INTRODUCCIÓN A

LA PROTECCIÓN
DE DATOS
 01

Conceptos básicos sobre la protección de

datos
La protección de la seguridad y la privacidad de la información confidencial
de los clientes es una obligación fundamental para todas las empresas, in-
cluyendo las PYME.

La protección de datos abarca todos los controles administrativos, lógicos

y técnicos necesarios para proteger la información. A la hora de desarrollar
e implementar un marco para administrar la seguridad de la información
dentro de una organización se suele usar la tríada C-I-D, conformada por
tres conceptos fundamentales de seguridad de la información:

Confidencialidad y privacidad
Previene el acceso, el uso, la divulgación, la lectura, la inspección o el regis-
tro no autorizados de los datos.

Integridad
Previene la modificación no autorizada o inadecuada de los datos.

Disponibilidad
Asegura que los usuarios autorizados tengan acceso confiable y oportuno a
los datos, y previene la alteración o destrucción no autorizada de los datos.

Confidencialidad

Protección
de datos

Integridad Disponibilidad
Figura 2-1: La tríada C-I-D.
 02

Para proteger la confidencialidad de los datos, muchas de las políticas

laborales de seguridad y de privacidad suelen definir quién tiene acceso
a ciertos datos dentro de la organización, con qué fin y qué están
autorizados a hacer con ellos. Los controles técnicos para garantizar la
confidencialidad incluyen soluciones para la gestión de la identidad y el
acceso, el cifrado y la prevención de la fuga de datos.

Para proteger la integridad de los datos se pueden implementar diversas

soluciones técnicas en los formularios y las bases de datos, como la suma de
comprobación y la validación de la entrada de datos. Las firmas digitales
y el hashing utilizan tecnologías de cifrado para demostrar la autenticidad
de los datos o para verificar que los datos no hayan sido alterados. Fi-
nalmente, las soluciones antimalware protegen la integridad de los datos, y
potencialmente su confidencialidad y disponibilidad.

Para proteger la disponibilidad de los datos ante la destrucción accidental

(por ejemplo, su eliminación) o intencional (por ejemplo, un ataque de ran-
somware), se pueden implementar sistemas de backup y recuperación, así
como políticas de backup y retención.

Para que la seguridad de la información sea efectiva, es necesario que la

empresa se comprometa a mantener la confidencialidad, integridad y
disponibilidad de todos sus datos críticos, incluyendo los sistemas y las
aplicaciones que procesan y almacenan dichos datos.

Mediante un enfoque basado en el riesgo, las organizaciones pueden imple-

mentar los controles apropiados de modo de abordar las vulnerabilidades y
lograr un nivel aceptable de riesgo de los datos contra amenazas específi-
cas. Cuanto mayor sea el riesgo de los datos, mayores serán las medidas de
protección que deben implementarse. La gestión de riesgos de seguridad
está compuesta por cuatro fases clave:

1. 2. 3. 4.
Evaluación de Riesgos Tratamiento de Riesgos Aceptación de Riesgos Comunicación de Riesgos

Figura 2-2: Proceso básico de gestión de riesgos.

 03

Evaluación de riesgos
Existen muchas metodologías con diferentes niveles de costo y compleji-
dad, el proceso básico abarca:

• Identificación de los activos

La identificación de los activos tangibles e intangibles que requieren
protección, incluyendo el valor cuantitativo del activo (como el costo o la
contribución a los ingresos) y/o el valor cualitativo (como la importancia
relativa).

• Análisis de amenazas
El análisis de amenazas y definición de posibles circunstancias o eventos
naturales y/o artificiales adversos, el impacto o las consecuencias
potenciales, y la probabilidad y frecuencia de ocurrencia.

• Evaluación de vulnerabilidades
La evaluación de vulnerabilidades para determinar qué mecanismos de
protección de datos y/o controles están ausentes o son insuficientes en
un activo, lo que puede provocar que una amenaza sea potencialmente
más dañina, costosa, probable o frecuente.

Tratamiento de riesgos
La evaluación de riesgos proporciona la base para tomar las decisiones de
gestión necesarias de modo de hacer frente a riesgos específicos.

Las opciones incluyen:

• La mitigación de riesgos
Implementar políticas, controles y/u otras medidas para reducir el
impacto o la probabilidad de una amenaza específica contra un activo
concreto.

• La asignación (o transferencia) de riesgos

Transferir el riesgo potencial a un tercero, como una aseguradora, un
proveedor de servicios u otro agente que acepte explícitamente el
riesgo.

• La prevención de riesgos
Eliminar el riesgo por completo, por ejemplo, mejorando o eliminando el
activo, o cesando la actividad que introduce el riesgo.
 04

Aceptación de riesgos
Es la aprobación formal por parte de la dirección corporativa de las medidas
de tratamiento de riesgos que se implementan, y la aceptación de cualquier
riesgo residual (o remanente) que no se pueda mitigar, asignar o evitar de
manera adicional o práctica.

Comunicación de riesgos
Es necesario informar a las partes interesadas pertinentes sobre el trata-
miento de riesgos y/o las decisiones de aceptación de riesgos que se hayan
tomado, incluyendo sus roles y responsabilidades individuales respecto a
riesgos específicos.

Comparación de las opciones de

Implementación Local, Híbridas y en la Nube
Hoy en día, las empresas cuentan con muchas opciones para implementar
tecnologías: pueden hacerlo en forma local (directamente en las instala-
ciones de la empresa), en la nube, o pueden optar por una implementación
híbrida, donde algunos recursos son locales y otros se ubican en la nube.

No hace tanto tiempo atrás, la única opción de implementación para las

empresas era la local. Hasta las empresas más pequeñas muchas veces se
veían obligadas a comprar varios servidores costosos, que a menudo insta-
laban precariamente en algún lugar del edificio. Estos servidores requerían
administración y mantenimiento continuos, lo que significaba tener que
contratar personal o proveedores de TI adicionales. No solo hacía falta in-
stalar y administrar servidores, sino también equipos de red, como routers,
conmutadores y cableado. Al menos tenía que haber un firewall para pro-
teger la red interna “confiable” de la red externa, o Internet, “no confiable”.

La administración de una sala de servidores o de un centro de datos ubicados

dentro del edificio sigue siendo una opción viable para muchas empresas.
Pero a medida que la virtualización, la conectividad de red y las tecnologías
de computación en la nube se han vuelto más robustas y estables durante la
última década, muchas empresas ahora están trasladando algunos o todos
sus recursos de TI a la nube.

Pero, ¿qué es exactamente la nube? Casi todos los proveedores de tecnología

del mercado ofrecen algún tipo de servicio en la nube. Como la definición
 05

de “nube” a veces puede ser poco clara, primero vamos a definir algunos
elementos importantes de la nube según el Instituto Nacional de Estándares
y Tecnología de los Estados Unidos (NIST), que brinda información neutral
con respecto a los distintos proveedores. Según el NIST, los tres modelos de
servicios de computación en la nube son los siguientes:

Software como Servicio (SaaS)

El cliente recibe acceso a una aplicación que se ejecuta en una infraestruc-
tura ubicada en la nube; también puede acceder a la aplicación desde diver-
sos dispositivos e interfaces, pero no tiene conocimiento de la infraestruc-
tura subyacente en la nube, ni la administra ni la controla. El cliente puede
tener acceso a opciones limitadas de configuración para la aplicación que
sean específicas del usuario, y la seguridad de los datos del cliente sigue
siendo responsabilidad del cliente.

Plataforma como Servicio (PaaS)

El cliente puede implementar aplicaciones compatibles en la infraestructura
de la nube del proveedor, pero no tiene conocimiento de la infraestructura
subyacente en la nube, ni la administra ni la controla. El cliente tiene control
de las aplicaciones implementadas y de algunos ajustes de configuración
limitados para el entorno de alojamiento de aplicaciones. La empresa es
propietaria de las aplicaciones implementadas y de los datos y, por lo tanto,
es responsable de la seguridad de dichas aplicaciones y datos.

Los diferentes modelos de servicios en la nube (SaaS,

Infraestructura como Servicio (IaaS)
PaaS e IaaS) tienen diferentes implicaciones de seguridad
El cliente puede para los clientes.
aprovisionar Por ejemplo, laselofertas
el procesamiento, de SaaS, como
almacenamiento, las re-
Microsoft 36s5 y Salesforce, proporcionan seguridad
des y otros recursos informáticos, así como implementar y ejecutar siste-
de la infraestructura a través del proveedor en la nube,
mas operativos pero
y aplicaciones,
la seguridadpero no tiene conocimiento
y la autenticación de los datosdeson
la infrae-
structura subyacente en la nube,
responsabilidad delnicliente.
la administra ni la controla.de
Las responsabilidades El cliente
seguridad
tiene control sobre del cliente
los sistemas aumentan
operativos, el progresivamente
almacenamientoeny las las apli-
ofertas de PaaS e IaaS. Muchas soluciones en la nube
caciones implementadas, así como algunos componentes de red. La em-
dejan de enfocarse en la seguridad de la aplicación o la
presa es propietaria de las aplicaciones
infraestructura y en cambio implementadas
se centran en lay seguridad
de los datosde y,
por lo tanto, es responsable de lay seguridad
la autenticación la integridadde de
dichas aplicaciones y datos.
los datos.
 06

El NIST también define cuatro modelos de implementación de computación

en la nube:

Pública
Una infraestructura en la nube que está abierta al público. Es propiedad de
un tercero (o varios), que se encarga de su administración y operación, y
existe en las instalaciones del proveedor de la nube.

Privada
Una infraestructura en la nube utilizada exclusivamente por una sola or-
ganización. Puede ser propiedad de la organización o de un tercero (o una
combinación de ambos), que se encarga de su administración y operación, y
puede existir dentro o fuera de las instalaciones de la empresa.

Híbrida
Una infraestructura en la nube donde se combinan dos o más modelos de
implementación, unidos por tecnología patentada o estandarizada que per-
mite la portabilidad de datos y aplicaciones.

El viaje hacia la nube a menudo comienza como muchas nuevas iniciativas:

con aplicaciones y sistemas que no son productivos o críticos, por ejemp-
lo, un entorno de desarrollo o un sistema de backup. A medida que el viaje
continúa, muchas empresas comienzan a pasar sus aplicaciones existentes
a la nube y a implementar nuevas aplicaciones directamente en la nube. Fi-
nalmente, las organizaciones que priorizan la nube hacen un gran esfuerzo
por implementar la mayor cantidad posible de su entorno de TI en la nube y
desarrollar aplicaciones “nativas de la nube” para sus clientes.

Los muchos beneficios de la nube para las empresas incluyen:

Mayor agilidad y capacidad de respuesta

Puede acceder a aplicaciones y datos en la nube desde cualquier lugar, en
cualquier momento, con cualquier dispositivo.

Tiempo de comercialización más rápido

Puede desarrollar y entregar nuevos productos y servicios más rápidamente
en la nube con PaaS o recursos de IaaS fácilmente aprovisionados.
 07

Escalabilidad bajo demanda

Las licencias y/o la infraestructura de software adicional se pueden agregar
o quitar según sea necesario, lo que satisface las necesidades de las empre-
sas cíclicas y de rápido crecimiento que pueden no ser capaces de predecir
con precisión los cambios en el mercado y el crecimiento de la empresa.

Mayor estabilidad
La infraestructura en la nube generalmente se instala en centros de datos
robustos diseñados para ofrecer rendimiento, estabilidad y confiabilidad, y
es administrada por grandes equipos de personal de TI especializado.

Reducción de inversiones de capital

Puede implementar toda su infraestructura de TI en la nube y evitar costo-
sas inversiones de capital. La nube ofrece servicios de suscripción basados
en el pago por uso, que le permite presupuestar sus necesidades de TI como
un gasto operativo continuo y solo pagar por lo que realmente usa.

Mover sus aplicaciones y datos a la nube no elimina ni

transf iere su responsabilidad sobre la seguridad de sus
aplicaciones y datos. Aunque el proveedor de servicios en
la nube es responsable de ciertos aspectos del entor-
no, usted siempre será el responsable f inal de proteger
y asegurar sus aplicaciones y datos. Los proveedores
de servicios en la nube se ref ieren comúnmente a un
“modelo de responsabilidad compartida”, que muestra
claramente de qué son ellos responsables en la nube y de
qué es responsable usted, y en ningún momento el mod-
elo de responsabilidad compartida muestra al proveedor
de servicios en la nube como responsable de la seguridad
de sus datos.

 08

Consideraciones sobre la subcontratación

de proveedores de servicios de seguridad
gestionados
En el entorno actual donde los riesgos son cada vez mayores y las amenazas
más sofisticadas, lograr que los sistemas y las aplicaciones de TI se manten-
gan seguros, tengan los parches instalados, estén protegidos y cumplan con
las normativas constituye una tarea desafiante para las empresas de todos
los tamaños. Este desafío puede ser aún mayor para las PYME, dado que en
general cuentan con personal de TI y recursos de seguridad limitados. Mu-
chas PYME buscan la solución en los proveedores de servicios gestionados
(MSP). Los beneficios y el valor de un MSP para las PYME incluyen:

Mejor control sobre el presupuesto de TI

Los MSP ofrecen una cartera completa de productos y servicios en com-
paración con los recursos internos relativamente limitados de las PYME.
Al optar por contratar los servicios de un MSP, las PYME consiguen mayor
flexibilidad financiera y costos más predecibles. Además, con los planes de
facturación ajustables, tienen mejor control sobre su presupuesto de TI y
seguridad.

Asesor de confianza con conocimiento y experiencia

Las PYME pueden aprovechar el conocimiento exhaustivo y la amplia expe-
riencia del personal de TI y seguridad de los MSP.

Enfoque y visión de mercado

Los MSP que se especializan en seguridad tienen una mejor visión de las
soluciones de seguridad disponibles en el mercado y pueden proporcionar
ofertas de seguridad personalizadas para sus clientes.

Innovación
Los equipos de seguridad especializados de los MSP facilitan la adopción e
implementación de soluciones innovadoras, y ayudan a los clientes a man-
tenerse al día con los desarrollos actuales del mercado.

Preparación para el cambio

Los MSP les permiten a sus clientes agregar o eliminar cualquier software o
hardware de acuerdo con sus necesidades actuales sin tener que pasar por
el complejo proceso de adquisición, implementación y mantenimiento de
nuevos recursos de hardware y software.
 09

ESET es una empresa pionera en protección antivirus que nació hace más de 25 años
con la creación del multipremiado software para la detección de amenazas ESET
NOD32 Antivirus. Ahora, el objetivo de ESET es garantizar que todos puedan disfrutar
de las asombrosas oportunidades que ofrece la tecnología. Hoy, nuestras soluciones de
seguridad les permiten a las empr esas y a los consumidores en más de 180 países sacar
el mayor provecho del mundo digital.

© Copyright 1992-2019 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

www.eset.com/latam