Publicado: 5 de abril de 2024
Colaboradores: Annie Badman, Matthew Kosinski
La protección de datos es la práctica de salvaguardar la información sensible de la pérdida y corrupción de datos. Su objetivo es proteger los datos y garantizar su disponibilidad y el cumplimiento de los requisitos normativos.
Una estrategia de protección de datos eficaz no se limita a proteger los datos. También replica y restaura los datos en caso de pérdida o daño. Esto se debe a que los principios fundamentales de la protección de datos son salvaguardar los datos y apoyar la disponibilidad de los datos. La disponibilidad significa garantizar que los usuarios puedan acceder a los datos para las operaciones comerciales, incluso si los datos se dañan, se pierden o se corrompen, como en una vulneración de datos o un ataque de malware.
Este enfoque en la disponibilidad de los datos ayuda a explicar por qué la protección de datos está estrechamente relacionada con la gestión de datos, una práctica más amplia centrada en la gestión de los datos a lo largo de todo su ciclo de vida para garantizar que sean precisos, seguros y capaces de aprovecharse para la toma de decisiones empresariales estratégicas.
Hoy en día, las estrategias de protección de datos abarcan tanto las medidas tradicionales de protección de datos, como las copias de seguridad de datos y las funciones de restauración, como los planes de continuidad del negocio y recuperación ante desastres (BCDR). Por esta razón, muchas organizaciones están adoptando servicios como la recuperación ante desastres como servicio (DRaaS) como parte de sus estrategias de protección de datos más amplias.
Aunque muchos utilizan indistintamente los términos protección de datos y seguridad de datos, se trata de dos campos distintos con diferencias cruciales.
La seguridad de los datos es un subconjunto de la protección de datos centrado en la protección de la información digital frente al acceso no autorizado, la corrupción o el robo. Engloba varios aspectos de la seguridad de la información, que abarcan la seguridad física, las políticas organizativas y los controles de acceso.
Por el contrario, la protección de datos abarca toda la seguridad de los datos y va más allá al hacer hincapié en la disponibilidad de los datos.
Tanto la protección de datos como la seguridad de los datos incluyen la privacidad de los datos. La privacidad de los datos se centra en las políticas que respaldan el principio general de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y utilizan sus datos.
En otras palabras, la seguridad de los datos y la privacidad de los datos son subconjuntos dentro del campo más amplio de la protección de datos.
Para comprender la importancia de la protección de datos, considere el papel de los datos en nuestra sociedad. Cada vez que alguien crea un perfil en línea, realiza una compra en una aplicación o navega por una página web, deja un rastro creciente de datos personales.
Para las empresas, estos datos son cruciales. Les ayuda a optimizar las operaciones, a atender mejor a los clientes y a tomar decisiones empresariales esenciales. De hecho, muchas organizaciones dependen tanto de los datos que incluso un breve tiempo de inactividad o una pequeña pérdida de datos podrían perjudicar gravemente sus operaciones y beneficios.
Según el informe "Coste de una filtración de datos", el coste medio mundial de una vulneración de datos en 2023 fue de 4,45 millones de dólares, un aumento del 15 % en tres años.
Como resultado, muchas organizaciones se están centrando en la protección de datos como parte de sus esfuerzos más amplios de ciberseguridad. Con una sólida estrategia de protección de datos, las organizaciones pueden apuntalar las vulnerabilidades y protegerse mejor de los ciberataques y las vulneraciones de datos. En caso de ciberataque, las medidas de protección de datos pueden salvar vidas, ya que reducen el tiempo de inactividad al garantizar la disponibilidad de los datos.
Las medidas de protección de datos también pueden ayudar a las organizaciones a cumplir con requisitos regulatorios en continua evolución, muchos de los cuales pueden conllevar fuertes multas. Por ejemplo, en mayo de 2023, la autoridad irlandesa de protección de datos impuso una multa de 1300 millones de dólares a la californiana Meta por infracciones del RGPD (enlace externo a ibm.com). La protección de datos, a través de su énfasis en la privacidad de los datos, puede ayudar a las organizaciones a evitar estas infracciones.
Las estrategias de protección de datos también pueden ofrecer muchos beneficios de una gestión eficaz del ciclo de vida de la información (ILM), como agilizar el procesamiento de los datos personales y extraer mejor los datos cruciales para obtener información clave.
En un mundo en el que los datos son el alma de muchas organizaciones, es cada vez más necesario que las empresas sepan cómo procesar, manejar, proteger y aprovechar sus datos cruciales de la mejor manera posible.
Al reconocer la importancia de la protección de datos, los gobiernos y otras autoridades han creado un número creciente de reglamentos sobre privacidad y normas sobre datos que las empresas deben cumplir para hacer negocios con sus clientes.
Algunos de los reglamentos y normas sobre datos más comunes son:
El Reglamento General de Protección de Datos (RGPD) es un marco integral de protección de datos promulgado por la Unión Europea (UE) para proteger la información personal de las personas, conocida como "interesados".
El RGPD se centra principalmente en la información de identificación personal(PII) e impone estrictos requisitos de conformidad a los proveedores de datos. Exige que las organizaciones dentro y fuera de Europa sean transparentes sobre sus prácticas de recopilación de datos. Las organizaciones también deben adoptar algunas medidas específicas de protección de datos, como el nombramiento de un responsable de protección de datos para supervisar su tratamiento.
El RGPD también otorga a los ciudadanos de la UE un mayor control sobre su PII y una mayor protección de datos personales como el nombre, el número de identificación, la información médica, los datos biométricos y otros. Las únicas actividades de procesamiento de datos exentas del RGPD son la seguridad nacional o las actividades de aplicación de la ley y los usos puramente personales de los datos.
Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas importantes a quienes no cumplan con sus normas de privacidad. Estas multas pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor.
La Ley de Portabilidad y Responsabilidad del Seguro Médico, o HIPAA, se aprobó en los Estados Unidos en 1996. Establece las directrices sobre cómo las entidades sanitarias y las empresas manejan la información sanitaria personal (PHI) de los pacientes para garantizar su confidencialidad y seguridad.
En virtud de la HIPAA, todas las "entidades cubiertas" deben mantener ciertos estándares de seguridad y cumplimiento de datos. Estas entidades abarcan no solo a los proveedores sanitarios y los planes de seguro, sino también a los socios comerciales con acceso a la PHI. Los servicios de transmisión de datos, los proveedores de servicios de transcripción médica, las empresas de software, las compañías de seguros y otros deben cumplir la HIPAA si manejan PHI.
La California Consumer Privacy Act (CCPA) es una ley de protección de datos de referencia en Estados Unidos.
Al igual que el RGPD, hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. En virtud de la CCPA, los residentes en California pueden solicitar detalles sobre los datos que recogen sobre ellos las empresas, optar por recibir ventas de datos y solicitar su supresión.
Sin embargo, a diferencia del RGPD, la CCPA (y muchas otras leyes de protección de datos de EE. UU.) son de exclusión voluntaria en lugar de inclusión. Las empresas pueden utilizar la información del consumidor hasta que se les indique específicamente lo contrario. La CCPA también se aplica únicamente a las empresas que superan un umbral de ingresos anuales o manejan grandes volúmenes de datos personales, lo que la hace pertinente para muchas empresas californianas, aunque no para todas.
Los Estándares de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI-DSS) son un conjunto de directrices normativas para proteger los datos de las tarjetas de crédito. PCI-DSS no es una normativa gubernamental, sino un conjunto de compromisos contractuales aplicados por un organismo regulador independiente conocido como Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago (PCI SSC).
La norma PCI-DSS se aplica a cualquier empresa que maneje datos de titulares de tarjetas, ya sea mediante su recogida, almacenamiento o transmisión. Aunque en las transacciones con tarjeta de crédito intervengan terceros procesadores, la empresa que acepta la tarjeta sigue siendo responsable del cumplimiento de la norma PCI-DSS y debe tomar las medidas necesarias para gestionar y almacenar de forma segura los datos de los titulares de las tarjetas.
A medida que evoluciona el panorama de la protección de datos, varias tendencias están dando forma a las estrategias que utilizan las organizaciones para proteger su información confidencial.
Algunas de estas tendencias incluyen:
La portabilidad de datos enfatiza el movimiento fluido de datos entre plataformas y servicios. Esta tendencia brinda a las personas un mayor control sobre sus datos al facilitar su transferencia entre aplicaciones y sistemas. La portabilidad de datos también se alinea con la tendencia general hacia una mayor transparencia y empoderamiento del cliente, lo que permite a los usuarios gestionar sus datos personales de manera más eficiente.
Con el uso generalizado de teléfonos inteligentes, las organizaciones están cada vez más preocupadas por la seguridad de los datos en los dispositivos móviles. Como resultado, muchas empresas se están centrando más en la protección de datos móviles, que implementa sólidas medidas de seguridad de datos para teléfonos inteligentes y tablets, incluyendo métodos de cifrado y autenticación segura.
El aumento de los ataques de ransomware ha hecho que muchas organizaciones adopten estrategias avanzadas de protección de datos.
Elransomware es un tipo de malware que bloquea los datos o el dispositivo de una víctima y amenaza con mantenerlo bloqueado, u otras consecuencias peores, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022. Se espera que los ataques de ransomware cuesten a las víctimas unos 30 000 millones de USD en 2023 (enlace externo a ibm.com).
La naturaleza evolutiva de estos ataques exige que las organizaciones apliquen medidas de seguridad proactivas, como copias de seguridad periódicas, detección de amenazas en tiempo real y formación de los empleados, para mitigar el impacto del ransomware y proteger la información sensible.
A medida que los ciberataques avanzan cada vez más, las organizaciones reconocen la importancia crucial de mantener la continuidad durante un desastre. El resultado es que muchos invierten en la recuperación ante desastres como servicio (DRaaS).
DRaaS es una solución de terceros que ofrece capacidades de protección de datos y recuperación ante desastres (DR) . Utiliza un alto nivel de automatización para limitar el tiempo de inactividad y externalizar los servicios de recuperación en caso de catástrofe, proporcionando una solución escalable y rentable para que las organizaciones recuperen sus datos cruciales y su infraestructura informática durante una catástrofe.
A la hora de decidirse por una solución DRaaS, las organizaciones pueden elegir entre tres opciones: centros de datos, soluciones basadas en la nube y copias de seguridad híbridas que combinan centros de datos físicos y almacenamiento en la nube.
La gestión de datos duplicados (CDM) ayuda a las organizaciones a gestionar y controlar mejor los datos duplicados, con lo que se reducen los costes de almacenamiento y se mejora la accesibilidad de los datos. La CDM es una parte esencial de la gestión del ciclo de vida de la información (ILM) porque ayuda a maximizar el valor de los datos al tiempo que minimiza la redundancia y las ineficiencias de almacenamiento.
Las organizaciones suelen utilizar varias soluciones y tecnologías de protección de datos para protegerse contra las ciberamenazas y garantizar la integridad, confidencialidad y disponibilidad de los datos.
Algunas de estas soluciones incluyen:
- La prevención de pérdida de datos (DLP) hace referencia a las estrategias, los procesos y las tecnologías que los equipos de ciberseguridad utilizan para proteger los datos confidenciales frente a robos, pérdidas y usos indebidos. La DLP rastrea la actividad del usuario y marca el comportamiento sospechoso para evitar el acceso no autorizado, la transmisión o la fuga de información confidencial.
- Las copias de seguridad de datos consisten en crear y almacenar regularmente una versión secundaria de la información crucial. Las copias de seguridad favorecen la disponibilidad de los datos al garantizar que las organizaciones puedan restaurar rápidamente sus sistemas a un estado anterior en caso de pérdida o corrupción de datos, minimizando el tiempo de inactividad y las posibles pérdidas.
- Los firewalls actúan como primera línea de defensa de los datos al monitorizar y controlar el tráfico de red entrante y saliente. Estas barreras de seguridad aplican normas de seguridad predeterminadas, impidiendo el acceso no autorizado.
- Las tecnologías de autenticación y autorización , como la autenticación multifactor, verifican las identidades de los usuarios y regulan su acceso a recursos específicos. Juntos, garantizan que solo las personas autorizadas puedan acceder a información confidencial, lo que mejora la seguridad general de los datos.
- Las soluciones de gestión de identidades y accesos (IAM) centralizan la administración de las identidades y los permisos de los usuarios. Al administrar el acceso de los usuarios en función de los roles y las responsabilidades, las organizaciones pueden mitigar el riesgo de acceso no autorizado a los datos y reducir las amenazas internas, que pueden poner en riesgo los datos cruciales.
- El cifrado transforma los datos en un formato codificado, lo que los hace ilegibles sin la clave de descifrado adecuada. Esta tecnología protege las transferencias y el almacenamiento de datos, añadiendo una capa adicional de protección contra el acceso no autorizado.
- La seguridad de los endpoints se centra en proteger los dispositivos individuales, como ordenadores y dispositivos móviles, frente a actividades maliciosas. Puede incluir una serie de soluciones, como software antivirus, firewalls y otras medidas de seguridad.
- Las soluciones antivirus y antimalware detectan, previenen y eliminan software malicioso que podría comprometer los datos, incluidos virus, spyware y ransomware.
- La gestión de parches garantiza que el software, los sistemas operativos y las aplicaciones tengan los parches de seguridad más recientes. Las actualizaciones periódicas ayudan a cerrar vulnerabilidades y proteger contra posibles ciberataques.
- Las soluciones de borrado de datos garantizan la eliminación segura y completa de datos de los dispositivos de almacenamiento. El borrado es especialmente importante a la hora de desmantelar el hardware para evitar el acceso no autorizado a información confidencial.
- Las tecnologías de archivo facilitan el almacenamiento y la recuperación sistemáticos de datos históricos. El archivado ayuda al cumplimiento y ayuda a las organizaciones a administrar los datos de manera eficiente, lo que reduce el riesgo de pérdida de datos.
- Las herramientas de certificación y auditoría ayudan a las organizaciones a evaluar y demostrar el cumplimiento de las normas y políticas internas del sector. Las auditorías periódicas también garantizan que las medidas de protección de datos se implementen y mantengan de manera efectiva.
- Soluciones de recuperación ante desastres, como DRaaS, restauran la infraestructura de TI y datos después de un evento disruptivo. La recuperación ante desastres a menudo incluye una planificación integral, estrategias de copia de seguridad de datos y mecanismos para minimizar el tiempo de inactividad.
Proteja los datos en nubes híbridas y simplifique los requisitos de cumplimiento.
Proteja los datos confidenciales en las instalaciones y en la nube. IBM Security Guardium es una solución de seguridad de datos que se adapta a medida que cambia el entorno de amenazas, proporcionando una visibilidad, conformidad y protección completas durante todo el ciclo de vida de la seguridad de los datos.
Protección de datos a escala empresarial IBM Storage Protect es un software de recuperación y copia de seguridad de datos