¿Qué es la seguridad de datos?
Nirmal Ranganathan, Jared Jacobson
La seguridad de datos se refiere a sus políticas y normas para proteger sus datos: en su red, en su infraestructura y sus aplicaciones, y en múltiples capas. Los métodos de seguridad de datos abarcan los ambientes en las instalaciones y en la nube, e incluyen codificación, enmascaramiento, tokenización, eliminación, autenticación, control de acceso, respaldos y recuperación, y resiliencia de datos. La seguridad de datos también supone las demandas relacionadas con el compliance, motivadas por las regulaciones gubernamentales o las normas de la industria, como la PCI o la HIPAA.
La importancia de la seguridad de datos
Según un informe reciente de Verizon, una de cada ocho violaciones de seguridad tiene motivos económicos, y todas crean turbulencia financiera para las víctimas. Una violación de datos puede provocar tanta disrupción como la que se produce por la falta de compliance. Sin una estrategia de seguridad de datos sólida, podría correr el riesgo de que haya consecuencias en las relaciones públicas, de que se impongan sanciones por falta de compliance y de que se produzcan pérdidas de productividad. Algunas de las consecuencias comunes de una violación de datos son las siguientes:
Consecuencias en las relaciones públicas
Las expectativas de los consumidores en línea están en auge. Por lo tanto, cuando los posibles clientes o inversionistas se enteran de que su organización ha sido objeto de una violación, usted es considerado imprudente y poco confiable, incluso, si hizo todo lo que se suponía que debía hacer. Esta percepción podría ocasionar la pérdida de la participación en el mercado y hasta repercutir en el precio de sus acciones. El esfuerzo y el costo de subsanar la violación inicial, manejar los medios, comunicarse con los clientes y reconstruir su marca le quitan recursos a su misión principal.
Sanciones por falta de compliance
No cumplir con los requisitos regulatorios y legales en torno a la retención, los permisos y el almacenamiento puede hacer que se impongan importantes multas por falta de compliance. Ante todo, esas multas son sanciones de la junta reguladora. Además de eso, es posible que haya cargos asociados, como los pagos directos a las víctimas de las violaciones, la prestación de servicios de resolución (monitoreo del crédito o protección de identidad) o demandas por daños y perjuicios.
Pérdidas de productividad
Después de una violación de datos, los equipos de TI deben abandonar lo que estén haciendo para responder y resolver la amenaza. Si se produce la pérdida de datos, se destina tiempo a restaurar los respaldos. Una violación de seguridad probablemente afectará la capacidad de algunos empleados de acceder y usar los datos que necesitan para completar sus trabajos. En un estudio reciente que realizó CISCO, el 48 % de las empresas con más de 10,000 empleados experimentaron, al menos, cuatro horas de tiempo de inactividad por una violación de datos, y un tercio experimentó hasta 16 horas de tiempo de inactividad.
Tipos de tecnología de seguridad de datos
Proteger los datos en la nube o en las instalaciones implicará usar una o más de las siguientes tecnologías:
- Encriptación de Datos
- Enmascaramiento de datos
- Tokenización
- Eliminación de datos
- Autenticación
- Control de acceso
- Respaldos y recuperación
- Resiliencia de datos
Encriptación de Datos
La codificación de datos evita que usuarios no autorizados accedan a los datos. Esta técnica requiere cierto tipo de autorización o clave para decodificar y ver o editar los datos. La codificación principalmente se aplica al nivel de la red y la infraestructura; sin embargo, los activos físicos, las memorias flash o los discos duros también pueden emplear este método de seguridad de datos. Además, la codificación se puede aplicar dentro de las aplicaciones. Por ejemplo:
Datos originales: John Smith
Codificado: 393938383838
Decodificado: John Smith
Estado de bloqueo: bloqueado, se puede desbloquear
Acceso: los usuarios finales pueden acceder a todo el conjunto de datos
Enmascaramiento de datos
Cuando se enmascaran los datos, se reemplaza la totalidad o parte de los datos. Con frecuencia, vemos este caso cuando se muestran los números de una tarjeta de crédito o los números del seguro social. Los datos están ahí, pero no se puede acceder a ellos. Esta técnica se usa para situaciones donde los datos se guardan en el sistema, pero, debido a problemas de compliance, como la PCI o la HIPAA, los usuarios no pueden ver los datos reales. No se puede revertir el enmascaramiento. Una vez que los datos se enmascaran, pierden su valor y no están disponibles para su uso en ninguna otra función. Por ejemplo:
Datos originales: John Smith
Enmascarado: 393938383838
No enmascarado: n/c
Estado de bloqueo: bloqueado, no se puede desbloquear
Acceso: los usuarios finales no pueden acceder a los datos, y los datos no se pueden usar para análisis
Tokenización
Si bien es importante aprovechar el valor de todos los datos, ciertos elementos de los datos, como la información personal de identificación (PII), los detalles médicos y la información financiera, deben manejarse con particular cuidado. La tokenización les permite a las organizaciones ocultar la información confidencial pero conservar su importancia. A diferencia de la codificación, donde los datos se pueden desbloquear, o enmascarar, y, además, pierden su valor, la tokenización no se puede desbloquear, pero sus características siguen siendo valiosas. Es posible que no conozca el nombre y la dirección de cada cliente, pero puede extraer datos para determinar, por ejemplo, cuándo los clientes de una región particular gastan más en un artículo determinado.
Datos originales: John Smith
Tokenizado: 838383838
No eliminado: n/c
Estado de bloqueo: bloqueado, no se puede desbloquear
Acceso: los usuarios finales pueden acceder a la información sobre los datos, pero no al conjunto real de datos
Eliminación de datos
Debido al aumento en las reglamentaciones sobre la protección de la privacidad, como el GDPR y la CCPA, las empresas necesitan proteger los datos que reciben y, además, deben contar con un proceso que elimine los datos. Una limpieza de datos desorganizada y una adherencia descuidada al control de los datos pueden hacer que, para algunas organizaciones, sea imposible cumplir plenamente con las solicitudes de eliminación de datos, ya que no tienen un buen manejo en todos los lugares en donde los puntos de datos se podrían alojar. Cuando se hace de forma correcta, la eliminación de datos funciona así:
Datos originales: John Smith
Eliminado: [sin datos]
No eliminado: n/c
Acceso: los datos son inexistentes. El usuario final nunca supo que existían los datos.
Autenticación
La autenticación es el proceso por el que los usuarios se identifican y pueden acceder a la información. Para algunos sistemas, es una contraseña; para otros, puede ser un indicador biométrico, como huellas dactilares o escaneo facial. La autenticación desbloquea los datos bloqueados para que las partes autorizadas los utilicen. Esto se aplica a nivel de la red, la aplicación o el archivo.
Control de acceso
Al establecer grupos de usuarios y métodos de acceso basados en roles, las organizaciones pueden controlar qué usuarios ven qué datos. Eso garantiza que los empleados que necesitan ver los datos confidenciales estén debidamente autorizados para hacerlo. El control de acceso se establece en la mayoría de las normas de compliance de datos para evitar, por ejemplo, que una recepcionista en un consultorio médico vea el historial médico completo de un paciente, en lugar de ver solo la información del seguro que se necesita para registrar y agendar a los pacientes.
Respaldos y recuperación
Los respaldos y las recuperaciones hacen referencia a la manera en la que usted almacena los datos y cómo va a restaurarlos en caso de que se produzca un incidente. Al igual que los servicios a nivel de consumidor que lo protegen si borra por error un archivo o pierde su teléfono, el respaldo a nivel empresarial significa separar datos en lugares diferentes y seguros para proporcionar redundancia. Si falla una ubicación, la otra ubicación se activa con una imagen exacta de los datos. Las organizaciones usan las métricas de Punto objetivo de recuperación (RPO) y Tiempo objetivo de recuperación (RTO) para determinar qué datos se recuperan y cuánto tardan en recuperarse.
Resiliencia de datos
La resiliencia de datos hace referencia a la rapidez con que usted puede recuperar y restaurar las operaciones en caso de que se produzca una violación de datos. En el pasado, esto se lograba al desplegar varios servidores en diferentes ubicaciones. Después de la reciente crisis mundial, muchas organizaciones se enfrentan a centros de datos a los que no pueden acceder. Por este motivo, consideran alternativas basadas en la nube, que se pueden administrar de forma remota, tienen un respaldo automático ante fallas y no requieren de grandes inversiones iniciales de capital.
Mejores prácticas de la seguridad de datos
Las mejores prácticas de la seguridad de datos se dividen en tres categorías principales:
- Administración del riesgo de los datos
- Control de datos
- Compliance de datos
Administración del riesgo de los datos
La administración del riesgo de los datos es el dónde. Provee una hoja de ruta para las prioridades de la seguridad de datos. Aquí es donde una organización determina qué regulaciones debe seguir, cuál debería ser su postura en torno a la seguridad y los KPI que se necesitan para demostrar cumplimiento. Por ejemplo, aunque no almacene la información de las tarjetas de crédito, puede optar por cumplir con la PCI porque establece un estándar más alto en cuanto a la seguridad de datos.
Otro elemento de la administración de riesgo es la clasificación de los datos. Si se solicita documentación legal y los datos no están etiquetados, o están etiquetados de forma incorrecta, las organizaciones podrían enfrentarse a sanciones o a horas de trabajo tedioso buscando datos, algo que se puede comparar con buscar una aguja en un pajar virtual.
Control de datos
El control de datos es el qué. En función de las obligaciones de la administración del riesgo, el control de datos abarca las políticas y las prácticas que sirven de base para la administración de datos. También determina la responsabilidad y define cómo se pueden almacenar los datos, cómo se transfieren, cómo se puede acceder a ellos, cómo se conservan y cómo se destruyen. Además de las reglas y técnicas, también debería ofrecer orientación y perspectivas para que los usuarios mantengan los datos seguros y limpios.
Compliance de datos
El compliance de datos es el cómo. Aquí es donde se realiza todo el trabajo real que se necesita para cumplir con las normas de control. Por ejemplo, aquí es donde se establece el acceso basado en roles en función de la norma de la PCI que ha elegido adoptar. El compliance representa el nivel de ejecución de la selección de herramientas, tecnologías y procesos para brindar support a la codificación, los firewalls, los antivirus, el monitoreo y la respuesta.
A diferencia del control y la administración de riesgos, el compliance de los datos está en constante evolución. Aunque el objetivo de mantener el cumplimiento con la PCI o la HIPAA puede seguir siendo coherente desde una perspectiva del riesgo y el control, los organismos de auditoría adaptan y revisan constantemente lo que significa cumplir con las normas.
Los beneficios de la seguridad de datos
Mantener una estrategia de seguridad de datos definida protege a toda la organización. A menudo, las pequeñas empresas que sufren violaciones dejan la actividad en un año y terminan gastando un promedio de US$200,000. Y para aquellos que atraviesan las consecuencias de una violación de datos, habrá un enorme agujero financiero en torno a la mayor cantidad de recursos y mano de obra que se necesitaron para recuperarse desde una perspectiva tecnológica y desde una perspectiva empresarial.
Con una política de seguridad de datos sólida, las organizaciones fomentan la confianza, ahorran recursos y evitan alterar las empresas al tener que manejar una violación o una interrupción.
Soluciones de seguridad de datos de Rackspace Technology
Con más de dos décadas de experiencia en la seguridad y la administración de datos para algunas de las empresas más grandes del mundo, Rackspace Technology ofrece soluciones integrales y comprobadas de seguridad de datos. Nuestra metodología abarca a las personas, los procesos y la tecnología para proveer las soluciones que necesita para implementar la seguridad a nivel empresarial, mantener el compliance y ganar la confianza de los clientes. Las soluciones incluyen servicios de seguridad administrados, asistencia para el compliance, privacidad y protección de datos, herramientas de seguridad y política de seguridad, como también nuestra solución Quickstart que lo pone en marcha rápidamente.
Nota del editor: ¡Octubre es el Mes Nacional de Concientización sobre la Seguridad Informática (NCSAM)! Asegúrese de revisar toda nuestra serie de recursos orientados a la seguridad para el NCSAM 2020, que incluyen lo siguiente:
- Seminario web: El nuevo escenario de la ciberseguridad (en vivo el 7 de octubre o bajo demanda)
- Seminario web: Navegar por las amenazas de la ciberseguridad hoy (en vivo el 22 de octubre o bajo demanda)
- Artículo: ¿Qué provoca la falta de competencias en la ciberseguridad?
- Artículo: El COVID-19 y la "nueva normalidad" para la ciberseguridad empresarial
- Podcast con Cloudflare: Expectativas del consumidor en línea después del COVID-19