¿Qué es la seguridad de los datos?

¿Por qué es importante la seguridad de los datos?

Con los avances en la tecnología de computación en la nube junto con la amplia adopción de la nube a nivel mundial, la información confidencial está mucho más distribuida (y sujeta a una mayor variedad de riesgos de seguridad) que cuando estaba en su totalidad en un centro de datos local. La industria de la ciberseguridad ha desarrollado muchas herramientas de seguridad nuevas que aprovechan la automatización y la inteligencia artificial avanzadas, pero los ciberdelincuentes siguen siendo persistentes y siguen evolucionando sus tácticas.

Muchas organizaciones están implementando medidas de seguridad de la información más estrictas para proteger los datos críticos de los ciberataques de próxima generación. Esta tendencia es resultado no sólo de nuevas amenazas a la seguridad, sino también del aumento exponencial del volumen de datos que las organizaciones procesan y generan. Especialmente preocupantes son las grandes cantidades de datos personales (por ejemplo, información sanitaria protegida [PHI] e información de identificación personal [PII]), que se utiliza en sectores fuertemente regulados, como la atención médica, las finanzas y el sector público.

Regulaciones de seguridad de datos

Las industrias y los gobiernos de todo el mundo mantienen marcos de cumplimiento normativo relacionados con los requisitos de seguridad de los datos, cómo se deben manejar tipos específicos de datos, dónde se pueden conservar ciertos datos y más. Algunos de los principales marcos de cumplimiento incluyen:

• La Ley de Privacidad del Consumidor de California (CCPA) otorga a los residentes de California el derecho a saber qué datos personales recopilan, comparten o venden las empresas, así como el derecho a optar por no participar en estas acciones.
• El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) estandariza un enfoque para la evaluación y autorización de proveedores de servicios en la nube que trabajan con agencias federales de EE. UU.
• El Reglamento General de Protección de Datos (RGPD) exige que las empresas informen rápidamente sobre las infracciones de datos y obtengan el consentimiento para procesar los datos personales de los ciudadanos de la UE, quienes se reservan el derecho a acceder a ellos, modificarlos y borrarlos.
• La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) impone requisitos de privacidad y seguridad a los proveedores de atención médica y entidades estadounidenses que manejan PHI.
• ISO/IEC 27001 establece un enfoque para que las organizaciones establezcan, mantengan y mejoren la gestión de la seguridad de la información, centrándose en la evaluación de riesgos, los controles de seguridad y la supervisión continua.
• El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) ofrece un conjunto integral de pautas para que las organizaciones reduzcan los riesgos de seguridad y mejoren la resiliencia de la ciberseguridad.
• El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) obliga a las organizaciones que manejan transacciones con tarjetas de crédito a implementar cifrado, controles de acceso, etc. para proteger los datos del titular de la tarjeta.

Estos y otros marcos se revisan y modifican con frecuencia para reducir el riesgo de los datos organizacionales tanto como sea posible. Más sobre el riesgo en la siguiente sección.

Los mayores riesgos para la seguridad de los datos

Es seguro asumir que los datos están en riesgo pase lo que pase, por lo que es importante saber qué tener en cuenta al manipularlos. Algunos de los mayores riesgos de datos incluyen:

• Acceso no autorizado y amenazas internas: los mecanismos de autenticación débiles o comprometidos pueden permitir que usuarios no autorizados dentro o fuera de una organización obtengan acceso a datos confidenciales y propiedad intelectual.
• Vulnerabilidades y configuraciones incorrectas: el software sin revisiones puede contener vulnerabilidades conocidas que permiten a los piratas informáticos obtener acceso. Las configuraciones inseguras pueden crear brechas similares incluso en sistemas que de otro modo serían seguros.
• Ransomware y otro malware: el ransomware puede cifrar, exfiltrar, destruir y filtrar datos, lo que podría causar una pérdida catastrófica de información. Otras formas de malware pueden hacer cualquier cosa, desde espiar las actividades de los usuarios hasta otorgar a los ataques el control del sistema.
• Phishing e ingeniería social: los ataques de phishing, a menudo enviados por correo electrónico, utilizan técnicas de ingeniería social manipuladoras para engañar a los usuarios para que revelen sus credenciales de inicio de sesión o información confidencial.
• Cifrado de datos insuficiente: transmitir o almacenar los datos de una organización en texto simple (sin cifrado) los expone a un mayor riesgo de ser interceptados por partes no autorizadas.
• Riesgos de seguridad de terceros y de la nube: subcontratar el procesamiento o almacenamiento de datos a terceros puede generar riesgos si su seguridad es deficiente, las responsabilidades de seguridad compartidas no están claras, se producen errores de configuración, etc.

Para mitigar estos riesgos, es fundamental contar con una estrategia integral de ciberseguridad que incluya controles de acceso sólidos, gestión de vulnerabilidades, cifrado sólido, supervisión continua en tiempo real, auditorías y más.

Diferentes soluciones de seguridad de datos

La protección eficaz de los datos requiere que múltiples controles de seguridad trabajen conjuntamente para brindar una protección integral a los datos en reposo y en movimiento.

Estos son algunos de los medios básicos y más comunes para mantener los datos seguros:

• El cifrado de datos es un proceso en el que los datos de texto sin formato se convierten en texto cifrado codificado mediante un algoritmo de cifrado y una clave de cifrado, que posteriormente se puede revertir a texto sin formato con una clave de descifrado.
• La tokenización disfraza los valores de los datos para que aparezcan como valores no confidenciales para los autores de amenazas. También llamada enmascaramiento de datos, la tokenización vincula estos marcadores de posición, o tokens, con sus equivalentes confidenciales.
• Los cortafuegos, en el sentido tradicional, protegen los datos gestionando el tráfico de red entre los hosts y los sistemas finales para garantizar transferencias de datos completas. Permiten o bloquean el tráfico en función del puerto y el protocolo, aprovechan la inspección de estado y toman decisiones basadas en políticas de seguridad definidas.

Además de estas, otras soluciones más avanzadas ayudan a defenderse de las amenazas avanzadas modernas:

• Las tecnologías deprevención de pérdida de datos (DLP) supervisan e inspeccionan los datos en reposo, en movimiento y en uso para detectar infracciones e intentos de borrado o exfiltración de datos. Las soluciones DLP más sofisticadas forman parte de una plataforma de protección de datos más amplia creada para proteger a los usuarios, las aplicaciones y los dispositivos en cualquier lugar.
• La gestión de identidades y accesos (IAM) protege los datos aplicando políticas de control de acceso en toda la organización. Por lo general, IAM otorga a los usuarios acceso a los recursos a través de autenticación multifactor (MFA), que puede incluir inicio de sesión único (SSO), autenticación biométrica, etc.
• El acceso a la red zero trust (ZTNA) permite el acceso seguro a aplicaciones internas para los usuarios independientemente de su ubicación, otorgando acceso según sea necesario y con los mínimos privilegios definidos por políticas granulares. ZTNA conecta de forma segura a los usuarios autorizados con aplicaciones privadas sin colocarlos en la red privada ni exponer las aplicaciones a Internet.

Mejores prácticas de seguridad de datos

Deberá dar algunos pasos más allá de simplemente implementar medidas de seguridad de datos si desea maximizar su efectividad. A continuación se muestran algunas formas de ayudarle a aprovechar al máximo la seguridad de sus datos:

• Realice evaluaciones de riesgos periódicas: comprender dónde se encuentran las vulnerabilidades de su organización ayuda a su equipo y a la directiva a ver dónde puede cerrar las puertas abiertas a los piratas informáticos.
• Mantenga el cumplimiento normativo: operar dentro de marcos de cumplimiento determinados no sólo reduce el riesgo sino que también ayuda a sus resultados, ya que las sanciones por incumplimiento pueden ser elevadas.
• Mantenga copias de seguridad de datos de alta calidad: las buenas copias de seguridad de datos son un componente crucial de la seguridad moderna, especialmente con el ransomware en aumento.
• Establezca políticas de seguridad estrictas: esto puede parecer obvio, pero muchas infracciones surgen de un error en la política que termina permitiendo que un ciberdelincuente entre por una puerta abierta.

Cómo Zscaler puede ayudar con la seguridad de los datos

Zscaler Data Protection sigue a los usuarios y las aplicaciones a las que acceden, protegiéndolos en cualquier lugar y en cualquier momento frente a la pérdida de datos. Nuestro Zero Trust Exchange™ inspecciona el tráfico en línea, cifrado o no, y garantiza que sus aplicaciones de SaaS y de nube pública estén seguras al tiempo que ofrece un enfoque drásticamente optimizado para la protección y las operaciones, beneficios que no son posibles con las soluciones locales tradicionales.

Zscaler Data Protection protege las cuatro fuentes principales de pérdida de datos:

• Evitando la pérdida de datos en Internet: los datos empresariales se ven amenazados cuando los usuarios acceden a Internet y sus destinos de riesgo. Los dispositivos heredados no pueden seguir a los usuarios fuera de la red ni proteger su tráfico web. La plataforma nativa de la nube Zscaler se escala para inspeccionar todo el tráfico, en todas partes. Una única política DLP protege los datos en la web, el correo electrónico, los terminales, SaaS y aplicaciones privadas, junto con técnicas de clasificación avanzadas.
• Protegiendo datos SaaS con CASB: proteger los datos en reposo en aplicaciones SaaS es fundamental para la seguridad; sólo se necesitan dos clics para compartir datos con un usuario no autorizado a través de aplicaciones como Microsoft OneDrive. Nuestro CASB integrado y multimodo que protege las aplicaciones SaaS sin el coste ni la complejidad de un producto específico. La funcionalidad en línea ofrece control y detección total de TI en la sombra. DLP y ATP fuera de banda solucionan el intercambio arriesgado de archivos y el malware en reposo en la nube.
• Protección de datos en la nube pública: la mayoría de las infracciones de la nube son causadas por configuraciones erróneas peligrosas o permisos excesivos. Zscaler CSPM y CIEM encuentran y corrigen errores de configuración potencialmente fatales, infracciones de cumplimiento, permisos y derechos, mientras que el análisis continuo prioriza el riesgo. La gestión integrada de la postura de seguridad de SaaS extiende esta funcionalidad a aplicaciones como Microsoft 365, Salesforce y Google Workspace.
• Protección de dispositivos no administrados: los dispositivos propios y otros dispositivos no administrados son amenazas importantes para los datos. Zscaler Cloud Browser Isolation permite de forma segura el acceso de los dispositivos no gestionados sin los desafíos de rendimiento de VDI o proxy inverso. La solución transmite datos como píxeles desde una sesión aislada en Zero Trust Exchange, lo que permite el uso de dispositivos propios, pero evita la pérdida de datos al descargar, copiar, pegar e imprimir.