jueves, 24 de mayo de 2018

Falta un día para entrar en vigor RGDP y ¿están de verdad las organizaciones preparadas?

imageA falta de un día para que entre en vigor el nuevo Reglamento General de Protección de Datos (RGDP o GDPR en inglés), seguramente habéis recibido, tanto por correo electrónico como por SMS, notificaciones de proveedores, servicios…etc acerca de la actualización de su política de privacidad. Este mensaje es para adaptarse al “temible” reglamento que entra en vigor mañana 25 de Mayo (parecía que estaba lejos pero ya ha llegado).

imageimage


Esto me hace pensar que las empresas se han puesto manos a la obra (y como veis, un poco tarde desde mi punto de vista pero es que no tienen otra, cierto es) para cumplir con los diferentes artículos relacionados con el tratamiento de datos personales y sobre todo a recoger los consentimiento de todos sus clientes o potenciales clientes. Con esto me surge una duda sobre si realmente la empresa, desde el punto de vista de gestión interna de la información, está adaptada y lista al nuevo reglamento.

Pero ¿Por qué digo esto? Sencillo, todos los consentimientos recogidos por parte de la empresa quedará almacenado muy posiblemente en una base de datos, hasta ahí todo perfecto pero que pasa con los “millones” de procesos que tienen las empresas que exportan los datos de sus clientes a ficheros (CSV, Excel, TXT, PDF…etc) ubicados en sus servidores de ficheros (locales y/o en la nube) y que no tienen relación con su programa de gestión del consentimiento…ahí es donde veo que no existe una adaptación de la empresa como tal al nuevo reglamento ya que está tratando datos de carácter personal “fuera de su control” y sin tener en cuenta qué es lo que ha decido su cliente de acerca de cómo tratar sus datos.

Para dar respuesta a esta situación os propongo desplegar SailPoint SecurityIQ en vuestra organización. SecurityIQ es una herramienta que te permite de forma fácil y sencilla clasificar la información (clasificación automática basado en patrones, palabras clave…etc) en estos repositorios fuera de la base de datos de consentimiento (servidor de ficheros, Google, One Drive, SharePoint…etc) y podder lanzar una alerta en tiempo real que remedie dicho acceso o simplemente que compruebe con la base de datos de consentimiento que ese dato puede utilizarse. Además de auditar en tiempo real, analizar los permisos de acceso, lanzar campañas de certificación de acceso a la información, normalizar los accesos, integración con herramienta de tercero.


Para más información acerca de SecurityIQ


Espero que os sirva de ayuda y sobre todo de reflexión.

jueves, 14 de diciembre de 2017

¿Estamos listos ya para GDPR?

imageQueda menos de 6 meses para la entrada en vigor del GDPR (Reglamento General de Protección de Datos) y nos estamos preguntando, cada vez que recibimos un correo sobre este tema,

¿Por dónde empezar? ¿Está mi compañía lista para GDPR? ¿Qué riesgo corro si no hago nada?

Son demasiadas incógnitas sin resolver y el tiempo para dar respuesta es cada vez menor. Nuestra aproximación desde SailPoint es adoptar, a través de nuestra propuesta "Establece las bases de implantación de GDPR", un marco de referencia para todo el tratamiento de datos focalizado en GDPR y extensible a otras regulaciones/normativas: LODP, PCI-DSS…etc.


Punto de partida

Lo primero es conocer qué es lo que establece la GDPR, en sus artículos tecnológicos, a la hora del tratamiento de los datos:

  • imageArtículo 5: Protección de los datos personales.
  • Artículo 25: Control de acceso granular.
  • Artículos 26, 32 y 35: Establecer patrones de seguridad de los datos personales
  • Artículos 19,33 y 34: Monitorización y detección.
  • Artículos 30 y 35: Cumplimiento con los requisitos de documentación.

Una vez expuesto qué artículos tecnológicos, ya que existen más de 66 artículos relacionados con procesos y 18 con personas, son los afectados en la GDPR, nos enfrentamos a un proyecto dividido en tres fases:

image


Primera fase: conocer qué es lo que “esconde” nuestra compañía a nivel de documentación.

imageExiste un desconocimiento, más del 85% de las empresas lo aseguran, en dónde se encuentran los datos sensibles de la compañía. Este “descontrol” o falta de visibilidad es debido a que las tecnologías de colaboración (Google Drive, OneDrive, SharePoint Online, Exchange Online, Box…etc) se adoptan en las compañías antes de que se realice un estudio previo de qué información tiene que residir en cada uno de estos repositorios.

SecurityIQ permite descubrir y localizar qué existe en cada repositorio y clasificarlo mediante reglas y patrones de tal manera que en un corto período de tiempo (no más de 3 días) tendremos una visibilidad completa de qué contiene la información de nuestra compañía y poder realizar así un análisis de riesgo que permitirá detectar, de forma sencilla, fallos potenciales.

image

Como parte de este descubrimiento, SecurityIQ analizará los permisos de accesos a cada una de estas carpetas/ficheros por permisos directos e indirectos (a través de grupos y anidamiento de grupos).


Segunda fase: implementar técnicas de protección de datos.

imageUna vez que sabemos de antemano qué existe en nuestra compañía estamos en disposición de aplicar técnicas de remediación y controles de cumplimiento sobre estos datos además de establecer quién es el responsable de la información en cada uno de los repositorios/recursos.

SecurityIQ ofrece técnicas para establecer el propietario de la información mediante: actividad de la información en los repositorios, campañas de votación de quién es el propietario de la información y mediante información contextual de la auditoría en tiempo real (departamento del empleado que ha accedido a la información, centro de coste, día y hora...etc).

image

Actividad del recurso y contexto del mismo (departamento, centro de coste…)

image

Cuadros de mandos focalizados en y para el negocio

Otra de las capacidades de SecurityIQ es la creación de campañas de certificación de acceso al dato, focalizadas y desarrolladas para que personas no técnicas puedan acometer dicha tarea sin problema. Esta capacidad da respuesta al artículo 25 de la GDPR.


Tercera fase: Revisión continua.

imageEstablecido unas líneas bases sobre la protección del dato únicamente queda la monitorización y seguimiento de esta información e ir afinando cada uno de los procedimientos y reglas que se han desplegado en fases anteriores.

SecurityIQ permite auditar en tiempo real todas las acciones realizadas en cada uno de los repositorios (nuevo fichero, lectura de …) adoptando así un enfoque de seguridad exhaustivo basado en una protección centrada en los datos.

image

Auditoría en tiempo real de todos los recursos corporativos


imageUna vez aclarado qué pasos tenemos que dar, estamos en disposición de comenzar con el plan de acción: "Establece las bases de implantación de GDPR". Éstas bases consisten en establecer un marco de cumplimiento normativo sencillo, proactivo y focalizado en y para el negocio no quedando fuera de este ámbito otras normativas importantes como la ISO 27001, ISO 36001…etc.


Espero que os sirva de ayuda

martes, 21 de noviembre de 2017

Nos vemos en…

Estaremos presentes en el evento que organiza ISMS Forum “Encuentro de Cloud Security Alliance España”  el próximo 28 de noviembre, de 09.00 a 15.00hs, en el Aula Magna del IE Business School de Madrid (Calle María de Molina, 11. Madrid)

Te espero a las 10:00 en la mesa redonda: Security breaches from in-house to the Cloud donde hablaremos de como afrontar las barreras para la adopción de servicios en la Nube…

image

Más información https://www.ismsforum.es/evento/649/vii-encuentro-de-cloud-security-alliance-espana/

martes, 4 de julio de 2017

SecurityIQ and Microsoft (Azure) Rights Management–Better together: Remediation process

Resultado de imagen de confidential dataOne of the most important important topics in discussions with customers about Information Rights Management (Microsoft IRM) is the need to have a sensitive data discovery, classifiction and remediation plan that allows individuals and administrators to set access permissions to documents, workbooks, presentations, and e-mail messages. This helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people. After policies are put in place to restrict permissions for a file using IRM, the access and usage restrictions for that file are enforced even if the file reaches unintended recipients; access permissions are stored in the document, workbook, presentation, or e-mail message itself and these must be authenticated against the server. IRM is a useful tool, but there are unanswered questions:
    • Where is the sensible data?
    • Where should we apply this restriction?
    • Can we categorize the information?
    • Do we know WHO has access?
    • Is it APPROPRIATE?
    • Can we PROVE it?


Needed VISIBILITY and CONTROL  

image
SecurityIQ is a leading data access governance system that can assist you:


image
  • Data Discovery and Classification
    • Helps answer the question, “Where does the sensitive data reside?”
    • Ensures that sensitive data is located in the correct locations and helps apply more granular permissions with Microsoft RMS RMS.
    • Changing of permissions may not be necessary.
image
  • Permissions Analysis
      • Helps answer the question, “Who has access to what data?”
    image
    • Conducts crowd sourcing campaign to identify data owners of company wide file shares
    image
    • Fine Graned Audit Trail
    • Real-Time Activity Monitoring
    image
    • Implements compliance controls (GDPR, LOPD, HIPAA, PCI, EU GDP, MAS, ITAR…)

    This video shows user access to words confidential document (without RMS, no template applied) before and after SecurityIQ is utilized. SecurityIQ classifies and categorizes the document according to the sensitive data it contains, and then applies a remediation process/plan using an RMS template



    More detail about the use case:


    Scenario

    Medusa, Libellula, Remo and Romulo are internal projects. Access to those projects use a shared PROJECTS folder. There is a confidential folder (Information Protection) that has a summary information about the project with costs, efforts, resources, competitors, benefits, and task durations so It’s very important and relevant information.

    image



    It’s a security breach and customer want to protect the folder with a IRM template applied to project (protected) group (project.protected@lab.sailpoint.com)


    Template

    3 Templates deployed in RMS Server. We’re using Protect RMS File in Remediation process

    image
    image


    Hope this helps

    martes, 27 de junio de 2017

    Video: Active Directory - Control, Auditoría y Remediación en tiempo real

    En el post Active Directory: Control, Auditoría y Remediación en tiempo real describimos un escenario muy típico en los entorno de IT (elevación de privilegios mediante grupos críticos de directorio activo). El siguiente video muestra cómo ante un cambio en el directorio activo SecurityIQ recibe un evento (en tiempo real) con la información legible y cómo da marcha atrás al cambio a través de una ejecución de una alerta. A pesar de no tener audio (prometo que el siguiente video tendrá sonido) es auto-explicativo.




    Resumen del video
    El usuario AdminIAM accede a la consola del directorio activo (a través de run as) y añade al grupo Domain Admins el usuario Alejandro Fernandez. En SecurityIQ se ha definido una política que si existe algún cambio en el grupo Domain Admin, la remediación es eliminar el usuario añadido al grupo y todo esto en tiempo real.





    Espero que os sirva de ayuda

    martes, 20 de junio de 2017

    Active Directory: Control, Auditoría y Remediación en tiempo real

    Resultado de imagen de no tocar imagenesUno de los mayores contratiempos en época vacacional es la ejecución de tareas no autorizadas (entre muchas de ellas se encuentra el añadir usuarios a grupos sensible/administrativos del directorio activo) por parte de los administradores (incluso del departamento de Helpdesk/CAU) para evitar problemas. A priori, el motivo principal es evitar los problemas típicos de permisos/accesos a recursos (destacar que el problema de raíz no es este sino la definición de un modelo de autorización basado en roles y la gestión de éstos en los períodos vacacionales) cuando “el master del universo” está fuera de vacaciones (¿os suena esto?).

    Este tipo de tareas de añadir usuarios a grupos sensibles del directorio activo para así elevar los privilegios es una brecha de seguridad que se evita con un control y remediación en tiempo real de los cambios en directorio activo pero si no se dispone de este tipo de herramientas os aseguro, y no creo que me equivoque, esta acción se realizará.

    Para ello, SecurityIQ permite auditar y controlar en tiempo real los cambios realizados en el directorio activo y disparar una acción correctora (remediar/mitigar) en caso necesario.


    Escenario:

    • Alguien (¿?) añade al grupo Domain Admin el usuario Alejandro Fernandez

    image

    • El cambio es detectado en tiempo real por SecurityIQ y nos da la posibilidad de responder preguntas “tan sencillas” como:
    image image
    • Al detectar un cambio no permitido, se dispara un alerta con la acción correctora, que en nuestro caso es eliminar (campo Attribute Old Value tiene el valor del cambio) Alejandro Fernandez del grupo Domain Admins

    image

    De esta manera, evitamos en todo momento que cambios no deseados en el directorio (con lo que implica) se puedan llevar a cabo.


    Espero que os sirva de ayuda

    jueves, 1 de junio de 2017

    Cuentas privilegiadas - Certificación de accesos y Segregación de funciones (SoD)

    imageExisten organizaciones que tienen ya desplegada una solución de cuentas privilegiadas (Privileged Account Management), otras están involucradas en dicho proyecto y otras tantas están pensando abordar un proyecto de esta índole…Este tipo de proyecto es importante y clave en sí mismo, es obvio, ya que que se trata de gestionar de una manera u otra (sesión y/o contraseña) el acceso controlado a los sistemas críticos (y no tan críticos) de la compañía, bien sean por empleados, outsources, partners…etc pero aún es más clave y relevante tener control, visibilidad y gobierno de estos accesos ya que este tipo de aplicación no ofrecen esta información. Este tipo de solución conviven de forma “independiente” del gestores de identidades y accesos (IAM).

    Uno de los casos de uso más frecuentes es el movimiento de los empleados, outsources, partners a otros departamentos, proyectos, ubicaciones…etc y a pesar de que sus autorizaciones cambian (o debe cambiar), mantienen sus accesos intactos en el gestor de cuentas privilegiadas (¡¡¡Alerta!!!). Esto es una brecha de seguridad “conocida”, que tanto se habla en estos momentos, en organizaciones que tienen desacopladas la gestión de sus cuentas privilegiadas con el gestor de identidades.

    Esta independencia, con el módulo PAM disponible en Sailpoint, de vivir como silos (siempre evitable en cualquier organización) desaparece y permite gobernar los accesos a las plataformas críticas de la compañía de forma que:

    • Control y Visibilidad de todos los accesos de las personas (independencia de su tipología: empleado, outsource…etc) a los sistemas críticos
    • Aplicar de forma correcta la segregación de funciones (SoD) en el acceso a los sistemas
    • Ampliar el contexto en el workflow de peticiones de accesos
    • Ciclo de vida completo en la gestión de cuentas privilegiadas. Cualquier cambio organizacional, que a priori está fuera del alcance de este tipo de herramienta, será controlado por el gestor de identidades
    • Unificación del proceso de aprovisionamiento de cuentas privilegiadas y no privilegiadas
    • Simplificar los procesos de Gobierno y cumplimiento normativo a través de informes y auditoría de la actividad

    image

    Lo interesante de esta aproximación es la posibilidad de elegir a los mejores en cada una de sus áreas (Gestión de Identidades y Accesos | Gestión de cuentas privilegiadas). Para ello podrá basarse en los cuadrantes de cada uno de los analistas: Gartner y Forrester. La conjunción de ambas tecnología es garantía de éxito.


    Espero que os sirva de ayuda