Misplaced Data: How a Modern Data Security Platform Can Help Keep Data Where it Belongs

Las organizaciones siguen recopilando y generando datos cada vez más rápido, y también es más fácil que nunca moverlos. La adopción de servicios en la nube ha permitido que más usuarios accedan, copien y trasladen datos a diferentes ubicaciones con solo unos cuantos clics. Sin embargo, como los datos están en movimiento constante, a menudo terminan donde no deberían estar.

La realidad es que incluso los equipos con las mejores intenciones y procesos de gobernanza de datos lidian con datos mal ubicados. Si cierto tipo de datos está en el entorno o la ubicación geográfica equivocada, se introducen problemas de seguridad y privacidad que afectan al negocio.

En este artículo, hablaremos sobre qué es la información mal ubicada y por qué es importante para las organizaciones. También abordaremos cómo una plataforma moderna de seguridad de datos puede prevenir la información mal ubicada.

¿Qué es la información extraviada?

La pérdida de ubicación de datos ocurre cuando cualquier dato se mueve de un entorno aprobado a uno no aprobado. Si datos no autorizados se almacenan en un entorno que no está diseñado para ese tipo de datos, esto puede causar filtraciones de datos, vulneraciones de seguridad, incumplimientos normativos y otros resultados negativos. 

Una forma sencilla de entender los datos mal ubicados es compararlos con la zonificación de propiedades residenciales y comerciales. Existen reglas estrictas sobre cómo se pueden usar diferentes propiedades según su clasificación para mantener el orden y la eficiencia generales. De manera similar, la zonificación de datos define los tipos de datos que pueden almacenarse en ciertos lugares para cumplir con objetivos óptimos de seguridad y privacidad de los datos.

El problema de los datos mal ubicados es cada vez más frecuente a medida que las empresas adoptan más servicios en la nube y no gestionan adecuadamente la consecuente proliferación de datos. Si las organizaciones no previenen de forma proactiva los datos mal ubicados, podrían enfrentar problemas de seguridad, privacidad y cumplimiento.

Por qué es importante gestionar los datos extraviados

Aquí hay algunas situaciones en las que es importante prevenir datos mal ubicados.

1. Mantener los datos reales separados de los entornos sandbox

La situación: No se deben almacenar datos reales en entornos sandbox —como diferentes entornos de desarrollo, pruebas y staging—, pero colocar datos de esta manera puede suceder con frecuencia. Por ejemplo, los equipos de ingeniería pueden replicar completamente los almacenes de datos de producción con fines de prueba e investigación, colocando inadvertidamente datos reales en entornos sandbox.

Las consecuencias: Los entornos sandbox son inherentemente menos seguros y menos monitoreados que los entornos de producción. También podrían ser accesibles internamente por empleados no autorizados, exponiendo los datos mal ubicados a riesgos adicionales. 

2. Cumplir con los requisitos de cumplimiento PCI para datos sensibles

La situación: Según el requisito 3.2 de PCI DSS, los datos confidenciales de autenticación (SAD) no deben almacenarse después de la autorización, incluso si los datos están cifrados. Cualquier código PIN, datos de banda magnética, CCV y otros datos relacionados con el proceso de autorización deben descartarse de inmediato, a menos que exista una necesidad comercial legítima para almacenarlos. Además, los datos de PCI que sí se pueden conservar solo deben almacenarse en un entorno PCI dedicado.

Las consecuencias: El cumplimiento de PCI, especialmente los requisitos relacionados con el almacenamiento de datos sensibles, es importante para mantener la credibilidad. Si la información de la tarjeta se almacena accidentalmente durante el proceso de autorización del pago, estos datos mal ubicados pueden violar las reglas de almacenamiento de datos de PCI. No cumplir con los requisitos de PCI puede provocar pérdida de reputación y multas.

3. Garantizar que los datos se almacenen en la ubicación geográfica adecuada

La situación: Existen muchas leyes regionales de privacidad de datos con cláusulas de soberanía de datos. Algunas tienen restricciones que no permiten que los datos de un ciudadano crucen fronteras. Otras leyes permiten transferencias transfronterizas de datos, pero solo si el país receptor tiene protecciones similares para los datos.

Aquí hay tres ejemplos de leyes regionales de privacidad con cláusulas de soberanía de datos:

• Artículo 37 de la Ley de Ciberseguridad de China exige que los datos importantes y la información personal recopilados de los usuarios se almacenen dentro del territorio continental del país.
• Artículo 45 del Reglamento General de Protección de Datos (RGPD) solo permite transferir datos personales desde la Unión Europea (UE) a terceros países, territorios u organizaciones internacionales con protección adecuada.
• Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) permite las transferencias de datos a terceros fuera de Canadá solo si el país receptor, como Estados Unidos, cuenta con medidas de seguridad de datos equivalentes.

Las consecuencias: Cuando los datos se trasladan fuera de la ubicación geográfica adecuada, la empresa podría infringir las leyes regionales de privacidad de datos. Las consecuencias por infringir estas leyes van desde advertencias o multas hasta sanciones grandes y la revocación de licencias comerciales.

Prevención de datos mal ubicados con Cyera

Cyera es una plataforma de seguridad de datos que ofrece un contexto profundo sobre tu información y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento. Así es como la plataforma puede prevenir datos mal ubicados.

Clasificación de datos según el nivel de sensibilidad y el riesgo potencial

Cyera proporciona contexto sobre la identificabilidad de los datos, indicándonos que los datos son vinculables a una persona específica. La clasificación de datos también ayuda a determinar el nivel de sensibilidad de los datos y si existe una discrepancia entre el tipo de datos y el lugar donde se almacenan.

La plataforma genera información contextual sobre los datos, como el uso de cifrado (cifrado a nivel de datos) y qué métodos de ofuscación se aplicaron; por ejemplo, truncado, tokenizado u otro formato.

Identificación de accesos excesivamente permisivos 

Cyera marca cuando se realizan cambios de acceso a un almacén de datos, como cuando un entorno sandbox destinado a empleados específicos se vuelve accesible para todos los empleados internos. Al plantear este problema, Cyera ayuda a evitar que los ingenieros filtren inadvertidamente datos sensibles que podrían haberse copiado de producción a entornos sandbox.

Al identificar accesos excesivamente permisivos, Cyera proporciona información sobre el almacén de datos afectado, la sensibilidad de los datos en dicho almacén y orientación de remediación para resolver el problema. Esto ayuda a las organizaciones a comprender y remediar problemas de datos mal ubicados antes de que deriven en un incidente de seguridad.

Detección de la presencia de credenciales en un almacén de datos

Cyera marca cuando credenciales como contraseñas y claves de cifrado se almacenan en texto plano.

Un entorno puede tener una política de seguridad que especifique que las credenciales deben protegerse mediante métodos de cifrado. Al aprovechar Cyera para identificar incumplimientos de la política, puedes asegurarte de que se apliquen los métodos correctos de ofuscación a las credenciales.  

Evitar que los datos de los residentes crucen fronteras

Cyera puede ayudar a los clientes a entender cuándo los datos se han transferido inadvertidamente fuera de las fronteras de China para cumplir con los requisitos del Artículo 37 de la Ley de Ciberseguridad de China. Esto se convierte en un problema de datos mal ubicados que puede abordarse con políticas de zonificación efectivas.

Cuando los datos están alojados en otro país, como en EE. UU., Cyera puede identificar los datos como información personal, determinar la jurisdicción de esos datos (como China) y señalar que los datos se han desviado fuera de su zona permitida. Estas capacidades pueden ayudar a garantizar el cumplimiento de las cláusulas de soberanía de datos que se encuentran en GDPR, PIPEDA y otras leyes regionales de privacidad de datos.

Detener datos mal ubicados en tiempo real

Cyera puede detectar datos cuando salen de un entorno aprobado en tiempo real.

Por ejemplo, cuando los datos de residentes de la UE salen de un repositorio alojado en la UE, Cyera activa una alerta y le asigna una puntuación de gravedad para una rápida remediación. Esto te permite detectar y detener al instante las infracciones por datos fuera de lugar.

Deja que Cyera mantenga tus datos donde deben estar

Los datos están en constante movimiento y cambio, y esto a menudo provoca que terminen en lugares equivocados. Los datos fuera de lugar pueden generar riesgos de seguridad, privacidad y cumplimiento si las organizaciones no los previenen de forma proactiva.

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tus datos y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de forma holística en todo tu panorama de datos, somos la única solución que puede facultar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo Cyera puede ayudarte a prevenir la pérdida de datos, programa una demostración hoy mismo.