Prácticas recomendadas del RGPD para el servidor de archivos de Windows

Cumplimiento del RGPD

A partir del 25 de mayoel, 2018 todas las empresas que manejan datos personales de la UE deben cumplir con GDPR. Desde la perspectiva de un servidor de archivos de Windows, los datos personales son de gran preocupación para Cumplimiento del RGPD. Las empresas fuera de la UE asumen que el RGPD no se aplica a ellas, sin embargo, cada interacción con un ciudadano de la UE requiere el cumplimiento: simplemente administrar una empresa que se encuentra fuera de la UE no le otorga una "tarjeta para salir de la cárcel". !

Con el RGPD, las empresas deben notificar a las autoridades y a los clientes sobre violaciones de datos dentro de las 72 horas posteriores a la toma de conocimiento del incidente, mantener registros para proporcionar a los clientes confirmación de si sus datos se están utilizando y cómo, proporcionarles una copia de sus datos si así lo solicitan y permitirles que se borren sus datos. Como parte del RGPD, las empresas de auditoría de descubrimiento de datos deben clasificar todos los datos personales y, una vez clasificados, protegerlos.

Esta lista de verificación cubre recomendaciones de mejores prácticas para la protección de datos personales almacenados en una infraestructura de servidor de archivos de Windows; sin embargo, los datos personales también incluyen cosas como el correo electrónico almacenado en Office Online o localmente en Exchange. Los detalles que siguen son las mejores prácticas que deben seguirse para proteger los datos personales de conformidad no solo con el RGPD sino también con otros estándares (HIPAA, FINRA, etc.).

Datos personales cubiertos por el RGPD

El Artículo 4(1) define “datos personales” de la siguiente manera (todo el énfasis es agregado a menos que se indique lo contrario):

'datos personales' significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona natural;

Con una definición tan amplia, corresponde a cualquier organización identificar y proteger los datos personales. ¿Qué herramientas están disponibles para los administradores de sistemas de Windows para identificar y proteger los datos? En las siguientes secciones, identificamos las herramientas y los recursos disponibles para los administradores de red para proteger los servidores de archivos y recursos compartidos de Windows.

Identificación de datos personales

Como parte del proceso de descubrimiento, las organizaciones necesitan identificar, en detalle, sus actividades de procesamiento de datos. Podrán hacerlo elaborando y manteniendo un registro de todas las actividades de tratamiento de datos. Según el RGPD, las organizaciones deberán mantener una documentación interna completa de sus actividades de procesamiento de datos. El primer paso para proteger el acceso remoto a los datos con MyWorkDrive es identificar y ubicar los datos personales y los procesos comerciales. Una vez que se identifican los datos personales, se pueden proteger del acceso. Además de desarrollar y documentar flujos de trabajo de procesamiento de datos, existen herramientas dentro de MyWorkDrive para buscar archivos en Recursos compartidos de archivos de Windows incluido el servicio de búsqueda de Windows y para organizaciones más grandes Búsqueda dTS. Combinar la investigación, la documentación y el descubrimiento del procesamiento de datos es el primer paso para proteger los servidores de archivos de Windows en cualquier organización sujeta al RGPD.

Protección de datos personales en servidores de archivos de Windows

Una vez que se hayan clasificado los datos, debe tener una comprensión integral del tipo de datos que procesa y cómo se deben proteger los datos. Considere cómo está protegiendo los datos personales actualmente (si es que lo hace) y realice los cambios necesarios o implemente los procedimientos necesarios. Se debe priorizar la protección de la privacidad de los datos personales. Puede ser necesario completar una Evaluación de impacto de privacidad (PIA) de las políticas para evaluar los ciclos de vida de los datos y el impacto potencial en la privacidad del individuo. Se debe hacer hincapié en los requisitos específicos del RGPD, como garantizar la portabilidad de los datos, el derecho a ser informado, el derecho al olvido y la manera correcta de destruir los datos. Deben existir los procedimientos y controles necesarios para respaldar los derechos de los datos personales almacenados. Se necesitan prácticas para proteger los datos personales en todas las formas y ubicaciones, incluso en las instalaciones y en la nube, datos respaldados, datos archivados y datos que se crean. Debe abordarse la seguridad de ciclos de vida completos de los datos. Para proteger los datos personales, las empresas pueden utilizar varios métodos, incluidos el cifrado, la anonimización y la seudonimización. El método que utilice depende de los permisos y el acceso del usuario. Desarrollar una política de retención de archivos es esencial para que los archivos puedan eliminarse con el tiempo y, por lo tanto, ya no estén sujetos a cumplimiento.

microsoft tiene recursos integrales para bloquear Windows Servers para cumplir con GDPR, incluidas las protecciones de privilegios de administrador y credenciales y asegurar el sistema operativo para ejecutar sus aplicaciones e infraestructura. Además de los recursos de Microsoft para bloquear los sistemas operativos Windows File Server, es fundamental proteger los sistemas en redes confiables y habilitar medidas de seguridad adicionales, como la autenticación de dos factores, cuando se accede a los datos de forma remota y evitar las descargas a dispositivos no administrados. Gran parte de esto significa cosas básicas como activar los registros del sistema y quizás varias herramientas para cotejarlos e informar sobre ellos, pero igualmente, cuando sea posible, las empresas deberían considerar implementar cosas como la prevención de fuga de datos para monitorear todos los datos personales a los que se accede, ya sea en las instalaciones o de forma remota. . Desde la perspectiva de MyWorkDrive, proteger los datos personales en archivos compartidos puede ser tan simple como excluirlos del acceso remoto por completo o limitar el acceso a recursos compartidos específicos para leer y editar solo en nuestro cliente Web File Manage mientras restringe las descargas utilizando nuestras funciones de prevención de pérdida de datos.

Cifrado durante el tránsito

Protocolos como servidor ftp construido en Windows IIS no cumple con los estándares GDPR. Tampoco los clientes VPN de Windows más antiguos. MyWorkDrive agrega protección adicional durante la transmisión para proteger los datos de la empresa con alto cifrado, registro extenso, autenticación de dos factores y funciones de prevención de pérdida de datos. MyWorkDrive Server y los clientes son totalmente compatibles con el estándar TLS 1.2 para proteger los archivos y las empresas pueden desactivar de forma segura el acceso a TLS 1.0. Nuestro Artículo de soporte de MyWorkDrive detalla cómo deshabilitar cifrados inseguros y débiles para proteger los datos durante el tránsito. Un paso adicional para proteger los datos en tránsito es proteger el propio sistema operativo con reglas de firewall. MyWorkDrive en sí mismo se puede ejecutar en una zona de firewall separada que limita los puertos de entrada y salida a solo los necesarios para los recursos compartidos de SMB, Active Directory y el tráfico de DNS internamente y el tráfico de HTTPS (SSL) de forma externa. Se encuentran disponibles detalles adicionales sobre las necesidades de los puertos para una comunicación adecuada del firewall del servidor MyWorkDrive en un entorno bloqueado. aquí.

Cifrado en reposo

Una forma de limitar esta exposición a las infracciones de GDPR es cifrar los datos en reposo, incluso si se produjera una infracción si la clave de cifrado no se infringe, las empresas pueden evitar el paso de notificación. El Informe RGPD tiene un excelente artículo aquí que señala: “En caso de compromiso o pérdida de datos, si la organización tiene el control total de sus propias claves de cifrado, puede evitar el paso de notificación por completo si los datos son ilegibles para el mundo fuera de la organización. Por el contrario, si la nube o el proveedor de SaaS controlan las claves y se violan, entonces no hay forma de estar seguro de que los datos de la organización están seguros, y se producen notificaciones y multas”. Esto incluye archivos almacenados en servidores de archivos de Windows y copias de seguridad almacenadas en las instalaciones o en la nube. MyWorkDrive nunca almacena ningún dato del cliente, ya sea en las instalaciones en el servidor de acceso web de archivos de MyWorkDrive o cuando se abre en Office 365 en línea. Las empresas pueden cifrar de forma segura sus datos en Recursos compartidos de archivos de Windows sin afectar el acceso remoto a archivos de MyWorkDrive utilizando herramientas de servidor de Windows integradas o utilizar proveedores externos como Sophos o Symantec. Desde la perspectiva del servidor y del cliente de MyWorkDrive, los usuarios acceden a archivos compartidos en su contexto de usuario tal como lo harían con las unidades mapeadas tradicionales. El MyWorkDrive servidor de archivos en la nube convierte el tráfico del servidor de archivos SMB local a HTTPS para que el usuario acceda a los archivos de forma remota, agrega capacidades de registro adicionales y autenticación de dos factores opcional. Además, dado que se puede acceder a los archivos y editarlos directamente sin descargarlos, se minimiza el almacenamiento local de archivos en los dispositivos de los usuarios finales. Las empresas también pueden habilitar las funciones de prevención de pérdida de datos de MyWorkDrive para evitar la descarga y el uso compartido externo y al mismo tiempo permitir la visualización y edición de documentos en un navegador seguro.

Monitoreo y Reporte

Obviamente, no puede comenzar a avanzar para cumplir con los estrictos requisitos de notificación de GDPR dentro de las 72 horas si no puede detectar la infracción en primer lugar. Solicitudes de acceso a datos: El RGPD incluye requisitos explícitos para la notificación de infracciones donde una infracción de datos personales significa “una infracción de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o datos personales procesados de otro modo. MyWorkDrive incluye amplias funciones de registro y búsqueda para informar sobre el acceso, la modificación o la descarga que se pueden combinar con herramientas de administración de registros centralizados, herramientas de informes de Windows File Server o herramientas de alerta de terceros, como File Audit Plus de Manage Engine, Netwrix Auditor o Quest's Change. Auditora de NetApp. Todos los registros de acceso de MyWorkDrive están en formato XML estandarizado para facilitar la integración y la generación de informes. Ipswitch también describe las mejores prácticas para la gestión de registros de eventos para seguridad y cumplimiento. aquí.


Descargo de responsabilidad

Este libro blanco es un comentario sobre el RGPD, tal como lo interpreta MyWorkDrive, a partir de la fecha de publicación. La aplicación del RGPD depende en gran medida de los hechos y no todos los aspectos e interpretaciones del RGPD están bien resueltos. Como resultado, este documento técnico se proporciona solo con fines informativos y no debe considerarse como asesoramiento legal o para determinar cómo se puede aplicar el RGPD a usted y su organización. Lo alentamos a que trabaje con un profesional legalmente calificado para analizar el RGPD, cómo se aplica específicamente a su organización y cuál es la mejor manera de garantizar el cumplimiento. MYWORKDRIVE NO OFRECE GARANTÍAS, EXPLÍCITAS, IMPLÍCITAS O ESTATUTARIAS, EN CUANTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO TÉCNICO. Este documento técnico se proporciona "tal cual". La información y las opiniones expresadas en este documento técnico, incluida la URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Este documento no le otorga ningún derecho legal a ninguna propiedad intelectual en ningún producto de MyWorkDrive. Puede copiar y utilizar este documento técnico solo para fines internos de referencia.

Publicado en marzo de 2018, versión 1.0

© 2019 MyWorkDrive, Wanpath LLC. Todos los derechos reservados.

Daniel, fundador de MyWorkDrive.com, ha trabajado en varios roles de gestión de tecnología al servicio de empresas, gobierno y educación en el área de la bahía de San Francisco desde 1992. Daniel está certificado en tecnologías de Microsoft y escribe sobre tecnología de la información, seguridad y estrategia y ha sido galardonado con el premio US Patente #9985930 en Redes de Acceso Remoto