¿Qué es la protección de datos?
Descubre cómo proteger tus datos dondequiera que se alojen y administrar datos confidenciales y críticos para la empresa en todo el entorno.
Definición de la protección de datos
La protección de datos se refiere a estrategias y procesos de seguridad que ayudan a proteger datos confidenciales frente a corrupción, vulneración y pérdida. Las amenazas a datos confidenciales incluyen incidentes de vulneración y pérdida de datos.
Una vulneración de datos es el resultado de un acceso no autorizado a la información, la red o los dispositivos de la organización debido a un ciberataque, amenazas internas o errores humanos. Además de la pérdida de datos, la organización podría ser penalizada con multas por infracciones de cumplimiento, afrontar acciones legales por exponer información personal y sufrir daños a largo plazo que afecten a la reputación de la marca.
Un incidente de pérdida de datos es una interrupción intencionada o accidental de las operaciones habituales de la organización; por ejemplo, se produce la pérdida o el robo de una portátil, se daña el software o un virus informático infecta la red. Es crítico para la estrategia de protección de datos establecer una directiva de seguridad y formar a los empleados para que reconozcan amenazas y cómo responder (o no responder) a ellas.
Principios clave de la protección de datos
Los dos principios clave de la protección de datos son la disponibilidad y la administración de estos.
La disponibilidad de datos permite a los empleados acceder a los datos que necesitan en sus operaciones del día a día. Mantener la disponibilidad de datos contribuye a la continuidad empresarial y recuperación ante desastres de la organización, un elemento importante del plan de protección de datos que depende de la existencia de copias de seguridad almacenadas en una ubicación distinta. Disponer de acceso a estas copias minimiza el tiempo de inactividad de los empleados y mantiene el trabajo en marcha.
La administración de datos abarca la administración del ciclo de vida de los datos y de la información.
- La administración del ciclo de vida de los datos comprende la creación, el almacenamiento, el uso y el análisis de datos, así como su archivado y eliminación. Este ciclo de vida te ayuda a garantizar que la organización cumpla las normativas relevantes y que los datos no se estén almacenando innecesariamente.
- La administración del ciclo de vida de la información es una estrategia para catalogar y almacenar la información derivada de los conjuntos de datos de la organización. Su objetivo es determinar qué tanto es relevante y precisa dicha información.
¿Por qué es importante la protección de datos?
La protección de datos es importante para mantener la organización protegida ante el robo, la filtración y la pérdida de datos. Implica tanto el uso de directivas de privacidad que satisfagan las normativas de cumplimiento como la prevención del daño a la reputación de la organización.
Una estrategia de protección de datos incluye la supervisión y protección de los datos del entorno y el mantenimiento de un control continuo sobre la visibilidad y el acceso a los datos.
Desarrollar una directiva de protección de datos permite a la organización determinar su tolerancia a los riesgos para cada categoría de datos y cumplir con las normativas aplicables. Esta directiva también te permite establecer autenticación y autorización para determinar quiénes pueden disponer de acceso a qué información, y por qué.
Tipos de soluciones de protección de datos
Las soluciones de protección de datos te permiten supervisar la actividad tanto interna como externa, marcar comportamientos sospechosos o de riesgo de uso compartido de datos, y controlar el acceso a datos confidenciales.
-
Prevención de pérdida de datos
La prevención de pérdida de datos es una solución de seguridad que ayuda a que la organización prevenga el uso compartido, la transferencia o el uso de datos confidenciales a través de acciones como la supervisión de información confidencial en todos los bienes de datos. También ayuda a garantizar el cumplimiento de requisitos normativos, por ejemplo, la Ley de transferencia y responsabilidad de seguros de salud (HIPAA) y el Reglamento general de protección de datos (RGPD) de la Unión Europea (UE).
-
Replicación
La replicación copia datos continuamente de una localización a otra para crear y almacenar una copia actualizada de los datos. Permite una conmutación por error a estos datos en caso de que se interrumpa el servicio del sistema principal. Además de protegerte de la pérdida de datos, la replicación pone los datos del servidor más cercano a disposición de los usuarios autorizados para que puedan acceder a ellos de forma más rápida. Disponer de una copia completa de los datos de la organización también otorga a los equipos la opción de realizar análisis sin interferir con las necesidades de datos del día a día.
-
Almacenamiento con protección integrada
Una solución de almacenamiento debería proporcionar protección de datos, pero también permitirte recuperarlos si se eliminan o modifican. Por ejemplo, la aplicación de varios niveles de redundancia ayuda en la protección de los datos frente a interrupciones del servicio, problemas en el hardware y desastres naturales. El control de versiones conserva los estados anteriores de los datos cuando una operación de sobrescritura crea una nueva versión. Configura un bloqueo (por ejemplo, solo lectura o impedir la eliminación) en las cuentas de almacenamiento para ayudar a protegerlas de eliminaciones accidentales o malintencionadas.
-
Firewalls
Un firewall ayuda a garantizar que solo los usuarios autorizados tengan acceso a los datos de la organización. Funciona mediante la supervisión y filtrado del tráfico de la red según las reglas de seguridad aplicadas y ayuda a bloquear amenazas como virus e intentos de ransomware. La configuración del firewall suele incluir opciones para crear reglas de entrada y salida, especificar reglas de seguridad de la conexión, ver informes de supervisión y recibir notificaciones cuando el firewall bloquee algún elemento.
-
Detección de datos
La detección de datos es el proceso de determinar qué conjuntos de datos de la organización existen en centros de datos, portátiles, dispositivos de escritorio, dispositivos móviles diversos y plataformas en la nube. El siguiente paso es clasificar los datos (por ejemplo, marcarlos como restringidos, privados o públicos) y comprobar que satisfagan el cumplimiento normativo.
-
Autenticación y autorización
Los controles de autenticación y autorización comprueban las credenciales de usuario y confirman que los privilegios de acceso fueron asignados y aplicados correctamente. El control de acceso basado en roles es un ejemplo de cómo proporcionar acceso solo a las personas que lo necesitan para hacer su trabajo. Se puede usar en conjunto con la administración de identidad y acceso para ayudar a controlar los datos a los que los empleados pueden o no acceder para mantener más seguros los recursos de la organización, como las aplicaciones, los archivos y los datos.
-
Copia de seguridad
Las copias de seguridad se categorizan como administración de datos. Pueden ser tan frecuentes como necesites (por ejemplo, copias completas cada noche e incrementales a lo largo del día) y te permiten restaurar los datos perdidos o dañados rápidamente para minimizar el tiempo de inactividad rápidamente. Una estrategia típica de copias de seguridad incluye guardar varias copias de los datos, además de almacenar un conjunto completo de copias en un servidor diferente y otro en una ubicación externa. La estrategia de copias de seguridad se ajustará al plan de recuperación ante desastres.
-
Cifrado
El cifrado ayuda a mantener la seguridad, confidencialidad e integridad de los datos. Se utiliza en datos en reposo o en movimiento para impedir que los usuarios no autorizados vean el contenido de los archivos, aunque obtengan acceso a su ubicación. El texto no cifrado se transforma en texto cifrado imposible de leer (en otras palabras, los datos se convierten en código) que requiere una clave de descifrado para su lectura o procesamiento.
-
Recuperación ante desastres
La recuperación ante desastres es un elemento de la seguridad de la información (InfoSec) que se centra en cómo las organizaciones usan sus copias de seguridad para restaurar datos y volver a sus condiciones operativas habituales tras un desastre (por ejemplo, un desastre natural, un fallo en el equipo a gran escala o un ciberataque). Es un enfoque proactivo que ayuda a la organización a reducir el impacto de eventos impredecibles y responder de forma más rápida a interrupciones tanto planeadas como imprevistas.
-
Protección de puntos de conexión
Los puntos de conexión son dispositivos físicos que se conectan a una red, por ejemplo, dispositivos móviles, equipos de escritorio, máquinas virtuales, dispositivos incorporados y servidores. La protección de puntos de conexión ayuda a la organización a supervisar estos dispositivos y aplicar medidas de seguridad ante actores de amenazas que busquen vulnerabilidades o errores humanos y aprovechen puntos débiles en la seguridad.
-
Instantáneas
Una instantánea es una vista del sistema de archivos en un momento específico; esa vista se conserva y se hace un seguimiento de los cambios que se realicen a partir de ese momento. Esta solución de protección de datos hace referencia a matrices de almacenamiento que usan un conjunto de unidades en vez de servidores. Las matrices suelen crear un catálogo que señala la ubicación de los datos. Una instantánea copia una matriz y establece los datos en solo lectura. Se crean nuevas entradas en el catálogo y los catálogos antiguos se conservan. Las instantáneas también incluyen configuraciones del sistema para recuperar servidores.
-
Borrado de datos
El borrado es la eliminación de los datos almacenados que la organización ya no necesita. Este proceso también es conocido como eliminación de datos y suele tratarse de un requisito normativo. Con relación al RGPD, las personas tienen derecho a solicitar el borrado de sus datos personales. Este derecho al borrado también se conoce como derecho al olvido.
Protección, seguridad y privacidad
Pueden parecer términos intercambiables, pero la protección, seguridad y privacidad de datos tienen propósitos distintos. La protección de datos abarca las estrategias y procesos que usa la organización para ayudar a proteger los datos confidenciales frente a daños, vulneraciones y pérdida. La seguridad de datos se ocupa de la integridad de los datos y actúa para protegerlos de daños ocasionados por usuarios no autorizados o amenazas internas. La privacidad de datos controla quién tiene acceso a los datos y determina qué se puede compartir con terceros.
Procedimientos recomendados para la protección de datos
Los procedimientos recomendados para la protección de datos consisten en planes, directivas y estrategias de ayuda para el control de acceso a los datos, la supervisión de la actividad de red y uso, y la respuesta a amenazas tanto internas como externas.
-
Mantente al día de los requisitos
Un plan de gobernanza exhaustivo identifica los requisitos normativos y cómo se aplican a los datos de la organización. Comprueba que dispones de visibilidad en todos los datos y clasifícalos adecuadamente. Asegúrate de que cumples las normativas de privacidad del sector.
-
Limita el acceso
El control de acceso emplea la autenticación para comprobar que los usuarios son quien dicen ser, y la autorización para determinar qué información se les permite ver y utilizar. En caso de que ocurra una vulneración de datos, el control de acceso es una de las primeras normativas a analizar para determinar si se implementó y mantuvo correctamente.
-
Crea una directiva de ciberseguridad
Una directiva de ciberseguridad define y dirige las actividades de TI dentro de la organización. Avisa a los empleados de las amenazas habituales que podrían afectar a los datos y les ayuda a mantenerse alerta en cuestiones de seguridad. También aclara las estrategias de protección de datos y promueve una cultura de uso responsable de los mismos.
-
Supervisa la actividad
La supervisión y pruebas continuadas te ayudan a identificar áreas de riesgo potencial. Utiliza IA para automatizar las tareas de supervisión de datos y detectar amenazas de forma rápida y eficaz. Este sistema de alerta temprana te avisa de posibles incidencias en los datos y la seguridad antes de que causen ningún daño.
-
Desarrolla un plan de respuesta a incidentes
Disponer de un plan de respuesta a incidentes habilitado antes de que ocurra una vulneración de datos te preparará para tomar medidas. Ayudará al equipo de respuesta (por ejemplo, el responsable de TI, InfoSec y el responsable de comunicaciones) a mantener la integridad de los sistemas y hacer que la organización vuelva al trabajo lo antes posible.
-
Identifica riesgos
Los empleados, proveedores, contratistas y asociados tienen información sobre tus datos, sistemas informáticos y procedimientos de seguridad. Para identificar accesos autorizados a los datos y ayudar a protegerlos de un uso indebido, ten claro qué datos tienes y cómo se usan en todos tus bienes digitales.
-
Mejora la seguridad del almacenamiento de datos
La seguridad del almacenamiento de datos utiliza métodos como el control de acceso, el cifrado y la seguridad en el punto de conexión para mantener la integridad y confidencialidad de los datos almacenados. También mitiga el riesgo de daños, intencionados o no, y permite que los datos tengan disponibilidad continua.
-
Forma a los empleados
Ya sean intencionados o no, los riesgos internos son una de las causas principales de vulneración de datos. Comunica claramente las directivas de prevención de datos a todos los niveles para que los empleados las cumplan satisfactoriamente. Repite la formación frecuentemente con orientación y sesiones de reciclaje cuando surjan incidencias específicas.
Cumplimiento normativo y leyes sobre protección de datos
Todas las organizaciones deben cumplir con los estándares, leyes y normativas de protección de datos relevantes. Las obligaciones legales incluyen, entre otras, recopilar solo la información necesaria de los clientes y empleados, mantenerla segura y desecharla adecuadamente. A continuación, se describen ejemplos de leyes de privacidad.
El RGPD es la ley de privacidad y seguridad de datos más estricta. La redactó y aprobó la UE, pero todas las organizaciones del mundo están obligadas a cumplirla si manipulan o recopilan datos personales de ciudadanos o residentes de la UE o si les ofrecen bienes y servicios.
La Ley de privacidad del consumidor de California (CCPA) ayuda a proteger los derechos de privacidad de los consumidores de California, incluidos el derecho a conocer qué información personal recopila una empresa y cómo la usa y comparte, el derecho a eliminar su propia información personal recopilada, y el derecho a no permitir la venta de su información personal.
La Ley de transferencia y responsabilidad de seguros de salud (HIPAA) ayuda a proteger la información sanitaria de los pacientes para que no se divulgue sin su conocimiento o consentimiento. La Directiva de privacidad HIPAA protege la información sanitaria personal y se dictó para implementar los requisitos de HIPAA. La Directiva de seguridad HIPAA ayuda a proteger la información sanitaria identificable que un proveedor sanitario crea, recibe, mantiene o transmite electrónicamente.
La Ley Gramm-Leach-Bliley (GLBA), también conocida como Ley de modernización de servicios financieros de 1999, obliga a las instituciones financieras a explicar sus procedimientos de uso compartido de información a los clientes, además de proteger los datos confidenciales.
La Comisión Federal de Comercio es el organismo principal de protección del consumidor en Estados Unidos. La Ley de la Comisión Federal de Comercio declara ilegal cualquier método de competencia desleal y procedimientos injustos o engañosos que afecten al comercio.
Tendencias en la protección de datos
A medida que las estrategias y procesos evolucionan, hay algunas tendencias de protección de datos que la organización debería conocer. Entre ellas se incluyen el cumplimiento normativo, la administración de riesgos y la portabilidad de datos.
-
Otras normativas de protección de datos
El RGPD se convirtió en la referencia para los métodos de recopilación, divulgación y almacenamiento de datos personales en otros países. Desde su introducción, la CCPA en los Estados Unidos (California) y la Ley general de protección de datos personales en Brasil son importantes para mantener la seguridad frente a la proliferación online del consumo y los servicios y productos personalizados.
-
Protección de datos móviles
Impedir que los usuarios no autorizados accedan a la red incluye proteger los datos confidenciales almacenados en dispositivos transportables como portátiles, tabletas y smartphones. El software de seguridad utiliza verificación de identidad para impedir que se vulneren los dispositivos.
-
Acceso reducido de terceros
El seguimiento de las vulneraciones de datos suele conducir a terceros (como proveedores y asociados) que disponen de demasiado acceso a la red y los datos de una organización. La administración de riesgos de terceros se está abriendo camino en las normativas de cumplimiento para limitar el uso y acceso a datos por parte de terceros.
-
Administración de datos copiados
La administración de datos copiados detecta datos duplicados, compara datos similares y permite que la organización elimine copias en desuso de los datos. Esta solución minimiza las incoherencias causadas por datos duplicados, reduce el gasto de almacenamiento y ayuda a mantener la seguridad y el cumplimiento normativo.
-
Portabilidad de datos
En los inicios de la informática en la nube, la portabilidad de datos y la migración de grandes conjuntos de datos a otros entornos eran complicadas. Hoy en día, la tecnología en la nube aumenta la portabilidad de los datos, lo cual permite que las organizaciones los muevan entre entornos, por ejemplo, desde centros de datos locales a nubes públicas o entre proveedores de nube.
-
Recuperación ante desastres como servicio
La recuperación ante desastres como servicio ayuda a organizaciones de cualquier tamaño a utilizar servicios en la nube rentables para replicar sus sistemas y restaurar el funcionamiento tras un evento catastrófico. Proporciona la flexibilidad y escalabilidad de la tecnología basada en la nube y se reconoce como solución efectiva para evitar interrupciones del servicio.
Detección y clasificación de datos
La detección y la clasificación de datos son procesos distintos que se combinan para ofrecer visibilidad sobre los datos de la organización. Una herramienta de detección de datos analiza la totalidad de los bienes digitales para detectar dónde residen los datos estructurados y no estructurados, lo cual es crítico para la estrategia de protección de datos. La clasificación de datos organiza los datos del proceso de detección según su tipo de archivo, contenido y otros metadatos; ayuda a eliminar los datos duplicados, y facilita la localización y recuperación de datos.
Los datos desprotegidos son datos vulnerables. Conocer de qué datos dispones y dónde residen te ayuda a protegerlos sin incumplir los requisitos normativos relacionados con los procesos y controles de datos.
Soluciones de protección de datos
Las soluciones de protección de datos ayudan a prevenir la pérdida de datos e incluyen seguridad, copia de seguridad de datos y recuperación, las cuales apoyan directamente el plan de recuperación ante desastres de la organización.
Simplifica la forma de comprender los datos confidenciales de la organización. Obtén visibilidad sobre todos los datos; obtén una protección más eficaz en aplicaciones, nubes y dispositivos, y administra los requisitos normativos con las soluciones de Seguridad de Microsoft.
Obtén más información sobre Seguridad de Microsoft.
Microsoft Purview
Explora soluciones de gobierno, protección y cumplimiento para los datos de la organización.
Ayuda a evitar la pérdida de datos
Identifica el uso compartido, la transferencia o el uso inadecuados de datos confidenciales en puntos de conexión, aplicaciones y servicios.
Protección de la información
Ayuda a proteger y gobernar tus datos con soluciones extensibles, unificadas, inteligentes e integradas.
Cumplimiento de comunicaciones
Utiliza aprendizaje automático para detectar infracciones en comunicaciones.
Preguntas más frecuentes
-
La protección de datos incluye, por ejemplo, la protección frente a daños malintencionados o accidentales, el establecimiento de una estrategia de recuperación ante desastres y la limitación del acceso solo a quienes necesiten los datos.
-
El propósito de la protección de datos es proteger los datos de la organización frente a vulneraciones, daños y pérdidas.
-
El RGPD establece que las personas disponen de derechos y libertades fundamentales en materia de protección de sus datos personales. Toda organización que recopile datos personales debe obtener consentimiento explícito de las personas y ser transparente a la hora de explicar cómo utiliza dichos datos.
-
Las herramientas de protección de datos incluyen el inventario y la detección de datos, el cifrado, el borrado, la administración de acceso y la seguridad en el punto de conexión.
-
Para ayudar a proteger los datos, las empresas pueden empezar por establecer una directiva de seguridad que defina elementos como el uso autorizado y la creación de informes de incidentes. Otras medidas importantes a tomar son la creación de copias de seguridad de los datos críticos, mantener el software actualizado y educar a los empleados sobre la protección de datos.
Sigue a Microsoft 365