LPD
No se trata solo de generar la evidencia, sino de guardarla y encontrarla.
Dentro de la LGPD, es posible que deba presentar pruebas del cumplimiento de sus normas. ¿Estarás preparado?
Que es
La LGPD (Ley General de Protección de Datos Personales, núm. 13.709/2018) es la legislación nacional de protección de datos. No importa el tamaño de la empresa, todas están sujetas a esta nueva legislación. Con el advenimiento de la práctica de la divulgación masiva de datos personales de los usuarios en Internet, la ley surge como una forma de proporcionar respuestas a los ciudadanos sobre las formas en que se utiliza su información.
Actualmente, el organismo responsable de supervisar y regular el uso correcto de esta información es la Agencia Nacional de Protección de Datos (ANPD), con el apoyo de organismos como el Ministerio Público y otros organismos. El incumplimiento de la normativa establecida, intencionadamente o no, se prevén multas de hasta el 2% de todos los ingresos de la empresa, que, de ser elevadas, podrían suponer la pérdida de millones de reales.
La forma más responsable y segura de garantizar los requisitos de buenas prácticas de seguridad y confidencialidad de los datos, evitando pérdidas importantes, es la adopción de un sistema automatizado que garantice la revisión adecuada e instantánea de esta información.
Cómo la gestión del acceso facilita el cumplimiento de la LGPD y protege su negocio.
AccessOne basa sus acciones en el gobierno y la administración de identidades (IGA), responsable de garantizar que las personas adecuadas tengan el acceso necesario a los recursos corporativos adecuados, en el momento adecuado y con una necesidad legítima.
Revisión rápida
El uso de la función de gestión de identidad y acceso (IAM) le permite configurar, mediante perfiles solicitables, los niveles de riesgo y/o si un perfil determinado proporciona acceso a datos personales (vinculados a la LGPD).
Preguntas y respuestas
¿Cómo afecta el sistema a la eficiencia operativa?
AccessOne reduce inmediatamente el trabajo manual y permite la creación automática de credenciales para los nuevos empleados en los distintos sistemas corporativos, lo que libera a su equipo para realizar otras tareas.
¿Necesito contratar a un empleado solo para gestionar el sistema?
Su equipo actual recibirá formación y estará acompañado por el equipo de AccessOne para gestionar el sistema. Seguimos acompañando a nuestros clientes incluso después de la temporada de instalación
¿Qué tan automático puede ser mi sistema?
Puede crear políticas de acceso automático por empresa, unidad, departamento o puesto. El acceso a los sistemas y a los correos electrónicos se genera al mismo tiempo, y también se puede restablecer la contraseña de forma automática de forma segura y centralizada en todos los sistemas corporativos. El sector de recursos humanos también sufre un impacto en la eficiencia porque hay una actualización automática de los datos personales de los recursos humanos (empresa, sede, sector, puesto, teléfono, correo electrónico, etc.) en todos los sistemas integrados.
¿De qué manera la instalación del sistema hace que mis datos estén más seguros?
AccessOne permite la identificación de credenciales y accesos inadecuados, permisos excesivos, inadecuación entre el acceso poseído y la función dentro de la empresa. Los empleados desconectados y los terceros que dejen de prestar servicios pueden ser despedidos rápidamente. También es posible identificar contraseñas compartidas.
¿Mis datos están 100% seguros con este sistema?
Cualquier sistema con acceso humano puede ser violado, pero detectar los riesgos relacionados con el acceso otorgado y adoptar mecanismos de control es esencial para la seguridad de los datos de una empresa. AccessOne genera visibilidad de las identidades y los accesos para poder identificar rápidamente los accesos no conformes, concedidos sin autorización, las cuentas huérfanas (cuyo propietario se desconoce), las cuentas inactivas, etc., con la rápida adopción de medidas de control de manera facilitada.
¿Cómo puedo usar este sistema para ayudar con las auditorías?
Proporciona mecanismos ágiles para identificar y revisar los accesos no conformes, lo que permite crear revisiones de acceso (revisiones masivas o microrevisiones) para certificar y demostrar adecuadamente (con fines de auditoría) la necesidad real de los accesos existentes;
¿Cumplo con las solicitudes de la LGPD con este sistema?
Cuenta con varios mecanismos relevantes en relación con la legislación de privacidad (LGPD - Ley General de Protección de Datos), estándares y buenas prácticas.
¿Cómo afecta el sistema a la eficiencia operativa?
AccessOne reduce inmediatamente el trabajo manual y permite la creación automática de credenciales para los nuevos empleados en los distintos sistemas corporativos, lo que libera a su equipo para realizar otras tareas.
¿Necesito contratar a un empleado solo para gestionar el sistema?
Su equipo actual recibirá formación y estará acompañado por el equipo de AccessOne para gestionar el sistema. Seguimos acompañando a nuestros clientes incluso después de la temporada de instalación
¿Qué tan automático puede ser mi sistema?
Puede crear políticas de acceso automático por empresa, unidad, departamento o puesto. El acceso a los sistemas y a los correos electrónicos se genera al mismo tiempo, y también se puede restablecer la contraseña de forma automática de forma segura y centralizada en todos los sistemas corporativos. El sector de recursos humanos también sufre un impacto en la eficiencia porque hay una actualización automática de los datos personales de los recursos humanos (empresa, sede, sector, puesto, teléfono, correo electrónico, etc.) en todos los sistemas integrados.
¿De qué manera la instalación del sistema hace que mis datos estén más seguros?
AccessOne permite la identificación de credenciales y accesos inadecuados, permisos excesivos, inadecuación entre el acceso poseído y la función dentro de la empresa. Los empleados desconectados y los terceros que dejen de prestar servicios pueden ser despedidos rápidamente. También es posible identificar contraseñas compartidas.
¿Mis datos están 100% seguros con este sistema?
Cualquier sistema con acceso humano puede ser violado, pero detectar los riesgos relacionados con el acceso otorgado y adoptar mecanismos de control es esencial para la seguridad de los datos de una empresa. AccessOne genera visibilidad de las identidades y los accesos para poder identificar rápidamente los accesos no conformes, concedidos sin autorización, las cuentas huérfanas (cuyo propietario se desconoce), las cuentas inactivas, etc., con la rápida adopción de medidas de control de manera facilitada.
¿Cómo puedo usar este sistema para ayudar con las auditorías?
Proporciona mecanismos ágiles para identificar y revisar los accesos no conformes, lo que permite crear revisiones de acceso (revisiones masivas o microrevisiones) para certificar y demostrar adecuadamente (con fines de auditoría) la necesidad real de los accesos existentes;
¿Cumplo con las solicitudes de la LGPD con este sistema?
Cuenta con varios mecanismos relevantes en relación con la legislación de privacidad (LGPD - Ley General de Protección de Datos), estándares y buenas prácticas.
¿Cómo pueden los sistemas de gestión y gobierno de identidades y accesos aumentar su cumplimiento con la LGPD?
No hay duda: la llegada de la LGPD cambia por completo la forma en que la mayoría de las empresas hacen negocios. Los diversos artículos de la ley no solo formalizan los derechos de los titulares, sino que también establecen requisitos para el procesamiento de datos personales, cuya adopción supone un desafío importante.
La privacidad no es exactamente un tema nuevo, especialmente en ciertos segmentos, como el mercado financiero y los hospitales, que suelen tratar datos sensibles de numerosas personas y, por lo tanto, ya adoptan varias medidas para garantizar la seguridad y la privacidad de la información. Sin embargo, incluso las empresas más maduras tendrán que hacer ajustes en la forma en que recopilan, procesan, almacenan o comparten los datos personales para cumplir con la LGPD.
Un punto esencial de la LGPD es la transparencia en las operaciones. Según la nueva ley, los interesados tienen derecho a saber cómo se recopilaron sus datos, qué tipo de tratamiento se lleva a cabo y cuál es la base legal de este tratamiento, e incluso quién tiene acceso a sus datos personales. De hecho, la identidad del propietario está estrechamente vinculada a la mayoría de los artículos de la LGPD, lo que refuerza la necesidad de un programa eficaz de gestión de identidades y accesos, que garantice la protección de los datos personales contra el acceso no autorizado y contra situaciones (accidentales o ilegales) de destrucción, pérdida, alteración, comunicación o incluso cualquier forma de tratamiento inadecuado o ilícito.
¿Cómo pueden los sistemas de gestión y gobierno de identidades y accesos aumentar su cumplimiento con la LGPD?
En sus artículos 46 y 49, la LGPD es bastante clara sobre la necesidad de controles técnicos y administrativos para proteger los datos personales. Un punto importante para lograr el cumplimiento es comprender que muchas de las medidas necesarias se adoptan fácilmente cuando se cuenta con una gobernanza de identidad y acceso:
Segregación de la diversión
Controlar los perfiles de acceso, garantizando que no se concedan permisos contradictorios o incluso excesivos, es esencial para evitar el acceso no autorizado o incluso situaciones ilegales en las que los empleados de la empresa hagan un uso no autorizado de los datos personales.
Privilegio mínimo:
La adopción del principio de privilegio mínimo es un paso vital para proteger los datos personales. De esta forma, es posible garantizar que los usuarios tengan contacto con los datos personales solo cuando sea necesario para llevar a cabo sus actividades laborales. Es importante recordar que el acceso excesivo es una de las causas más comunes de las violaciones de datos, y mitigar este tipo de vulnerabilidad debe ser una prioridad en cualquier programa de cumplimiento de la LGPD.
Revisión de acceso:
Por supuesto, si ya ha creado perfiles de usuario adoptando medidas como el privilegio mínimo y la segregación de funciones, la posibilidad de errores relacionados con la gestión del acceso ya es mucho menor. Sin embargo, es importante recordar que es difícil para un usuario permanecer con el mismo acceso durante mucho tiempo. El dinamismo del entorno empresarial implica cambios constantes en las responsabilidades, y no es raro que, en tan solo unas semanas, un nuevo empleado que acaba de llegar a su empresa demostrando su potencial de crecimiento reciba cada vez más actividades que desempeñar y, en consecuencia, nuevos accesos. A largo plazo, esto significa que los veteranos pueden acumular funciones y responsabilidades que, si no se analizan, pueden generar situaciones conflictivas. Además, por supuesto, siempre será necesario revocar el acceso, como en el caso de vacaciones, licencias y desconexiones. Revisar periódicamente la validez del acceso otorgado es fundamental para evitar errores o incluso situaciones de uso ilícito de los datos personales.
Administración de acceso privilegiado:
Los administradores y otros usuarios con acceso avanzado o privilegiado son una consideración vital a la hora de proteger los datos personales. Si bien es natural que haya usuarios con acceso administrativo o root a las funciones del sistema y, en consecuencia, a los datos personales, es importante mantener un control estricto de las actividades que se llevan a cabo con estas cuentas. Por ejemplo, todos los accesos privilegiados deben identificarse fácilmente, así como quiénes son las personas que tienen este tipo de acceso. Desafortunadamente, los casos de uso de cuentas genéricas como «administrador», «root», «administrador», «sa» siguen siendo bastante comunes. La posibilidad de individualizar el acceso administrativo, así como de realizar un seguimiento de las actividades realizadas, ayuda a mitigar riesgos como el uso indebido accidental o deliberado del acceso a los datos personales.
Registra las actividades de los usuarios:
Incluso los usuarios con acceso sin privilegios pueden hacer un uso regular de los datos personales o incluso de los datos personales confidenciales. Disponer de registros de las actividades de los usuarios ayuda a prevenir o incluso a tratar posibles incidentes. Si bien muchas aplicaciones corporativas ya tienen sus propias herramientas de auditoría, una buena solución de gestión de accesos e identidades debe poder mantener registros, como la información sobre los últimos accesos (por ejemplo, la fecha, la hora o la IP de origen), o incluso alertar cuando se produzca un comportamiento anómalo por parte del usuario, como el uso simultáneo de la misma cuenta de acceso, lo que puede indicar la posibilidad de compartir las credenciales.
Administración del ciclo de vida de los usuarios:
Incluso los usuarios con acceso sin privilegios pueden hacer un uso regular de los datos personales o incluso de los datos personales confidenciales. Disponer de registros de las actividades de los usuarios ayuda a prevenir o incluso a tratar posibles incidentes. Si bien muchas aplicaciones corporativas ya tienen sus propias herramientas de auditoría, una buena solución de gestión de accesos e identidades debe poder mantener registros, como la información sobre los últimos accesos (por ejemplo, la fecha, la hora o la IP de origen), o incluso alertar cuando se produzca un comportamiento anómalo por parte del usuario, como el uso simultáneo de la misma cuenta de acceso, lo que puede indicar la posibilidad de compartir las credenciales.
Errores de gestión y gestión de identidades y accesos y filtraciones de datos personales
En la práctica, un proceso de gobierno de identidad y acceso es una de las herramientas de gobierno corporativo más importantes, especialmente cuando se trata de la protección de datos personales y el cumplimiento del GDPR. Numerosos casos recientes de filtraciones de datos pueden relacionarse fácilmente con errores en la gestión del acceso de los usuarios, y esto va mucho más allá de los empleados y terceros que componen su empresa. Especialmente en los casos en que la organización presta servicios al público en general, los sistemas que no se implementan y/o gestionan teniendo en cuenta los permisos adecuados para acceder a los datos personales, se convierten fatalmente en protagonistas de incidentes graves.
Uso de la gestión y el gobierno de identidades y accesos para simplificar el cumplimiento de la LGPD
Parte de los requisitos de la LGPD incluye la creación de un programa de gobierno de la privacidad que demuestre claramente el compromiso de la organización de adoptar procesos y políticas internas que garanticen el cumplimiento integral de los estándares y buenas prácticas en relación con la protección de los datos personales. Al igual que cualquier control de seguridad de la información, la eficacia de su gestión y gobierno de identidades y accesos depende de tres factores básicos: las personas, los procesos y las tecnologías.
Si bien no se puede minimizar la importancia de contar con un proceso maduro, además de personas debidamente calificadas y conscientes de sus responsabilidades, uno de los grandes desafíos de este viaje es la complejidad de los aspectos tecnológicos, que incluyen el uso de múltiples soluciones, con diferentes características para la administración del acceso, lo que la mayoría de las veces requiere la acción manual de y
Sem uma solução específica para uma Gestão e Governança de Identidades e Acessos, muitas organizações simplesmente deixam de executar passos essenciais para a conformidade com a LGPD, e aumentam significativamente seu nível de exposição a violações de dados pessoais. Organizações que adotaram a plataforma da AccessOne conseguiram implementar um processo completo e maduro em um curto prazo, empregando boas práticas baseadas em padrões internacionais, reduzindo a complexidade dos ambientes de TI, e gerenciando acessos de forma dinâmica, com atividades operacionais automatizadas, permitindo a organização demonstrar seu compromisso com a proteção de dados e conformidade com a lei.
* Gartner e Magic Quadrant are trademarks™ or registered® trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them. O documento é acessível para clientes registrados junto ao Gartner.
© ️ AccessOne 2024. Todos los derechos reservados. Política de privacidad