Access controls defined with just the right mix of rigidity and fluidity

La cuenta regresiva para la Regulación General de Protección de Datos de la Unión Europea (GDPR) ha comenzado y el tiempo avanza rápidamente. Mientras que los medios están llenos de comentarios, guías y soluciones para los lineamientos del GDPR, aún no se han logrado interpretaciones concluyentes de sus diversos aspectos. La intención básica de la GDPR, sin embargo, es clara: la protección de datos más específicamente, la seguridad de los datos personales.

El término datos personales supone una cobertura extremadamente amplia en el GDPR. Cualquier dato que se relacione con "una persona física identificable" se clasifica como datos personales. Las organizaciones generalmente procesan y almacenan digitalmente cosas como nombres de clientes, direcciones de correo electrónico, fotografías, información de trabajo, conversaciones, archivos multimedia y mucha otra información que podría identificar a las personas.

Los datos personales son omnipresentes y se encuentran en casi cada pieza de TI. Si su organización desea cumplir con la GDPR, entonces necesita definir y aplicar estrictos controles de acceso, así como rastrear meticulosamente el acceso a los datos.

Acceso privilegiado y amenazas a la seguridad de los datos

Los ciberataques pueden originarse tanto desde dentro del perímetro de una empresa como desde el exterior. Los análisis de los recientes ciberataques de alto perfil revelan que los hackers tanto externos como internos están explotando el acceso privilegiado para perpetrar ataques. La mayoría de los ataques comprometen los datos personales que procesan o almacenan las aplicaciones y los dispositivos de TI. Los investigadores de seguridad señalan que casi todos los tipos de ciberataques hoy en día implican cuentas privilegiadas.

Las cuentas privilegiadas son el principal objetivo de los ciberdelincuentes

Tanto en los ataques internos como externos, el acceso no autorizado y el uso indebido de cuentas privilegiadas, las "claves del reino de TI" se han convertido en las principales técnicas utilizadas por los delincuentes. Las contraseñas administrativas, las cuentas predeterminadas del sistema así como las credenciales codificadas de forma fija en los scripts y en las aplicaciones, se han convertido en los principales objetivos que utilizan los delincuentes cibernéticos para obtener acceso.

Resumen de solución - GDPR UE

  • ¿Por qué PAM forma la base de GDPR?
  • ¿Cómo Password Manager Pro puede ayudar en el cumplimiento de GDPR?
  • Riesgos de seguridad mitigados por Password Manager Pro

Los hackers normalmente lanzan un simple ataque de phishing o spear-phishing como una forma de ganar un punto de apoyo en la máquina de un usuario. Luego, instalan software malicioso y buscan contraseñas administrativas omnipotentes que otorgan privilegios de acceso ilimitados para moverse lateralmente por la red, infectar todas las computadoras y desviar datos. En el momento en que el hacker obtiene acceso a una contraseña administrativa, toda la organización se vuelve vulnerable a los ataques y el robo de datos. Los dispositivos de seguridad perimetrales no pueden proteger completamente a las empresas contra este tipo de ataques de privilegios.

Terceros e internos malintencionados

Se requiere que las organizaciones trabajen con terceros, como proveedores, socios comerciales y contratistas para una variedad de propósitos. Muy a menudo, los socios externos cuentan con acceso privilegiado remoto a recursos físicos y virtuales dentro de la organización.

Incluso si su organización cuenta con sólidos controles de seguridad, nunca se sabe cómo los terceros manejan sus datos. Los hackers podrían explotar fácilmente vulnerabilidades en su cadena de suministro o lanzar ataques de phishing contra aquellos que tienen acceso y obtienen acceso a su red. Es imperativo que el acceso privilegiado otorgado a terceros sea controlado, administrado y monitoreado.

Además, personas malintencionadas que incluyen personal de TI descontento, técnicos codiciosos, empleados despedidos y personal de TI que trabaja con terceros podrían colocar bombas lógicas o robar datos. El acceso administrativo no controlado es una posible amenaza para la seguridad, que pone en peligro su negocio.

Comience su viaje GDPR mediante la administración del acceso privilegiado

Controle, monitoree y administre el acceso privilegiado de su organización

La GDPR requiere que las organizaciones garanticen y demuestren el cumplimiento de sus políticas de protección de datos personales. La protección de los datos personales, a su vez, requiere un control completo sobre el acceso privilegiado, el principio fundamental de la GDPR. Controlar el acceso privilegiado requiere que:

  • Consolide todas sus cuentas privilegiadas y colóquelas en una bóveda centralizada y segura.
  • Asigne contraseñas sólidas y únicas y aplique la rotación periódica de contraseñas.
  • Aplique controles adicionales para liberar las contraseñas de los activos confidenciales.
  • Audite todo el acceso a cuentas privilegiadas.
  • Elimine completamente las credenciales codificadas de forma fija en scripts y aplicaciones.
  • Siempre que sea posible, otorgue acceso remoto a los sistemas de TI sin revelar las credenciales en texto plano.
  • Haga cumplir estrictos controles de acceso para terceros y monitoree de cerca sus actividades.
  • Establezca controles duales para supervisar de cerca las sesiones de acceso privilegiado a los activos de TI altamente confidenciales.
  • Registre sesiones privilegiadas para auditorías forenses.

Como se explicó anteriormente, el control, el monitoreo y la administración del acceso privilegiado requieren la automatización de todo el ciclo de vida del acceso privilegiado. Sin embargo, los enfoques manuales a la administración de acceso privilegiado consumen mucho tiempo, son propensos a errores y pueden no ser capaces de proporcionar el nivel deseado de controles de seguridad.

ManageEngine Password Manager Pro automatiza la administración de acceso privilegiado, ayudándolo a prepararse para la GDPR

Password Manager Pro es una solución completa para controlar, gestionar, monitorear y auditar todo el ciclo de vida del acceso privilegiado. Ofrece tres soluciones en un solo paquete: administración de cuentas privilegiadas, administración de acceso remoto y administración de sesiones privilegiadas.

Password Manager Pro encripta y consolida completamente todas sus cuentas privilegiadas en una bóveda centralizada, que se ve reforzada con controles de acceso granulares. También mitiga los riesgos de seguridad relacionados con el acceso privilegiado, así como previene las violaciones de seguridad y los problemas de cumplimiento antes de que interrumpan su negocio.

En conjunto, estas capacidades le permiten lograr un control total sobre el acceso privilegiado en su organización, sentando así una base sólida para el cumplimiento de GDPR.

Aviso:

El cumplimiento total de la GDPR requiere una variedad de soluciones, procesos, personas y tecnologías. Como se mencionó anteriormente, la automatización de la administración de acceso privilegiado sirve como base para cumplir con la GDPR. Junto con otras soluciones, procesos y personas apropiadas, la administración de acceso privilegiado ayuda a reforzar la seguridad de TI y evitar las filtraciones de información. Este material se proporciona solo con fines informativos y no se debe considerar como asesoramiento legal para el cumplimiento de GDPR. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, con respecto a la información en este material.