Una guía para implementar la seguridad de los datos

Proteger los datos sensibles no solo es importante: es esencial tanto para el cumplimiento como para la confianza. Una estrategia de implementación de seguridad de datos completa y multinivel es una defensa imprescindible. La pregunta es: ¿cuál es la mejor manera de lograr esta estrategia? Veamos un ejemplo de un proveedor de atención médica de tamaño medio llamado Maplewood Health Network. Actualmente, este proveedor almacena los registros de los pacientes (nombres, fechas de nacimiento, detalles del tratamiento y otros datos) en un servicio de almacenamiento en la nube estándar sin controles de acceso granulares ni cifrado en reposo. Un miércoles típico, un simple ataque de phishing elude el cortafuegos obsoleto del proveedor. Los datos de los pacientes fueron exfiltrados por el atacante. De repente, Maplewood Health Network se enfrenta a multas regulatorias, demandas y la posible pérdida de muchos pacientes debido a la falta de confianza por el mal manejo de sus datos. Desafortunadamente, este escenario no es raro y es un riesgo real para todas las empresas con una seguridad de datos débil. A continuación, cubriremos algunas de las mejores prácticas en la implementación de seguridad de datos para mantener sus datos seguros, conformes y protegidos.

Las filtraciones pueden provocar importantes daños financieros y de reputación, así como la pérdida de confianza tanto de los clientes como de los stakeholders. Las regulaciones de protección de datos como el RGPD, HIPAA, PCI DSS, ISO y CCPA exigen una protección estricta y un manejo transparente de los datos. El Informe del costo de una filtración de datos 2025 de IBM destaca que las organizaciones con controles de seguridad de datos deficientes enfrentan riesgos y costos de filtración significativamente mayores. Los incidentes de seguridad que involucran a la “IA en la sombra” terminan costando un promedio de 670 000 USD más y exponen más datos de los clientes que las filtraciones típicas. Estos hallazgos refuerzan la importancia crítica de implementar medidas sólidas e integrales de seguridad de datos para minimizar el daño financiero, proteger la información confidencial y garantizar el cumplimiento normativo en un escenario de amenazas cada vez más complejo.​

Un plan confiable de implementación de seguridad de datos comienza con el establecimiento de estructuras de gobernanza claras. Debemos definir la propiedad de los datos, las responsabilidades y la rendición de cuentas de dichos datos. Es clave implementar y hacer cumplir políticas y procedimientos de manejo de datos, asegurando que cubran el acceso, el intercambio, la retención y la destrucción. Por ejemplo, solo el personal autorizado debe acceder a todos los datos de la empresa clasificados como “confidenciales” mediante la autenticación multifactor (MFA). Además, los datos sensibles solo pueden compartirse externamente tras obtener la autorización del propietario de los datos y con un método de transferencia cifrado aprobado. Además, cada acceso, intercambio, retención y destrucción de datos debe registrarse y auditarse periódicamente para garantizar el cumplimiento de la política y abordar cualquier filtración con prontitud. También es primordial que el personal reciba capacitación periódica sobre el cumplimiento y las mejores prácticas. Este enfoque garantiza que todos comprendan los riesgos y su función en la protección de los datos.

A continuación, debemos descubrir, clasificar e inventariar todos los datos. Comprender qué datos existen, dónde se encuentran y la sensibilidad de cada contenido es crítico para implementar la seguridad de los datos. El descubrimiento de datos se puede lograr mediante el uso de herramientas automatizadas para escanear sistemas en busca de datos almacenados, como la TI en la sombra y los servicios en la nube. La TI en la sombra se refiere a cualquier hardware, software o sistema basado en la nube que utilizan los empleados y que el departamento de TI de la empresa no ha aprobado explícitamente para su uso. Esta circunstancia presenta una gran oportunidad para realizar una evaluación de riesgos de los datos. Una vez que hayamos descubierto todos los datos que poseemos, podremos ver dónde podrían estar los posibles puntos débiles en nuestra postura de seguridad actual. Este paso puede incluir implementar alguna forma de pruebas de penetración para establecer dónde se encuentran las debilidades. Durante la fase de clasificación de datos, se etiquetan diferentes tipos de datos en función de la confidencialidad y pueden recibir una clasificación como públicos, internos o confidenciales. Estos niveles de clasificación varían en nombre, pero generalmente tienen el mismo significado en diferentes empresas. El inventario de datos debe garantizar que los registros precisos y actualizados de todos los activos de datos y sus ubicaciones se mantengan adecuadamente.

El siguiente paso nos lleva a la parte de controles de acceso y gestión de identidades de nuestro recorrido. Controlar quién puede acceder a los datos es fundamental para garantizar la seguridad de la información. Es posible que hayamos tenido en cuenta todos los datos y los hayamos organizado perfectamente, pero si las personas equivocadas acceden a ellos, ¿cuánto tiempo pasará hasta que los datos se utilicen indebidamente o se conviertan en un desorden? Para lograr este control, queremos asegurarnos de desplegar prácticas sólidas de autenticación y autorización. Esto significa que se deben implementar mecanismos como la autenticación multifactor (MFA) o incluso la autenticación multifactor adaptativa (A-MFA) para una protección adicional de los datos. A continuación, tendremos que limitar el acceso según el principio de privilegio mínimo. Si no estamos familiarizados con este principio, establece que las personas deben tener solo la cantidad mínima de permisos otorgados para realizar su trabajo. Por ejemplo, Sally de marketing no requiere acceso a los mismos datos que Harry usa en contabilidad para hacer su trabajo. También es importante desplegar controles de acceso basados en roles (RBAC). Los RBAC pueden asignar derechos de acceso en función del rol de un usuario dentro de la organización. También debemos asegurarnos de que haya un monitoreo continuo de la autorización. Por ejemplo, el mes pasado, Samy colaboró en un proyecto con Maria, que está fuera de su departamento. Una vez completado el proyecto, es una de las mejores prácticas revocar el acceso de Samy a los datos a los que tiene acceso Maria porque ya no hay una razón para que él acceda.

Luego, pasaremos al proceso de cifrado de datos. El cifrado enmascara los datos al convertirlos de datos legibles a texto cifrado ilegible. Esta medida de seguridad es vital y protege los datos tanto cuando se almacenan como cuando se transmiten. El cifrado de datos en reposo protege archivos y bases de datos, mientras que el cifrado de datos en tránsito utiliza protocolos como TLS/SSL para proteger la información que se mueve a través de las redes. La aplicación de un protocolo de cifrado sólido refuerza las defensas contra los atacantes y cumple con los requisitos normativos esenciales.

Después del cifrado, el siguiente paso para implementar una política sólida de seguridad de datos es la prevención de pérdida de datos (DLP). Las soluciones DLP desempeñan un rol crítico en la protección de la información confidencial al identificar, monitorear y prevenir las transferencias de datos no autorizadas. Estas herramientas de seguridad se aplican a dispositivos de red y endpoint para bloquear los intentos de enviar datos confidenciales fuera de la organización, lo que puede incluir copiar archivos en unidades USB o subirlos a cuentas en la nube no autorizadas. El uso de herramientas como el etiquetado automático y las herramientas de monitoreo permite etiquetar y rastrear los datos. Este paso puede ayudar significativamente a la respuesta a incidentes (IR) y al soporte de auditorías integrales de cumplimiento.

Después de eso, deberíamos centrarnos en implementar una estrategia sólida de intercambio de datos. Dado que el intercambio de datos expone a las personas y organizaciones a riesgos adicionales, se debe tener mucho cuidado al desarrollar este plan. En primer lugar, es esencial restringir el intercambio interno y externo de datos confidenciales mediante el establecimiento de políticas explícitas y la implementación de controles técnicos adecuados. Por ejemplo, un minorista de electrónica en línea llamado Real Good Electronics (RGE) implementa una política que permite que solo el personal autorizado acceda a los detalles de los pedidos y los registros de pago. Este proceso limita el acceso y protege la información confidencial. Además, el uso de plataformas de colaboración seguras, específicamente aquellas que ofrecen controles de acceso granulares y pistas de auditoría integrales, es crucial para mantener la seguridad de los datos durante todo el proceso de intercambio.

A continuación, pasamos al monitoreo, la auditoría y la respuesta a incidentes (IR). El monitoreo continuo desempeña un rol importante en la implementación de seguridad de los datos, ya que permite detectar de manera proactiva las amenazas cibernéticas y hacer cumplir la responsabilidad. Las organizaciones deben implementar el registro y el monitoreo centralizados para recopilar registros de auditoría detallados del acceso y uso de los datos. Las auditorías periódicas de las actividades del sistema, junto con las revisiones para detectar anomalías, accesos no autorizados o infracciones de las políticas, también son fundamentales. Por último, poner en marcha y mantener un plan resiliente de IR es primordial para manejar eficazmente las filtraciones de datos derivadas de ataques como ransomware y minimizar cualquier fuga de datos. Tomemos como ejemplo a nuestro minorista de electrónica en línea favorito, RGE, pero esta vez la empresa experimentó una violación de seguridad. Tras la violación, RGE activa rápidamente su plan de IR. Al actuar y colaborar con las autoridades policiales, la organización demuestra un plan sólido y bien pensado de respuesta a incidentes.

Ahora vamos a cubrir las copias de seguridad y recuperación de datos. Otra parte crucial de la implementación de la seguridad de los datos; este paso se lleva a cabo después de la implementación exitosa del plan de IR. Una vez eliminada la amenaza, una organización debe evaluar qué sistemas y datos se han visto afectados para poder restaurar estos sistemas a partir de copias de seguridad. Las organizaciones deben programar estas copias de seguridad regulares de datos críticos para que las copias se almacenen de forma segura fuera del sitio o en la nube. El paso de recuperación utiliza las copias de seguridad almacenadas para reconstruir los sistemas y los datos. Este enfoque mitiga el impacto de un desastre y permite el regreso a las operaciones normales tras una filtración. La recuperación también incluye reforzar los controles de ciberseguridad y corregir las vulnerabilidades, ya que los atacantes suelen atacar los datos de una organización poco después de una filtración, sabiendo que las debilidades pueden persistir.

El tema de la seguridad física a menudo se subestima, pero es uno de los componentes más críticos de la implementación de la seguridad de los datos. Sin un plan adecuado para garantizar la seguridad física, más vale que entreguemos los datos a los atacantes ahora. Las personas y las organizaciones deben considerar detalles pequeños como dejar las áreas seguras desbloqueadas y establecer procedimientos de identificación inadecuados, ya que todos pueden derivar en vulnerabilidades inmediatas. Los atacantes explotan la complacencia, y un momento de descuido puede proporcionarles el acceso que necesitan. Algunos ejemplos también pueden incluir que alguien deje una estación de trabajo desbloqueada, permitiendo que un atacante oportunista obtenga acceso a PII expuesta, o cuando se admite a un visitante sin confirmar su identidad. Mantener una concientización constante y el cumplimiento de los procedimientos de seguridad es primordial para mantener los datos seguros.

Finalmente, exploraremos cómo se pueden aplicar la automatización y la inteligencia artificial (IA) a la implementación de la seguridad de los datos. Las empresas modernas están transformando la seguridad de los datos a través de la IA y la automatización. Estas tecnologías permiten la detección en tiempo real de actividades sospechosas y automatizar tareas rutinarias como la aplicación de parches y la gestión de vulnerabilidades. Este enfoque puede reducir considerablemente el riesgo de ciberataques, liberar a los analistas para otras tareas y fortalecer la protección general de los datos. Por ejemplo, Real Good Electronics implementó recientemente un sistema de seguridad impulsado por IA. Este sistema supervisa constantemente el entorno de nube del minorista y señala cualquier actividad inusual, como un aumento repentino en el acceso a los datos o incluso conexiones de red inusuales. El sistema es capaz de identificar rápidamente un posible ataque de phishing dirigido a un departamento específico.

En el escenario digital actual, la implementación de la seguridad de los datos es una preocupación latente que exige atención y adaptación constantes. Una implementación efectiva requiere un enfoque de múltiples capas que incluya una gobernanza sólida, una clasificación de datos clara, controles de acceso estrictos, cifrado, prevención de pérdida de datos y un plan integral de respuesta a incidentes. La capacitación regular de los empleados y el fomento de una cultura de seguridad ante todo también son igualmente cruciales. El aprovechamiento de la IA y la automatización puede mejorar significativamente las capacidades de detección y respuesta a amenazas (TDR), pero la entrada humana debe seguir siendo central en el proceso. Al aplicar estas estrategias integrales, las organizaciones pueden reducir significativamente el riesgo y proteger sus valiosos datos en un entorno de amenazas cada vez más complejo.