8 Tipos de Datos que Definitivamente Necesitas Cifrar
Con la creciente cantidad de información personal identificable (PII) e información de salud protegida (PHI) que las empresas y organizaciones recopilan, el cifrado se ha convertido no solo en una mejor práctica, sino en una parte integral de una estrategia completa de ciberseguridad.
Lejos han quedado los días en que el cifrado de datos efectivo se veía como un costo adicional. Los datos PII y PHI son muy valiosos para los actores de amenazas y con el costo promedio de una violación de datos alcanzando un promedio de $4.35 millones en 2022, el costo de no proteger los datos sensibles es elevado.
Comprendiendo el Cifrado a un Nivel Alto
A un nivel alto, el cifrado es una técnica utilizada para proteger la información de ser accedida por individuos no autorizados. Implica transformar datos claros en un código ilegible que solo puede ser decodificado a través de un proceso inverso específico, a menudo usando una “clave” para facilitar la descodificación como una forma de autenticación.
Para asegurar que los datos cifrados permanezcan seguros, los métodos de cifrado dependen de transformaciones complejas que hacen virtualmente imposible revertir esas transformaciones y acceder a los datos originales.
Cuando se trata de proteger información personal, el cifrado es una de las herramientas más efectivas disponibles. Al cifrar los datos, las empresas pueden asegurar que incluso si los hackers logran acceder a esta información sensible, no podrán leerla. Esto hace mucho más difícil para los criminales usar estos datos para robo de identidad u otros propósitos maliciosos. Además, los datos cifrados aún pueden ser útiles para análisis de negocios y otros propósitos, aunque el contenido real de los datos esté oculto.
Si estás buscando cifrar tus datos PII, aquí hay algunos consejos para comenzar. Primero, considera qué tipo de cifrado necesitas. Hay dos tipos principales de sistemas de cifrado: simétrico y asimétrico.
El cifrado simétrico es más rápido y fácil de implementar, pero utiliza la misma clave tanto para cifrar como para descifrar datos. El cifrado asimétrico, por otro lado, utiliza una clave diferente para cada proceso, lo que lo hace más seguro. Sin embargo, puede ser más difícil de configurar y usar efectivamente.
Factores que Impulsan el Cifrado
Además de la consecuencia catastrófica de una violación de datos, otra razón por la que deberías cifrar datos es el cumplimiento normativo. Algunas regulaciones como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (HITECH), el Reglamento General de Protección de Datos (GDPR), y otras hacen referencias específicas al cifrado mientras que otras como la Ley Gramm-Leach-Bliley (GLBA) no lo exigen pero lo recomiendan altamente.
Preguntas y Respuestas sobre el Cifrado de Datos
La siguiente tabla proporciona respuestas breves a algunas de las preguntas frecuentes sobre el cifrado de datos (Tabla 1).
|
Pregunta |
Respuesta |
|
¿Qué herramientas puedo usar para cifrar información sensible? |
Diferentes herramientas de cifrado utilizan diferentes algoritmos de cifrado basados en las claves usadas, la longitud de la clave y el tamaño de los bloques de datos cifrados. Los algoritmos más comunes son AES, RSA, TripleDES, Blowfish y Twofish. |
|
¿Qué es el cifrado de extremo a extremo? |
El cifrado de extremo a extremo (E2EE) es un método de comunicación segura que asegura que solo el remitente y el receptor puedan acceder a los datos compartidos de un sistema/dispositivo a otro. El dispositivo emisor cifra los datos, y solo el dispositivo receptor puede descifrarlos. Cualquier tercero, incluido un hacker, no puede acceder a estos datos. |
|
¿Qué es el cifrado en reposo? |
El cifrado en reposo es una estrategia de ciberseguridad cada vez más común que protege los datos almacenados que no están transitando activamente de un dispositivo/usuario a otro. Incluso si los ciberdelincuentes logran penetrar tus otras defensas cibernéticas, no accederían a los datos cifrados en reposo, que a menudo es su objetivo principal. Cualquier empresa que almacene datos altamente sensibles como PII, PHI y registros financieros debería considerar cifrar sus datos en reposo. |
Tabla 1. Preguntas y respuestas frecuentes sobre el cifrado de datos.
8 Tipos Diferentes de Datos Privados que Requieren Cifrado
A continuación se presentan ocho tipos diferentes de datos privados que las organizaciones deben cifrar para asegurar el cumplimiento normativo y la integridad de las operaciones comerciales y sus cadenas de suministro.
Información Personal Identificable (PII)
La mayoría de las organizaciones tienen alguna forma de información personal identificable (PII) que deben mantener a salvo de los ciberdelincuentes y estados-nación deshonestos. Las regulaciones de privacidad de datos como el GDPR en la Unión Europea, la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) en Canadá, y la Ley de Privacidad del Consumidor de California (CCPA), entre otras, requieren que las organizaciones rastreen, controlen y protejan la PII en movimiento y en reposo.
Información de Salud Protegida (PHI)
Las organizaciones de salud son obviamente un objetivo clave de ciberataques cuando se trata de información de salud protegida (PHI). Pero dado que la PHI es gestionada por muchos departamentos de recursos humanos, proteger la PHI y cumplir con las regulaciones respectivas se aplica a todos los sectores industriales. La PHI puede ser intercambiada entre sistemas utilizados por proveedores de salud para tratar a los pacientes. Puede ser capturada en una aplicación móvil y enviada o compartida con varios sistemas de pacientes. Y una vez que se recibe la PHI, se almacena en cualquier número de sistemas—en las instalaciones a la nube—en el formato en que fue recibida.
El cifrado—desde el correo electrónico, hasta el intercambio de archivos, la transferencia de archivos administrada, los formularios web, las interfaces de programación de aplicaciones (APIs)—es un requisito para las organizaciones que buscan proteger la PHI de violaciones de datos maliciosas y cumplir con las regulaciones industriales y gubernamentales como HIPAA que requieren que los datos PHI y ePHI sean cifrados cuando están en reposo. Además, las organizaciones deben usar cifrado u otros protocolos de seguridad de la capa de transporte (TLS) al enviar y compartir PHI. Esto incluye el cifrado de correo electrónico.
Registros Financieros
GLBA protege la información financiera personal identificable no pública (PIFI) de las personas de ser mal manejada por instituciones financieras. Esto incluye datos sensibles como direcciones, números de Seguro Social e ingresos, pero también se extiende a más detalles como montos de depósitos, información de préstamos e historial de pagos que podrían permitir la identificación o validación de información financiera personal.
Aunque el cifrado no es un requisito explícito de GLBA, es una de las mejores prácticas para proteger los datos en reposo y en tránsito. Bajo la Regla de Salvaguardas, emitida por la FTC como parte de la implementación de GLBA, las empresas deben mantener segura la información del cliente. Y las disposiciones de Pretexting en la misma Ley estipulan que las empresas deben proteger el acceso a la información personal a través de falsos pretextos como estafas.
El cifrado asegura que las instituciones puedan proteger los registros financieros del acceso autorizado y mantener la integridad y confidencialidad de los datos de sus clientes.
Datos de Recursos Humanos
A menos que seas un comerciante individual, cada empresa tiene empleados, y esto viene con una gran cantidad de datos sensibles que deben ser protegidos. Los datos relacionados con recursos humanos incluyen PII y registros financieros. Los datos de recursos humanos también incluyen información privada como contratos, hojas de tiempo, notas de enfermedad y más.
Esta información podría ser inmensamente útil para los hackers, para ser vendida en la darknet, retenida para pedir rescate o utilizada para otros propósitos nefastos. Gran parte de esta información digital se envía y comparte entre diferentes partes y sistemas dentro de las organizaciones, así como con terceros—incluyendo individuos y sistemas.
Por ejemplo, cuando un contrato con un consultor termina, el contenido sensible relacionado con la terminación se envía, comparte, recibe y almacena. Este intercambio digital crea oportunidades para que los actores malintencionados hackeen los datos privados y los exploten de maneras maliciosas. Además, en algunas organizaciones, las nóminas, hojas de tiempo y notas de enfermedad también se transfieren hacia y desde aplicaciones, como recursos humanos, nómina, finanzas y otros sistemas, a través de transferencia de archivos administrada (MFT).
Información Comercial
Información sobre clientes, detalles de contratos con proveedores y documentación relacionada con ofertas y licitaciones son solo algunos de los tipos de datos comerciales que cada empresa poseerá de una forma u otra. Parte de esta información puede calificar como PII o registros financieros. En otros casos, son contratos confidenciales, respuestas a solicitudes de propuestas y otro contenido relacionado con ventas.
Exponer cualquiera de este contenido comercial podría tener un impacto negativo—desde revelar información confidencial a competidores hasta exponer posibles responsabilidades legales y riesgos. Esta información a menudo se envía por correo electrónico, pero también se intercambia a través de uso compartido de archivos. Además, gran parte se almacena en ERP, CRM y otros sistemas a través de MFT. En todos estos casos, se deben emplear políticas de gobernanza estándar y cifrado.
Información Legal
La cantidad de información legalmente relevante que necesita cifrado puede ser grande y variada. Por ejemplo, las discusiones por correo electrónico entre miembros de la junta que revelan futuras estrategias, inversiones y actividades de fusiones y adquisiciones son altamente confidenciales y deben ser cifradas. La correspondencia sobre casos legales, incluida la colaboración en escritos legales, entre el asesor corporativo y el asesor externo es altamente sensible y las organizaciones deben asegurar que todas las comunicaciones y el contenido estén cifrados—protegidos de la explotación maliciosa. La lista de posibles casos de uso legal es extensa.
Información No Clasificada Controlada (CUI)
La información no clasificada controlada, o CUI, es un término utilizado por el gobierno de los Estados Unidos para describir información sensible pero no clasificada. Aunque este tipo de información no está clasificada, aún requiere un manejo especial y protección contra el acceso o divulgación no autorizados. Asegurar la CUI es esencial para la seguridad nacional y la seguridad de los empleados y contratistas del gobierno. La CUI incluye información que, si se divulga, podría dañar la seguridad nacional o poner en peligro la seguridad pública.
Aunque algunos tipos de CUI deben ser cifrados por ley, toda la CUI debe ser cifrada para proteger contra la divulgación no autorizada. Según el Departamento de Defensa de EE. UU. (DoD), toda la CUI que no ha sido aprobada para divulgación pública y se almacena en reposo en dispositivos de almacenamiento removibles o en dispositivos móviles debe ser cifrada. Un buen ejemplo de donde se exige la protección de la CUI se encuentra en la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0 que gobierna a los contratistas y subcontratistas del DoD y, en última instancia, determinará si un contratista y/o subcontratista puede hacer negocios con el DoD.
Información sobre Fusiones y Adquisiciones (M&A)
La importancia del cifrado de datos en fusiones y adquisiciones no puede ser subestimada. En el mundo empresarial digitalizado de hoy, los datos son una de las mercancías más valiosas que posee una empresa. Cuando dos empresas se fusionan, o una adquiere a otra, hay una gran cantidad de datos que cambian de manos. Esto incluye información financiera, listas de clientes, propiedad intelectual y secretos comerciales. Si esta información cae en manos equivocadas, podría ser desastroso para las empresas involucradas. Como resultado, las organizaciones deben cifrar todos los datos antes de que sean transferidos—tanto interna como externamente—durante una fusión o adquisición. Hacerlo ayuda a asegurar que permanezca privada mientras se mantiene el cumplimiento con las regulaciones gubernamentales e industriales.
La importancia de asegurar la información sensible de M&A se acentúa por casos de alto perfil en años recientes donde se liberaron datos privados—resultando en todo, desde la cancelación de actividades de M&A hasta multas y sanciones.
Red de Contenido Privado de Kiteworks para Privacidad de Datos y Cumplimiento
El cifrado de datos te ayuda a mejorar tu postura de seguridad de datos, cumplir con el cumplimiento normativo y construir confianza con tus clientes. Las organizaciones deben esforzarse por encontrar la plataforma adecuada para mantener sus datos seguros, tanto cuando están en reposo como en movimiento, a través del cifrado y otras tecnologías y mejores prácticas de ciberseguridad.
La Red de Contenido Privado de Kiteworks cifra cada pieza de contenido sensible que se envía o comparte con una clave única y fuerte a nivel de archivo y con una clave fuerte diferente a nivel de volumen de disco. Esto asegura que cada archivo esté doblemente cifrado. Además, las claves de archivo, las claves de volumen y otras claves intermedias están cifradas cuando se almacenan.
Las organizaciones pueden configurar políticas de gobernanza y seguridad centralizadas con Kiteworks en todos sus canales de comunicación para asegurar que el contenido sensible que se envía y comparte, interna y externamente, permanezca privado y además cumpla con diferentes regulaciones.
Programa una demostración personalizada de Kiteworks para ver cómo la Red de Contenido Privado de Kiteworks extiende el control de privacidad y cumplimiento a través de todos tus canales de comunicación.