Consejos y mejores prácticas de protección de datos para empresas
Genetec, Kingston y WatchGuard compartieron recomendaciones dentro del marco del Día de la Protección de Datos 2024, conmemorado el 28 de enero.
Al priorizar la privacidad, las organizaciones contribuyen eficazmente a un entorno digital y físico más seguro para todos. Por ello, para ayudarles a proteger la privacidad, salvaguardar los datos y generar confianza en los usuarios sin comprometer la seguridad, diversos proveedores ofrecieron consejos y recomendaciones sobre cómo las organizaciones pueden evaluar y mejorar sus estrategias de protección de datos, aprovechando el pasado Día de la Protección y Privacidad de Datos.
"Las organizaciones nunca deberían tener que elegir entre la privacidad de datos y la seguridad", dijo Christian Morin, director de Seguridad del proveedor de tecnología de seguridad unificada, seguridad pública, operaciones y soluciones de inteligencia de negocio, Genetec.
El proveedor recomendó a las organizaciones tomar en cuenta los siguientes factores para asegurar que sus sistemas de seguridad respeten la privacidad de datos:
- Recoger y almacenar sólo lo necesario. Una regla fundamental de la seguridad de datos es recopilar y almacenar únicamente la información esencial, lo que puede reducir la magnitud del impacto de una violación de seguridad. Por esta razón, es importante realizar revisiones y auditorías periódicas de la información almacenada, así como deshacerse de los datos innecesarios de forma responsable.
- Limitar el acceso a datos sensibles. Mejorar la seguridad de datos implica controlar el acceso a la información sensible. Por ello, se debe aplicar buenas prácticas de intercambio de datos, tales como eliminar los datos de identificación personal, para garantizar la privacidad individual. Algunas técnicas para anonimizar la información personal conservando su utilidad son:
- Aleatorización (añadir ruido a valores numéricos como la edad o los ingresos de un individuo);
- Pseudonimización (sustituir los nombres por identificadores únicos);
- Tokenización (sustituir los números de las tarjetas de crédito por tokens que no tienen correlación directa con los números originales);
- Generalización (convertir fechas de nacimiento exactas en intervalos de edad); y
- Enmascaramiento de datos (mostrar sólo los primeros dígitos de un número de teléfono).
- Garantizar la privacidad sin comprometer evidencia. Las organizaciones pueden ocultar la identidad de las personas en imágenes de vigilancia, por ejemplo, permitiéndoles inspeccionar las grabaciones sin dejar de respetar la privacidad personal. Este tipo de tecnología también ofrece una capa adicional de seguridad que restringe el acceso solo a usuarios autorizados para "desbloquear" y desenmascarar las imágenes en los videos de vigilancia mientras se mantiene un registro auditable.
- Ser transparente y obtener el consentimiento del usuario. Generar confianza a través de la transparencia y el consentimiento del usuario es esencial. Es importante comunicar claramente a los usuarios el proceso de recopilación de datos. Para las organizaciones, también es necesario obtener el consentimiento explícito antes de recopilar y procesar los datos.
- Elegir un proveedor de almacenamiento de datos confiable. Las organizaciones deben seleccionar cuidadosamente un proveedor de almacenamiento de datos, asegurándose de que comprenden claramente las prácticas de almacenamiento, manejo e intercambio de datos. Si utilizan servicios de terceros, las organizaciones deben exigir fuertes medidas de seguridad y prácticas confiables de manejo de datos. Asimismo, establecer quién es el propietario de los datos almacenados en la nube y los derechos o privilegios asociados al uso o divulgación de la información.
- Establecer políticas sólidas. Para garantizar la seguridad de datos a largo plazo, Genetec recomienda establecer políticas sólidas en cada área de la organización. Habilitar una cadena transparente de custodia a través de la tecnología, como un sistema de gestión de pruebas digitales (DEMS), garantiza la responsabilidad y la trazabilidad en cada etapa del ciclo de vida de los datos.
“La seguridad de los datos es un proceso continuo, y las organizaciones deben actualizar periódicamente los protocolos, mantenerse informadas sobre las amenazas emergentes y capacitar continuamente a sus equipos con las mejores prácticas”, señalaron.
Protección de datos, el reto de las empresas en el mundo digital
Según un estudio realizado por la Asociación Internacional de Profesionales en Privacidad (IAPP), el 68 % de los consumidores de todo el mundo están algo o muy preocupados por su privacidad en internet y el 67 % decidió no realizar una compra en línea por motivos de privacidad. Esto demuestra una creciente inquietud por parte de los usuarios que no debe de pasar desapercibida para las empresas, las cuales deben reforzar sus procesos de ciberseguridad para asegurar la protección de datos de sus clientes.
Para que las empresas mejoren la protección de los datos de sus clientes, los especialistas de WatchGuard aconsejaron:
- Invertir en soluciones de protección de identidad: Una de las principales maneras de proteger los datos de los clientes es resguardar las credenciales de su plantilla. En esta línea, contar con soluciones que certifiquen la identidad de los usuarios mediante contraseñas fuertes, métodos de autenticación multifactor (MFA) o monitoreando la presencia de credenciales en la web oscura es una manera eficaz de evitar que ciberdelincuentes accedan a cuentas de sus empleados y, con ello, a los datos de sus clientes. Estas herramientas, incluidas pueden ayudar a blindar los datos que posea su organización.
- Monitorizar el cifrado web https: A pesar de que el cifrado de sitios web está pensado para la seguridad de los mismos, cada vez son más los agentes maliciosos que logran acceder a webs cifradas. Por este motivo, se recomienda monitorizar el estado de las webs encriptadas para cerciorarnos de que son espacios seguros para los usuarios y no poner en riesgo sus dispositivos o sus datos.
- Priorizar un sistema de ciberseguridad unificado: Los vacíos en ciberseguridad pueden facilitar el robo de datos por parte de agentes maliciosos. En este punto, WatchGuard recomendó contar con un sistema de ciberseguridad que parche las posibles vulnerabilidades de la organización para que los datos queden blindados de manera más efectiva, y una plataforma que permita implementar una protección integral por capas y tener el control de todo el protocolo de ciberseguridad de su compañía en un sistema integrado.
Los datos son información valiosa no solo para las compañías y los usuarios, para los ciberdelincuentes también. “En el caso de sufrir un robo de datos de terceros supondría no solo un gran daño a la reputación corporativa, sino graves consecuencias legales y económicas que pueden repercutir seriamente en el futuro de tu compañía. Por ello, es importante abordar la protección de datos en profundidad y aplicar un protocolo de ciberseguridad integrado y actualizado que blinde toda la información sensible que posea tu organización, ya sea de terceros o propios”, señalaron desde WatchGuard.
Respaldo seguro frente al ransomware
De acuerdo con diversos analistas, el ramsomware será uno de los retos más desafiantes en materia de ciberseguridad este año. En contraste, según datos del reporte “Un panorama de la ciberseguridad en México, Digital Trust Insights 2024, edición México” de PricewaterhouseCoopers México, el proceso para mejorar la seguridad de la información es lento e incluso se encuentra estancado.
Ante esto, para asegurar un respaldo seguro de los datos críticos que permitan eludir un ataque, Kingston Technologies recomendó realizar copias de seguridad periódicas. La mejor práctica, indicaron, es utilizar la estrategia 3-2-1, recomendada por la Agencia de ciberseguridad y seguridad de infraestructuras Cybersecurity and Infrastructure Security Agency, la cual consiste en: Conservar tres copias de los datos, el original y dos copias; utilizar diferentes unidades y no almacenar varias copias de seguridad en una sola unidad; y mantener una copia fuera del lugar físico, para tener un respaldo en caso de un incidente.
En este sentido, los dispositivos juegan un papel preponderante ya que facilitan el respaldo de información de manera segura. Por ello, Kingston recomendó considerar soluciones de encriptado basadas en hardware, que ofrecen protección contra numerosas variedades de ciberataques y puede proporcionar un medio para eludir las demandas por ransomware.
Asimismo, sugirieron considerar SSD encriptado externo con cifrado mediante hardware y que sea independiente al sistema operativo. “Hoy en día, las empresas deben priorizar la protección de datos y la privacidad de su información vía hardware, esto para evitar pérdidas significativas del componente más importante de una empresa que es la información. El no considerar la ciberseguridad como una parte medular pone en un alto riesgo a la compañía”, destacó Armando Galván, gerente de Ventas Corporativas de Kingston.
El fabricante aconsejó que, para mantener actualizado el respaldo, es preciso hacer periódicamente una copia de seguridad del sistema alternando entre las dos unidades que quedaron in situ. Después, intercambiar una de las dos unidades de copia de seguridad activas con la unidad que se encuentra en otro lugar y realizar una copia de seguridad del sistema en esa unidad.
“Este intercambio de una de las unidades de copia de seguridad regulares con la unidad de copia de seguridad que se encuentra en otro lugar debe hacerse de manera regular, de modo que si las dos unidades de copia de seguridad regulares se pierden o no se pueden usar, la unidad de copia de seguridad externa está disponible y reducirá el impacto de la pérdida de datos sin afectar materialmente al negocio”, subrayaron.
Este procedimiento permite que los datos vitales de la empresa estén protegidos por una unidad encriptada (o preferiblemente varias unidades encriptadas en diferentes ubicaciones) y que sea posible restaurar los sistemas a un estado previo al ataque. Además de minimizar el tiempo de inactividad de la empresa, los ciberdelincuentes sabrán que la compañía está protegida contra el cibercrimen, lo que reduce las posibilidades de que sea atacada de nuevo.