¿Qué es la seguridad de los datos?

¿Por qué es importante la seguridad de los datos?

Con los avances en la tecnología de computación en la nube junto con la amplia adopción de la nube a nivel mundial, la información confidencial está mucho más distribuida (y sujeta a una mayor variedad de riesgos de seguridad) que cuando estaba toda en un centro de datos local. La industria de la ciberseguridad ha desarrollado muchas herramientas de seguridad nuevas que aprovechan la automatización y la inteligencia artificial avanzadas, pero los ciberdelincuentes siguen siendo persistentes y siguen evolucionando sus tácticas.

Muchas organizaciones están implementando medidas de seguridad de la información más estrictas para proteger los datos críticos de los ciberataques de próxima generación. Esta tendencia es el resultado no sólo de nuevas amenazas a la seguridad, sino también del aumento exponencial en el volumen de datos que las organizaciones procesan y generan. De particular preocupación son las grandes cantidades de datos personales (por ejemplo, información de salud protegida [PHI] e información de identificación personal [PII]), que se utiliza en sectores fuertemente regulados como la atención médica, las finanzas y el sector público.

Regulaciones de seguridad de datos

Las industrias y los gobiernos de todo el mundo mantienen marcos de cumplimiento normativo relacionados con los requisitos de seguridad de los datos, cómo se deben manejar tipos específicos de datos, dónde se pueden conservar ciertos datos, etc. Algunos de los principales marcos de cumplimiento incluyen:

• La Ley de Privacidad del Consumidor de California (CCPA) otorga a los residentes de California el derecho a saber qué datos personales recopilan, comparten o venden las empresas, así como el derecho a optar por no participar en estas acciones.
• El Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) estandariza un enfoque para la evaluación y autorización de proveedores de servicios en la nube que trabajan con agencias federales de EE. UU.
• El Reglamento General de Protección de Datos (RGPD) exige que las empresas informen con prontitud sobre las infracciones de datos y obtengan el consentimiento para procesar los datos personales de los ciudadanos de la UE, quienes se reservan el derecho de acceder a ellos, modificarlos y borrarlos.
• La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) impone requisitos de privacidad y seguridad a los proveedores de atención médica y a las entidades estadounidenses que manejan PHI.
• ISO/IEC 27001 establece un enfoque para que las organizaciones establezcan, mantengan y mejoren la gestión de la seguridad de la información, centrándose en la evaluación de riesgos, los controles de seguridad y la supervisión continua.
• El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) ofrece un conjunto completo de pautas para que las organizaciones reduzcan los riesgos de seguridad y mejoren la resiliencia de la ciberseguridad.
• El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) obliga a las organizaciones que manejan transacciones con tarjetas de crédito a implementar cifrado, controles de acceso y más para proteger los datos de los titulares de tarjetas.

Estos y otros marcos se revisan y modifican con frecuencia para reducir el riesgo de los datos organizacionales tanto como sea posible. Más sobre el riesgo en la siguiente sección.

Los mayores riesgos para la seguridad de los datos

Es seguro asumir que los datos están en riesgo pase lo que pase, por lo que es importante saber qué hay que tener en cuenta al manipularlos. Algunos de los mayores riesgos de datos incluyen:

• Acceso no autorizado y amenazas internas: los mecanismos de autenticación débiles o comprometidos pueden permitir que usuarios no autorizados dentro o fuera de una organización obtengan acceso a datos confidenciales y propiedad intelectual.
• Vulnerabilidades y configuraciones erróneas: el software sin revisiones puede contener vulnerabilidades conocidas que permiten a los piratas informáticos obtener acceso. Las configuraciones inseguras pueden crear brechas similares incluso en sistemas que de otro modo serían seguros.
• Ransomware y otro malware: el ransomware puede cifrar, filtrar, destruir y/o filtrar datos, lo que podría causar una pérdida de datos catastrófica. Otras formas de malware pueden hacer cualquier cosa, desde espiar las actividades de los usuarios hasta dar a los ataques el control del sistema.
• Phishing e ingeniería social: los ataques de phishing, a menudo enviados por correo electrónico, utilizan técnicas manipuladoras de ingeniería social para engañar a los usuarios para que revelen credenciales de inicio de sesión o información confidencial.
• Cifrado de datos insuficiente: transmitir o almacenar los datos de una organización en texto plano (sin cifrado) los pone en mayor riesgo de ser interceptados por partes no autorizadas.
• Riesgos de seguridad de terceros y de la nube: la subcontratación del procesamiento o almacenamiento de datos a terceros puede introducir riesgos si falta su seguridad, las responsabilidades de seguridad compartidas no están claras, se producen errores de configuración, etc.

Para mitigar estos riesgos, es fundamental contar con una estrategia integral de ciberseguridad que incluya controles de acceso sólidos, gestión de vulnerabilidades, cifrado sólido, supervisión continua en tiempo real, auditorías y más.

Diferentes soluciones de seguridad de datos

La protección eficaz de los datos requiere que múltiples controles de seguridad trabajen conjuntamente para brindar una protección integral a los datos en reposo y en movimiento.

Estos son algunos de los medios básicos y más comunes para mantener seguros los datos:

• El cifrado de datos es un proceso en el que los datos de texto sin formato se convierten en texto cifrado codificado utilizando un algoritmo de cifrado y una clave de cifrado, que posteriormente se puede revertir a texto sin formato con una clave de descifrado.
• La tokenización disfraza los valores de los datos para que aparezcan como valores no confidenciales para los actores de amenazas. También llamada enmascaramiento de datos, la tokenización vincula estos marcadores de posición, o tokens, con sus equivalentes confidenciales.
• Los cortafuegos, en el sentido tradicional, protegen los datos gestionando el tráfico de red entre los hosts y los sistemas finales para garantizar transferencias de datos completas. Permiten o bloquean el tráfico según el puerto y el protocolo y toman decisiones según políticas de seguridad definidas.

Además de estas, otras soluciones más avanzadas ayudan a defenderse de las amenazas avanzadas modernas:

• las tecnologías de prevención de pérdida de datos (DLP) supervisan e inspeccionan los datos en reposo, en movimiento y en uso para detectar infracciones e intentos de borrado o exfiltración de datos. Las soluciones DLP más sofisticadas forman parte de una plataforma de protección de datos más amplia creada para proteger a los usuarios, las aplicaciones y los dispositivos en cualquier lugar.
• La gestión de identidades y accesos (IAM) protege los datos aplicando políticas de control de acceso en toda la organización. Por lo general, IAM otorga a los usuarios acceso a los recursos a través de autenticación multifactor (MFA), que puede incluir inicio de sesión único (SSO), autenticación biométrica, etc.
• El acceso a la red de confianza cero (ZTNA) permite el acceso seguro a aplicaciones internas para los usuarios independientemente de su ubicación, otorgando acceso según sea necesario y con los mínimos privilegios definidos por políticas granulares. ZTNA conecta de forma segura a los usuarios autorizados con aplicaciones privadas sin colocarlos en la red privada ni exponer las aplicaciones a Internet.

Mejores prácticas de seguridad de datos

Deberá dar algunos pasos más allá de simplemente implementar medidas de seguridad de datos si desea maximizar su efectividad. A continuación se muestran algunas formas de garantizar que está aprovechando al máximo sus estrategias de seguridad de datos:

• Realice evaluaciones de riesgos periódicas: comprender dónde se encuentran las vulnerabilidades de su organización ayuda a su equipo y a su liderazgo a ver dónde pueden cerrar las puertas abiertas a los piratas informáticos.
• Mantenga el cumplimiento normativo: operar dentro de marcos de cumplimiento determinados no sólo reduce el riesgo sino que también ayuda a sus resultados, ya que las sanciones por incumplimiento pueden ser elevadas.
• Mantenga copias de seguridad de datos de alta calidad: las buenas copias de seguridad de datos son un componente crucial de la seguridad moderna, especialmente con el ransomware en aumento.
• Establezca políticas de seguridad estrictas: esto puede parecer obvio, pero muchas infracciones surgen de un error en la política que termina permitiendo que un ciberdelincuente entre por una puerta abierta.

Cómo Zscaler puede ayudar con la seguridad de los datos

Zscaler Data Protection sigue a los usuarios y las aplicaciones a las que acceden, protegiéndolos en cualquier lugar y en cualquier momento contra la pérdida de datos. Nuestro Zero Trust Exchange™ inspecciona el tráfico en línea, cifrado o no, y garantiza que sus aplicaciones SaaS y de nube pública estén seguras, al tiempo que ofrece un enfoque dramáticamente optimizado para la protección y las operaciones, ventajas que no son posibles con las soluciones locales heredadas.

Zscaler Data Protection protege las cuatro fuentes principales de pérdida de datos al:

• Prevenir la pérdida de datos en Internet: los datos empresariales se ven amenazados cuando los usuarios acceden a Internet y a sus destinos peligrosos. Los dispositivos heredados no pueden seguir a los usuarios fuera de la red ni proteger su tráfico web. La plataforma Zscaler nativa de la nube escala para inspeccionar todo el tráfico, en todas partes. Una única política de DLP protege los datos en la web, el correo electrónico, los terminales, SaaS y las aplicaciones privadas, junto con técnicas de clasificación avanzadas.
• Proteger los datos de SaaS conCASB: proteger los datos en reposo en aplicaciones SaaS es fundamental para la seguridad: solo se necesitan dos clics para compartir datos con un usuario no autorizado a través de aplicaciones como Microsoft OneDrive. Nuestro CASB multimodo integrado protege las aplicaciones SaaS sin el coste y la complejidad de un producto específico. La funcionalidad en línea ofrece control y descubrimiento completo de TI en la sombra. DLP y ATP fuera de banda solucionan el intercambio de archivos de riesgo y el malware en reposo en la nube.
• Protección de los datos de la nube pública: la mayoría de las infracciones de la nube se deben a configuraciones incorrectas peligrosas o permisos excesivos. Zscaler CSPM y CIEM encuentran y solucionan errores de configuración, infracciones de cumplimiento, permisos y derechos potencialmente fatales; el análisis continuo prioriza el riesgo. La gestión integrada de la postura de seguridad de SaaS extiende esta funcionalidad a aplicaciones como Microsoft 365, Salesforce y Google Workspace.
• Proteger dispositivos no administrados: los dispositivos propios del usuario y otros dispositivos no administrados son amenazas importantes para los datos. Zscaler Browser Isolation permite de forma segura el acceso a dispositivos no administrados sin los desafíos de rendimiento de VDI o proxy inverso. La solución transmite datos como píxeles desde una sesión aislada en Zero Trust Exchange, lo que permite el uso de dispositivos propios, pero evita la pérdida de datos mediante la descarga, copia, pegado e impresión.