La seguridad de datos es la práctica que consiste en proteger la información digital contra el acceso no autorizado, la corrupción o el robo durante todo su ciclo de vida. Es un concepto que comprende todos los aspectos de la seguridad de la información, desde la seguridad física del hardware y los dispositivos de almacenamiento hasta los controles administrativos y de acceso, así como la seguridad lógica de las aplicaciones de software. También incluye las políticas y los procedimientos de la organización.
Cuando se implementan correctamente, las estrategias de seguridad de datos sólidas protegerán los activos de información de una organización contra actividades de ciberdelincuentes, pero también contra amenazas internas y errores humanos, que siguen siendo una de las causas principales de la vulneración de datos. La seguridad de datos implica el uso de herramientas y tecnologías que ofrecen mejoras a la organización en cuanto a visibilidad del lugar donde se encuentran los datos críticos y cómo se usan. Idealmente, estas herramientas deben ser capaces de aplicar protecciones como el cifrado, el enmascaramiento de datos y la redacción de archivos confidenciales, así como de automatizar la generación de informes para agilizar las auditorías y cumplir los requisitos normativos.
Retos empresariales:
La transformación digital está alterando profundamente todos los aspectos relativos al funcionamiento de las empresas y la competencia entre ellas. El mero volumen de los datos que crean, manipulan y almacenan las empresas está creciendo y genera una mayor necesidad de gobierno del dato. Además, los entornos informáticos son más complejos que antes, ya que se extienden rutinariamente al cloud público, al centro de datos empresarial y a numerosos dispositivos Edge, desde sensores de Internet de las cosas (IoT) hasta robots y servidores remotos. Esta complejidad crea una superficie de ataque ampliada que es más difícil de supervisar y proteger.
Al mismo tiempo, el conocimiento del consumidor sobre la importancia de la privacidad de los datos está aumentando. Debido a la mayor demanda pública de iniciativas de protección de los datos, recientemente se promulgaron diversas normas sobre confidencialidad, incluido el Reglamento General de Protección de Datos (GDPR) de Europa y la Ley de Protección del Consumidor de California (CCPA). Estas reglas se unen a las disposiciones de seguridad de datos anteriores, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), que protege los expedientes médicos electrónicos, y la Ley Sarbanes-Oxley (SOX), que protege a los accionistas de las empresas públicas contra errores de contabilidad y fraudes financieros. Debido a las multas máximas de millones de dólares, las empresas tienen un fuerte incentivo financiero para garantizar el cumplimiento normativo.
El valor empresarial de los datos nunca ha sido tan alto. La pérdida de secretos comerciales o propiedad intelectual puede afectar al futuro de las innovaciones y la rentabilidad. Por eso, la fiabilidad es cada vez más importante para los consumidores, un 75 % de los cuales afirma que no comprará a una empresa si no confía en que vaya a proteger sus datos.
Cifrado
Mediante un algoritmo que transformar los caracteres de texto normal en formato no legible, las claves de cifrado mezclan los datos para que solo los usuarios autorizados puedan leerlos. Las soluciones de cifrado de bases de datos y archivos son una última línea de defensa para volúmenes confidenciales, ya que ocultan su contenido a través del cifrado o la simbolización. La mayoría de las soluciones también incluyen prestaciones de gestión de claves de seguridad.
Borrado de datos
El borrado de datos, que es más seguro que la eliminación estándar de datos, usa software para sobrescribir los datos en cualquier dispositivo de almacenamiento. Verifica que los datos no se puedan recuperar.
Enmascaramiento de datos
Al enmascarar los datos, las organizaciones pueden permitir a los equipos que desarrollen aplicaciones o formen a las personas usando datos reales. Enmascara la información de identificación personal (PII) cuando es necesario para que el desarrollo pueda llevarse a cabo en entornos que cumplen la normativa.
Resiliencia de datos
La resiliencia se determina según lo bien que una organización resista cualquier tipo de anomalía o se recupere de ella, ya sea un problema de hardware, un corte de suministro eléctrico u otro evento que pueda afectar a la disponibilidad de los datos (PDF, 256 KB). La velocidad de recuperación es fundamental para minimizar el impacto.
Las herramientas y las tecnologías de seguridad de datos deben responder a los crecientes desafíos inherentes a la protección de los entornos informáticos complejos, distribuidos, híbridos o multicloud actuales. Por ejemplo, es necesario comprender dónde residen los datos, mantener un registro de quiénes acceden a ellos y bloquear actividades de alto riesgo o movimientos de archivos potencialmente peligrosos. Las soluciones de protección de datos integrales que permiten a las empresas adoptar un enfoque centralizado de supervisión y aplicación de políticas pueden simplificar la tarea.
Herramientas de detección y clasificación de datos
La información confidencial puede residir en repositorios de datos estructurados y no estructurados, como bases de datos, almacenes de datos, plataformas de big data y entornos de cloud. Las soluciones de detección y clasificación de datos automatizan el proceso de identificación de información confidencial, así como la evaluación y la corrección de vulnerabilidades.
Supervisión de datos y actividades de archivos
Las herramientas de supervisión de actividades de archivos analizan los patrones de uso de datos, lo que permite que los equipos de seguridad vean quién accede a los datos, detecten anomalías e identifiquen riesgos. El bloqueo y las alertas dinámicos también se pueden implementar para patrones de actividades anormales.
Herramientas de análisis de riesgos y evaluación de vulnerabilidades
Estas soluciones facilitan el proceso de detección y mitigación de vulnerabilidades, como software obsoleto, configuraciones incorrectas o contraseñas débiles, y también pueden identificar fuentes de datos con un mayor riesgo de exposición.
Informes de conformidad automatizados
Las soluciones de protección de datos integrales con prestaciones de generación de informes automatizadas pueden proporcionar un repositorio centralizado para el seguimiento de las auditorías de conformidad de toda la empresa.
Una estrategia de seguridad de datos exhaustiva incorpora personas, procesos y tecnologías. Establecer controles y políticas apropiados es tanto una cuestión de cultura organizativa como de implementación del conjunto correcto de herramientas. Esto significa priorizar la seguridad de la información en todas las áreas de la empresa.
Seguridad física de servidores y dispositivos de usuarios
Independientemente de que los datos se almacenen de forma local, en un centro de datos corporativo o en el cloud público, debe asegurarse de que las instalaciones estén protegidas contra intrusos y cuenten con medidas de extinción de incendios y controles climáticos adecuados. Un proveedor de cloud asumirá por usted la responsabilidad de estas medidas proactivas.
Gestión y controles de acceso
El principio de "privilegio mínimo" debe aplicarse en todo el entorno de TI. Esto significa otorgar acceso a las bases de datos, redes y cuentas administrativas a la menor cantidad de personas posible, y solo a quienes lo necesiten realmente para hacer su trabajo.
Más información sobre la gestión de accesos
Seguridad y parcheado de aplicaciones
Todos los programas de software deben actualizarse con la última versión lo antes posible una vez que se estén disponibles parches o versiones nuevas.
Copias de seguridad
Mantener copias de seguridad utilizables y comprobadas minuciosamente de todos los datos críticos es indispensable en cualquier estrategia de seguridad de datos sólida. Además, todas las copias de seguridad deben estar sujetas a los mismos controles de seguridad físicos y lógicos que rigen el acceso a las bases de datos principales y a los sistemas centrales.
Más información sobre las copias de seguridad y la recuperación de datos
Formación de los empleados
Capacitar a los empleados sobre la importancia de tener buenas prácticas de seguridad y contraseñas seguras, así como enseñarles a reconocer ataques de ingeniería social, los convierte en un “firewall humano” que puede jugar un rol crítico en la protección de sus datos.
Supervisión y controles de seguridad de redes y endpoints
Implementar un conjunto exhaustivo de herramientas y plataformas de gestión, detección y respuesta a amenazas en todo su entorno local y sus plataformas cloud puede mitigar los riesgos y reducir la probabilidad de una vulneración.
IA
La IA amplifica la capacidad de un sistema de seguridad de datos, ya que puede procesar grandes cantidades de datos. La computación cognitiva, un subconjunto de la IA, realiza las mismas tareas que otros sistemas de IA, pero lo hace simulando los procesos de pensamiento humano. En la seguridad de datos, esto permite tomar decisiones rápidamente en momentos de necesidad crítica.
Más información sobre la IA para la ciberseguridad
Seguridad multicloud
La definición de la seguridad de datos se expande a medida que crecen las prestaciones del cloud. Ahora, las organizaciones necesitan soluciones más complejas cuando buscan protección, no solo para los datos, sino para las aplicaciones y los procesos empresariales de propiedad registrada que se ejecutan en clouds públicos y privados.
Más información sobre la seguridad en el cloud
Cuántica
La revolucionaria tecnología cuántica promete revolucionar muchas tecnologías tradicionales exponencialmente. Los algoritmos de cifrado serán mucho más multifacéticos, complejos y seguros.
Cómo lograr la seguridad de datos a nivel empresarial
La clave para aplicar una estrategia de seguridad de datos eficaz es adoptar un enfoque basado en el riesgo para proteger los datos en toda la empresa. Al principio del proceso de desarrollo de la estrategia, teniendo en cuenta los objetivos empresariales y los requisitos normativos, las partes interesadas deben identificar una o dos fuentes de datos que contengan la información más confidencial como punto de partida. Después de establecer políticas claras y estrictas para proteger estas fuentes limitadas, pueden ampliar las prácticas recomendadas al resto de los activos digitales de la empresa según su prioridad. Las prestaciones implementadas de protección y supervisión de datos automatizadas pueden facilitar el escalado de las prácticas recomendadas.
La seguridad de datos y el cloud
La protección de infraestructuras basadas en el cloud necesita un enfoque diferente al modelo tradicional, que consiste en colocar defensas en el perímetro de la red. Exige el uso exhaustivo de herramientas de detección y clasificación de datos en el cloud, además de una labor continua de gestión de riesgos y supervisión de actividad. Las herramientas de supervisión del cloud pueden ubicarse entre una solución de base de datos como servicio (DBaaS) del proveedor de cloud y supervisar los datos en tránsito o redirigir el tráfico a su plataforma de seguridad existente. Esto permite que se apliquen las políticas de manera uniforme independientemente de dónde residan los datos.
Seguridad de datos y BYOD
El uso de ordenadores personales, tablets y dispositivos móviles en entornos informáticos empresariales está aumentando a pesar de las inquietudes bien fundamentadas de los líderes de seguridad sobre los riesgos que puede presentar esta práctica. Una manera de aumentar la seguridad del uso de dispositivos personales (BYOD) consiste en pedir a los empleados que los usan que instalen software de seguridad para acceder a redes corporativas, lo cual mejora el control centralizado y la visibilidad del acceso y el movimiento de los datos. Otra estrategia es fomentar una mentalidad que priorice la seguridad a nivel empresarial, alentando a los empleados a usar contraseñas seguras, autenticación multifactor, actualización periódica de software y copias de seguridad de dispositivos, junto con el cifrado de datos. Para ello, es necesario enseñarles el valor de estas acciones.
Proteja los datos en diferentes entornos, cumpla las normas sobre confidencialidad y simplifique la complejidad operativa.
Proteja los datos contra amenazas internas y externas.
Descubra el valor de los datos confidenciales sin descifrado para preservar la privacidad.
Vaya más allá de la copia de seguridad y la recuperación de datos para unificar la protección de las cargas de trabajo y la ciberresiliencia.
Proteja los datos empresariales y aborde el cumplimiento normativo con soluciones de seguridad centradas en datos.
Refuerce la protección de los datos con las soluciones de privacidad de datos de IBM.
Proteja los datos de su organización contra amenazas de ransomware.
Proteja los datos críticos usando las prácticas de seguridad zero trust.
Simplifique la gestión de datos e infraestructuras con la familia de plataformas unificadas IBM® FlashSystem, que optimiza la administración y la complejidad operativa en entornos locales, de cloud híbrido, virtualizados y contenerizados.
El informe de coste de la vulneración de datos explora los efectos financieros y las medidas de seguridad que pueden ayudar a su organización a prevenir una vulneración de datos o, en el caso de que ocurra una vulneración, mitigar los costes.
Obtenga información clave sobre el panorama de las ciberamenazas. El X-Force® Threat Intelligence Index puede ayudarle a analizar los riesgos y entender las amenazas relevantes para su sector.
Conozca los riesgos de un ciberataque gracias a una visión global del panorama de las amenazas.
Amplíe sus habilidades con los tutoriales gratuitos sobre seguridad.
Obtenga más información sobre Partnerworld.
Descubra por qué la oficina del director de sistemas de información de IBM recurrió a IBM Security Verify para la autenticación digital de próxima generación de toda su plantilla y sus clientes.
Lea cómo Commercial International Bank modernizó su seguridad digital con las soluciones de seguridad y consultoría de IBM a fin de crear un entorno seguro para la organización.