img

Blog

¿Es su organización confiable de acuerdo con las regulaciones de protección de datos personales?

| Jul 04, 2019 |

¿Es su organización confiable de acuerdo con las regulaciones de protección de datos personales?


Alrededor del globo se han creado diversas regulaciones de cumplimiento que las empresas deben cumplir para demostrar que son capaces de mantener la confidencialidad de sus clientes a salvo. Algunas de las más conocidas son SOX, HIPAA, PCI, FISMA, GLBA. De acuerdo con el rubro de la empresa, usted debe demostrar que cumple las regulaciones para la protección de datos según la normativa regulatoria. En México, una de las leyes encargadas de este tema es la Ley Federal de Datos Personales en Posesión de los Particulares. Se sabe que 44% de las empresas no tienen los conocimientos necesarios para su cumplimiento. Esto debido a que no existe una cultura de la protección de datos en posesión de las empresas, puesto que no la consideran un elemento generador de confianza para los clientes. Sin embargo, el cumplimiento de estas normas no es opcional. Cada uno de sus clientes tiene derecho a la reserva y confidencialidad de sus datos, por lo que es obligación del resguardante hacer cumplir dichas garantías. Lo cierto es que el uso inadecuado de la información genera pérdida de confianza en la reputación de las empresas. Con esto no sólo damos a entender al usuario que sus datos no están seguros en nuestras manos, sino que también podemos ser acreedores a multas que van de 100 a 320 000 días de salario mínimo vigente en la Ciudad de México. El primer paso para la generación de reportes de cumplimientos es tener una correcta organización de nuestros usuarios. Supongamos que los datos son almacenados en Active Directory, esta herramienta de Microsoft nos brinda la facilidad de tener una correcta organización de todos los usuarios en la organización, así como los controles de acceso adecuados según el perfil de cada uno. El problema empieza cuando nos damos cuenta de que en realidad no hay una organización correcta de usuarios y permisos, sino que todos los usuarios están en la misma Unidad Organizacional (OU), en el mismo nivel y con privilegios de administración. En este escenario será imposible demostrar que cumplimos con los lineamientos de la Ley.

Para corregir este escenario existe software especifico que nos ayudará a crear una vista holística de nuestra organización. En una sola interfaz podremos observar usuarios, permisos, roles, OUs, grupos, etc de todo nuestro Active Directory. Podemos corregir de manera centralizada toda la estructura organizacional de nuestra empresa, como debió ser desde el principio. El software recomendado es AD Manager, de manera sencilla usted integrará el software de gestión con su Active Directory, lo que optimizará el tiempo para la correcta organización de su AD. El siguiente paso es demostrar con reportes que hemos implementado de manera correcta los roles de acceso para cada usuario en la organización. Antes debíamos entrar a la consola de AD y demostrar que otorgamos los permisos adecuados para cada uno de los equipos críticos en la red. Afortunadamente, este proceso también ha evolucionado. Hoy en día existe software especializado en la auditoria de Active DIrectory, con él se puede demostrar los permisos, intentos de acceso y eventos generados por cada elemento en nuestro AD. De esta forma, basta con dirigirnos al reporte de cumplimiento que deseamos y mostrar al auditor lo bien que hemos organizado a los usuarios y sus roles de acceso. Para este fin existe AD Audit, software especializado en la auditoria de objetos en Active Directory. Este software cuenta ya con un apartado especializado en compliance para las principales regulaciones. Estas regulaciones pretenden evitar el uso indebido de la información, así como reforzar las medidas de seguridad en torno a ella. El derecho a la protección de datos personales establece obligaciones tanto para el sector público como privado que manejen este tipo de información. Actualmente, prácticamente toda empresa de servicios trabaja con el intercambio de datos personales. La diferencia radica en la manipulación de estos y cómo comunicamos al cliente que estamos haciendo lo necesario para el correcto resguardo de su información.

Tags : ADAudit Plus

Articulos relacionados:


Compartir