CIBERSEGURIDAD

Seguridad de datos y cumplimiento normativo

0 130 5 minutos de lectura


Por Trevor J Morgan, gerente de producto en comforte AG

La nube es una herramienta increíblemente útil para empresas y empresas que procesan grandes cantidades de información. En los últimos años, la adopción de la nube ha aumentado sustancialmente. De hecho, el Se espera que el mercado de servicios de nube pública alcance los $ 623,3 mil millones para 2023 en todo el mundo a medida que más empresas buscan expandir sus operaciones, pero carecen de las herramientas o los recursos para implementar operaciones en la nube internas. Esto es especialmente cierto para las empresas que procesan datos financieros o biográficos, como información de identificación personal (PII). De hecho, vivimos en una sociedad en la que los datos se consideran el «nuevo oro», por lo que cada vez más empresas almacenan y procesan información confidencial, desde los datos de las tarjetas de pago hasta la información médica personal. De hecho, un estudio en 2018 encontró que más del 70% de las aseguradoras confían en la computación en la nube. Esta creciente adopción de la computación en la nube puede atribuirse a una mayor eficiencia, flexibilidad y velocidad en comparación con los sistemas tradicionales.

Sin embargo, debido al reciente aumento en la adopción de la computación en la nube y al aumento significativo en el valor de los datos, muchos ciberdelincuentes están cambiando su enfoque hacia la arquitectura de la nube debido a la gran cantidad de información valiosa que poseen. Esto es particularmente preocupante, ya que a menudo las empresas no protegen adecuadamente la información que se encuentra en la nube, especialmente si se basan en datos de texto sin formato para fines analíticos. De hecho, según un estudio reciente, casi el 80% de las empresas han experimentado una violación de datos en la nube en el último año y medio, estableciéndolo como un vector de ataque preocupantemente poroso. Esto puede deberse a una multitud de razones, como recursos limitados, menor visibilidad de los activos en la nube o simplemente apatía en la seguridad, ya que ocasionalmente los equipos cargarán datos en la nube con la configuración de seguridad predeterminada o con contraseñas débiles y fáciles de adivinar. De hecho, las operaciones de computación en la nube mal consideradas pueden tener una serie de consecuencias de Ataques de carros mágicos, a cubos con fugas, el riesgo de una higiene cibernética deficiente en la nube puede ser catastrófico.

De hecho, el ciclo repetitivo de violaciones de datos dañinos es uno de los factores que ha contribuido a las diversas regulaciones de protección de datos que han aparecido en todo el mundo. Específicamente en Europa, hay una serie de marcos regulatorios que están vigentes cuando se trata de proteger los datos. La Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) publicó un artículo de 2013 en conjunto con las autoridades de protección de datos de los estados miembros con el fin de proporcionar una guía de trabajo que estipule recomendaciones para la evaluación de la gravedad de las violaciones de datos personales. Si bien este documento no es legalmente vinculante, tiene un significado histórico, ya que su objetivo es proporcionar un criterio cuantitativo precedente para medir la gravedad de las filtraciones de datos.

De hecho, la forma más grave de filtración de datos de acuerdo con los criterios establecidos por ENISA es cuando “las personas pueden encontrar consecuencias importantes que no pueden superar”. Esto incluye dificultades financieras como «deudas sustanciales o incapacidad para trabajar». Además, en la sección de recomendaciones de este documento, ENISA clasifica la información financiera violada como una de las puntuaciones más altas para evaluar las violaciones de datos. De hecho, «cualquier tipo de datos financieros (por ejemplo, ingresos, transacciones financieras, extractos bancarios, inversiones, tarjetas de crédito, facturas, etc.)» tiene una puntuación básica preliminar de tres sobre 4. En este caso, la puntuación de amenaza de la infracción se reduce significativamente si la información violada «no proporciona una perspectiva sustancial de la información financiera». Por el contrario, si la información financiera contiene conjuntos de datos específicos que pueden corroborarse como induviales específicos, entonces, de acuerdo con las directrices de ENISA, la infracción en cuestión recibiría una calificación máxima de cuatro. Esto enfatiza cuán crítica es realmente esta información y por qué se han establecido tantos marcos regulatorios para garantizar la seguridad de los datos.

El documento de ENISA también describe cuatro categorías en las que caen las violaciones de datos: pérdida de confidencialidad, pérdida de integridad, pérdida de disponibilidad; y mala intención. Si bien existe cierta discrepancia y superposición entre cada categoría, es importante recordar que cada una de estas circunstancias también afectará negativamente su relación con los clientes, tanto presentes como futuros. Cada una de las diversas definiciones de violaciones de datos conlleva sus propios desafíos únicos que deben considerarse de manera adecuada. Por lo tanto, para mitigar la publicidad negativa que rodea las violaciones de datos como una bandada de buitres, las empresas han comenzado a implementar una serie de controles que limitarán la probabilidad de incumplir los requisitos reglamentarios, mantendrán la información confidencial sin dejar de ofrecer información analítica y contribuir al éxito cultivado y la confianza entre las empresas y sus clientes.

De estas soluciones, una en particular tiene la capacidad única de cubrir múltiples requisitos regulatorios cruzados y proporcionar una solución de seguridad que no solo cumple con los marcos regulatorios, sino que también permite la facilitación y el análisis de datos confidenciales. La seudonimización se ha promocionado con frecuencia como el mejor método tanto para la seguridad de los datos como para el cumplimiento normativo. La aplicación de datos seudonimizados tiene varias aplicaciones para la protección, utilidad, escalabilidad y recuperación de datos en varios tipos de identificadores, como direcciones IP, direcciones de correo electrónico, información financiera, datos biográficos y análisis. Si bien no existe una solución única, la seudonimización, cuando se implementa correctamente, tiene numerosos beneficios, como reducir la amenaza de discriminación o ataques de reidentificación, al tiempo que mantiene el grado de utilidad necesario para procesar datos. Esta solución de vanguardia es un proceso que define la industria que proporcionará a los equipos de seguridad un retorno de la inversión medible y una postura de seguridad más integral.

De hecho, la seudonimización es una técnica que ha ha sido recomendado por ENISA en un informe reciente. Sin embargo, la adición relativamente nueva de la seudonimización a la obra de ciberseguridad significa que todavía existe cierta incertidumbre que requiere educación sobre las mejores prácticas y casos de uso. Para hacerlo mas simple, de acuerdo con las definiciones de GDPR, «La seudonimización es el procesamiento de datos personales de tal manera que los datos personales ya no pueden atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable ”. Por lo tanto, se podría sugerir que si las organizaciones siguieran las pautas estipuladas por ENISA cuando se publicaron por primera vez, se habrían establecido una base sólida para la implementación de GDPR. Si más empresas hubieran implementado prácticas de seguridad centradas en los datos que se alinean con las recomendaciones de los comisionados de información, entonces quizás hubiéramos visto menos violaciones de datos importantes en los titulares. En cambio, muchas organizaciones solo están comprendiendo cuán valiosa es la información y están poniéndose al día en lo que respecta a la seguridad de los datos, lo que les da a la competencia y a los ciberdelincuentes una ventaja.

De las diversas formas de seudonimización de datos, la tokenización se está consolidando como pionera. Este método funciona sustituyendo un elemento de datos sensibles con un equivalente no sensible. Al tokenizar datos críticos, se pueden extraer análisis sin exponer datos confidenciales, al observar induvial con tokens idénticos. Este método protege los datos confidenciales a lo largo de su ciclo de vida y, lo que es más importante, si alguien se topara con esta información tokenizada, será invaluable para ellos. Por lo tanto, al implementar un sistema de seguridad que proteja los datos en sí, no solo la ubicación donde residen los datos, las empresas estarán en camino de lograr una mentalidad de seguridad holística centrada en los datos que protegerá los datos de miradas no deseadas al mismo tiempo que cumple con las regulaciones.

La implementación correcta de la tokenización, o técnicas de seudonimización aceptadas de manera similar, puede ser increíblemente beneficiosa para las empresas que enfrentan el desafío de adquirir una solución de seguridad que cumpla con los requisitos de las respectivas regulaciones HIPAA, PCI DSS, CCPA y muchos otros, al mismo tiempo que protegen los datos y brindan valor analítico.

Publicaciones relacionadas

Ataques de fuerza bruta SSH en IoT a través del malware Kaiji

El líder de soluciones de eventos en vivo, TAIT, revela una violación de datos

Su empresa de seguridad cibernética local de Singapur. Group-IB abre oficialmente su sede global en Lion City.

Los consumidores del Reino Unido creen que los directores ejecutivos son responsables de los ciberataques

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar