Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es la seguridad de los datos?

La seguridad de los datos implica conocer qué datos tienes y dónde se encuentran, e identificar los riesgos relacionados con ellos. Descubre cómo proteger tus datos.

Definición de la seguridad de los datos

La seguridad de los datos te ayuda a proteger los datos confidenciales durante su ciclo de vida, entender el contexto de los datos y la actividad de los usuarios, y evitar la pérdida o el uso no autorizado de los datos.

La importancia de la seguridad de los datos no se puede subestimar en esta época de crecientes riesgos internos y amenazas de ciberseguridad. Es necesaria para tener visibilidad de los tipos de datos que tienes, evitar el uso no autorizado de los datos, e identificar y mitigar los riesgos relacionados con ellos. Conjuntamente con la seguridad de los datos, la administración de la seguridad de datos ayuda a tu organización a planificar, organizar y controlar las actividades de seguridad de los datos utilizando directivas y procedimientos bien escritos.

Tipos de seguridad de datos

Para que la seguridad de los datos sea eficaz, debe tener en cuenta la confidencialidad de los conjuntos de datos y los requisitos de cumplimiento normativo de la organización. Los tipos de seguridad de datos que te ayudan a protegerte contra filtraciones de datos, cumplir los requisitos normativos y evitar daños reputacionales incluyen:

  • Control de acceso, que gobierna el acceso a los datos locales y basados en la nube.
  • Autenticación de usuarios mediante contraseñas, tarjetas de acceso o datos biométricos.
  • Copias de seguridad y recuperación, para habilitar el acceso a los datos después de un error del sistema, si se dañan los datos o tras un desastre.
  • Resistencia de datos como un método proactivo para garantizar la recuperación ante desastres y la continuidad del negocio.
  • Borrado de datos, para eliminar correctamente los datos y que no puedan recuperarse.
  • Software de enmascaramiento de datos, que utiliza caracteres representativos para ocultar letras y números a los usuarios no autorizados.
  • Soluciones de prevención de pérdida de datos, para protegerte contra el uso no autorizado de datos confidenciales.
  • Cifrado, para que los usuarios no autorizados no puedan leer los archivos.
  • Protección de la información, para ayudar a clasificar los datos confidenciales encontrados en los archivos y los documentos.
  • Administración de riesgos internos, para mitigar la actividad de usuarios de riesgo.

Tipos de datos que deben protegerse

Cualquiera al que le hayan robado la identidad o los datos de la tarjeta de crédito aprecia mejor el valor de una protección de datos eficaz. Los hackers malintencionados siempre están buscando nuevas formas de robar información personal y pedir un rescate, venderla o cometer otros engaños. Por otro lado, los empleados actuales y anteriores suelen ser una de las causas de la pérdida de datos, lo que convierte la administración de riesgos internos en una necesidad para las organizaciones.

Cada sector tiene sus propios requisitos sobre qué datos deben protegerse y cómo. No obstante, los tipos más comunes de datos que deben protegerse incluyen:

  • Información personal sobre los empleados y los clientes.
  • Datos financieros, por ejemplo, números de tarjetas de crédito, información bancaria y declaraciones financieras de la empresa.
  • Información sanitaria, por ejemplo, los servicios recibidos, diagnósticos y resultados de pruebas.
  • Información de propiedad intelectual e industrial, por ejemplo, secretos empresariales y patentes.
  • Datos de operaciones comerciales, por ejemplo, información de la cadena de suministro y los procesos de producción.

Amenazas a la seguridad de datos

En la oficina y en casa, Internet te da acceso a cuentas, métodos de comunicación, y formas de compartir y utilizar la información. Muchos tipos de ciberataques y riesgos internos pueden poner en riesgo la información que compartes.

  • Piratería

    La piratería hace referencia a cualquier intento por medios informáticos de robar datos, dañar redes o archivos, tomar el control del entorno digital de una organización, o interrumpir sus datos y actividades. Los métodos de piratería incluyen la suplantación de identidad (phishing), el malware, el descifrado de código y los ataques de denegación de servicio distribuida.

  • Malware

    El malware es un término que designa a los gusanos, virus y spyware que permiten a los usuarios no autorizados acceder a tu entorno. Una vez dentro, estos usuarios tienen el potencial de interrumpir la red de TI y los dispositivos de punto de conexión, o de robar las credenciales que se hayan dejado en los archivos.

  • Ransomware

    El ransomware es un malware que te impide acceder a la red y los archivos hasta que pagues un rescate. Abrir un archivo de datos adjuntos de correo electrónico y hacer clic en un anuncio son algunas de las formas en las que se puede descargar ransomware en el equipo. Se suele descubrir cuando no puedes acceder a un archivo o cuando aparece un mensaje pidiendo un pago.

  • Suplantación de identidad (phishing)

    La suplantación de identidad (phishing) es el acto de engañar a las personas o las organizaciones para que proporcionen información como contraseñas o números de tarjeta de crédito. El objetivo es robar o dañar datos confidenciales aparentando ser una empresa de confianza con la que la víctima está familiarizada.

  • Filtración de datos

    La filtración de datos es la transferencia de datos intencional o accidental desde dentro de la organización a un destinatario externo. Puede lograrse utilizando el correo electrónico, Internet y dispositivos como ordenadores portátiles y dispositivos de almacenamiento portátil. Los archivos y los documentos que salen de las instalaciones también son una forma de filtración de datos. 

  • Negligencia

    Una neglicencia se produce cuando un empleado incumple intencionadamente una directiva de seguridad, pero no está intentando dañar a la empresa. Por ejemplo, cuando comparte datos confidenciales con un compañero de trabajo que no tiene acceso o cuando inicia una sesión en recursos de la empresa utilizando una conexión inalámbrica no segura. Otro ejemplo son los casos en los que se deja entrar a alguien al edificio sin mostrar un distintivo.

  • Fraude

    El fraude es lo que cometen usuarios sofisticados que desean aprovechar el anonimato online y la accesibilidad en tiempo real. Pueden crear transacciones utilizando cuentas en peligro y números de tarjeta de crédito robados. Las organizaciones pueden ser víctimas de fraude de garantía, fraude de reembolso o fraude de revendedor.

  • Robo

    El robo es una amenaza interna que implica la sustracción de datos, dinero o propiedad intelectual e industrial. Se realiza en pos del lucro personal y para dañar a la organización. Por ejemplo, un proveedor de confianza puede vender números de seguridad social de los clientes en la dark web o utilizar información privilegiada sobre los clientes para iniciar su propio negocio.

Tecnologías de seguridad de datos

Las tecnologías de seguridad de datos son componentes clave de una estrategia de seguridad de datos más completa. Hay disponibles distintas soluciones de prevención de pérdida de datos para ayudarte a detectar la actividad tanto interna como externa, señalar comportamientos sospechosos o de riesgo de uso compartido de datos, y controlar el acceso a datos confidenciales. Implementa tecnologías de seguridad de datos como estas para evitar la filtración de datos confidenciales.

Cifrado de datos. Utiliza el cifrado (convertir datos en código) en datos en reposo o en movimiento para impedir que los usuarios no autorizados vean el contenido de los archivos, aunque obtengan acceso a su ubicación.

Autenticación y autorización de usuarios. Comprueba las credenciales de usuario y confirma que los privilegios de acceso fueron asignados y aplicados correctamente. El control de acceso basado en roles permite a tu organización otorgar acceso solo a aquellos que lo necesitan.

Detección de riesgos internos. Identifica actividades que puedan indicar amenazas o riesgos internos. Conoce el contexto del uso de datos y determina cuándo determinadas descargas, correos electrónicos externos a la organización y archivos con un nuevo nombre indican un comportamiento sospechoso.

Directivas de prevención de pérdida de datos. Crea y aplica directivas que definen cómo se administran y comparten los datos. Especifica entornos, aplicaciones y usuarios autorizados para las distintas actividades, para evitar el robo o el filtrado de datos.

Copia de seguridad de los datos. Realiza una copia de seguridad exacta de los datos de la organización, para que los administradores autorizados puedan restaurarlos en caso de error de almacenamiento, filtración de datos o desastre de cualquier tipo.

Alertas en tiempo real. Automatiza las notificaciones del posible uso indebido de los datos y recibe alertas de posibles problemas de seguridad antes que dañen los datos, la reputación, o la privacidad de empleados y clientes.

Evaluación de riesgos. Hazte a la idea de que empleados, proveedores, contratistas y asociados tienen información sobre tus datos y procedimientos de seguridad. Para evitar su uso indebido, debes conocer qué datos tienes y cómo se utilizan en la organización.

Auditoría de datos. Afronta los principales problemas, como la protección, la precisión y la accesibilidad de los datos, mediante auditorías de datos programadas periódicamente. Gracias a ellas, podrás saber quién utiliza tus datos y cómo se utilizan.

Estrategias de administración de seguridad de datos

Las estrategias de administración de seguridad de datos incluyen las directivas, los procedimientos y la gobernanza que permiten mantener tus datos más seguros y protegidos.

  • Implementar procedimientos recomendados para la administración de contraseñas

    Implementa una solución de administración de contraseñas fácil de utilizar. Eliminarás la necesidad de notas adhesivas y hojas de cálculo, y tus empleados ya no tendrán que memorizar contraseñas exclusivas.
    Utiliza frases de contraseña en lugar de contraseñas. Una frase de contraseña será más fácil de recordar para el empleado y más difícil de adivinar para el ciberdelincuente.
    Habilita la autenticación en dos fases (2FA). Con la 2FA, aunque una contraseña o una frase de contraseña esté en peligro, la seguridad de inicio de sesión se mantiene porque el usuario no autorizado no podrá obtener acceso sin el código adicional que se envía a un segundo dispositivo. 
    Cambia tus contraseñas después de una vulneración de seguridad. Se considera que cambiarlas más a menudo debilita las contraseñas con el tiempo.
    Evita reutilizar contraseñas o frases de contraseña. Una vez en peligro, suelen utilizarse para acceder a otras cuentas.

  • Crea un plan de defensa

    Protege los datos confidenciales. Descubre y clasifica datos a escala para determinar el volumen, el tipo y la ubicación de la información allí donde reside durante su ciclo de vida.
    Administra los riesgos internos. Conoce la actividad de los usuarios y el uso previsto de los datos para identificar posibles actividades de riesgo que pueden provocar incidentes de seguridad de datos.
    Establece las directivas y los controles de acceso adecuados. Evita acciones como guardar, almacenar o imprimir incorrectamente datos confidenciales.

  • Utiliza el cifrado para proteger los datos

    El cifrado de datos impide que usuarios no autorizados lean datos confidenciales. Aunque tengan acceso a tu entorno de datos o vean datos mientras están en tránsito, los datos son inservibles porque no se pueden entender ni leer fácilmente.

  • Instala actualizaciones de seguridad y software

    Las actualizaciones de seguridad y software abordan las vulnerabilidades conocidas que los ciberdelincuentes suelen explotar para robar información confidencial. Estar al día con actualizaciones periódicas permite afrontar las vulnerabilidades e impide que los sistemas estén en peligro.

  • Entrena a los empleados sobre la seguridad de los datos

    Proteger los datos de tu organización no es patrimonio del departamento de TI; debes entrenar también a tus empleados para que tengan conocimientos sobre divulgación, robo y daño de datos. Los procedimientos recomendados de seguridad de datos son relevantes para los datos online y en copia impresa. Debe realizarse un entrenamiento formal periódicamente, ya sea de forma trimestral, semestral o anual.

  • Implementa protocolos de seguridad para el trabajo remoto

    Para implementar protocolos de seguridad para los recursos remotos, empieza dejando claros tus procedimientos y directivas. Normalmente, esto implica un entrenamiento obligatorio en materia de seguridad, y la especificación de qué aplicaciones de software son aceptables y cómo utilizarlas. Los protocolos también deben incluir un proceso para proteger todos los dispositivos utilizados por los empleados.

Reglamentos y cumplimiento

Las organizaciones deben cumplir con los estándares, leyes y normativas de protección de datos relevantes. Estos incluyen, entre otros, recopilar solo la información necesaria de los clientes y empleados, trabajar para mantenerla segura, y desecharla adecuadamente. Algunos ejemplos de leyes de privacidad son el Reglamento general de protección de datos (RGPD), la Ley de transferencia y responsabilidad de seguros de salud (HIPAA) y la Ley de privacidad del consumidor de California (CCPA).

El RGPD es la ley de privacidad y seguridad de datos más estricta. La redactó y aprobó la Unión Europea (UE), pero todas las organizaciones del mundo están obligadas a cumplirla si manipulan o recopilan datos personales de ciudadanos o residentes de la UE o si les ofrecen bienes y servicios.

La Ley de transferencia y responsabilidad de seguros de salud (HIPAA) ayuda a proteger la información sanitaria de los pacientes para que no se divulgue sin su conocimiento o consentimiento. La Directiva de privacidad HIPAA protege la información sanitaria personal y se dictó para implementar los requisitos de HIPAA. La Directiva de seguridad HIPAA ayuda a proteger la información sanitaria identificable que un proveedor sanitario crea, recibe, mantiene o transmite electrónicamente.

La CCPA ayuda a proteger los derechos de privacidad de los consumidores de California, incluidos el derecho a conocer qué información personal se recopila y cómo se usa y comparte, el derecho a eliminar su propia información personal recopilada, y el derecho a no permitir la venta de su información personal.

El Delegado de protección de datos (DPO) es un rol de liderazgo que realiza un seguimiento del cumplimiento y se asegura de que la organización procese los datos personales en conformidad con las leyes de protección de datos. Por ejemplo, informan y asesoran a los equipos de cumplimiento sobre cómo cumplir la normativa, proporcionar entrenamiento en la organización y notificar el incumplimiento de los reglamentos y la normativa.

Cuando un incumplimiento provoca una filtración de datos, puede llegar a costar millones de dólares a las organizaciones. Las consecuencias incluyen el robo de identidad, la pérdida de productividad y el éxodo de clientes.

Conclusión

La seguridad de datos y su administración permiten identificar y evaluar las amenazas para los datos, cumplir los requisitos normativos y mantener la integridad de los datos.

Comprométete a realizar copias de seguridad de tus datos con frecuencia, almacenar una copia de seguridad en una ubicación remota, establecer estrategias de administración de seguridad de datos, y aplicar contraseñas o frases de contraseña seguras y 2FA.

Tomar medidas para proteger los datos durante su ciclo de vida, conocer cómo se utilizan, evitar su filtración y crear directivas de prevención de pérdida de datos son las bases para crear una defensa sólida en tu organización.

Descubre cómo proteger los datos en las nubes, las aplicaciones y los puntos de conexión con herramientas y procedimientos de seguridad de datos.

Más información sobre Seguridad de Microsoft

Microsoft Purview

Explora soluciones de gobierno, protección y cumplimiento para los datos de la organización.

Ayuda a evitar la pérdida de datos

Identifica el uso compartido o individual inadecuado de datos confidenciales en puntos de conexión, aplicaciones y servicios.

Administra los riesgos internos

Aprende a identificar posibles riesgos en las actividades de los empleados y los proveedores.

Protección de la información

Descubre, clasifica y protege tus datos más confidenciales en tu espacio digital.

Preguntas más frecuentes

  • La seguridad de los datos ayuda a proteger los datos confidenciales durante su ciclo de vida, entender el contexto de los datos y la actividad de los usuarios, y evitar el uso no autorizado de los datos. Implica conocer qué datos tienes y dónde se encuentran, e identificar las amenazas relacionadas con ellos.

  • Los tipos de seguridad de datos incluyen:

    • Controles de acceso que requieren credenciales de inicio de sesión para los datos locales y basados en la nube.
    • La autenticación de usuarios mediante contraseñas, tarjetas de acceso o datos biométricos.
    • Copias de seguridad y recuperación, para habilitar el acceso a los datos después de un error del sistema, si se dañan los datos o tras un desastre.
    • Resistencia de datos como un método proactivo para garantizar la recuperación ante desastres y la continuidad del negocio.
    • El borrado de datos para garantizar la correcta eliminación de los datos y que no puedan recuperarse.
    • Software de enmascaramiento de datos, que utiliza caracteres representativos para ocultar letras y números a los usuarios no autorizados.
    • Soluciones de prevención de pérdida de datos, para protegerte contra el uso no autorizado de datos confidenciales.
    • Cifrado, para que los usuarios no autorizados no puedan leer los archivos.
    • Protección de la información, para ayudar a clasificar los datos confidenciales encontrados en los archivos y los documentos.
    • Administración de riesgos internos, para mitigar la actividad de usuarios de riesgo.
  • Un ejemplo de seguridad de datos es utilizar la tecnología para ver dónde residen los datos confidenciales en la organización, y saber cómo se accede a ellos y cómo se utilizan.

  • La seguridad de datos es importante porque ayuda a la organización a protegerse contra ciberataques, amenazas internas y errores humanos, que pueden provocar filtraciones de datos.

  • Los cuatro problemas clave de la seguridad de datos son la confidencialidad, la integridad, la disponibilidad y el cumplimiento.

Sigue a Microsoft 365