Cada vez circulan más datos por internet y no solo entre usuarios y empresa, usuarios y páginas webs, entre empresas, entre organizaciones, entre empresas y administraciones, entre administraciones, etc., sino que también entre los propios dispositivos, que ya intercambian datos entre ellos sin la necesidad de intervención humana (hablamos del internet de las cosas o IoT). Garantizar la seguridad de toda esta información en circulación y en reposo depende de quienes la manejan y tratan, para lo que deben poner en práctica una adecuada seguridad de datos.
En este artículo hablamos de:
¿Qué es la seguridad de datos?
La seguridad de datos, o seguridad de la información, son las medidas de defensa adoptadas por una organización para impedir los accesos no autorizados, la pérdida o robo y/o la corrupción de los datos a lo largo de todo su ciclo de vida. Es decir, la seguridad de los datos consiste en mantener la confidencialidad, integridad y disponibilidad de los datos cuando se generan, se recaban, se almacenan, se están utilizando o están en tránsito, hasta que son eliminados.
La seguridad de datos implica desde la propia seguridad física del hardware y los dispositivos, pasando por la seguridad lógica del software y la seguridad de las aplicaciones, los controles de acceso, la resiliencia de los datos, hasta las políticas y procedimiento de seguridad de la información de cualquier organización.
Por lo tanto, no estamos hablando solo de la seguridad en internet, ni de la seguridad de datos personales, sino de la seguridad de la información en su conjunto, es decir, toda la estrategia de seguridad que adopta una organización para proteger sus bases de datos, en función de la sensibilidad de la información que contengan (pueden ser bases de datos de clientes, puede ser información sobre propiedad intelectual o industrial, etc.).
¿Cómo debe ser una estrategia de seguridad de datos?
Una estrategia de seguridad de datos debe tener estas tres características:
- Ser proactiva: Se establecen políticas y procedimientos de seguridad de la información y se capacita al personal para que los aplique y los cumpla, además, también se le comunica todas las medidas y herramientas de seguridad informática implementadas que deben utilizar.
- Ser predictiva: Debe permitir adelantarse a los incidentes de seguridad, para poder prevenirlos antes de que ocurran, por lo que se deben emplear mecanismos o sistemas de monitoreo de la red, así como de análisis de vulnerabilidades en hardware y software.
- Ser reactiva: Si se detecta una amenaza, debe contar con las medidas y procedimientos que permitan responder de manera inmediata para evitar el incidente o ataque o, en su caso, reducir su impacto y solucionarlo lo más rápidamente posible, para poder volver a la normalidad.
Tipos de seguridad de datos
Cuando hablamos de seguridad de datos, no nos estamos refiriendo a una única solución de seguridad, sino, como hemos dicho, a una estrategia que puede aunar diferentes medidas y soluciones para garantizar que nadie no autorizado accede a las bases de datos o a la información confidencial, que no se producen pérdidas o deterioro de los datos y que dicha información esté disponible.
Algunos de los tipos de seguridad de datos más usados por las organizaciones son los siguientes:
- Seguridad de hardware, de software y de red: Son soluciones de seguridad de datos como firewall de hardware, servidores proxy, sistemas de autenticación, antivirus, VPN, eliminación de datos, enmascaramiento, etc.
- Copias de seguridad: Para asegurar la disponibilidad de los datos si se produce cualquier tipo de incidente de seguridad, se deba a una causa física como a un ciberataque. Las copias de seguridad son el respaldo de nuestras bases de datos y forman parte de las medidas de resiliencia de datos, ya que permite recuperarse de un incidente de seguridad mucho más rápido, especialmente cuando las copias de seguridad no se guardan o almacenan en el mismo sitio o servidores que hayan podido verse afectados. Hay «copias de seguridad» que pueden replicar todo el entorno de trabajo digital de una organización, lo que permite que se pueda seguir trabajando, mientras se vuelve a la normalidad.
- Cifrado: El cifrado o encriptación se emplea para proteger tanto los datos almacenados como los datos en tránsito, por ejemplo, una forma de reforzar la seguridad en el correo electrónico es cifrar los emails que se envían. Cuando la información viaja cifrada, aunque sea interceptada, permanecerá segura e inaccesible.
- Detección de intrusos: A través de sistemas de detección de intrusos, se monitorea la red interna para comprobar en todo momento actividades sospechosas en torno a los datos, como puede ser una copia y movimiento de la información.
- SIEM: Un SIEM (sistema de información de seguridad y gestión de eventos) monitorea la red en busca de comportamientos o acciones sospechosas, analiza incidencias y genera análisis, que permiten a los responsables de seguridad de la información realizar una mejor gestión.
- Protocolos de internet: Los protocolos de seguridad en internet, HTTPS, SSL y TLS, garantizan que los sitios que visitamos son seguros, ya que cifran la información que viaja a través de ellos.
- DLP: La prevención de pérdida de datos (DLP) emplea un conjunto de herramientas y medidas para evitar la fuga de datos de una organización, tanto por causas externas como causas internas.
¿Por qué es importante la seguridad de datos?
Mantener la seguridad de los datos es importante porque los datos son un activo muy valioso para cualquier organización, pero además, también hay razones legales y relacionadas con la reputación y la confianza.
Una estrategia de seguridad de datos adecuada no reducirá las probabilidades de que una organización sufra un ciberataque, pero sí que reducirá notablemente su impacto en la misma, puesto que podrá detectarlo con tiempo e incluso adelantarse al mismo, dependiendo del tipo de soluciones y herramientas que emplee en su estrategia. También reducirá el riesgo de las amenazas internas, tanto las debidas a errores humanos como aquellas consecuencia de alguna deslealtad.
Así mismo, una estrategia de seguridad de datos permite a la organización conocer y controlar los datos que posee y maneja, «clasificarlos» según su sensibilidad y nivel de confidencialidad y decidir qué medidas de seguridad son las más adecuadas para protegerlos (por ejemplo, si una empresa usa la huella dactilar como control de acceso, debe saber dónde y cómo se almacenan y gestionan esos datos biométricos, para poder garantizar su confidencialidad).
También permite la capacitación de los miembros de la organización en materia de ciberseguridad.
Además, las estrategias más completas permitirán a la organización que las tenga implementada recuperarse antes de un incidente de seguridad e, incluso, evitar tener que suspender o paralizar el servicio mientras se soluciona el problema.
Respecto a la legalidad, la seguridad de datos facilita el cumplimiento normativo de leyes como la de protección de datos, puesto que las medidas de seguridad de datos personales forman parte de estas estrategias.
Y en cuanto a la confianza, una organización que se preocupa por la seguridad de la información que maneja, especialmente aquella de sus clientes o usuarios, generará mucha mayor confianza en sus productos o servicios y tendrá una mejor reputación e imagen.
Cómo diseñar y aplicar una estrategia de seguridad de datos en mi empresa
El diseño y aplicación de una estrategia de seguridad de datos en la empresa debe responder a la realidad de la misma, puesto que actualmente existen entornos informáticos cada vez más complejos; ya no hablamos solo de los ordenadores de la oficina, sino de equipos portátiles que salen y entran de ella, de dispositivos propios de los empleados, de almacenamiento y trabajo en la nube, etc. Todo esto supone un desafío para la seguridad informática de cualquier empresa.
Lo primero que debemos tener en cuenta es que cualquier estrategia de seguridad de datos debe involucrar tanto a las tecnologías que se emplean en la empresa como a las personas y los procesos que se llevan a cabo.
Lo segundo, es determinar la situación de la que parte nuestra empresa y los datos que maneja, para poder así diseñar una estrategia acorde y adaptada a sus necesidades reales, adoptando aquellas medidas y soluciones de seguridad más adecuadas.
Para ello, deberemos seguir estos pasos:
- Realizar una auditoría de los dispositivos que se emplean en la empresa, el software que se usa, la red y los procesos que realiza cada área o departamento de la empresa en los que se utilicen datos.
- Determinar qué datos se usan en los procesos de la empresa, es decir, identificar qué datos hay en nuestras bases de datos, de qué tipo son, cuál es su origen y cómo se mueven y qué recorridos siguen. De esta forma podremos clasificar las bases de datos y saber cuáles son las que contienen una información o datos más sensibles, cómo se accede a ellos y quién puede acceder a ellos. Con esta información podremos implementar medidas que mejoren su seguridad y que limiten el acceso solo al personal que deba, por su actividad y tareas, usar estos datos.
- Realizar análisis de riesgos de los procesos que se realizan en la empresa y que implican el uso de datos, para poder determinar qué medidas o soluciones de seguridad son las más adecuadas para mitigarlos.
- Identificar las vulnerabilidades y amenazas en los endpoint, es decir, en los dispositivos que se conectan de forma remota a la red interna de la empresa. Estas vulnerabilidades y amenazas pueden ser tecnológicas, pero también humanas. Como en el paso anterior, esta identificación servirá para adoptar las medidas o soluciones de seguridad más adecuadas para minimizarlas o prevenir incidentes a través de ella. Entre esas medidas, está la formación de los empleados y los protocolos de uso de dispositivos (tanto los de empresa como los de los propios empleados).
- Asegúrate de que las soluciones y herramientas de seguridad informática que empleas se actualicen constantemente, porque las amenazas, especialmente las cibernéticas siempre están evolucionando. Y, por supuesto, actualiza siempre esas soluciones y herramientas de seguridad cuando haya un parche disponible.
- Mantén copias de seguridad de tus bases de datos, especialmente de aquellas más críticas y esenciales para la continuidad de tu negocio.
- Crea un protocolo de respuesta ante incidentes o brechas de seguridad que te permita reaccionar rápido y poner en marcha las medidas necesarias para detenerlo y solucionarlo.
Como ves, garantizar la seguridad de los datos en una organización es una tarea compleja, que requiere de contar con personal capacitado para llevarla a cabo. Hay empresas que cuentan con un departamento de IT encargado de la seguridad informática, con un responsable de seguridad de la información al frente (como puede ser un CISO). Otras empresas delegan estas funciones al contratar un proveedor de seguridad, con servicios de soporte y consultoría, que además también puede formar al personal.
Sea cual sea la opción que escojas para tu empresa, lo que no debes dejar aparcado nunca es la seguridad de datos, no solo podrás prevenir incidentes de seguridad o reducir su impacto, sino también evitarás los costes económicos asociados a los mismos (como sanciones por vulneraciones de datos, posibles indemnizaciones, pérdida de clientes, etc.).
Herramientas de seguridad de datos
Para cerrar este artículo, vamos a ver algunas de las herramientas de seguridad de datos que se emplean habitualmente en todo tipo de organizaciones:
- Herramientas para la identificación y clasificación de datos. Cuando una empresa genera y almacena grandes cantidades de datos, puede resultar difícil saber cuáles son más o menos sensibles, estas herramientas son soluciones automatizadas que permiten identificar los datos confidenciales y detectar posibles vulnerabilidades a las que puedan estar expuestos.
- Herramientas para la supervisión de la actividad en los archivos y bases de datos. Son herramientas de monitoreo de la red y de los archivos con las que se puede saber quién accede a los datos y si hay algún comportamiento anómalo.
- Herramientas para detectar vulnerabilidades en hardware y software, así como para detectar contraseñas débiles, configuraciones inadecuadas o inseguras o bases de datos que puedan estar expuestas.
- Soluciones de seguridad para evitar accesos no autorizados, infecciones de malware, filtración de datos o suspensión del servicio.
En definitiva, hablar de seguridad de datos, es hablar de todo lo que comprende la estrategia de seguridad informática de una organización; protocolos, medidas, herramientas, soluciones, capacitación de personal, control sobre los datos que se manejan, etc.