Un negocio que almacene información personal y registros financieros es responsable de mantener seguros los datos del cliente contra atacantes. La seguridad de datos, o data security, entraña todas las prácticas, estrategias, procedimientos y técnicas de mitigación utilizadas para proteger datos delicados contra atacantes. Cualquier dispositivo que almacene datos personales debe formar parte de la seguridad de datos, incluyendo servidores, dispositivo de usuario final, equipos de escritorio y almacenamiento en red.
¿Por qué es importante la seguridad de datos?
La seguridad de datos, es fundamental para individuos, empresas y entidades gubernamentales. Como término general que describe muchas partes de una labor, la seguridad de datos es el conjunto fundamental de sistemas y estrategias diseñados para proteger la seguridad de la información delicada contra ciberataques y vulneraciones que suelen producir accesos no autorizados, robo o corrupción de datos. A su vez, estas medidas ayudan a evitar devastadoras pérdidas financieras, daños a la reputación, desconfianza del cliente y degradación de la marca.
Las organizaciones recopilan datos de información personal identificable (PII), tales como datos financieros, nombres completos, direcciones, números de seguridad social e información de tarjetas de crédito de todos los clientes. Si estos datos llegaran a filtrarse, el resultado puede ser catastrófico para muchas de las partes involucradas.
Una filtración de datos puede producir una cantidad importante de responsabilidades y demandas legales, que pueden resultar sumamente costosas para las organizaciones responsables. En tanto que va aumentando la cantidad de ciberamenazas, como el malware, el ransomware y los ataques de phishing, las medidas de seguridad de datos también ayudan a protegerse contra estas amenazas.
La seguridad de datos también garantiza el cumplimiento de las normativas de privacidad de información y seguridad, como el RGPD, la HIPAA y el PCI DSS. No solo es posible que la organización sea multada por vulneraciones a las normativas de conformidad, sino que las empresas pueden consumir millones de dólares en gastos de defensa jurídica a causa de las demandas e indemnizaciones a los consumidores.
La seguridad de datos es fundamental para que la información confidencial y delicada resulte invulnerable ante las amenazas. Los activos objetivo, como registros financieros, identificación personal, secretos comerciales, propiedad intelectual y otros datos delicados permanecerán protegidos con las medidas adecuadas de seguridad de datos.
Tipos de seguridad de datos
Los administradores emplean numerosas estrategias para proteger los datos, pero el cumplimiento de las regulaciones precisa de la implementación de diversas tecnologías estandarizadas para seguridad de datos. Además de la tecnología adecuada, es necesario implementar configuraciones específicas de estas tecnologías para una protección de datos y seguridad de la información completa. El primer paso es determinar cuál será la tecnología de seguridad de datos más eficaz para su organización.
Tecnologías más utilizadas en la seguridad de datos:
- Cifrado: Los datos delicados deben cifrarse en cualquier lugar donde estén almacenados, ya sea en la nube, en discos de dispositivo local o en una base de datos. Los datos transferidos en la red, incluyendo internet, deben estar cifrados. Los algoritmos de cifrado criptográficamente inseguros son insuficientes para proteger los datos. Es necesario usar el algoritmo criptográficamente seguro más actualizado, o los datos quedarán vulnerables ante ataques de diccionario.
- Enmascaramiento de datos: Solamente los usuarios autorizados podrán ver la totalidad de los detalles financieros y comunicaciones enviados por correo electrónico o presentes en una página web. El contenido nunca debe contener detalles que un atacante pueda usar para phishing o ingeniería social. Por ejemplo, los representantes de atención al cliente solo pueden tener permisos para ver los últimos cuatro dígitos de la tarjeta de crédito de un cliente para propósitos de verificación, pero no el número completo.
- Información archivada y eliminada: Los administradores deben archivar los datos en un espacio de almacenamiento altamente seguro, en el que se puedan ver los registros durante una auditoría o investigación forense. La información financiera y la PII suelen archivarse debido a los altos niveles de seguridad que precisan. Para cumplir con las normativas tales como el RGPD, las organizaciones deben tener procesos para ofrecer a los clientes la opción de eliminar sus datos.
- Respaldos y resiliencia de datos: Si la organización llega a sufrir de una vulneración o corrupción de datos, los respaldos habrán de restaurar cualquier información perdida. Los respaldos brindan resiliencia frente a la pérdida de datos y minimizan el tiempo de inactividad. Son fundamentales para la recuperación ante desastres, continuidad del negocio y cumplimiento.
- Autenticación y autorización: Estos procesos garantizan que los usuarios apropiados puedan acceder a conjuntos de datos específicos. La autenticación implica una demostración de identidad mediante contraseñas, biometría o autenticación de múltiples factores. La autorización determina si el usuario cuenta con los permisos adecuados para acceder e interactuar con datos específicos, usando principios como el de acceso de mínimos privilegios y control de acceso basado en cargo.
- Seguridad basada en hardware: Las características de seguridad a nivel de hardware pueden indicar anomalías en la capa de aplicación y remediar amenazas antes de que estas lleguen a su sistema. Todos los datos están cifrados y solo se pueden descifrar mientras se utilizan. Los datos permanecen seguros incluso cuando una amenaza logre penetrar en el sistema operativo, hipervisor o firmware.
Normativas para seguridad de datos y conformidad
La mayoría de las organizaciones recopilan datos de sus clientes, y las agencias gubernamentales supervisan la manera en que estas organizaciones recopilan, almacenan y protegen la información de los consumidores. Algunas organizaciones deben adherirse a más de una normativa de conformidad y podrían enfrentarse a multas millonarias si estas no se cumplen. Por ejemplo, una organización que lleve registros médicos y financieros estaría sujeta a HIPAA y PCI-DSS. Las organizaciones que almacenen datos de ciudadanos de la Unión Europea estarían sujetas al RGPD.
Es responsabilidad de la organización determinar qué regulaciones afectan el almacenamiento de datos. Aquí indicamos algunas normativas de conformidad que es necesario revisar al determinar los requisitos de seguridad de datos.
- Normativa de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI-DSS).
- Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA).
- Ley Federal de Gestión de Seguridad de la Información (FISMA).
- Ley Sarbanes-Oxley (SOX).
- Reglamento General de Protección de Datos (RGPD).
Prácticas recomendadas para seguridad de datos
Las estrategias que protegen los datos dependen de la infraestructura de la organización y del tipo de datos recopilados de los consumidores. Los expertos en ciberseguridad ofrecen estrategias estandarizadas que brindan orientación a las organizaciones. A continuación, se indican estrategias de seguridad de datos que se deben emplear sin importar el tamaño de la organización o el tipo de información almacenada:
- Todos los dispositivos deben tener antivirus instalados. Las aplicaciones antivirus son la primera línea de defensa contra ataques comunes.
- Tener siempre una política de respaldos. Los respaldos se pueden automatizar, pero todos los datos delicados y registros deben estar incluidos en archivos de respaldo y almacenados en una ubicación protegida.
- Determinar los permisos y cargos del menor privilegio. Los usuarios solo deben tener acceso a los datos necesarios para ejecutar sus labores. Los permisos basados en roles organizan las autorizaciones para que los administradores puedan activar y desactivar rápidamente las cuentas de usuarios e identificar los derechos de acceso de usuarios.
- Realizar evaluaciones de riesgo con frecuencia. Una evaluación de riesgos determina cuáles son las infraestructuras físicas y virtuales vulnerables que podrían ser un objetivo para un atacante. Posteriormente, la ciberseguridad puede priorizar los recursos de mayor riesgo.
- Revisión anual de las reglas de ciberseguridad. Todos los procedimientos de recuperación ante desastres y procedimientos de ciberseguridad deben revisarse anualmente para garantizar que cubran totalmente cualquier infraestructura de red y cuenten con las defensas más eficaces.
- Formar a los usuarios acerca de la importancia de la ciberseguridad y la privacidad de datos. Los programas de capacitación para conciencia de seguridad son una excelente manera de formar a los usuarios acerca del phishing, malware y ataques comunes. Los usuarios informados tienen una mayor probabilidad de detectar y reportar contenidos malintencionados.
- Probar sus sistemas de seguridad de datos: Aplicar pruebas de resistencia de seguridad para sus sistemas de protección y recuperación de datos es fundamental para identificar vulnerabilidades y evitar potenciales pérdidas de datos y daños posteriores. Asigne un equipo interno o un servicio de ciberseguridad externo para probar sus sistemas y garantizar que todos cumplan con las especificaciones.
Soluciones de seguridad de datos
Resultará complicado implementar una robusta seguridad de datos si la organización no tiene expertos altamente capacitados en su plantilla. No es raro que las organizaciones subcontraten la seguridad de datos a un proveedor de servicios gestionados (MSP, del inglés “Managed Services Provider”) o que usen soluciones basadas en la nube.
Las siguientes soluciones son estándares para la seguridad de datos, tanto los almacenados localmente como los de almacenamiento en la nube.
- Seguridad de datos en la nube: Los proveedores de software basado en la nube ofrecen diversas aplicaciones de seguridad e infraestructura para monitorizar el acceso a los datos, alertar a los administradores de solicitudes de acceso sospechosas, implementar la gestión de identidad de usuarios y proteger los datos ante atacantes.
- Cifrado: El cifrado para los datos en reposo y en movimiento protege la información cuando esta se desplaza por internet.
- Módulos de seguridad de hardware: Los módulos de seguridad de hardware (HSM, del inglés “Hardware Security Modules”) protegen a los datos muy delicados, como claves privadas y firmas digitales, y realizan otras funciones de seguridad. Típicamente se encuentran en forma de dispositivos externos de hardware que se conectan a un servidor o dispositivo de red.
- Gestión de claves: La revelación de claves privadas expone a la empresa entera a graves vulneraciones de datos. La gestión de claves protege estos componentes criptográficos.
- Seguridad en procesamiento de pagos: Las empresas que trabajan con cuentas financieras y procesamiento de proveedores precisan de niveles adecuados de seguridad de datos para proteger los datos cuando se transfieren por la red y cuando se almacenan.
- Seguridad para Big Data: Los grandes reservorios de datos sin estructurar son valiosos para el análisis, pero deben ser protegidos contra los atacantes usando estos datos para hacer reconocimiento.
- Seguridad móvil: Las aplicaciones móviles se conectan a las API y procesan datos de usuario. Estos puntos de contacto deben protegerse, incluyendo a los dispositivos que almacenan los datos y la comunicación entre la aplicación móvil y la API.
- Seguridad para navegadores web: Los usuarios que acceden a internet introducen un mayor nivel de riesgo para la organización. Emplear las configuraciones de navegador y filtros de contenido adecuados protege al dispositivo local y a la organización contra ataques basados en web.
- Seguridad para correo electrónico: Filtrar los correos electrónicos con enlaces o archivos adjuntos malintencionados es fundamental para impedir ataques de phishing. Los administradores pueden poner en cuarentena los correos electrónicos para evitar falsos positivos y revisar los mensajes antes de enviar comunicaciones marcadas a la bandeja de entrada del usuario.
Tendencias de seguridad de datos
A nivel macro, muchas tendencias influyen en el papel de la seguridad de datos, a nivel tanto de pymes como de corporaciones. Desde trabajo remoto e híbrido hasta almacenamiento basado en la nube, la dinámica de la economía digital actual se presta a muchas nuevas tendencias que afectan a la seguridad de datos.
- Inteligencia artificial y aprendizaje automático: La IA y el ML se usan para mejorar la ciberseguridad identificando y evitando amenazas en tiempo real, automatizando los procesos de seguridad y mejorando el análisis de datos para identificar riesgos y vulnerabilidades.
- Ataques de ransomware: El auge de los ataques de ransomware ha llevado a las empresas a priorizar la planificación de recuperación ante desastres, implementar robustos controles de acceso y métodos de autenticación, y capacitar a los empleados para reconocer y evitar amenazas.
- Internet de las cosas (IoT): En tanto que la IoT y los dispositivos “inteligentes” se van volviendo cada vez más comunes, las empresas que fabrican estas tecnologías precisan de medidas impenetrables de seguridad para protegerse contra potenciales ataques, como autenticación de dispositivos y cifrado de datos en tránsito y en reposo.
- Servicios en la nube y seguridad en la nube: En tanto que el almacenamiento basado en la nube sigue siendo la manera preferida de almacenar y acceder a los datos, existe una elevada demanda de medidas de seguridad reforzadas para la nube. Esto implica combinar protocolos de ciberseguridad como cifrado de datos, autenticación de múltiples factores, barreras de gestión de acceso y respaldos para mantener un nivel óptimo de seguridad.
- Planificación de continuidad del negocio y recuperación ante desastres: Desarrollar planes de continuidad estratégica y recuperación ante desastres es clave para garantizar que una organización pueda recuperarse rápidamente de un ciberataque u otros desastres. Esto comprende la realización periódica de respaldos, almacenamiento de datos clave en repositorios sin conexión y probar procedimientos de recuperación para garantizar que sean eficaces.
Portal de recursos sobre la modernización del cumplimiento
Las comunicaciones digitales han cambiado, y también el cumplimiento.
Descubra la solución Proofpoint Information Protection
Consiga seguridad i protección de información en sus sistemas informáticos con Proofpoint.
Qué hacer en caso de ser víctima de phishing
Si sospecha que ha respondido a un correo electrónico de phishing, deberá actuar con rapidez para mitigar los daños. Conozca las medidas que debe tomar.