¿Qué es la protección de datos?

Cada día, los ciberataques procuran robar información valiosa y delicada a negocios, instituciones y organizaciones gubernamentales. El alto nivel de sofisticación de estas amenazas ha destacado la importancia de la protección de datos para evitar costosas vulneraciones y filtraciones de datos. Como consecuencia, la protección de datos se ha convertido en uno de los principales objetivos de la ciberseguridad, y es un componente fundamental del cumplimiento y la privacidad. Con los sistemas y estrategias adecuados, las organizaciones pueden evitar que los atacantes roben datos, protegiéndose así contra pérdidas de datos e interrupciones a la continuidad.

La pérdida y corrupción de datos les cuesta miles de millones de dólares al año a las organizaciones. Cada evento de ciberseguridad cuesta alrededor de 100.000 USD por incidencia, y estos costos siguen al alza. Una organización que cae víctima de una filtración de datos debe gastar dinero para cubrir los costos legales, multas de conformidad y nuevos equipos de ciberseguridad. Por lo tanto, establecer los controles adecuados es una acción con una buena relación coste-beneficio.

El propósito de la protección de datos para empresas es evitar el robo de datos antes de que una organización sufra las costosas consecuencias de un compromiso exitoso. También protege a los clientes contra la pérdida de datos ante atacantes, y posiblemente también contra resultar víctimas de robo de identidad o fraude. Pero evitar una vulneración no es el único beneficio. La protección de datos ayuda a las empresas a hallar valor en sus datos, catalogándolos para uso futuro.

Existen tres elementos fundamentales de la protección de datos y la seguridad de la información sensible, que la mayoría de las organizaciones deben reconocer en sus empeños de ciberseguridad: confidencialidad, integridad y disponibilidad. Estos tres pilares se conocen como la tríada CIA (por las siglas en inglés de los tres elementos), que funciona como un marco de trabajo para sustentar planes resilientes de protección de datos.

• Confidencialidad: Se refiere a la protección segura de los datos contra accesos no autorizados, permitiéndoselo solo a usuarios selectos con las autorizaciones y credenciales adecuados.
• Integridad: Mantiene unos datos fieles, fiables, precisos y completos, sin alteraciones o modificaciones accidentales.
• Disponibilidad: Garantiza que los datos estén disponibles cuando se necesiten para garantizar la continuidad del negocio.

La continuidad del negocio depende de la protección de datos e información. Para garantizar su continuidad, las empresas necesitan maneras de recuperarse ante un evento de ciberseguridad. Por ejemplo, un error de configuración o falla inesperada del sistema puede generar corrupción de datos. Los planes de protección de datos para empresas entrarían en escena después de estos eventos.

El tiempo que le lleva a una empresa recuperarse de las interrupciones de servicio afecta a los ingresos. Mientras mayor sea la interrupción, menos tiempo tendrá el negocio para sustentar su productividad. Sin productividad, el negocio no puede sustentar sus ingresos. Además, el tiempo de parada puede afectar al crecimiento de futuros ingresos y causar daños a la marca.

La protección, seguridad y privacidad de los datos son términos relacionados que se suelen usar de manera indistinta, pero cada uno tiene significados e intenciones diferentes:

• Protección de datos: Las medidas de salvaguarda que evitan accesos no autorizados, uso, divulgación, modificación o destrucción de la información. La protección de datos abarca todas las iniciativas físicas, técnicas, administrativas y legales para proteger los datos.
• Seguridad: Los protocolos para proteger sus sistemas informáticos, software y redes contra vulneraciones de acceso, uso, alteración o destrucción. La seguridad cubre sistemas físicos, técnicos y administrativos para garantizar la seguridad de las infraestructuras de ordenadores y redes.
• Privacidad: En este contexto, la privacidad cubre todas las medidas tomadas para proteger la información personal y confidencial, como limitar el acceso a los datos, obtener consentimiento para su recolección, divulgación y uso, y garantizar que los datos sean exactos y estén actualizados.

Entre las dificultades que enfrentan las empresas al implementar la protección de la información sensible, están las barreras y obstáculos necesarios para crear un plan eficaz. A medida que evoluciona la tecnología y más empresas trabajan en la nube, aumenta la superficie de ataque del entorno, dificultando aún más la defensa contra ataques.

Algunas barreras a considerar incluyen:

• Superficie de ataque ampliada: Añadir respaldos, archivos y otros componentes ambientales mejora la protección, pero a la vez se agrega a la superficie de ataque e incrementa los riesgos.
• Vulnerabilidades comunes: Los errores de configuración son comunes en un entorno y suelen ser la causa raíz de las vulneraciones. Otras vulnerabilidades comunes persisten y deben remediarse para evitar una vulneración.
• Requisitos cambiantes de piratería e informes: Las organizaciones deben tener en cuenta la conformidad al implementar la protección de datos, y esto precisa de una auditoría y comprensión de todas las reglas de cumplimiento.
• Aumento en el uso de móviles y tecnologías IoT: Permitir a los dispositivos móviles y de IoT aumenta la superficie de ataque de una organización, haciendo más difícil la protección de datos, especialmente si los dispositivos son propiedad de los usuarios.

El cifrado de datos es el primer paso para proteger los datos contra atacantes. El cifrado se debe implementar tanto en los datos en reposo como en los datos en movimiento. Cuando se transfieren los datos por internet, deben estar cifrados para evitar espionajes y ataques de intermediario. La conformidad precisa de algunos datos en reposo cifrados, como información delicada almacenada en dispositivos móviles.

El cifrado protegido criptográficamente evita que los atacantes lean datos robados. Los dispositivos móviles con datos en reposo cifrados evitan que los atacantes recuperen datos en un dispositivo físicamente robado. Las normativas de cumplimiento también regulan qué datos deben cifrarse y cómo una organización protege la información, así que siempre se debe revisar las normativas antes de crear un plan.

La protección de datos no se puede completar en un solo paso. Una protección integral de la información implica el uso de diversos componentes. La mayoría de las grandes organizaciones usan diversos principios de protección. Sin embargo, cualquier organización que deba cumplir normativas de conformidad con datos muy delicados (como financieros o de salud) debe implementar todas las categorías en sus controles de ciberseguridad.

Las categorías de protección de datos para empresas incluyen:

• Descubrimiento electrónico y conformidad: Descubrir uso de datos que debe ser catalogado, etiquetado y sometido a controles de acceso. Esto se puede hacer con soluciones de análisis para descubrimiento electrónico.
• Archivo: Almacenamiento de datos antiguos en ubicaciones independientes para liberar espacio de almacenamiento, pero manteniendo una copia de estos en caso de que hagan falta en una investigación. Esto se puede hacer mediante soluciones de archivado.
• Respaldos: Hacer una copia de los datos para recuperación ante catástrofes después de una vulneración o corrupción.
• Instantáneas: Las instantáneas son similares a los respaldos, pero incluyen todas las configuraciones de sistema para recuperar servidores.
• Replicación: Replicar los datos en diversos entornos aporta redundancia.
• Disponibilidad: Cualquier dato de producción debe estar disponible para las operaciones diarias del negocio para sustentar el crecimiento de los ingresos.
• Recuperación ante catástrofes: Un plan de recuperación ante catástrofes remedia cualquier tipo de datos perdidos y regresa al sistema a la normalidad para continuar con la productividad del negocio y minimizar el tiempo de interrupción.
• Continuidad empresarial: Se deben hacer todos los esfuerzos necesarios para garantizar la estabilidad y disponibilidad de los datos para sustentar la productividad.

El entorno de sistemas moderno comprende una multitud de sistemas operativos y plataformas, incluyendo a la nube. Para continuar con las operaciones, los datos deben poderse transmitir entre un entorno y otro. Sin embargo, la comodidad de la portabilidad también debería implicar la protección contra el espionaje, robo y corrupción.

Uno de los problemas con la portabilidad de datos es garantizar que se integre con la nube. Más organizaciones reconocen que la nube es perfecta para respaldos y archivado, así que cualquier plan de recuperación ante desastres debe incluir la hora para migrar los datos desde la nube a un almacenamiento in situ. La nube es segura, pero los administradores deben configurar adecuadamente los datos para la protección y disponibilidad de los datos, incluyendo los controles de acceso necesarios para defenderse del robo.

Los respaldos siempre han sido necesarios para la continuidad del negocio, pero ahora son fundamentales para la recuperación ante catástrofes. En vez de hacer respaldos a una frecuencia específica, los respaldos de datos son continuos y más estratégicos para regresar al negocio al mismo estado en que estaba antes de la incidencia.

El almacenamiento de grandes cantidades de datos es costoso y consume mucho espacio de almacenamiento, así que las organizaciones típicamente aprovechan la nube para evitar los costes in situ. Un buen plan de recuperación ante catástrofes conlleva la deduplicación de datos y garantizar que no se pierdan estos durante la migración de un respaldo al sistema afectado.

Las organizaciones tanto grandes como pequeñas se benefician de la protección de datos, también conocida en este contexto como protección de la información o protección contra pérdida de datos (DLP por sus siglas en inglés), pero las corporaciones tienen gran cantidad de “partes móviles”, una amplísima superficie de ataque y enormes cantidades de datos que deben protegerse. Una estrategia de protección de datos para empresas típicamente será diferente de la de una pyme debido a la mayor superficie de ataque.

Algunos de los componentes de la protección de datos corporativa incluyen:

• Visibilidad inteligente: Los administradores corporativos deben estar conscientes de todos los datos en el entorno, para que se puedan monitorizar y proteger adecuadamente.
• Mitigación proactiva: La ciberseguridad reaccionaria es costosa y puede perjudicar seriamente a los ingresos, pero las herramientas y servicios de mitigación proactiva pueden detectar y detener un ataque en curso antes de que se convierta en una vulneración total.
• Control continuo: Los administradores deben crear un plan de protección de datos que les brinde un control persistente sobre el acceso y la visibilidad.

La mayoría de las empresas tienen problemas a causa del creciente número de ataques y nuevas amenazas que van surgiendo espontáneamente. Estos problemas dificultarán a la empresa el crear un buen plan de protección de datos. Al planificar la infraestructura y procedimientos necesarios para proteger los datos, los administradores deben prepararse para enfrentar algunos potenciales problemas, como, por ejemplo:

• Corrupción de datos: Los respaldos deben ser seguros y válidos, lo que significa que cualquier respaldo debe ser verificado para asegurarse de que no esté corrompido. Los respaldos corruptos pueden destruir un plan de recuperación ante catástrofes cuando se ponen en acción.
• Fallos en sistemas de almacenamiento: Todo sistema de almacenamiento debe estar disponible para mantener la productividad. Las ubicaciones de almacenamiento de respaldo deben también estar disponibles para ejecutar la recuperación ante catástrofes inmediatamente cuando haga falta.
• Fallos en centros de datos: Las organizaciones que trabajan desde la nube o un centro de datos necesitan conexiones en la nube que sean persistentes y confiables. Una conexión de conmutación por error o ISP secundario suelen ser necesarios en caso de pérdidas de conectividad.

La ciberseguridad cambia a diario, porque se van descubriendo nuevas amenazas, y los atacantes encuentran nuevas maneras de evadir las medidas de seguridad, así que las tendencias continúan cambiando para mantenerse a la par con las amenazas. Los administradores no necesitan implementar todas y cada una de las tendencias de protección de datos, pero adoptar las más recientes tecnologías suele ayudar a evitar las amenazas también más recientes.

Algunas tendencias a considerar son:

• Hiperconvergencia: Las organizaciones ahora tienen una combinación de máquinas físicas y virtuales, y todos los entornos deben estar respaldados. Al diseñar un plan, es necesario asegurarse de que los servidores virtualizados y dispositivos en la red estén incluidos.
• Ransomware: La única manera de recuperarse contra un ataque sofisticado de ransomware es recuperarlo a partir de respaldos. El ransomware toma como objetivo a estos respaldos, así que los planes de protección de datos deben incluir seguridad en archivos de respaldo y ubicaciones de almacenamiento.
• Gestión de datos copiados: La redundancia es necesaria para una buena protección, pero tener respaldos o backups mal manejados puede ser una pesadilla que resulte en la pérdida y corrupción de datos. La planificación debe incluir los pasos requeridos para garantizar que los respaldos queden almacenados en una ubicación, y que los demás sistemas de respaldo activo no la sobrescriban.

Los dispositivos y servidores de la organización se pueden gestionar más fácilmente, porque esta es la propietaria y quien controla qué se puede instalar. Los dispositivos de usuario son más complicados, porque los datos corporativos hay que protegerlos sin interferir con los datos personales y aplicaciones de los usuarios.

Al permitir a los trabajadores usar sus propios dispositivos móviles, mejora la productividad, pero también incrementa los riesgos. Los administradores deben tomar las acciones necesarias para asegurarse de que los datos móviles estén protegidos con seguridad móvil. Sin embargo, este componente de la gestión de ciberseguridad es mucho más complejo que los servidores y dispositivos internos. Los datos deben sincronizarse con estrategias de respaldo, y el dispositivo debe proteger los datos después de un robo físico.

Cada componente de la ciberseguridad tiene un propósito definido para proteger los datos, pero las normativas de cumplimiento distinguen entre protección, seguridad y privacidad. Las organizaciones deben comprender estas diferencias para implementar los controles adecuados para garantizar su cumplimiento y evitar multas.

• Protección de datos: Cualquier dispositivo o aplicación que detenga a los ciberataques y proteja del robo, incluyendo pérdidas de datos causadas por agentes internos.
• Seguridad de datos: Recursos de ciberseguridad que protegen contra accesos no autorizados y la manipulación o corrupción de datos.
• Privacidad de datos: La auditoría de datos y la determinación de quién tiene acceso a estos, además de monitorizar las solicitudes de acceso.

Cada país tiene sus propias leyes de privacidad, y las organizaciones en estos países deben cumplir las regulaciones. Las dos principales leyes de privacidad de datos son el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que entró en vigor en 2018, y la Ley de Privacidad del Consumidor de California (CCPA) en los Estados Unidos. Ambas leyes incluyen severas sanciones por incumplimiento. Las dos normativas de cumplimiento tienen sus propios requisitos, y las organizaciones deben asegurarse de revisarlas y cumplirlas.

El RGPD y la CCPA son dos de las leyes de privacidad más importantes, con sanciones muy severas al incumplimiento. Estas medidas de protección brindan a los consumidores más control sobre sus datos y más transparencia acerca de cómo las organizaciones las utilizan. En ambas leyes, debe quedar claro que los usuarios tienen:

• Derecho a ser informados de cómo se usarán sus datos.
• Derecho a acceder y ver sus datos.
• Derecho a rectificación o capacidad de corregir datos.
• Derecho a la eliminación o borrado de sus datos, o a desapuntarse de manera total.

Cada organización tiene su propio plan de protección de datos que debe seguir estándares básicos de protección de datos. Las herramientas y equipos que protegen datos dependen de la infraestructura de la organización y de sus prácticas de almacenamiento (por ejemplo, in situ, vs. almacenamiento en la nube).

Algunos ejemplos de protección de datos son:

• Seguridad de datos: Es necesario contar con autenticación para acceder a los datos.
• Controles de acceso: El usuario debe estar autorizado para ver los datos.
• Requisitos de almacenamiento: ¿Los datos están protegidos tanto en reposo como en movimiento?

Una gran cantidad de tendencias de transformación digital y seguridad de datos afectan al cómo las organizaciones gestionan sus esfuerzos de protección de datos.

• Teletrabajo: El giro al teletrabajo ha creado nuevos desafíos de seguridad, porque los empleados acceden a los datos corporativos desde fuera de la red de la oficina.
• Respaldo y recuperación ante catástrofes como servicio: Las organizaciones se basan cada vez más en los respaldos basados en la nube y en las soluciones de recuperación ante catástrofes para proteger sus datos en caso de una vulneración de seguridad u otras catástrofes.
• Conformidad regulatoria: La conformidad con las normativas de privacidad de datos, como el RGPD y la CCPA se está volviendo cada vez más importante, porque las organizaciones se enfrentan a sanciones cuantiosas por incumplimiento.
• Gobernabilidad de IA: A medida que la inteligencia artificial se va volviendo más extendida, las organizaciones se enfocan en desarrollar marcos de trabajo para gobernabilidad, de manera de garantizar que la IA se utilice de manera ética y que los datos utilizados para entrenar a los modelos de IA se protejan.
• Datos de parte cero y parte uno: A medida que las cookies de terceros van quedando obsoletas, las organizaciones buscan recopilar datos de “parte cero” y “parte uno” para mejorar sus prácticas de protección de datos y de seguridad, y para comprender mejor a sus clientes.

A medida que las amenazas se vuelven cada vez más avanzadas y sofisticadas, las organizaciones deben permanecer a la vanguardia con las más recientes herramientas de protección y métodos de seguridad de la información.

• Sistemas de respaldo y recuperación de datos: Estas herramientas respaldan automáticamente los datos importantes y pueden recuperarse rápidamente en caso de una filtración de seguridad u otro desastre.
• Cifrado y criptografía: Estas tecnologías protegen a los datos delicados cifrándolos de modo que solamente el personal autorizado pueda acceder a estos.
• Software de descubrimiento y clasificación de datos: Las plataformas de software ayudan a las organizaciones a identificar y clasificar datos delicados, para poder protegerlos mejor.
• Seguridad de punto final: Estos sistemas protegen a dispositivos individuales, como portátiles, ordenadores de sobremesa y teléfonos móviles contra amenazas de seguridad.
• Prevención de pérdida de datos: Estos protocolos están diseñados para evitar que los datos se pierdan, roben o vulneren mediante la monitorización y control del acceso y uso de los datos.
• Cortafuegos: Tecnologías creadas para evitar accesos no autorizados a redes informáticas filtrando el tráfico de red entrante y saliente.
• Gestión de acceso: Medidas utilizadas para controlar el acceso de los usuarios a datos y sistemas delicados para garantizar que solo el personal autorizado tenga acceso.
• Eliminación de datos: Estas herramientas eliminan datos de manera segura de los dispositivos de almacenamiento para evitar cualquier acceso a estos por parte de personal no autorizado.
• Software de monitorización de empleados: Plataformas diseñadas para monitorizar y supervisar la actividad de los empleados en redes corporativas para detectar y evitar filtraciones de seguridad.
• Software antivirus, antimalware y antiransomware: Desinfectar y proteger sistemas informáticos de ataques de virus, malware y ransomware que amenazan con filtraciones y vulneraciones de datos.

Es difícil para las organizaciones auditar los datos y determinar las estrategias de protección adecuadas en un entorno. Las soluciones de protección de la información de Proofpoint pueden ayudar a las organizaciones a auditar y descubrir datos, crear una estrategia conforme con el RGPD y otras normativas de cumplimiento, y proteger los datos contra el robo o la destrucción. Optimizaremos las respuestas ante incidencias y crearemos entornos que protejan los datos contra riesgos externos, incluyendo amenazas a las plataformas en la nube.