El cumplimiento de los datos es el acto de manejar y administrar datos personales y confidenciales de una manera que cumpla con los requisitos normativos, los estándares de la industria y las políticas internas relacionadas con la seguridad y la privacidad de los datos.
Los estándares de cumplimiento de datos pueden variar según la industria, la región y el país, pero con frecuencia implican objetivos similares. Estos objetivos pueden incluir:
- Garantizar la exactitud de los datos
- Proporcionar a las personas transparencia y conocimiento de sus derechos de datos
- Proteger la información confidencial, como los datos personales y la información de la tarjeta de crédito, contra accesos no autorizados o filtraciones de datos
- Seguimiento del almacenamiento de datos, incluido el tipo de datos que almacena una organización, cuánto almacena y cómo se administra a lo largo de su ciclo de vida
Algunas de las normas de cumplimiento de datos más comunes incluyen el reglamento general de protección de datos (GDPR), la ley de portabilidad y responsabilidad del seguro médico (HIPAA) y la ley de privacidad del consumidor de California (CCPA).
El incumplimiento de estas regulaciones puede aumentar los riesgos de ciberseguridad y costar a las organizaciones multas significativas, sanciones legales y daños a la reputación. Por esta razón, el cumplimiento de los datos a menudo se considera un componente crítico de la estrategia general de gobernanza de datos y gestión de riesgos de una organización.
Cumplimiento de datos vs. cumplimiento de seguridad de datos
El cumplimiento de la normativa en materia de datos se denomina a veces erróneamente cumplimiento de la normativa en materia de seguridad de los datos, un subconjunto estrechamente relacionado pero técnicamente más pequeño del cumplimiento de la normativa en materia de datos.
Mientras que el cumplimiento de los datos abarca el conjunto más amplio de normas y reglamentos a los que deben adherirse las organizaciones cuando manejan datos, el cumplimiento de la seguridad de los datos se centra específicamente en los aspectos de seguridad de la gestión de datos, incluida la protección de los datos contra el acceso no autorizado, las infracciones y otras amenazas a la seguridad mediante la implementación de soluciones de seguridad de datos, como el cifrado, los controles de acceso, los cortafuegos, las auditorías de seguridad, etc.
Dicho de otra manera, el cumplimiento de datos incluye todos los aspectos del cumplimiento de la seguridad de los datos, mientras que el cumplimiento de la seguridad de los datos no incluye todos los aspectos del cumplimiento de los datos.
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence Index.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Explore el cumplimiento de datos con IBM Security Guardium Insights
Para comprender la importancia del cumplimiento de datos, considere nuestra era de big data. Cada vez que alguien pulsa una pantalla, navega por un sitio web o pasea por la calle, con su teléfono inteligente en mano, deja un rastro creciente de datos personales. Al mismo tiempo, las organizaciones están cambiando hacia los servicios en la nube y las aplicaciones digitales como parte de su transformación digital y acumulando conjuntos de datos cada vez mayores. Como era de esperarse, todos estos datos pueden ser increíblemente valiosos para las organizaciones, ayudándolas a convertir los datos en insights para tomar mejores decisiones comerciales.
Sin embargo, más datos también significan más vulnerabilidades y una mayor superficie para los ataques cibernéticos. Según el informe del costo de una filtración de datos de IBM, el costo promedio global de una filtración de datos en 2023 fue de 4.45 millones USD, lo que representa un aumento del 15 % en tres años.
El cumplimiento de datos ayuda a mitigar estas amenazas y a proteger los datos de los clientes. Establece un conjunto de controles, o estándares de cumplimiento de datos que las organizaciones y las personas deben seguir al manejar datos. El propósito de estos requisitos de cumplimiento es crear salvaguardas que protejan la privacidad de los datos y eviten el uso indebido de los datos. El cumplimiento de datos también puede ayudar a las organizaciones y los individuos a desarrollar políticas y procedimientos para manejar los datos de manera más responsable.
Debido a estas numerosas ventajas, las organizaciones suelen invertir en el cumplimiento datos de forma voluntaria y proactiva, no sólo por necesidad. Las organizaciones reconocen que el cumplimiento de datos puede ayudarles a fomentar la confianza del cliente y a construir su reputación como administradores transparentes y responsables de los datos personales.
Aún más, el cumplimiento de datos a menudo ayuda a las empresas a aumentar su seguridad y mejorar su eficiencia y rentabilidad. Las empresas pueden reforzar de forma más eficaz las vulnerabilidades que las exponen a un mayor riesgo de filtración de datos al disponer de normas estrictas de cumplimiento de datos. Además, tener un sólido programa de cumplimiento de datos no solo mantiene los datos seguros, sino que también mantiene su precisión y reduce los errores costosos. Con una gestión de datos eficaz, las organizaciones no solo reducen el tiempo y los recursos dedicados a la detección y la corrección de datos, sino que también se vuelven más eficientes y ágiles en la minería de sus propios conjuntos de datos para obtener información.
Muchas organizaciones también descubren que contar con un sólido programa de cumplimiento de la normativa sobre datos facilita mantenerse al día con las normas de protección de datos, que se han ido actualizando con más frecuencia que en el pasado. Algunas de esas normas son SOC 2, CSA STAR, ISO 27001, Instituto Nacional de Estándares y Tecnología (NIST) 800-53, entre otras.
A medida que los gobiernos y otras entidades continúan centrándose en la seguridad de los datos, ha habido un número creciente de regulaciones de privacidad y estándares de cumplimiento de datos que las empresas deben satisfacer para hacer negocios con sus clientes objetivo.
Algunas de las regulaciones y estándares de cumplimiento de datos más comunes incluyen:
La ley de portabilidad y responsabilidad del seguro médico, o HIPAA, es una parte fundamental de la legislación aprobada en los Estados Unidos en 1996. Establece las pautas sobre cómo las entidades de atención médica y las empresas manejan la información de salud personal de los pacientes (PHI) para garantizar su confidencialidad y seguridad.
Cada entidad que pertenezca a la categoría "entidades cubiertas", según lo definido por la HIPAA, debe mantener los estándares de cumplimiento y seguridad de datos de HIPAA. Estas entidades abarcan no sólo a los proveedores de atención médica y planes de seguro, sino también a socios comerciales con acceso a la PHI, incluidos proveedores de servicios de transmisión de datos, proveedores de servicios de transcripción médica, compañías de software, empresas de seguros y más.
El reglamento general de protección de datos (RGPD) es un marco integral sobre privacidad de datos promulgado por la Unión Europea (UE) para proteger la información personal de sus ciudadanos.
El RGPD se centra principalmente en la información de identificación personal (PII) e impone estrictos requisitos de cumplimiento a los proveedores de datos. Obliga a las organizaciones dentro y fuera de Europa a ser transparentes sobre sus prácticas de recopilación de datos, otorgando a las personas un mayor control sobre su PII.
Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas sustanciales a quienes no cumplan con sus normas de privacidad y estándares de cumplimiento de datos. Estas multas pueden alcanzar hasta el 4 % de la facturación global anual de una organización o 20 millones de euros, la cifra que sea mayor.
Por esta razón, GDPR ha provocado que las empresas de todo el mundo reevalúen sus prácticas de recolección y manejo de datos, enfatizando la importancia de la seguridad sólida de los datos y el cumplimiento de normas.
La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos emblemática en los Estados Unidos, similar al RGPD.
Al igual que el RGPD, también hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. Según la CCPA, los residentes de California pueden solicitar detalles sobre los datos recopilados por las empresas, excluirse de las ventas de datos y solicitar la eliminación de datos.
Sin embargo, a diferencia del RGPD, la CCPA (y muchas otras leyes de protección de datos de EE. UU.) son de exclusión voluntaria en lugar de inclusión, lo que significa que las empresas pueden utilizar la información del consumidor en California hasta que se indique expresamente lo contrario. Además, la CCPA solo se aplica a las empresas que superan un umbral de ingresos anuales específico o manejan grandes volúmenes de datos personales, lo que la hace relevante para muchas empresas de California, aunque no para todas.
Desde que entró en vigor la CCPA, las organizaciones han reevaluado activamente sus procesos de manejo de datos y adoptado estrategias integrales de protección de datos para satisfacer los requisitos de cumplimiento.
La Ley Sarbanes-Oxley (SOX) es una ley promulgada en respuesta a escándalos corporativos como los de Enron y WorldCom. Su objetivo principal es mejorar la transparencia y la responsabilidad corporativa. Según SOX, todas las empresas que cotizan en la bolsa de valores en los Estados Unidos deben cumplir estrictos estándares de gobernanza y presentación de informes financieros.
Algunas de las disposiciones más importantes de la SOX son la obligación de que los directores generales y directores financieros certifiquen personalmente la exactitud de los estados financieros y la creación de comités de auditoría independientes. La SOX también introduce rigurosas medidas de control interno para garantizar la fiabilidad de los datos financieros, al tiempo que aumenta significativamente las sanciones por mala conducta empresarial y fraude.
Aunque la SOX se ocupa principalmente de la información financiera, sigue siendo una consideración vital para el cumplimiento de normas, y las organizaciones de TI deben ser conscientes de ello para garantizar informes financieros precisos y oportunos.
La norma de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un conjunto de pautas regulatorias para proteger los datos de las tarjetas de crédito. A diferencia de las normativas impuestas por los gobiernos, la norma PCI-DSS consiste en compromisos contractuales aplicados por un organismo regulador independiente conocido como Consejo de Normas de Seguridad del Sector de Tarjetas de Pago.
La norma PCI-DSS se aplica a toda empresa que maneje datos de titulares de tarjetas, ya sea mediante su aceptación, almacenamiento o transmisión. Incluso si un servicio de terceros está involucrado en las transacciones con tarjeta de crédito, la empresa sigue siendo responsable del cumplimiento de la PCI-DSS y debe tomar las medidas necesarias para administrar y almacenar los datos del titular de la tarjeta de forma segura.
Los siguientes pasos pueden ayudar a las organizaciones a establecer un sólido programa de cumplimiento de datos que satisfaga los requisitos de cumplimiento y proteja la información confidencial.
Muchas de estas son acciones que las organizaciones pueden tomar de inmediato, mientras que otras requieren una planificación a largo plazo. La esperanza es que, con la cantidad adecuada de planificación y enfoque, las organizaciones no sólo puedan satisfacer los estándares de cumplimiento de datos y garantizar la privacidad de los datos, sino también fortalecer su seguridad de la información y otras formas de acceso no autorizadas.
- Cumplimiento de datos: comience por comprender las normas sobre cumplimiento de datos que son pertinentes para su organización, que generalmente dependen de su industria y ubicación geográfica.
- Inventario de datos: desarrolle un inventario que describa los tipos de datos que recopila, que incluya información sobre dónde se almacenan y quién tiene acceso a ellos.
Controles de acceso: implemente controles de acceso sólidos para restringir el acceso a los datos al personal autorizado, lo que puede implicar autenticación de usuarios, acceso basado en roles y cifrado de datos confidenciales. Un programa moderno de gestión de identidad y acceso puede ayudar en este sentido.
Almacenamiento de datos: tome medidas para garantizar que sus datos se almacenen de forma segura (tanto física como digital), lo que puede implicar la implementación de soluciones de almacenamiento cifrado, firewalls y registros de acceso.
Capacitación en materia de cumplimiento: eduque al personal sobre el cumplimiento de datos para asegurarse de que comprenda las normas y la importancia de la privacidad de los datos. Las sesiones periódicas de capacitación también pueden ayudar a que todos se mantengan informados sobre las mejores prácticas.
Políticas de manejo de datos: establecen políticas y procedimientos de seguridad transparentes en toda su organización en torno a cómo manejar datos de manera responsable y garantizar que todos conozcan las prácticas correctas para la gestión de los datos.
Auditorías periódicas: realice auditorías periódicas para verificar la eficacia y la validez de sus medidas de cumplimiento de datos y para identificar posibles vulnerabilidades y áreas que necesiten mejoras.
Plan de respuesta a la filtración de datos: desarrolle un plan de respuesta ante una filtración de datos bien definido como forma de prepararse para una filtración de datos. Saber cómo responder de manera eficaz y rápida es crucial para minimizar los daños y cumplir con los requisitos de los marcos de cumplimiento.
Proteja los datos en múltiples entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.
Automatice y optimice su recorrido hacia la seguridad y el cumplimiento de los datos con IBM Security Guardium Insights. Descubra datos ocultos, analice flujos de datos y descubra vulnerabilidades protegiendo sus datos, dondequiera que se encuentren.
Operacionalice el cumplimiento de la ciberseguridad y los riesgos regulatorios en toda su empresa.
Habilite la detección temprana de amenazas y la recuperación rápida del negocio para ayudar a las organizaciones a cumplir con los requisitos de cumplimiento normativo.