Publicado: 5 de abril de 2024
Colaboradores: Annie Badman, Matthew Kosinski
La protección de datos es la práctica de proteger la información confidencial de la pérdida de datos y la corrupción. Su objetivo es proteger los datos y asegurar su disponibilidad y cumplimiento de los requerimientos normativos.
Una estrategia eficaz de protección de datos hace más que simplemente proteger los datos. También replica y restaura datos en caso de pérdida o daño. Esto se debe a que los principios fundamentales de la protección de datos son salvaguardar los datos y respaldar su disponibilidad. Disponibilidad significa garantizar que los usuarios puedan acceder a los datos para las operaciones comerciales, incluso si los datos están dañados, perdidos o corrompidos, como en una filtración de datos o un ataque de malware.
Este énfasis en la disponibilidad de los datos ayuda a explicar por qué la protección de datos está estrechamente relacionada con la gestión de datos, una práctica más amplia centrada en la gestión de datos a lo largo de todo su ciclo de vida para garantizar que sean precisos, seguros y capaces de aprovechar para la toma de decisiones empresariales estratégicas.
Hoy en día, las estrategias de protección de datos abarcan tanto medidas de protección de datos, como copias de seguridad de datos y funciones de restauración, y planes de continuidad del negocio y recuperación ante desastres (BCDR). Por esta razón, muchas organizaciones están adoptando servicios como la recuperación ante desastres como servicio (DRaaS) como parte de sus estrategias más amplias de protección de datos.
Si bien muchos utilizan los términos protección de datos y seguridad de datos indistintamente, son dos campos distintos con diferencias cruciales.
La seguridad de los datos es un subconjunto de la protección de datos centrado en la protección de la información digital frente al acceso no autorizado, la corrupción o el robo. Abarca diversos aspectos de la seguridad de la información, como la seguridad física, las políticas organizacionales y los controles de acceso.
Por el contrario, la protección de datos abarca toda la seguridad de los datos y va más allá al enfatizar la disponibilidad de los datos.
Tanto la protección como la seguridad de los datos incluyen la privacidad de datos. La privacidad de datos se centra en políticas que respaldan el principio general de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones recopilan, almacenan y emplean sus datos.
En otras palabras, la seguridad y la privacidad de los datos son subconjuntos dentro del campo más amplio de la protección de datos.
Para comprender la importancia de la protección de datos, considere el papel de los datos en nuestra sociedad. Cada vez que alguien crea un perfil en línea, realiza una compra en una aplicación o navega por un sitio web, deja un rastro creciente de datos personales.
Para las empresas, estos datos son críticos. Los ayuda a optimizar las operaciones, atender mejor a los clientes y tomar decisiones comerciales esenciales. De hecho, muchas organizaciones dependen tanto de los datos que incluso un breve tiempo de inactividad o una pequeña pérdida de datos podrían perjudicar gravemente sus operaciones y beneficios.
Según el costo de una filtración de datos de IBM, el costo promedio global de una filtración de datos en 2023 fue de USD 4.45 millones:un aumento del 15 % en tres años.
Como resultado, muchas organizaciones se están enfocando en la protección de datos como parte de sus esfuerzos más amplios de ciberseguridad. Con una estrategia estable de protección de datos, las organizaciones pueden reforzar las vulnerabilidades y proteger mejor de los ataques cibernéticos y las filtraciones de datos. En caso de un ciberataque, las medidas de protección de datos pueden salvar vidas, ya que reducen el tiempo de inactividad al garantizar la disponibilidad de los datos.
Las medidas de protección de datos también pueden ayudar a las organizaciones a cumplir con los requisitos normativos en constante evolución, muchos de los cuales pueden conllevar fuertes multas. Por ejemplo, en mayo de 2023, la autoridad de protección de datos de Irlanda impuso una multa de 1.3 mil millones de dólares a la empresa Meta, con sede en California, por incumplir el RGPD (enlace externo a ibm.com). La protección de datos, a través de su énfasis en la privacidad de los datos, puede ayudar a las organizaciones a evitar estas infracciones.
Las estrategias de protección de datos también pueden proporcionar muchos beneficios de la gestión efectiva del ciclo de vida de la información (ILM), como la optimización del procesamiento de datos personales y una mejor extracción de datos críticos para obtener insights clave.
En un mundo donde los datos son el alma de muchas organizaciones, cada vez es más necesario que las empresas sepan cómo procesar, manejar, proteger y aprovechar sus datos críticos lo mejor que puedan.
Al reconocer la importancia de la protección de datos, los gobiernos y otras autoridades crearon un número creciente de regulaciones de privacidad y estándares de datos que las empresas deben cumplir para hacer negocios con sus clientes.
Algunas de las regulaciones y estándares de datos más comunes incluyen:
El Reglamento General de Protección de Datos (RGPD) es un marco integral de privacidad de datos promulgado por la Unión Europea (UE) para salvaguardar la información personal de las personas, denominadas "interesados."
El RGPD se centra principalmente en la información de identificación personal, o PII, e impone estrictos requisitos de cumplimiento a los proveedores de datos. Exige que las organizaciones dentro y fuera de Europa sean transparentes sobre sus prácticas de recopilación de datos. Las organizaciones también deben adoptar algunas medidas específicas de protección de datos, como nombrar a un funcionario de protección de datos para supervisar el manejo de datos.
El RGPD también otorga a los ciudadanos de la UE un mayor control sobre su PII y una mayor protección de datos personales, como el nombre, el número de identificación, la información médica, los datos biométricos y otros. Las únicas actividades de procesamiento de datos exentas del RGPD son la seguridad nacional o las actividades policiales y usos puramente personales de los datos.
Uno de los aspectos más llamativos del RGPD es su postura inflexible ante el incumplimiento. Impone multas sustanciales a quienes no cumplan con sus normas de privacidad. Estas multas pueden alcanzar hasta el 4 % de la facturación anual de una organización o 20 millones de euros, la cifra que sea mayor.
La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) se aprobó en Estados Unidos en 1996. Establece las pautas sobre cómo las entidades de atención médica y las empresas manejan la información de salud personal de los pacientes (PHI) para garantizar su confidencialidad y seguridad.
En virtud de la HIPAA, todas las "entidades cubiertas" deben respetar determinadas normas de seguridad de datos y cumplimiento de la normativa. Estas entidades abarcan no solo a los proveedores de atención médica y los planes de seguros, sino también a los asociados de negocio con acceso a la PHI. Los servicios de transmisión de datos, los proveedores de servicios de transcripción médica, las empresas de software, las empresas de seguros y otros deben cumplir con la HIPAA si manejan PHI.
La California Consumer Privacy Act (CCPA) es una ley de privacidad de datos emblemática en Estados Unidos.
Al igual que el RGPD, hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal. Según la CCPA, los residentes de California pueden solicitar detalles sobre los datos recopilados, excluirse de las ventas de datos y solicitar la eliminación de datos.
Sin embargo, a diferencia del RGPD, la CCPA (y muchas otras leyes de protección de datos de EE. UU.) son de exclusión en lugar de aceptación. Las empresas pueden emplear la información del consumidor hasta que se indique específicamente lo contrario. Además, la CCPA solo se aplica a las empresas que superan un umbral de ingresos anuales específico o manejan grandes volúmenes de datos personales, lo que la hace relevante para muchas empresas de California, aunque no para todas.
La norma de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un conjunto de pautas regulatorias para proteger los datos de las tarjetas de crédito. La PCI-DSS no es una regulación gubernamental, sino un conjunto de compromisos contractuales aplicados por un organismo normativo independiente conocido como Payment Card Industry Security Standards Council (PCI SSC).
La PCI-DSS se aplica a cualquier empresa que maneje datos de titulares de tarjetas, ya sea recopilándolos, almacenándolos o transmitiéndolos. Incluso si un servicio de terceros está involucrado en las transacciones con tarjeta de crédito, la empresa sigue siendo responsable del cumplimiento de la PCI-DSS y debe tomar las medidas necesarias para administrar y almacenar los datos del titular de la tarjeta de forma segura.
A medida que evoluciona el panorama de la protección de datos, varias tendencias están dando forma a las estrategias que emplean las organizaciones para salvaguardar su información confidencial.
Algunas de estas tendencias incluyen:
La portabilidad de datos enfatiza el movimiento fluido de datos entre plataformas y servicios. Esta tendencia brinda a las personas un mayor control sobre sus datos al facilitar su transferencia entre aplicaciones y sistemas. La portabilidad de los datos también se alinea con la tendencia general hacia una mayor transparencia y empoderamiento del cliente, lo que permite a los usuarios gestionar sus datos personales de manera más eficiente
Con el uso generalizado de los teléfonos inteligentes, las organizaciones están cada vez más preocupadas por la seguridad de los datos en los dispositivos móviles. Como resultado, muchas empresas se están centrando más en la protección de datos móviles, que implementa medidas sólidas de seguridad de datos para teléfonos inteligentes y tabletas, incluido el cifrado y métodos de autenticación seguros.
El aumento de los ataques de ransomware provocó que muchas organizaciones adopten estrategias avanzadas de protección de datos.
Elransomware es un tipo de malware que bloquea los datos o el dispositivo de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Intelligence 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022. Además, se espera que los ataques de ransomware costarán a las víctimas un total estimado de 30 millones USD en 2023 (enlace externo a ibm.com).
La naturaleza evolutiva de estos ataques exige que las organizaciones apliquen medidas de seguridad proactivas, como copias de seguridad periódicas, detección de amenazas en tiempo real y capacitación de los empleados, para mitigar el impacto del ransomware y proteger la información sensible.
A medida que los ciberataques avanzan cada vez más, las organizaciones reconocen la importancia crítica de mantener la continuidad durante un desastre. El resultado es que muchas están invirtiendo en recuperación ante desastres como servicio (DRaaS).
DRaaS es una solución de terceros que ofrece protección de datos y capacidades de recuperación ante desastres (DR). Emplea un alto nivel de automatización para limitar el tiempo de inactividad y subcontratar servicios de recuperación ante desastres, proporcionando una solución escalable y rentable para que las organizaciones recuperen sus datos críticos y su infraestructura de TI durante una catástrofe.
Al decidir sobre una solución DRaaS, las organizaciones pueden elegir entre tres opciones: centros de datos, soluciones basadas en la nube y copias de seguridad híbridos que combinan centros de datos físicos y almacenamiento en la nube.
Copy Data Management (CDM) ayuda a las organizaciones a gestionar y controlar mejor los datos duplicados, lo que reduce los costos de almacenamiento y mejora la accesibilidad de los datos. CDM es una parte esencial de la gestión del ciclo de vida de la información (ILM) porque ayuda a maximizar el valor de los datos y, al mismo tiempo, minimiza la redundancia y las ineficiencias del almacenamiento.
Las organizaciones suelen emplear varias soluciones y tecnologías de protección de datos contra las ciberamenazas y garantizar la integridad, confidencialidad y disponibilidad de los datos.
Algunas de estas soluciones incluyen:
- La prevención de pérdida de datos (DLP) abarca las estrategias, los procesos y las tecnologías que emplean los equipos de ciberseguridad para proteger los datos confidenciales contra el robo, la pérdida y el uso indebido. La DLP rastrea la actividad del usuario y marca el comportamiento sospechoso para evitar el acceso no autorizado, la transmisión o la filtración de información confidencial.
- Las copias de seguridad de datos implican crear y almacenar periódicamente una versión secundaria de información crítica. Las copias de seguridad respaldan la disponibilidad de los datos al garantizar que las organizaciones puedan restaurar rápidamente sus sistemas a un estado anterior en caso de pérdida o corrupción de datos, minimizando el tiempo de inactividad y las pérdidas potenciales.
- Los cortafuegos actúan como primera línea de defensa de los datos al monitorear y controlar el tráfico de red entrante y saliente. Estas barreras de seguridad hacen cumplir reglas de seguridad predeterminadas, evitando el acceso no autorizado.
- Las tecnologías de autenticación y autorización, como la autenticación multifactor, verifican las identidades de los usuarios y regulan su acceso a recursos específicos. En conjunto, aseguran que solo las personas autorizadas puedan acceder a información confidencial, lo que mejora la seguridad general de los datos.
- Las soluciones de gestión de identidad y acceso (IAM) centralizan la gestión de las identidades y permisos de los usuarios. Al administrar el acceso de los usuarios basado en roles y responsabilidades, las organizaciones pueden mitigar el riesgo de acceso no autorizado a los datos y reducir las amenazas internas, lo que puede poner en riesgo los datos críticos.
- El cifrado transforma los datos en un formato codificado, lo que los hace ilegibles sin la clave de descifrado adecuada. Esta tecnología protege las transferencias y el almacenamiento de datos, agregando una capa adicional de protección contra el acceso no autorizado.
- La seguridad endpoint se centra en proteger dispositivos individuales, como computadoras y dispositivos móviles, de actividades maliciosas. Puede incluir una variedad de soluciones, como software antivirus, cortafuegos y otras medidas de seguridad.
- Las soluciones antivirus y antimalware detectan, previenen y eliminan software malicioso que podría comprometer los datos, incluidos virus, spyware y ransomware.
- La gestión de parches garantiza que el software, los sistemas operativos y las aplicaciones tengan los parches de seguridad más recientes. Las actualizaciones periódicas ayudan a cerrar las vulnerabilidades y proteger contra posibles ataques cibernéticos.
- Las soluciones de eliminación de datos garantizan la eliminación segura y completa de los datos de los dispositivos de almacenamiento. La eliminación es particularmente importante al desmantelar hardware para evitar el acceso no autorizado a información confidencial.
- Las tecnologías de archivo facilitan el almacenamiento y la recuperación sistemáticos de datos históricos. El archivado ayuda en el cumplimiento y ayuda a las organizaciones a gestionar los datos de manera eficiente, reduciendo el riesgo de pérdida de datos.
- Las herramientas de certificación y auditoría ayudan a las organizaciones a evaluar y demostrar el cumplimiento de las normativas del sector y las políticas internas. Las auditorías periódicas también garantizan la aplicación y el mantenimiento efectivos de las medidas de protección de datos.
- Las soluciones de recuperación ante desastres, como DRaaS, restauran la infraestructura informática y los datos tras un evento perturbador. La recuperación en caso de catástrofe suele incluir una planeación exhaustiva, estrategias de copia de seguridad de los datos y mecanismos para minimizar el tiempo de inactividad.
Proteja los datos en nubes híbridas y simplifique los requisitos de cumplimiento
Proteja los datos confidenciales on premises y en la nube. IBM Security Guardium es una solución de seguridad de datos que se adapta a medida que cambia el entorno de amenazas, proporcionando una completa visibilidad, cumplimiento y protección durante todo el ciclo de vida de seguridad de los datos.
Obtenga protección de datos a escala empresarial. IBM Storage Protect es un software de copia de seguridad y recuperación de datos.