Prácticamente todas las organizaciones reconocen el poder de los datos para mejorar las experiencias de los clientes y empleados e impulsar mejores decisiones empresariales. Sin embargo, a medida que los datos se vuelven más valiosos, también se vuelven más difíciles de proteger. Las empresas continúan creando más superficies de ataque con modelos híbridos, dispersando datos críticos en la nube, terceros y ubicaciones locales, mientras que los actores de amenazas idean constantemente formas nuevas y creativas de explotar las vulnerabilidades.
En respuesta, muchas organizaciones se están centrando más en la protección de datos, solo para encontrar una falta de pautas y consejos formales.
Si bien cada estrategia de protección de datos es única, a continuación se presentan varios componentes clave y mejores prácticas a tener en cuenta al crear una para su organización.
Una estrategia de protección de datos es un conjunto de medidas y procesos para salvaguardar la información confidencial de una organización contra la pérdida y corrupción de datos. Sus principios son los mismos que los de la protección de datos: proteger los datos y respaldar su disponibilidad.
Para cumplir con estos principios, las estrategias de protección de datos generalmente se centran en las siguientes tres áreas:
El énfasis de la protección de datos en la accesibilidad y la disponibilidad es una de las principales razones por las que difiere de la seguridad de los datos. Mientras que la seguridad de datos se centra en proteger la información digital de los actores de amenazas y el acceso no autorizado, la protección de datos hace todo eso y más. Admite las mismas medidas de seguridad que la seguridad de datos, pero también cubre la autenticación, la copia de seguridad y el almacenamiento de datos y el cumplimiento normativo, como en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
La mayoría de las estrategias de protección de datos ahora tienen medidas tradicionales de protección de datos, como copias de seguridad y funciones de restauración, así como planes de continuidad de negocio y recuperación ante desastres (BCDR), como recuperación ante desastres como servicio (DRaaS). En conjunto, estos enfoques integrales no solo disuaden a los actores de amenazas, sino que también estandarizan la gestión de datos confidenciales y la seguridad de la información corporativa, y limitan cualquier operación del negocio perdida por el tiempo de inactividad.
Los datos impulsan gran parte de la economía mundial y, lamentablemente, los delincuentes cibernéticos conocen su valor. Los ataques cibernéticos que tienen como objetivo robar información confidencial continúan aumentando. Según el Costo de una filtración de datos de IBM, el costo promedio global para corregir una filtración de datos en 2023 fue de 4.45 millones de dólares, un aumento del 15 por ciento en tres años.
Estas infracciones de datos pueden costarle caro a sus víctimas de muchas maneras. Un tiempo de inactividad inesperado puede provocar pérdidas de negocios, una empresa puede perder clientes y sufrir un daño significativo a su reputación, y la propiedad intelectual robada puede dañar la rentabilidad de una empresa, lo cual merma su ventaja competitiva.
Las víctimas de filtraciones de datos también se enfrentan con frecuencia a fuertes multas regulatorias o sanciones legales. Las normativas gubernamentales, como el Reglamento General de Protección de Datos (RGPD), y las normativas del sector, como la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA), obligan a las empresas a proteger los datos personales de sus clientes.
El incumplimiento de estas leyes de protección de datos puede dar lugar a multas considerables. En mayo de 2023, la autoridad de protección de datos de Irlanda impuso una multa de 1.3 mil millones de dólares a Meta, con sede en California, por infracciones al RGPD (enlace externo a ibm.com).
Como era de esperarse, las empresas están priorizando cada vez más la protección de datos dentro de sus iniciativas de ciberseguridad, al darse cuenta de que una estrategia sólida de protección de datos no solo defiende contra posibles filtraciones de datos, sino que también garantiza el cumplimiento continuo de las leyes y estándares regulatorios. Aún más, una buena estrategia de protección de datos puede mejorar las operaciones del negocio y minimizar el tiempo de inactividad en un ataque cibernético, ahorrando tiempo y dinero críticos.
Si bien cada estrategia de protección de datos es diferente (y debe adaptarse a las necesidades específicas de su organización), existen varias soluciones que debe cubrir.
Algunos de estos componentes clave incluyen:
La gestión del ciclo de vida de los datos (DLM) es un enfoque que ayuda a gestionar los datos de una organización a lo largo de su ciclo de vida, desde la entrada hasta la destrucción de datos. Separa los datos en fases en función de diferentes criterios y avanza a través de estas etapas a medida que completa diferentes tareas o requisitos. Las fases de DLM incluyen la creación y el almacenamiento de datos, el uso compartido y de datos, así como el archivado y la eliminación de datos.
Un buen proceso de DLM puede ayudar a organizar y estructurar los datos críticos, especialmente cuando las organizaciones dependen de diversos tipos de almacenamiento de datos. También puede ayudarlas a reducir las vulnerabilidades y garantizar que los datos se gestionen de manera eficiente, cumplan con las regulaciones y no corran riesgo de uso indebido o pérdida.
Los controles de acceso ayudan a evitar el acceso, el uso o la transferencia no autorizados de datos confidenciales al garantizar que solo los usuarios autorizados puedan acceder a ciertos tipos de datos. Mantienen alejados a los actores de amenazas y, al mismo tiempo, permiten que cada empleado haga su trabajo al tener los permisos exactos que necesitan y nada más.
Las organizaciones pueden emplear controles de acceso basados en roles (RBAC), autenticación multifactor (MFA) o revisiones periódicas de los permisos de los usuarios.
Las iniciativas de gestión de identidad y acceso (IAM) son especialmente útiles para optimizar los controles de acceso y proteger los activos sin interrumpir los procesos comerciales legítimos. Asignan a todos los usuarios una identidad digital distinta con permisos adaptados a su función, necesidades de cumplimiento y otros factores.
El cifrado de datos implica convertir los datos de su forma original y legible (texto sin formato) a una versión codificada (texto cifrado) mediante algoritmos de cifrado. Este proceso ayuda a garantizar que, incluso si personas no autorizadas acceden a datos cifrados, no podrán entenderlos ni emplearlos sin una clave de descifrado.
El cifrado es fundamental para la seguridad de los datos. Ayuda a proteger la información confidencial de accesos no autorizados tanto cuando se transmite por las redes (en tránsito) como cuando se almacena en dispositivos o servidores (en reposo). Normalmente, los usuarios autorizados solo realizan el descifrado cuando es necesario para garantizar que los datos sensibles estén casi siempre seguros y sean ilegibles.
Para proteger sus datos, las organizaciones primero deben conocer sus riesgos. La gestión de riesgos de datos implica realizar una auditoría/evaluación de riesgos completa de los datos de una organización para comprender qué tipos de datos tiene, dónde se almacenan y quién tiene acceso a ellos.
Luego, las empresas usan esta evaluación para identificar amenazas y vulnerabilidades e implementar estrategias de mitigación de riesgos. Estas estrategias ayudan a llenar brechas de seguridad y fortalecer la postura de seguridad de datos y ciberseguridad de una organización. Algunas incluyen agregar medidas de seguridad, actualizar las políticas de protección de datos, realizar capacitaciones a los empleados o invertir en nuevas tecnologías.
Además, las evaluaciones de riesgos continuas pueden ayudar a las organizaciones a detectar a tiempo los riesgos emergentes de los datos, lo que les permite adaptar sus medidas de seguridad en consecuencia.
La copia de seguridad de datos y la recuperación ante desastres implica la creación o actualización periódica de más copias de archivos, su almacenamiento en una o más ubicaciones remotas y el uso de las copias para continuar o reanudar las operaciones comerciales en caso de pérdida de datos debido a daños en los archivos, corrupción de datos, ataque cibernético o desastre natural.
Los subprocesos "copia de seguridad" y "recuperación ante desastres" a veces se confunden entre sí o con todo el proceso. Sin embargo, la copia de seguridad es el proceso de hacer copias de archivos, y la recuperación ante desastres es el plan y el proceso para usar las copias para restablecer rápidamente el acceso a las aplicaciones, los datos y los recursos de TI luego de una interrupción. Ese plan podría implicar cambiar a un conjunto redundante de servidores y sistemas de almacenamiento hasta que su centro de datos principal vuelva a funcionar.
La recuperación ante desastres como servicio (DRaaS) es un enfoque gestionado para la recuperación ante desastres. Un proveedor externo aloja y gestiona la infraestructura empleada para la recuperación ante desastres. Algunas ofertas de DRaaS pueden proporcionar herramientas para gestionar los procesos de recuperación ante desastres o permitir que las organizaciones gestionen esos procesos por ellas.
Cada vez que las organizaciones mueven sus datos, necesitan una seguridad sólida. De lo contrario, corren el riesgo de exponerse a la pérdida de datos, amenazas cibernéticas y posibles filtraciones de datos.
La gestión del almacenamiento de datos ayuda a simplificar este proceso al reducir las vulnerabilidades, especialmente para el almacenamiento híbrido y en la nube. Monitorea todas las tareas relacionadas con la transferencia segura de datos de producción a almacenes de datos, ya sea on premises o en entornos de nube externos. Estos almacenes se adaptan al acceso frecuente y de alto rendimiento o sirven como almacenamiento de archivos para una recuperación poco frecuente.
La respuesta a incidentes (IR) se refiere a los procesos y tecnologías de una organización para detectar amenazas cibernéticas, violaciones de seguridad y ataques cibernéticos, así como responder a ellos. Su objetivo es prevenir los ciberataques antes de que ocurran y minimizar el costo y la interrupción del negocio resultantes de cualquiera que ocurra.
La incorporación de la respuesta a incidentes en una estrategia de protección de datos más amplia puede ayudar a las organizaciones a adoptar un enfoque más proactivo de la ciberseguridad y mejorar la lucha contra los delincuentes cibernéticos.
Según el Costo de una filtración de datos 2023, las organizaciones con altos niveles de contramedidas de IR incurrieron en 1.49 millones de dólares menos en costos de filtración de datos en comparación con las organizaciones con niveles bajos o nulos, y resolvieron incidentes 54 días antes.
Las políticas de protección de datos ayudan a las organizaciones a describir su enfoque de la seguridad y la privacidad de los datos. Estas políticas pueden abarcar una amplia gama de temas, como la clasificación de datos, los controles de acceso, los estándares de cifrado, las prácticas de retención y eliminación de datos, los protocolos de respuesta a incidentes y los controles técnicos, como los cortafuegos, los sistemas de detección de intrusos y el software antivirus y de prevención de pérdida de datos (DLP).
Un beneficio importante de las políticas de protección de datos es que establecen estándares claros. Los empleados conocen sus responsabilidades para salvaguardar la información confidencial y, a menudo, reciben capacitación sobre políticas de seguridad de datos, como identificar intentos de phishing, manejar información confidencial de forma segura e informar rápidamente sobre incidentes de seguridad.
Además, las políticas de protección de datos pueden mejorar la eficiencia operativa al ofrecer procesos claros para actividades relacionadas con los datos, como solicitudes de acceso, aprovisionamiento de usuarios, informes de incidentes y auditorías de seguridad.
Los gobiernos y otras autoridades reconocen cada vez más la importancia de la protección de datos, y han establecido estándares y leyes de protección de datos que las empresas deben cumplir para hacer negocios con los clientes.
El incumplimiento de estas regulaciones puede resultar en cuantiosas multas, como honorarios legales. Sin embargo, una estrategia sólida de protección de datos puede ayudar a garantizar el cumplimiento normativo continuo mediante el establecimiento de políticas y procedimientos internos estrictos.
La regulación más notable es el Reglamento General de Protección de Datos (RGPD), promulgado por la Unión Europea (UE) para salvaguardar los datos personales de las personas. El RGPD se centra en la información de identificación personal e impone estrictos requisitos de cumplimiento a los proveedores de datos. Exige transparencia en las prácticas de recopilación de datos e impone multas sustanciales por incumplimiento, hasta el 4 por ciento de la facturación global anual de una organización o 20 millones de euros.
Otra ley importante de privacidad de datos es la California Consumer Privacy Act (CCPA), que, al igual que el RGPD, enfatiza la transparencia y permite a las personas controlar su información personal. Según la CCPA, los residentes de California pueden aplicar detalles sobre sus datos, optar por no participar en las ventas y aplicar la eliminación.
Además, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) exige normas de seguridad y cumplimiento de datos para las "entidades cubiertas", como los proveedores de atención médica que manejan la información de salud personal (PHI) de los pacientes.
Relacionado: Aprenda más sobre el cumplimiento del RGPD
Tener datos seguros comienza con saber qué tipos de datos tiene, dónde se almacenan y quién tiene acceso a ellos. Realice un inventario de datos exhaustivo para identificar y categorizar toda la información que posee su organización. Determine la confidencialidad y la importancia de cada tipo de datos para priorizar los esfuerzos de protección y actualice periódicamente el inventario con cualquier cambio en el uso o el almacenamiento de datos.
Mantenga una comunicación sólida con los stakeholders clave, como ejecutivos, vendedores, proveedores, clientes y personal de relaciones públicas y marketing, para que conozcan su estrategia y enfoque de protección de datos. Esta línea abierta de comunicación creará una mayor confianza, transparencia y conocimiento de las políticas de seguridad de datos, y capacitará a los empleados y a otros para tomar mejores decisiones de ciberseguridad.
Realice capacitaciones de seguridad en toda su fuerza laboral sobre su estrategia de protección de datos. Los ataques cibernéticos a menudo explotan la debilidad humana, lo que hace que las amenazas internas sean una preocupación importante y que los empleados sean la primera línea de defensa contra los delincuentes cibernéticos. Con presentaciones, seminarios web, clases y más, los empleados pueden aprender a reconocer las amenazas de seguridad y proteger mejor los datos críticos y otra información confidencial.
Las evaluaciones y análisis de riesgos continuos ayuda a identificar posibles amenazas y a evitar filtraciones de datos. Las evaluaciones de riesgos le permiten hacer un balance de su huella de datos y sus medidas de seguridad y aislar las vulnerabilidades, al tiempo que mantiene actualizadas las políticas de protección de datos. Además, algunas leyes y normativas de protección de datos las exigen.
Documentar datos confidenciales en un entorno de TI híbrido es un desafío, pero es necesario para cualquier buena estrategia de protección de datos. Mantenga registros estrictos para entes reguladores, ejecutivos, proveedores y otros en caso de auditorías, investigaciones u otros eventos de ciberseguridad. La documentación actualizada crea eficiencia operativa y garantiza la transparencia, la responsabilidad y el cumplimiento de las leyes de protección de datos. Además, las políticas y procedimientos de protección de datos deben estar siempre actualizados para combatir las amenazas cibernéticas emergentes.
El monitoreo ofrece visibilidad en tiempo real de las actividades de datos, lo que permite la detección y corrección rápidas de posibles vulnerabilidades. Ciertas leyes de protección de datos pueden incluso exigirlo. E incluso cuando no es obligatorio, el monitoreo puede ayudar a mantener las actividades de datos en cumplimiento con las políticas de protección de datos (como con el monitoreo del cumplimiento). Las organizaciones también pueden usarlo para probar la eficacia de las medidas de seguridad propuestas.
Si bien las estrategias diferirán según las industrias, geografías, necesidades de los clientes y una variedad de otros factores, precisar estos elementos esenciales ayudará a que su organización esté en el camino correcto cuando se trata de fortalecer su protección de datos.