Servicios adaptación RGPD

Más de 40 años aportando

soluciones

aplicadas a la mejora de tu

negocio

Mecemsa consultores es una firma de consultoría líder en el

mercado de la PyME, en la que trabajamos en equipo integrado

con el cliente, con un sentido esencialmente práctico.

Orientamos el trabajo a la obtención inmediata de resultados,

logrando una optimización de los procesos de negocio.

Empleamos tecnologías innovadoras siempre adaptadas a cada

empresa.

Nuestra experiencia de más de 40 años y los numerosos

clientes que han confiado en nosotros, avalan nuestra

profesionalidad.

Durante estos años, hemos profundizado en las necesidades

de la PYME, lo que nos permite ofrecer los servicios más

adecuados y personalizados para cada sector.

Mecemsa Consultores ofrecemos soluciones específicas para la

adecuación del RGPD a nivel técnico detectando deficiencias en las

capas de seguridad e implementando las medidas de primer nivel en

base a la infraestructura actual de la empresa:

1. Análisis de Requerimientos

Realización del análisis de requerimientos apoyado con un

cuestionario elaborado por MECEMSA, entrevista con los responsables

del departamento de informática para la identificación, evaluación y

tratamiento de amenazas. Identificar la necesidad de realizar una

Evaluación de Impacto en la Protección de Datos (EIPD).

2. Elaboración documentos

Elaboración de documentos que acrediten la situación actual de la

empresa, posibles riesgos, implementaciones de primer nivel y

recomendaciones.

3. Implementación medidas primer nivel

Implementación de las medidas detectadas de primer nivel en función

de la infraestructura actual de la empresa basados en entornos

Microsoft.

4. Seguimiento

Seguimiento de las implementaciones realizadas y las

recomendaciones aportadas al cliente.

Servicios

Elaboración mediante un cuestionario y

entrevistas con los responsables de

informática del análisis de requerimientos

en materia de protección de datos de

carácter personal y adecuación al

Reglamento (UE) 2016/679 del Parlamento

Europeo y del Consejo, de 27 de abril de

2016, relativo a la protección de las

personas físicas en lo que respecta al

tratamiento de datos personales y a la libre

circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento

general de protección de datos) (el “RGPD”).

Análisis de requerimientos

por capas de seguridad

Capa Perimetral

Capa Red Área Local

Capa Acceso

Capa Dato

Nuestro análisis recoge la identificación de amenazas, riesgos y el tratamiento

de los riesgos en cada una de las capas que debemos proteger en su empresa.

Protección contra accesos

externos no deseados

Protección red de área local

aplicando medidas de

segmentación de redes

Protección mediante un

organigrama de grupos y

permisos de usuarios

Protección de los datos

utilizando medidas de cifrado

y trazabilidad de documentos

Análisis de requerimientos

por capas de seguridad

FirewallMonitorización

deataques

Servicios en la nube

Protección Capa Seguridad Perimetral

La capa perimetral esta diseñada para proteger nuestra red de los

ataques del exterior.

Diseñar una estrategia que permita proteger nuestra red de estos

ataques es fundamental para la protección de los datos de su

empresa.

En el diseño de dicha capa deberemos tener en cuenta diversos

aspectos como la utilización de redes privadas virtuales (VPN), accesos

remotos y la utilización de los puertos.

La instalación y configuración de firewall y la monitorización de

ataques suelen ser soluciones que nos ayudan a proteger nuestra red,

pero estos dispositivos o software no sirven de nada si no se diseña

una estrategia de seguridad perimetral y esta es revisa con

regularidad.

Análisis de requerimientos

por capas de seguridad

Segmentación de redesAntivirus

Monitorización flujo tráfico

en la red

Protección Capa Seguridad Red Área Local

Los ataques del exterior sobre los datos de nuestra empresa no solo

se centran en la capa perimetral, los ataques pueden producirse desde

un equipo de nuestra red local mediante troyanos que acceden a

nuestra red por medio de correos electrónicos o uso de software de

descarga no recomendado.

Los puntos clave de analisis en la capa de área local es la revisión del

sistema operativo de los PC´s que integran nuestra red. Sistema

operativo y antivirus deben estar actualizados y sin duda, sustituir

cualquier PC que pueda tener un sistema operativo descatalogado (por

ejemplo Microsoft Windows XP).

Otras medidas de analisis e implantación pueden ser el uso de

software para monitorizar el flujo de tráfico en la red o la

segmentación de redes.

Análisis de requerimientos

por capas de seguridad

Jerarquía de permisos

y roles

Políticas de seguridad

de grupo

Acceso a las grabaciones

de video

Adaptación del ERP

a la RGPD

Protección Capa Seguridad Acceso al dato

Todas las empresas disponen de un organigrama que define las

funciones de cada trabajador en la empresa. En esta capa debemos

analizar el diseño de permisos o roles definidos en el Active Directory

de su organización. La creación de una jerarquía de permisos es una

de las medidas que se pueden aplicar en un primer nivel siempre y

cuando la infraestructura de su organización lo permita.

En el diseño de seguridad de la capa de acceso al dato debemos

incluir, entre otros puntos de revisión, la adaptación de su ERP al

Reglamento General de Protección de datos o la política de seguridad

de grupo.

Análisis de requerimientos

por capas de seguridad

Cifrado de datos

Restricción de dispositivos

de almacenamientomasivo

Trazabilidadde documentos

Sistemas de copia de seguridad

Protección Capa Seguridad Dato

Todas las estrategias de seguridad analizadas y aplicadas en las capas

anteriores tienen como único fin proteger el dato. Es necesario

analizar y diseñar una estrategia especifica para esta capa. Es muy

común la utilización de dispositivos extraíbles (USB) para compartir

ficheros con otros usuarios y es frecuente que estos dispositivos se

pierdan, poniendo en riesgo nuestros datos. Para evitar este riesgo

debemos aplicar medidas de restricción en el uso de dispositivos de

almacenamiento masivos, cifrado de datos o trazabilidad en los

documentos.

Además, uno de los puntos importantes en el RGPD es garantizar el

dato ante la posible perdida, para ello, es necesario no solo realizar

copias de seguridad, si no disponer de sistemas donde podamos

comprobar el estado de nuestra copia y garantizar la restauración de

los datos de las copias.

Metodología de trabajo

Capa

Perimetral

Capa Red

Área Local

Capa

Acceso

Capa

Dato

Evaluación de riesgos

Tratamiento de los riesgos

Evaluación de riesgos

Identificación de las amenazas

La exposición a los riesgos con impacto en la

protección de datos se produce desde el inicio o

puesta en marcha de los tratamientos,

evolucionando en función de las variaciones del

contexto y de factores o elementos que intervienen

en las mismas.Diseño y gestión de riesgos

Tratamiento

Definición y diseño

tratamiento

Se requiere

análisis PIA

No se requiere

analisis adicionales

Análisis PIA

* PIA: Análisis de Impacto a la Privacidad

¿Tratamiento

alto riesgo?

Análisis básico de

riesgos

Realizar EIPD

SI

NO

NO

SI

Durante el analisis de requerimientos, identificación y evaluación de riesgos

se aplicarán aquellas medidas de primer nivel en las capas analizadas en la

medida que su infraestructura este preparada para soportar dichas medidas.

Entendemos que las medidas de primer nivel son todas aquellas que son de

rápida aplicación y que no requieren grandes inversiones en hardware o

cambios estructurales en su empresa.

Una vez finalizadas las entrevistas, checklist e implementación de las

medidas de primer nivel, se entregará la documentación donde quede

reflejadas todas las evaluaciones y actuaciones realizadas para la adaptación

de su infraestructura a la RGPD.

En este documento se indicarán las medidas de carácter obligatorio y que no

han podido ser implementadas en un primer nivel y aquellas medidas que

sin ser obligatorias, serian recomendables implementar para mejorar la

seguridad de sus datos de carácter personal.

El RGPD requiere una actitud proactiva ante los cambios tecnológicos, es por

ello que MECEMSA recomienda el seguimiento y evaluación periódica de las

actividades de tratamiento definidas y aplicación de nuevas tecnologías para

mejorar la seguridad de su infraestructura.

Aplicación de medidas de

seguridad de primer nivel y

elaboración de documentos

adaptación de la

infraestructura a la RGPD

MECEMSA Consultores pone a su disposición la implantación de todas

aquellas medidas de seguridad de carácter obligatorio o recomendaciones

detectadas durante la fase de análisis:

• Instalación de Firewall y VPN´s

• Instalación de entornos virtualizados

• Instalación de servidores en la nube

• Implantación de políticas de seguridad de grupo

• Sistemas de copia de seguridad preparados para ataques

“cryptolocker”, copias en la nube y servicios de validación de copias.

• Implantación de sistemas de trazabilidad de documentos

• Formación en medidas de seguridad

Servicios adicionales

Mecemsa Consultores

Avenida de Dénia Nº88, Alicante 965 269 696www.mecemsa.es