI de su organización
03 Un sistema de auditoría para garantizar la integridad, confidencialidad y seguridad de los datos de log generados por su entorno
04 Los medios para proteger los activos que almacenan datos personales en su entorno
05 Un sistema para crear y gestionar registros de todos los datos procesados, junto con informes detallados y bajo demanda
06 La capacidad de identificar quién accede a cuentas privilegiadas e información confidencial
07 Seguridad y encriptación adecuadas de la información personal en tránsito
08 Un mecanismo para identificar, responder y reportar una violación de seguridad cuando ocurre
09 Un sistema de monitoreo de activos y sistemas que contienen cualquier forma de información personal
10 Una herramienta para identificar y proteger regularmente las vulnerabilidades que surgen en su entorno

¿Cómo puede cumplir GDPR?

  • Artículo 5
  • Artículo 15
  • Artículo 16
  • Artículo 17
  • Artículo 24
  • Artículo 25
  • Artículo 30
  • Artículo 32
  • Artículo 33
  • Artículo 35

Artículo 5

Principios relativos al tratamiento de datos personales

Artículo 5(1)(b)

Recopilar datos personales solo para fines específicos y no procesar los datos de ninguna manera que sea incompatible con los fines establecidos.

Soluciones de ManageEngine para ayudarle a cumplir GDPR:

DataSecurity Plus
  • Identificar anomalías en el acceso, la recopilación, la modificación y la eliminación de datos.
Log360
  • Enviar notificaciones a las autoridades interesadas en caso de actividades anómalas.
Endpoint DLP Plus
  • Aprovechar los registros extensos sobre eventos de acceso y transferencia que implican información confidencial para la auditoría.

Artículo 5(1)(c)

Recopilar solo datos personales adecuados y relevantes que se limitan solo a lo que se requiere para los fines del procesamiento.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Buscar y eliminar datos basura, incluidos archivos obsoletos, duplicados y huérfanos.

Artículo 5(1)(d)

Mantener los datos personales recopilados/procesados con información exacta y actualizada en todo momento.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Programar los escaneos de dispositivos para garantizar la disponibilidad e integridad de los datos personales.
DataSecurity Plus
  • Monitorear y eliminar los datos obsoletos o incorrectos.
Log360
  • Auditar las bases de datos para determinar cuánto tiempo se han almacenado los datos y eliminar los datos personales una vez que se alcance el umbral de almacenamiento.
Browser Security Plus
  • Analizar los navegadores activos para garantizar la protección de los datos personales.
Endpoint DLP Plus
  • Recopilar información sobre los titulares de los datos rápidamente para modificarlos o eliminarlos a petición.

Artículo 5(1)(f)

Procesar todas las formas de datos personales con la máxima seguridad y evitar medios de procesamiento ilícitos o no autorizados.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Obtener visibilidad de los usuarios o dispositivos que intentan acceder a los servicios y datos empresariales.
Log360
  • Enviar alertas cuando se realicen intentos de acceso no autorizados.
  • Generar notificaciones instantáneas cada vez que se produzcan cambios críticos en los archivos.
EventLog Analyzer
  • Auditar todas las actividades en los sistemas que almacenan datos personales y los cambios en ellos.
  • Advertir a los delegados de protección de datos o a los administradores de seguridad cuando la integridad de los datos personales se vea comprometida.
DataSecurity Plus
  • Auditar las acciones de archivos y carpetas, y mantener una pista de auditoría de los accesos a archivos. Enviar alertas instantáneas por correo electrónico a los administradores sobre la detección de acciones de archivos sospechosas.
  • Detectar y contener las infecciones de ransomware al instante para evitar la pérdida de datos.
  • Detectar y evitar la fuga de archivos críticos para la empresa a través de dispositivos USB o correo electrónico.
Patch Manager Plus
  • Enmascarar, remover y conservar la PII mientras se programan o exportan informes de usuario.
Endpoint DLP Plus
  • Limitar el acceso a los datos al personal esencial y relevante en función de la autorización de seguridad y las necesidades específicas de la tarea.

Artículo 5(2)

Demostrar el cumplimiento de los requisitos del GDPR cuando sea necesario.

Soluciones de ManageEngine para ayudarle a cumplir:

ADManager Plus
  • Exportar los informes en cualquier formato de archivo y/o enviarlos por correo electrónico a las partes interesadas a intervalos específicos.
PAM360
  • Proporcionar grabaciones de vídeo, informes personalizados y logs de auditoría en cada actividad privilegiada.

Artículo 15

Derecho de acceso del titular de los datos

Artículo 15(1)

Conceder siempre a los interesados el derecho a obtener información sobre el tipo de datos personales que se tratan y la naturaleza de las actividades que se realizan con ellos.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Monitorear quién accede a los datos personales, incluido cuándo y dónde se utilizan. Encontrar los datos personales de los usuarios en los servidores de archivos de Windows y los entornos de failover cluster.
  • Determinar la procedencia de los datos personales y la relación entre los datos y las fuentes, sistemas y usuarios correspondientes.
Endpoint DLP Plus
  • Uncover personal data whereabouts and the relationship between data and the corresponding sources, systems, and users.

Artículo 5(3)

Proporcionar a los interesados una copia de todos sus datos personales que se hayan recopilado para su procesamiento.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Identificar la ubicación donde se almacenan los datos personales o sensibles para facilitar otros procesos.
Endpoint DLP Plus
  • Escanear los endpoints dentro de su red para determinar la procedencia de todos los elementos confidenciales de cualquier titular de datos.

Artículo 16

Derecho a la rectificación

Artículo 16

Dar a los interesados la opción de rectificar o actualizar convenientemente su información personal.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Mantener su inventario de datos personales actualizado escaneando su sistema de archivos de Windows a intervalos regulares.
Endpoint DLP Plus
  • Escanear, descubrir y recuperar datos personales, lo que permite realizar cambios rápidos a petición de los interesados.

Artículo 17

Derecho a borrar ("derecho a ser olvidado")

Artículo 17

Si algún interesado solicita que sus datos personales sean eliminados, siempre se tiene la disposición para cumplir su solicitud con prontitud.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Localizar los archivos que contienen la información del titular de los datos para procesos posteriores.
Endpoint DLP Plus
  • Recuperar la información sobre los titulares de los datos rápidamente para facilitar la eliminación de datos de forma oportuna.

Artículo 24

Responsabilidad del controlador

Artículo 24(1)

Implementar medidas técnicas y organizativas apropiadas para garantizar que el procesamiento se realice de acuerdo con el GDPR.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Comprobar periódicamente si los activos de su organización siguen cumpliendo con las configuraciones corporativas.
  • Distribuir de forma segura documentos comerciales confidenciales a personas y aplicaciones autorizadas.
ADManager Plus
  • Enviar informes por correo electrónico o exportarlos cuando sea necesario para evaluaciones e investigaciones de seguridad.
Endpoint DLP Plus
  • Generar informes extensos con información procesable para auditar la información confidencial y las políticas aplicadas a TI.

Artículo 24(2)

Implementar políticas de protección de datos adecuadas para proteger la PII de los interesados.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Evitar las transferencias de datos injustificadas a dispositivos USB con políticas predefinidas.
  • Utilizar mecanismos automatizados de respuesta a amenazas para apagar sistemas infectados y desconectar sesiones de usuarios vulnerables.
Endpoint DLP Plus
  • Configurar políticas para restringir el movimiento de datos confidenciales a dispositivos periféricos o a través de publicaciones web o archivos adjuntos de correo electrónico.

Artículo 25

Protección de datos por diseño y por defecto

Artículo 25(2)

Los datos personales deben ser tratados solo para la finalidad para la que fueron recopilados y no deben ser accesibles para aquellos que no están directamente involucrados en estos procesos.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Mantener los datos personales y corporativos separados en los dispositivos móviles.
  • Eliminar los datos personales de los usuarios de sus servidores y revocar el acceso a esos datos.
Password Manager Pro
  • Evitar que los usuarios no autorizados se aprovechen del acceso privilegiado a los repositorios de datos personales.
ADManager Plus
  • Auditar los eventos de cambios en los permisos para identificar los cambios de permisos no autorizados relacionados con datos personales.
DataSecurity Plus
  • Encontrar usuarios con acceso de control total a sus recursos compartidos de Windows y localizar todos los archivos y carpetas compartidos con todos los usuarios.
PAM360
  • Garantizar que solo los usuarios autorizados puedan acceder de forma remota a los datos confidenciales durante un período de tiempo específico.

Artículo 30

Registros de las actividades de procesamiento

Artículo 30(1)

Mantener siempre registros de todas las actividades de procesamiento con detalles sobre el motivo del procesamiento de los datos, las categorías de datos procesados y las medidas de seguridad adoptadas durante el procesamiento.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Localizar las instancias de datos personales confidenciales almacenados en servidores de archivos de Windows y failover clusters.
  • Descubrir los permisos del usuario sobre archivos que contienen datos personales confidenciales y auditar la actividad del usuario.
PAM360
  • Obtener logs de auditoría ricos en contexto, informes out-of-the-box y grabaciones de sesiones de todas las actividades realizadas en los repositorios de datos personales.
Patch Manager Plus
  • Mantener y consultar un registro de todas las actividades de procesamiento realizadas.
ADManager Plus
  • Obtener una pista de auditoría completa de todas las actividades relacionadas con los datos personales.
Endpoint Central
  • Mantener un registro de todas las actividades de procesamiento según lo establecido por el RGPD.
Endpoint DLP Plus
  • Auditar los datos confidenciales y las políticas aplicadas a TI para protegerlos de su divulgación.

Artículo 32

Seguridad del procesamiento

Artículo 32(1)(a)

Garantizar la confidencialidad de todos los sistemas de procesamiento y cifrar los datos personales aplicando las medidas adecuadas.

Soluciones de ManageEngine para ayudarle a cumplir:

Key Manager Plus
  • Proteger los datos en tránsito y monitorear y gestionar fácilmente su infraestructura de clave pública.
Endpoint Central
  • Encriptar los datos personales almacenados en dispositivos móviles.

Artículo 32(1)(b)

Garantizar la disponibilidad, confidencialidad e integridad de los sistemas y servicios de procesamiento.

Soluciones de ManageEngine para ayudarle a cumplir:

Key Manager Plus
  • Proteger y cifrar el acceso a la PII de los titulares de los datos.
DataSecurity Plus
  • Monitorear y auditar continuamente los sistemas de almacenamiento que almacenan datos personales.
Log360
  • Detectar intentos de acceso no autorizados y anomalías en las actividades de los usuarios en los sistemas y servicios.
ADAudit Plus
  • Auditar y enviar alertas en tiempo real cuando se produzca algún cambio en los recursos críticos.
  • Detectar intentos de acceso no autorizados y anomalías en las actividades de los usuarios en los sistemas y servicios.
PAM360
  • Permitir que los usuarios autorizados se conecten a recursos remotos críticos sin exponer la contraseña de forma segura.
Vulnerability Manager Plus
  • Detectar sistemas sin cifrado BitLocker y cifrar volúmenes de disco completos.
Endpoint DLP Plus
  • Limitar la exposición de datos confidenciales restringiendo el acceso solo al personal relevante en función de su autorización de seguridad.

Artículo 32(1)(d)

Implementar mecanismos preventivos para los riesgos asociados con el procesamiento de datos, como la pérdida, alteración, eliminación y divulgación de datos personales.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Comprobar periódicamente si los dispositivos de su empresa siguen cumpliendo.
Password Manager Pro
  • Evitar que losatacantes exploten el acceso privilegiado a los datos personales recopilados.
Log360
  • Garantizar el procesamiento seguro vigilando cualquier anomalía que pueda resultar ser una posible violación de datos.
EventLog Analyzer
  • Auditar todas las actividades en los sistemas que almacenan datos personales y los cambios en los datos personales.
PAM360
  • Monitorear y auditar las actividades privilegiadas en sistemas críticos y finalizar las sesiones anómalas.
Vulnerability Manager Plus
  • Monitorear las configuraciones erróneas en los endpoints y corregirlas.
Endpoint DLP Plus
  • Implementar políticas de prevención de pérdida de datos para mantener las medidas de seguridad incluso sin conexión.

Artículo 32(2)

Implementar mecanismos preventivos para los riesgos asociados con el procesamiento de datos, como la pérdida, alteración, eliminación y divulgación de datos personales.

Soluciones de ManageEngine para ayudarle a cumplir:

Endpoint Central
  • Establecer alertas en caso de que un dispositivo no se comunique con el servidor durante un período de tiempo predefinido.
Log360
  • Centralizar y correlacionar los datos de seguridad para identificar posibles violaciones de la seguridad de los datos al instante.
  • Auditar los cambios en los datos personales, por ejemplo, modificación, eliminación, cambio de nombre, o incluso cambios de permisos.
DataSecurity Plus
  • Monitorear el uso de USB y bloquear la transferencia de datos personales a dispositivos USB o por correo electrónico como archivos adjuntos.
  • Reducir los tiempos de respuesta a incidentes con alertas instantáneas y una respuesta automática a amenazas.
  • Generar alertas e informes sobre los accesos injustificados o los picos repentinos en accesos y modificaciones a archivos.
  • Mantener un registro de todas las acciones de eliminación de archivos y carpetas, y descubrir y poner en cuarentena las infecciones de ransomware.
Patch Manager Plus
  • Establecer alertas en caso de que un dispositivo no se comunique con el servidor durante un período de tiempo predefinido.
Endpoint DLP Plus
  • Configurar políticas para restringir la transferencia de información confidencial a dispositivos periféricos.

Artículo 32(4)

Tomar medidas para garantizar que nadie explote u obtenga acceso no autorizado o ilegal a los datos personales.

Soluciones de ManageEngine para ayudarle a cumplir:

Password Manager Pro
  • Gestionar, monitorear y auditar el acceso administrativo a los sistemas y aplicaciones que manejan PII.
Log360 and ADManager Plus
  • Detectar cuando los usuarios acceden a los datos personales sin los permisos adecuados.
PAM360
  • Aprovisionar el acceso con privilegios justo a tiempo y limitado a sistemas y aplicaciones sensibles.
Patch Manager Plus
  • Configurar el acceso basado en roles para procesar las actividades a través de dispositivos asignados.
M365 Manager Plus
  • Establecer el control de acceso basado en roles para la administración de Microsoft 365.

Artículo 33

Notificación de una violación de la seguridad de los datos personales a la autoridad de control

Artículo 33

En caso de violación de la seguridad de los datos personales, informar a las autoridades de supervisión en un plazo de 72 horas. Si la notificación se realiza después de 72 horas, enviar el motivo del retraso junto con la notificación.

Soluciones de ManageEngine para ayudarle a cumplir:

Log360
  • Detectar cualquier violación de la seguridad de los datos en su red al instante.
  • Detectar y contener los patrones de ataque como ataques DoS, DDoS, inyecciones SQL y ransomware.
  • Crear reglas de correlación personalizadas y perfiles de alerta para detectar patrones de ataque desconocidos.
  • Determinar cuándo se produce una violación de seguridad, su origen, las partes responsables y el impacto.
  • Exportar toda la información forense y crear informes de incidentes.
Password Manager Pro
  • Grabar las sesiones y el acceso a las cuentas privilegiadas.
DataSecurity Plus
  • Analizar la causa raíz y el alcance de una violación de la seguridad de los datos a través de logs de actividad.
PAM360
  • Proporcionar grabaciones de sesiones privilegiadas y pistas de auditoría a prueba de manipulaciones de cada sesión.
Endpoint DLP Plus
  • Mantener registros de eventos de acceso y transferencia de datos con detalles sobre el usuario, el computador y el medio.

Artículo 35

Evaluación del impacto de la protección de datos

Artículo 35

Realizar una evaluación de impacto de la protección de datos e implementar medidas de seguridad para proteger los datos personales que se procesan.

Soluciones de ManageEngine para ayudarle a cumplir:

DataSecurity Plus
  • Calcular la puntuación de riesgo de los archivos que contienen datos personales.
  • Identificar archivos que son vulnerables debido a problemas de higiene de permisos.

Obtenga orientación sobre el cumplimiento del GDPR

Hable con nuestros expertos para obtener más información sobre cómo su organización
puede cumplir con el mandato de cumplimiento del GDPR.

Nombre* Please enter the name
Dirección de correo*
Teléfono* Please enter your phone number
País*

Al hacer clic en "Enviar", usted acepta que sus datos personales sean tratados de acuerdo con la Política de Privacidad.

Disclaimer

Descargo de responsabilidad: El pleno cumplimiento del GDPR requiere una serie de soluciones, procesos, personas y tecnologías. Las soluciones mencionadas son algunas de las formas en que las herramientas de gestión de TI pueden ayudar a cumplir algunos requisitos del GDPR. Junto con otras soluciones, procesos y personas apropiadas, las soluciones de ManageEngine ayudan a lograr y mantener el cumplimiento del GDPR. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento legal para garantizar el cumplimiento del GDPR. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, en cuanto a la información contenida en este material.