Claves para cumplir la GDPR con una solución de gestión de identidades y accesos
El nuevo reglamento de protección de datos -o GDPR por sus siglas en inglés (Global Data Protection Regulation) - aprobada por la Unión Europea va a entrar en vigor este mismo mes de mayo.
Anteriormente, publiqué un extenso artículo respecto a la importancia de este cambio normativo, así como la relevancia de las herramientas de gestión de gestión de identidades y backup. Puedes leerlo aquí:
Cómo cumplir con la nueva normativa de protección de datos mediante herramientas de GdI y backup
En esta ocasión, voy a profundizar en aquellos aspectos específicos en los que una solución de de gestión de identidades y accesos (IAM) constituye una herramienta clave para el cumplimiento normativo.
Implantación de medidas de seguridad para la protección de datos
Lo primero que debemos tener en cuenta es que el nuevo reglamento exige adoptar las medidas de seguridad necesarias para garantizar la seguridad de los datos personales de cualquier ciudadano de la UE, incluyendo cualquier dato que suponga una referencia personal o permita la identificación directa o indirecta de dicha persona.
Las soluciones de gestión de identidades y accesos contribuyen a esta obligación en cuatro ámbitos diferentes:
• La autorización para acceder a los datos queda restringida únicamente a aquellos usuarios que necesitan acceder a la información y están legitimados para ello.
• La autenticación de los usuarios permite garantizar que aquellos que acceden a los datos son exactamente quienes dicen ser.
• La certificación de los accesos y las autorizaciones, gracias a la cual se mantiene un control periódico de todo el proceso, evitando así que el continuo flujo de usuarios pueda dar lugar a la consolidación de situaciones de riesgo.
• La auditoría de todos los procesos de autorización, autenticación y certificación, la cual es, igualmente, un requisito normativo que las soluciones de gestión de identidades y accesos pueden garantizar.
Ahora que hemos aclarado cuáles son los grandes ámbitos de influencia de las soluciones de gestión de identidades y accesos, creo que vale la pena analizar algunas de las ventajas y medidas de seguridad específicas.
Obtención legítima del consentimiento
De acuerdo con el nuevo reglamento, es necesario obtener un consentimiento inequívoco para el tratamiento de los datos.
Un portal de autoservicio –como, por ejemplo, el de nuestras herramientas WBSVision y SmartLogin– cubre las necesidades que puedas tener a este respecto, ya se trate de la inclusión de casillas de verificación, verificación con doble factor, o el envío de emails de verificación.
Acceso y portabilidad
Los usuarios también tienen que poder acceder a datos y proporcionarlos de una forma segura.
Una adecuada herramienta de gestión de identidades y accesos no solo puede controlar la autorización y credenciales de los usuarios que acceden a los datos, sino también la forma en la que estos son examinados y posteriormente transmitidos.
Por ejemplo, con WBSVision, es posible examinar de forma unificada datos de fuentes heterogéneas –distribuidos en diferentes directorios y bases de datos–.
Notificación de violaciones de los datos
Cuando tiene lugar una violación de los datos, es imprescindible proceder a la notificación inmediata a las autoridades. No obstante, en caso de riesgo para las personas afectadas, también se ha de proceder al correspondiente aviso.
Gracias a los sistemas de auditorías de las herramientas de gestión de identidades y acceso se puede detectar rápidamente cualquier tipo de infracción, para proceder después a la correspondiente notificación a las partes afectadas.
Derecho al olvido y borrado de datos
El derecho al olvido también cuenta con protección en la nueva normativa, de forma que cualquier persona tiene derecho a que sus datos sean borrados, siempre y cuando la eliminación de los mismos no ponga en riesgo la libertad de expresión o la capacidad de investigación.
Por descontado, una herramienta de gestión de identidades y accesos ha de facilitar dicho borrado de los datos, de todos y cada uno de los repositorios de la organización que los atesore.
En definitiva, este tipo de herramientas te permiten cubrir los requerimientos normativos, tanto en lo que se refiere a la adquisición y posterior acceso a los datos, como en lo concerniente al ciclo de vida de los mismos.
Esto incluye todo tipo de flujos de aprobación de accesos y auditoría, así como cualesquiera mecanismos de protección –especialmente las contraseñas–, para controlar quién accede a los datos y que estos son mantenidos en entornos seguros, con medios del tipo federación, doble factor de autenticación, contraseñas de un solo uso, sistema cifrado de contraseñas y demás medidas adoptables para evitar la fuga de datos.
