servicios adaptación rgpd³n... · de la infraestructura actual de la empresa basados en entornos...
TRANSCRIPT
Servicios adaptación RGPD
Más de 40 años aportando
soluciones
aplicadas a la mejora de tu
negocio
Mecemsa consultores es una firma de consultoría líder en el
mercado de la PyME, en la que trabajamos en equipo integrado
con el cliente, con un sentido esencialmente práctico.
Orientamos el trabajo a la obtención inmediata de resultados,
logrando una optimización de los procesos de negocio.
Empleamos tecnologías innovadoras siempre adaptadas a cada
empresa.
Nuestra experiencia de más de 40 años y los numerosos
clientes que han confiado en nosotros, avalan nuestra
profesionalidad.
Durante estos años, hemos profundizado en las necesidades
de la PYME, lo que nos permite ofrecer los servicios más
adecuados y personalizados para cada sector.
Mecemsa Consultores ofrecemos soluciones específicas para la
adecuación del RGPD a nivel técnico detectando deficiencias en las
capas de seguridad e implementando las medidas de primer nivel en
base a la infraestructura actual de la empresa:
1. Análisis de Requerimientos
Realización del análisis de requerimientos apoyado con un
cuestionario elaborado por MECEMSA, entrevista con los responsables
del departamento de informática para la identificación, evaluación y
tratamiento de amenazas. Identificar la necesidad de realizar una
Evaluación de Impacto en la Protección de Datos (EIPD).
2. Elaboración documentos
Elaboración de documentos que acrediten la situación actual de la
empresa, posibles riesgos, implementaciones de primer nivel y
recomendaciones.
3. Implementación medidas primer nivel
Implementación de las medidas detectadas de primer nivel en función
de la infraestructura actual de la empresa basados en entornos
Microsoft.
4. Seguimiento
Seguimiento de las implementaciones realizadas y las
recomendaciones aportadas al cliente.
Servicios
Elaboración mediante un cuestionario y
entrevistas con los responsables de
informática del análisis de requerimientos
en materia de protección de datos de
carácter personal y adecuación al
Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento
general de protección de datos) (el “RGPD”).
Análisis de requerimientos
por capas de seguridad
Capa Perimetral
Capa Red Área Local
Capa Acceso
Capa Dato
Nuestro análisis recoge la identificación de amenazas, riesgos y el tratamiento
de los riesgos en cada una de las capas que debemos proteger en su empresa.
Protección contra accesos
externos no deseados
Protección red de área local
aplicando medidas de
segmentación de redes
Protección mediante un
organigrama de grupos y
permisos de usuarios
Protección de los datos
utilizando medidas de cifrado
y trazabilidad de documentos
Análisis de requerimientos
por capas de seguridad
FirewallMonitorización
deataques
Servicios en la nube
Protección Capa Seguridad Perimetral
La capa perimetral esta diseñada para proteger nuestra red de los
ataques del exterior.
Diseñar una estrategia que permita proteger nuestra red de estos
ataques es fundamental para la protección de los datos de su
empresa.
En el diseño de dicha capa deberemos tener en cuenta diversos
aspectos como la utilización de redes privadas virtuales (VPN), accesos
remotos y la utilización de los puertos.
La instalación y configuración de firewall y la monitorización de
ataques suelen ser soluciones que nos ayudan a proteger nuestra red,
pero estos dispositivos o software no sirven de nada si no se diseña
una estrategia de seguridad perimetral y esta es revisa con
regularidad.
Análisis de requerimientos
por capas de seguridad
Segmentación de redesAntivirus
Monitorización flujo tráfico
en la red
Protección Capa Seguridad Red Área Local
Los ataques del exterior sobre los datos de nuestra empresa no solo
se centran en la capa perimetral, los ataques pueden producirse desde
un equipo de nuestra red local mediante troyanos que acceden a
nuestra red por medio de correos electrónicos o uso de software de
descarga no recomendado.
Los puntos clave de analisis en la capa de área local es la revisión del
sistema operativo de los PC´s que integran nuestra red. Sistema
operativo y antivirus deben estar actualizados y sin duda, sustituir
cualquier PC que pueda tener un sistema operativo descatalogado (por
ejemplo Microsoft Windows XP).
Otras medidas de analisis e implantación pueden ser el uso de
software para monitorizar el flujo de tráfico en la red o la
segmentación de redes.
Análisis de requerimientos
por capas de seguridad
Jerarquía de permisos
y roles
Políticas de seguridad
de grupo
Acceso a las grabaciones
de video
Adaptación del ERP
a la RGPD
Protección Capa Seguridad Acceso al dato
Todas las empresas disponen de un organigrama que define las
funciones de cada trabajador en la empresa. En esta capa debemos
analizar el diseño de permisos o roles definidos en el Active Directory
de su organización. La creación de una jerarquía de permisos es una
de las medidas que se pueden aplicar en un primer nivel siempre y
cuando la infraestructura de su organización lo permita.
En el diseño de seguridad de la capa de acceso al dato debemos
incluir, entre otros puntos de revisión, la adaptación de su ERP al
Reglamento General de Protección de datos o la política de seguridad
de grupo.
Análisis de requerimientos
por capas de seguridad
Cifrado de datos
Restricción de dispositivos
de almacenamientomasivo
Trazabilidadde documentos
Sistemas de copia de seguridad
Protección Capa Seguridad Dato
Todas las estrategias de seguridad analizadas y aplicadas en las capas
anteriores tienen como único fin proteger el dato. Es necesario
analizar y diseñar una estrategia especifica para esta capa. Es muy
común la utilización de dispositivos extraíbles (USB) para compartir
ficheros con otros usuarios y es frecuente que estos dispositivos se
pierdan, poniendo en riesgo nuestros datos. Para evitar este riesgo
debemos aplicar medidas de restricción en el uso de dispositivos de
almacenamiento masivos, cifrado de datos o trazabilidad en los
documentos.
Además, uno de los puntos importantes en el RGPD es garantizar el
dato ante la posible perdida, para ello, es necesario no solo realizar
copias de seguridad, si no disponer de sistemas donde podamos
comprobar el estado de nuestra copia y garantizar la restauración de
los datos de las copias.
Metodología de trabajo
Capa
Perimetral
Capa Red
Área Local
Capa
Acceso
Capa
Dato
Evaluación de riesgos
Tratamiento de los riesgos
Evaluación de riesgos
Identificación de las amenazas
La exposición a los riesgos con impacto en la
protección de datos se produce desde el inicio o
puesta en marcha de los tratamientos,
evolucionando en función de las variaciones del
contexto y de factores o elementos que intervienen
en las mismas.Diseño y gestión de riesgos
Tratamiento
Definición y diseño
tratamiento
Se requiere
análisis PIA
No se requiere
analisis adicionales
Análisis PIA
* PIA: Análisis de Impacto a la Privacidad
¿Tratamiento
alto riesgo?
Análisis básico de
riesgos
Realizar EIPD
SI
NO
NO
SI
Durante el analisis de requerimientos, identificación y evaluación de riesgos
se aplicarán aquellas medidas de primer nivel en las capas analizadas en la
medida que su infraestructura este preparada para soportar dichas medidas.
Entendemos que las medidas de primer nivel son todas aquellas que son de
rápida aplicación y que no requieren grandes inversiones en hardware o
cambios estructurales en su empresa.
Una vez finalizadas las entrevistas, checklist e implementación de las
medidas de primer nivel, se entregará la documentación donde quede
reflejadas todas las evaluaciones y actuaciones realizadas para la adaptación
de su infraestructura a la RGPD.
En este documento se indicarán las medidas de carácter obligatorio y que no
han podido ser implementadas en un primer nivel y aquellas medidas que
sin ser obligatorias, serian recomendables implementar para mejorar la
seguridad de sus datos de carácter personal.
El RGPD requiere una actitud proactiva ante los cambios tecnológicos, es por
ello que MECEMSA recomienda el seguimiento y evaluación periódica de las
actividades de tratamiento definidas y aplicación de nuevas tecnologías para
mejorar la seguridad de su infraestructura.
Aplicación de medidas de
seguridad de primer nivel y
elaboración de documentos
adaptación de la
infraestructura a la RGPD
MECEMSA Consultores pone a su disposición la implantación de todas
aquellas medidas de seguridad de carácter obligatorio o recomendaciones
detectadas durante la fase de análisis:
• Instalación de Firewall y VPN´s
• Instalación de entornos virtualizados
• Instalación de servidores en la nube
• Implantación de políticas de seguridad de grupo
• Sistemas de copia de seguridad preparados para ataques
“cryptolocker”, copias en la nube y servicios de validación de copias.
• Implantación de sistemas de trazabilidad de documentos
• Formación en medidas de seguridad
Servicios adicionales
Mecemsa Consultores
Avenida de Dénia Nº88, Alicante 965 269 696www.mecemsa.es