Cómo proteger la PII con Prevención de Pérdida de Datos
La Información de Identificación Personal (PII) es un tipo de datos que permite identificar a una persona. Incluye cualquier información relacionada con un individuo específico, como nombre, sexo, dirección, número de seguro social (SSN), fecha de nacimiento, información financiera, número de pasaporte, números de teléfono y direcciones de correo electrónico.
La Definición de PII
El Instituto Nacional de Estándares y Tecnología (NIST) define la PII como: «Cualquier representación de información que permita que la identidad de una persona a la que se aplica la información se infiera de manera razonable por medios directos o indirectos». La definición amplia de PII también cubre direcciones IP, identificadores biométricos, números de registro de extranjeros (Número A), datos de ubicación geográfica, publicaciones en redes sociales, etc. Debido a los esfuerzos de digitalización en todo el mundo, la mayoría de las empresas actualmente recopilan o almacenan PII, ya sea sus propios empleados o clientes que compran sus productos o servicios. La pérdida de PII puede resultar en un daño sustancial a las personas, incluido el robo de identidad u otro uso fraudulento de la información.
La PII también es el tipo de datos más valioso y, por lo tanto, el más buscado por los ciberdelincuentes. Según el Informe Costo de Una Violación de Datos 2020 publicado por IBM y el Ponemon Institute, la PII se vio comprometida en el 80% de todas las violaciones de datos, lo que lo convierte en el tipo de registro que se pierde o roba con mayor frecuencia. La PII del cliente también fue el tipo de datos más costoso comprometido en una violación de datos, con un promedio de $150 por registro.
Como consecuencia, la nueva ola de legislación de protección de datos encabezada por el Reglamento General de Protección de Datos (GDPR) de la UE ha hecho que la protección de la PII sea obligatoria por ley, imponiendo una serie de restricciones sobre lo que las empresas pueden y no pueden hacer con los datos y cómo deben protegerlos; las empresas que no lo hagan se enfrentan a fuertes multas. Según el tipo de organización y la industria, existen varias regulaciones y estándares para la PII, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Privacidad del Consumidor de California (CCPA).
Las soluciones de Prevención de Pérdida de Datos (DLP) han surgido como un componente esencial de los esfuerzos de cumplimiento y de las estrategias de seguridad de datos. Centrándose en salvaguardar la PII en sí misma, en lugar del sistema en el que se almacena, DLP agrega una capa adicional de protección contra las infracciones de ciberseguridad, particularmente aquellas que pueden ser causadas por la negligencia o duplicidad de los empleados. Echemos un vistazo más de cerca a cómo se pueden proteger los datos confidenciales, incluida la PII, mediante DLP.
Controle cómo se mueve la PII
La característica más importante de las soluciones de DLP es su capacidad para controlar los movimientos de información confidencial. Las soluciones de DLP utilizan potentes herramientas de análisis contextual y de contenido para buscar dicha información en cientos de tipos de archivos, bloqueando y limitando su transferencia en función de las políticas cuando se encuentra.
Las empresas pueden evitar que los empleados copien, impriman o transfieran datos personales a través de servicios de terceros no autorizados, como sitios para compartir archivos, correos electrónicos personales, aplicaciones de mensajería populares, servicios en la nube o espacios virtuales de coworking. Las soluciones de DLP son una forma eficaz de frenar la negligencia de los empleados y garantizar que la PII no se transfiera a través de canales no seguros.
Sepa exactamente dónde se encuentra la PII
Uno de los principales problemas con la protección de la PII es que la mayoría de las empresas desconocen cómo los empleados utilizan y almacenan los archivos que contienen PII confidenciales mientras realizan sus tareas diarias. La PII puede transmitirse entre empleados o almacenarse localmente en discos duros y luego olvidarse.
Esto es particularmente peligroso para los esfuerzos de cumplimiento, ya que la mayoría de las regulaciones de privacidad de datos requieren que la PII solo se almacene durante el tiempo que sea necesario para el propósito original para el que se recopiló. Los sujetos de datos en muchos países también tienen derecho a solicitar que sus datos, a menudo PII, se eliminen de los registros de una empresa. Si la información que debería haberse eliminado, ya sea a solicitud de un sujeto de datos o porque ya no era necesaria, se encuentra en la red de una empresa durante una auditoría o se hace pública a raíz de una violación de datos, las empresas pueden ser sancionadas por incumplimiento.
Las soluciones de DLP se pueden utilizar para buscar datos almacenados localmente en toda la red de la empresa en busca de archivos que contengan PII en general, pero también PII particular que una organización podría necesitar eliminar por razones de cumplimiento. Cuando se encuentra información de PII en una computadora, se pueden tomar acciones de reparación, como la eliminación o el cifrado.
Monitorea los movimientos de PII
Las soluciones de DLP permiten a las organizaciones vigilar de cerca los movimientos de PII dentro y fuera de la red de la empresa. El monitoreo de PII ayuda a las empresas a descubrir vulnerabilidades dentro de sus estrategias de seguridad de la información y cómo los empleados utilizan PII mientras realizan sus tareas.
Con todos los intentos de violar las políticas registradas automáticamente, las organizaciones pueden identificar malas prácticas de seguridad y organizar capacitaciones para abordar problemas específicos que enfrentan los empleados en sus tareas diarias. Esto puede ayudar a impulsar la eficiencia en la educación de los empleados y las estrategias de protección de datos, reduciendo el costo general de ambas.
Proteja la PII mientras se trabaja de forma remota
La mayoría de las leyes de protección de datos requieren que las empresas protejan continuamente la PII, lo que significa que no puede haber ninguna interrupción en la aplicación de las políticas de seguridad. Por lo tanto, la PII debe tener el mismo nivel de protección cuando los empleados trabajan desde casa que cuando están en la oficina.
Algunas soluciones de DLP, como Endpoint Protector, se aplican a nivel de computadora, por lo que sus políticas continúan activas incluso cuando se saca un dispositivo de la oficina. No solo eso, continuarán protegiendo los datos independientemente de que una computadora esté conectada a Internet o no.
En conclusión
La PII es el tipo de datos más específico del mundo y ahora las empresas tienen la obligación legal de protegerlo. Las soluciones de DLP ofrecen una manera fácil de monitorear y controlar sus movimientos, restringiendo la forma en que los empleados usan y transfieren la PII, lo que ayuda a reducir los incidentes de seguridad causados por negligencia o malicia interna.
