Mejores prácticas para servidores de archivos de Windows según el RGPD

A partir del 25 de mayo^el, 2018 todas las empresas que manejan datos personales de la UE deben cumplir con el RGPD. Desde la perspectiva de un servidor de archivos de Windows que cumple con el RGPD, los datos personales son la mayor preocupación para Cumplimiento del RGPD. Las empresas fuera de la UE asumen que el RGPD no se aplica a ellas, sin embargo, cada interacción con un ciudadano de la UE requiere el cumplimiento: simplemente administrar una empresa que se encuentra fuera de la UE no le otorga una "tarjeta para salir de la cárcel". !

Con el RGPD, las empresas deben notificar a las autoridades y a los clientes las violaciones de datos en un plazo de 72 horas desde que tengan conocimiento del incidente, mantener registros para proporcionar a los clientes confirmación de si se están utilizando sus datos y de qué manera, proporcionarles una copia de sus datos si se les solicita y permitirles que los borren. Como parte de la auditoría de descubrimiento de datos del RGPD, las empresas deben clasificar todos los datos personales y, una vez clasificados, protegerlos.

Esta lista de verificación incluye recomendaciones de mejores prácticas para la protección de datos personales almacenados en una infraestructura de Windows File Server. Sin embargo, los datos personales también incluyen elementos como el correo electrónico almacenado en Office Online o en Exchange local. Los detalles que se incluyen a continuación son las mejores prácticas que se deben seguir para proteger los datos personales de conformidad no solo con el RGPD, sino también con otras normas (HIPAA, FINRA, etc.).

Datos personales contemplados en el RGPD

El Artículo 4(1) define “datos personales” de la siguiente manera (todo el énfasis es agregado a menos que se indique lo contrario):

'datos personales' significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona natural;

Con una definición tan amplia, cualquier organización debe identificar y proteger los datos personales. ¿Qué herramientas están disponibles para los administradores de sistemas de Windows para identificar y proteger los datos? En las siguientes secciones, identificamos las herramientas y los recursos disponibles para los administradores de red para proteger los servidores de archivos y recursos compartidos de Windows GDPR.

Identificación de datos personales

Como parte del proceso de descubrimiento, las organizaciones deben identificar, en detalle, sus actividades de procesamiento de datos. Pueden hacerlo mediante la preparación y el mantenimiento de un registro de todas las actividades de procesamiento de datos. De conformidad con el RGPD, las organizaciones deben mantener una documentación interna completa de sus actividades de procesamiento de datos.

El primer paso para proteger el acceso remoto a los datos con MyWorkDrive es identificar y localizar los datos personales y los procesos empresariales. Una vez identificados los datos personales, se pueden proteger contra el acceso. Además de desarrollar y documentar flujos de trabajo de procesamiento de datos, existen herramientas dentro de MyWorkDrive para buscar archivos en Recursos compartidos de archivos de Windows incluido el servicio de búsqueda de Windows y para organizaciones más grandes Búsqueda dTS. Combinar la investigación, la documentación y el descubrimiento del procesamiento de datos es el primer paso para proteger los servidores de archivos de Windows en cualquier organización sujeta al RGPD.

Protección de datos personales en servidores de archivos de Windows

Una vez que se hayan clasificado los datos, debe tener una comprensión integral del tipo de datos que procesa y cómo deben protegerse. Considere cómo está protegiendo los datos personales actualmente (si es que lo hace) y realice los cambios necesarios o implemente los procedimientos necesarios. La protección de la privacidad de los datos personales debe ser una prioridad. Puede ser necesario completar una Evaluación de Impacto de Privacidad (PIA) de las políticas para evaluar los ciclos de vida de los datos y el posible impacto en la privacidad del individuo.

Se debe hacer hincapié en los requisitos específicos del RGPD, como garantizar la portabilidad de los datos, el derecho a ser informado, el derecho al olvido y la forma correcta de destruir los datos. Deben establecerse los procedimientos y controles necesarios para respaldar los derechos de los datos personales almacenados. Se necesitan prácticas para proteger los datos personales en todas las formas y ubicaciones, incluidos los datos locales y en la nube, los datos respaldados, los datos archivados y los datos que se están creando. Se debe abordar la seguridad de todo el ciclo de vida de los datos.

Para proteger los datos personales, las empresas pueden utilizar diversos métodos, como el cifrado, la anonimización y la seudonimización. El método que utilice dependerá de los permisos y el acceso del usuario. Desarrollar una política de retención de archivos es esencial para que los archivos se puedan eliminar con el tiempo y, por lo tanto, ya no estén sujetos a cumplimiento.

microsoft tiene Recursos completos para bloquear el servidor Windows GDPRs para cumplir con el RGPD, incluidas las protecciones de credenciales y privilegios de administrador, y la seguridad del sistema operativo para ejecutar sus aplicaciones e infraestructura. Además de los recursos de Microsoft para bloquear los sistemas operativos de Windows File Server, es fundamental proteger los sistemas en redes confiables y habilitar medidas de seguridad adicionales, como la autenticación de dos factores cuando se accede a los datos de forma remota y evitar descargas a dispositivos no administrados.

Gran parte de esto significa cosas básicas como abrir los registros del sistema y quizás varias herramientas para recopilarlos e informar sobre ellos, pero igualmente, cuando sea posible, las empresas deberían considerar implementar cosas como la prevención de fuga de datos para monitorear todos los datos personales a los que se accede, ya sea en las instalaciones o de forma remota.

Desde la perspectiva de MyWorkDrive, proteger los datos personales en archivos compartidos puede ser tan simple como excluirlos por completo del acceso remoto o limitar el acceso a recursos compartidos específicos para leer y editar solo en nuestro cliente de administración de archivos web mientras se restringen las descargas utilizando nuestras funciones de prevención de pérdida de datos.

Cifrado durante el tránsito

Protocolos como Servidores FTP Los IIS integrados en Windows no cumplen con los estándares GDPR. Tampoco lo hacen los clientes VPN de Windows más antiguos. MyWorkDrive agrega protección adicional durante la transmisión para proteger los datos de la empresa con un alto nivel de cifrado, registro extenso, autenticación de dos factores y funciones de prevención de pérdida de datos.

MyWorkDrive Server y los clientes son totalmente compatibles con el estándar TLS 1.2 para proteger los archivos y las empresas pueden desactivar de forma segura el acceso a TLS 1.0. Artículo de soporte de MyWorkDrive detalla cómo deshabilitar cifrados inseguros y débiles para proteger los datos durante el tránsito.

Un paso adicional para proteger los datos en tránsito es proteger el propio sistema operativo con reglas de firewall. MyWorkDrive se puede ejecutar en una zona de firewall independiente que limita los puertos de entrada y salida solo a los necesarios para los recursos compartidos SMB, el tráfico interno de Active Directory y DNS y el tráfico HTTPS (SSL) externo. Hay disponibles detalles adicionales sobre los puertos necesarios para una comunicación adecuada con el firewall del servidor MyWorkDrive en un entorno bloqueado. aquí.

Cifrado en reposo

Una forma de limitar esta exposición a las infracciones de GDPR es cifrar los datos en reposo, incluso si se produjera una infracción si la clave de cifrado no se infringe, las empresas pueden evitar el paso de notificación.

El Informe RGPD tiene un excelente artículo aquí que señala: “En caso de compromiso o pérdida de datos, si la organización tiene el control total de sus propias claves de cifrado, puede evitar el paso de notificación por completo si los datos son ilegibles para el mundo externo a la organización. Por el contrario, si el proveedor de la nube o SaaS controla las claves y estas son violadas, entonces no hay forma de estar seguro de que los datos de la organización están seguros, y se producen notificaciones y multas”. Esto incluye archivos almacenados en servidores de archivos de Windows GDPR y copias de seguridad almacenadas localmente o en la nube.

MyWorkDrive nunca almacena ningún dato de los clientes, ya sea en el servidor de acceso web de archivos de MyWorkDrive o cuando se abren en Office 365 en línea. Las empresas pueden cifrar sus datos de forma segura en Recursos compartidos de archivos de Windows sin afectar el acceso remoto a archivos de MyWorkDrive utilizando herramientas de servidor de Windows integradas o utilizando proveedores externos como Sophos o Symantec.

Desde la perspectiva del servidor y del cliente de MyWorkDrive, los usuarios acceden a los recursos compartidos de archivos en su contexto de usuario tal como lo harían con las unidades mapeadas tradicionales. MyWorkDrive servidor de archivos en la nube Convierte el tráfico del servidor de archivos SMB local a HTTPS para que el usuario acceda a los archivos de forma remota y agrega capacidades de registro adicionales y autenticación de dos factores opcional. Además, dado que se puede acceder a los archivos y editarlos directamente sin descargarlos, minimiza el almacenamiento de archivos localmente en los dispositivos del usuario final.

Las empresas también pueden habilitar las funciones de prevención de pérdida de datos de MyWorkDrive para evitar la descarga y el uso compartido externo y, al mismo tiempo, permitir la visualización y edición de documentos en un navegador seguro.

Monitoreo y Reporte

Obviamente, no se puede empezar a avanzar para cumplir con los estrictos requisitos de notificación del RGPD en un plazo de 72 horas si no se puede detectar la infracción en primer lugar.

Solicitudes de acceso a datos: El RGPD incluye requisitos explícitos para la notificación de infracciones, cuando una infracción de datos personales significa “una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales transmitidos, almacenados o procesados de otro modo”.

MyWorkDrive incluye amplias capacidades de registro y búsqueda para informar sobre acceso, modificación o descarga que se pueden combinar con herramientas de gestión de registros centralizadas, herramientas de informes GDPR Windows File Server o herramientas de alerta de terceros como File Audit Plus de Manage Engine, Netwrix Auditor o Change Auditor de Quest para NetApp.

Todos los registros de acceso de MyWorkDrive están en formato XML estandarizado para facilitar la integración y la generación de informes. Además, Ipswitch describe las mejores prácticas para la gestión de registros de eventos con fines de seguridad y cumplimiento normativo. aquí.

Descargo de responsabilidad

Este libro blanco es un comentario sobre el RGPD, tal como lo interpreta MyWorkDrive, a partir de la fecha de publicación. La aplicación del RGPD depende en gran medida de los hechos y no todos los aspectos e interpretaciones del RGPD están bien resueltos. Como resultado, este documento técnico se proporciona solo con fines informativos y no debe considerarse como asesoramiento legal o para determinar cómo se puede aplicar el RGPD a usted y su organización. Lo alentamos a que trabaje con un profesional legalmente calificado para analizar el RGPD, cómo se aplica específicamente a su organización y cuál es la mejor manera de garantizar el cumplimiento. MYWORKDRIVE NO OFRECE GARANTÍAS, EXPLÍCITAS, IMPLÍCITAS O ESTATUTARIAS, EN CUANTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO TÉCNICO. Este documento técnico se proporciona "tal cual". La información y las opiniones expresadas en este documento técnico, incluida la URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Este documento no le otorga ningún derecho legal a ninguna propiedad intelectual en ningún producto de MyWorkDrive. Puede copiar y utilizar este documento técnico solo para fines internos de referencia.