La protección de datos es tanto la seguridad como la privacidad de la información personal de un individuo, incluyendo los detalles de identificación y la propiedad personal. Los datos personales incluyen el nombre, la fecha de nacimiento, las direcciones de casa y de Internet, y cualquier identificación gubernamental (sólo por nombrar algunos); la propiedad personal incluye los correos electrónicos, los archivos y las cuentas que posee o gestiona el individuo. Dado que los individuos deben compartir gran parte de su información personal con las empresas, éstas son las principales responsables de la protección de datos desde el punto de vista legal. La protección de datos también implica prácticas de gestión y almacenamiento de datos que los protejan de pérdidas, robos, desastres o ransomware.
Requisitos legales para la protección de datos
Diferentes agencias gubernamentales han establecido requisitos de protección de datos; a continuación se enumeran algunas de las más influyentes. Protegen la información personal de las personas mediante el establecimiento de pautas estrictas para las empresas que procesan, analizan y venden datos.
GDPR
El Reglamento General de Protección de Datos (RGPD), se trata de una normativa de protección de datos que más afecta a las empresas, esta normativa exige a estas empresas que tengan al menos una razón documentada por la que recopilan datos personales y que entreguen información a sus clientes de cómo utilizan esos datos personales. El RGPD fue iniciado por la Unión Europea, pero protege a todos los residentes de la UE, lo que significa que cualquier empresa con clientes, empleados y posiblemente incluso tráfico de Internet de la UE también debe cumplir con los requisitos bastante estrictos del RGPD.
El RGPD exige a las empresas que nombren a un responsable de la protección de datos (RPD) si manejan grandes cantidades de datos sensibles (como un gran centro médico o una institución financiera) o recogen copiosas cantidades de datos con regularidad, incluida la supervisión o vigilancia frecuente (como las empresas de seguridad). Esto también se aplica a cualquier organización de otros países que recoja datos de residentes en la Unión Europea.
CCPA
La CCPA, Ley de Privacidad del Consumidor de California, se introdujo en 2018 y se promulgó en el año 2020. Tiene como objetivo principal el proteger la información personal de todos los residentes de California. Como pasa con el RGPD, se trata de un grupo de reglas con las que se existe a todas las empresas con clientes de California, ya sea que se encuentren en el mismo estado o incluso en el continente. Esos derechos para los residentes de California que están en la CCPA incluyen:
- El derecho a saber: las empresas deben proporcionar detalles claros sobre el modo en que utilizan los datos personales de los residentes, especialmente si se les solicita, pero también deben tener un aviso en su sitio web que explique lo que hacen con la información personal.
- El derecho a la supresión: Los residentes de California pueden solicitar que una empresa elimine su información personal de su base de datos. También pueden solicitar que se corrija si es inexacta.
- El derecho a excluirse: todas las empresas deben tener un botón claramente definido en su sitio web que diga «No vender mi información personal», que, cuando es seleccionado por un residente de California, exime a esa persona de la venta de datos personales a un tercero.
- Notificación en el instante de la recopilación: Los residentes de California disponen del derecho para tener conocimiento de cuándo la empresa hace recopilación de sus datos de tipo personal. Estas empresas deben enviar notificaciones que contengan un enlace de «no vender» para su elección personal con el objetivo de evitar que las empresas tengan la capacidad de vender sus datos personales a terceros.
PCI-DSS
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) exige que cualquier empresa que haga el proceso de aceptación de pagos con tarjeta debe seguir cantidad de estándares, entre las que se incluye la instalación de firewalls en la red, además de el encriptado de transacciones con tarjeta a través de redes públicas y la exigencia de que cada empleado posea su propia información de derechos de acceso. Esta serie de reglas están diseñadas para ejercer la protección de la información confidencial en las tarjetas de pago.
Protección de datos en redes informáticas
La protección de los datos en la red es extremadamente importante y contiene muchas categorías de seguridad. Casi todos los datos personales atraviesan con frecuencia conexiones de red. Con el desarrollo de las computadoras, los atacantes también han evolucionado: los intrusos pueden acceder fácilmente a las credenciales de inicio de sesión de alguien, información personal confidencial o documentos alterando la conexión de red de la computadora. Para las organizaciones, la protección de datos tiene el beneficio adicional de poner la propiedad intelectual y otros datos críticos bajo el control de los piratas informáticos y garantizar la continuidad del negocio. A continuación se enumeran algunos de los métodos y motivos más importantes para la protección de datos de red.
Codificación de direcciones IP y páginas web
El protocolo HTTPS requiere un proceso de autenticación entre usuario y página web. Aunque no todos los sitios web utilizan HTTPS (la versión segura de HTTP), esta versión del protocolo se está volviendo cada vez más popular. HTTPS consigue que escuchar a escondidas sea una labor mucho más compleja. Sin embargo, es importante tener en cuenta que esto evita que todos los tipos de piratería o rastreo de paquetes. Incluso los proveedores de servicios en la red pueden rastrear parte del uso de Internet de los usuarios, incluso si las páginas web que visitan utilizan HTTPS.
Encriptación
La criptografía codifica una pieza de datos, lo que permite que sea ilegible para un fisgón. El cifrado se utiliza para muchos fines diferentes de almacenamiento y transferencia de datos. La encriptación de todo el disco, por ejemplo, encripta los datos de todo el disco o unidad del ordenador; esto puede ser útil para asegurar los datos en reposo. La encriptación a nivel de archivo, por otro lado, encripta archivos o carpetas individuales para su transferencia (por ejemplo, para mantener la seguridad al enviar un correo electrónico).
Seguridad de la red Wi-Fi
La Wi-Fi Alliance introdujo en 2018 dos protocolos que ayudan a proteger las conexiones de redes inalámbricas para los usuarios. Las redes Wi-Fi públicas son increíblemente susceptibles de ser hackeadas porque cualquier tráfico web no seguro queda expuesto para cualquier fisgón cercano. Wi-Fi Enhanced Open encripta una conexión entre un usuario de Internet y una red Wi-Fi. Las dos partes acuerdan una clave de cifrado y realizan un apretón de manos de cuatro vías para reducir las posibilidades de que un atacante pueda interrumpir la conexión. WPA3 (Wi-Fi Protected Access Version 3) ofrece Wi-Fi Easy Connect, que incluye criptografía asimétrica y también cifra las conexiones de los dispositivos a las redes Wi-Fi.
Redes privadas virtuales
La red privada virtual (VPN) nos proporciona una red separada entre el dispositivo y el servidor, de esta forma evita por completo la red informática estándar. Las VPN logran con eficacia evitar las miradas indiscretas y además evitae que los proveedores de servicios de Internet (ISP) puedan analizar el tráfico web. Sin embargo, hay que tomar en cuenta que no todas las VPN pueden hacer esto; hay que tener la seguridad de contar con un buen proveedor sin historial de fugas de DNS. Esto significa que probablemente hay que pagar, no vale la pena correr el riesgo de una VPN gratuita.
Protección de datos para el almacenamiento en la nube
Los proveedores de almacenamiento de datos y en la nube tienen mucho trabajo por hacer: el almacenamiento de datos en varios entornos hace que sea mucho más difícil de proteger. La agilidad viene acompañada de una mayor gestión, y la gestión de varios entornos y solicitudes de datos significa que la seguridad a veces tiene dificultades para seguir el ritmo. A menudo, los proveedores de computación en la nube desplegarán soluciones de seguridad para proteger el perímetro de la red y también utilizarán plataformas de detección y respuesta de puntos finales e inteligencia de amenazas para detectar y prevenir violaciones de datos. Deben cumplir los requisitos legales de seguridad porque están prestando servicios de almacenamiento a clientes de pago con grandes cantidades de datos sensibles.
Amenazas a la protección de datos
Existen gran cantidad de amenazas para la seguridad y la privacidad de los datos, y la mayoría de ellas ya se han sugerido o mencionado con anterioridad, pero daremos otra nota sobre los proveedores de servicios de Internet: la mayoría de ellos tienen la capacidad de recopilar una gran cantidad de información sobre el tráfico de Internet de los usuarios. Pueden ver los nombres de dominio que visitan los usuarios de Internet, y esta información puede ser muy reveladora. Los proveedores de servicios de Internet pueden estrangular la conexión a Internet de los usuarios (ralentizarla considerablemente) basándose en la falta de datos de pago restantes, pero también pueden reducir una conexión a Internet basándose en lo que se busca. Las grandes empresas suelen beneficiarse del uso de los datos de los clientes, y los ISP no son diferentes. Una buena red VPN puede ayudar a los usuarios a mantener la privacidad de su tráfico de Internet.
Para las empresas, la prevención de las violaciones de datos implica la aplicación de soluciones de seguridad completas y de calidad. Los ataques dirigidos a las cuentas de acceso privilegiado de las empresas ponen en peligro los datos sensibles. Las estafas de ingeniería social pueden costar a las organizaciones millones de dólares si los empleados no están preparados para recibir correos electrónicos o mensajes sospechosos o enlaces maliciosos.
