Wiz
Todos los artículos

Explicación del cumplimiento de la seguridad de los datos

Shaked Rotlevi
Hoja de Trucos de Seguridad de DatosDescargar la hoja de trucos de Kubernetes

¿Qué es el cumplimiento de la seguridad de los datos?

El cumplimiento de la seguridad de los datos es un aspecto crítico de la gobernanza de datos que implica el cumplimiento de las normas y reglamentos centrados en la seguridad establecidos por los organismos supervisores y reguladores, incluidas las agencias federales. Estas normas y reglamentos abarcan un amplio espectro de la seguridad de los datos, incluidas las medidas de seguridad técnicas y organizativas, las herramientas y soluciones de seguridad de los datos, y las técnicas y estrategias de prevención de violaciones de datos.

The Data Security Best Practices [Cheat Sheet]

No time to sift through lengthy guides? Our Data Security Best Practices Cheat Sheet condenses expert-recommended tips into a handy, easy-to-use format. Get clear, actionable advice to secure your cloud data in minutes.

Download cheat sheet

Cumplimiento de datos frente a cumplimiento de seguridad de datos

Muchas personas confunden el cumplimiento de la seguridad de datos con el cumplimiento de datos. Si bien los principios fundamentales de ambas áreas de cumplimiento regulatorio son los mismos, existen distinciones importantes. Es importante recordar que el cumplimiento de la seguridad de los datos es un componente del cumplimiento de los datos. 

El cumplimiento de datos incluye leyes y regulaciones que abarcan todo el ciclo de vida de los datos. Esto incluye la ingesta, el almacenamiento, la administración, la administración, la capacidad de detección y la transparencia. En resumen, las regulaciones de cumplimiento de datos cubren qué datos poseen las empresas, de dónde obtienen esos datos y qué hacen con ellos. 

Por otro lado, el cumplimiento de la seguridad de los datos se centra en la seguridad. Si bien otros aspectos del cumplimiento también están relacionados con la seguridad, estas leyes y regulaciones analizan específicamente qué tan bien las empresas protegen sus datos y, por extensión, a los clientes y colaboradores que comparten datos valiosos y confidenciales con ellos.

¿Por qué el cumplimiento de la seguridad de los datos es importante para la empresa?

Según El de IBM Costo de un informe de violación de datos 2023, el incumplimiento de las regulaciones de cumplimiento fue uno de los mayores amplificadores de los costos de violación de datos. Otro factor influyente en el cumplimiento de la seguridad de los datos es si las empresas operan en entornos con altos o bajos niveles de regulaciones. En regiones y sectores de baja regulación, las empresas resuelven el 64% de los costos de cumplimiento dentro del primer año después de una violación de datos. Sin embargo, en entornos de alta regulación, los costes aumentan un 58% después del primer año.

Ahora echemos un vistazo a 6 razones críticas por las que el cumplimiento de la seguridad de los datos es de una importancia incomparable:

  • Panorama de amenazas en evolución: El panorama de amenazas nunca ha sido más peligroso. Según El Independiente, los actores de amenazas causaron más de 290 millones de fugas de datos en 2023, y las violaciones de datos afectaron a más de 364 millones de personas. Las tendencias y trayectorias sugieren que la ciberdelincuencia seguirá aumentando a un ritmo asombroso. El objetivo principal de los ciberdelincuentes son casi siempre los datos empresariales, lo que hace que el cumplimiento de la seguridad de los datos sea cada vez más complejo y desafiante.

Academia Wiz

Data Leakage: riesgos, causas y prevención

Leer más

  • Cumplimiento de la nube: La mayoría de las empresas operan en entornos complejos de nube. Algunas empresas alojan entornos en la nube por su cuenta, mientras que otras utilizan ofertas de IaaS, PaaS y SaaS de terceros de proveedores como AWS, GCP, Azure y Alibaba. Desde el punto de vista del cumplimiento de la seguridad de los datos, el principal reto radica en identificar las complejidades del modelo de responsabilidad compartida. (El modelo de responsabilidad compartida Destaca qué responsabilidades de seguridad de datos recaen en el proveedor de la nube). Además, las empresas que utilizan servicios de diferentes proveedores de servicios en la nube pueden tener que navegar por múltiples aspectos relacionados con la seguridad de los datos Cumplimiento de la nube Desafíos.

Figure 1: The AWS Shared Responsibility Model

  • Nuevas leyes y reglamentos: Ya es bastante difícil para las empresas cumplir con las regulaciones de cumplimiento existentes. Ahora, debido al aumento de la ciberdelincuencia y a la miríada de catástrofes de cumplimiento específicas de la industria, los reguladores están pasando a la ofensiva e implementando nuevas reglas. Las organizaciones deben comprender cuándo comienzan a aplicarse nuevas reglas, cómo se superponen con las reglas existentes y qué medidas de seguridad de datos deben implementar para satisfacer las crecientes necesidades de cumplimiento.

  • Ecosistemas de datos complejos: La complejidad de los ecosistemas de datos depende de la escala, el sector y los objetivos generales de la empresa. Dado que las empresas están tratando de desbloquear y utilizar sus datos de nuevas maneras, los ecosistemas de datos son cada vez más complejos y enrevesados. En los ecosistemas de datos complejos, hay un mayor porcentaje de Datos de sombra, que son datos que quedan fuera de la visibilidad y la administración de los departamentos de TI y seguridad. Los ecosistemas de datos complejos pueden ser una poderosa plataforma de lanzamiento para los proyectos de datos de una organización, pero también exigen un mayor cumplimiento de la seguridad de los datos.

  • Iniciativas de DevOps: La mayoría de las empresas adoptan modelos y metodologías operativas ágiles y aceleradas. Los desarrolladores impulsan los ciclos de vida de desarrollo de software (SDLC) a toda marcha, aumentando la velocidad con la que aprovechan los datos. El desarrollo y la implementación de aplicaciones a velocidad y escala pueden comprometer la seguridad de los datos y restar prioridad al cumplimiento normativo.

  • Proyectos internacionales de datos: A medida que las fronteras se difuminan en el mundo de los negocios, surgen nuevos desafíos de cumplimiento de la seguridad de los datos. Por ejemplo, considere los problemas de cumplimiento de la seguridad de datos de una empresa con sede en Europa con clientes principalmente europeos que aloja sus datos en centros de datos con sede en EE. UU. En un caso como este, la empresa tiene que navegar por las diferentes regulaciones de seguridad de datos superpuestas y, a veces, contradictorias de varios países, cada uno con su enfoque único de la seguridad de los datos. Además, las tensiones geopolíticas y los eventos políticos sísmicos pueden tener un impacto importante en el cumplimiento de la seguridad de los datos para los proyectos de datos internacionales.

    • Ejemplo de la vida real: En abril de 2023, la Comisión Irlandesa de Protección de Datos (DPC) multó Meta 1.300 millones de dólares para transferir los datos de personas con sede en la UE a servidores con sede en Estados Unidos. 

8 Regulaciones y estándares de seguridad de datos

Las siguientes son 10 regulaciones importantes, estándares de la industria y marcos de cumplimiento a tener en cuenta: 

  1. RGPD: El Reglamento General de Protección de Datos (RGPD) es una legislación de la UE centrada en la privacidad de la información.

  2. SOX: La Ley Sarbanes-Oxley (SOX) es una ley de los Estados Unidos. Ley Federal de Información Financiera.

  3. PCI-DSS: El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) es un conjunto de estándares de seguridad de la información para EE. UU. información de la tarjeta de crédito. Los fallos de cumplimiento de PCI-DSS pueden costar a las empresas entre 5.000 y 100.000 dólares al mes.

  4. CCPA: La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) es un estatuto estatal para mejorar y garantizar la protección del consumidor.

  5. HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) es un conjunto de normas nacionales para proteger a los EE. UU. información sanitaria. 

  6. FISMA: La Ley Federal de Modernización de la Seguridad de la Información (FISMA, por sus siglas en inglés) es una legislación que incluye marcos para proteger la seguridad de los EE. UU. datos gubernamentales.

  7. PIPEDA: La Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) es una ley canadiense centrada en la privacidad de la información.

  8. ISO/IEC: Las normas de la Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC) son un conjunto de normas mundiales para garantizar la seguridad de la información y optimizar los sistemas de gestión de la seguridad. 

Academia Wiz

10 Cloud Security Standards Explained: ISO, NIST, CSA, and More

Leer más

Pasos prácticos para lograr el cumplimiento de la seguridad de los datos

1. Comprender los requisitos normativos

Example of a data security compliance assessment against PCI DSS v4 requirements

  • Identificar las normativas aplicables: En función de su sector de actividad y ubicación, identifique las normativas pertinentes (por ejemplo, GDPR, HIPAA, CCPA, PCI DSS) que dictan cómo se deben manejar los datos.

  • Regulaciones específicas de la IA: Si se utilizan sistemas de IA, considere la posibilidad de establecer normativas específicas de IA, como las que abordan la equidad, la transparencia y el sesgo en la toma de decisiones impulsada por la IA. La Ley de Inteligencia Artificial de la UE es un ejemplo, que exige el uso responsable de los datos para los modelos de IA.

  • Alinearse con los marcos de seguridad: Adopte marcos reconocidos como ISO 27001, NIST Cybersecurity Framework o SOC 2 para estandarizar su enfoque del cumplimiento de la seguridad de los datos.

2. Obtenga visibilidad de los datos 

Example of the level of visibility you should aim for into your data security

  • Descubrimiento de datos: Comience por usar Herramientas de descubrimiento de datos para identificar y mapear todos los datos confidenciales y regulados dentro de su organización. Comprender dónde residen sus datos es un primer paso crucial en los esfuerzos de cumplimiento.

  • Conjuntos de datos de IA: Incluya los datos utilizados para los modelos de IA en el proceso de detección. A menudo, los sistemas de IA se basan en amplios conjuntos de datos para el entrenamiento y la validación, que pueden contener información confidencial.

  • Automatizado Clasificación de datos: Implemente herramientas que clasifiquen automáticamente los datos en función de la confidencialidad (por ejemplo, PII, datos financieros). Esta clasificación ayuda a administrar el cumplimiento al garantizar que pueda identificar y proteger inmediatamente los datos confidenciales.

  • Visibilidad continua: Implementar soluciones como Gestión de la postura de seguridad de los datos (DSPM) para mantener una visibilidad continua de su entorno de datos, incluidos los conjuntos de datos de entrenamiento de IA y los flujos de datos operativos.

3. Catalogar y administrar datos

  • Implementación del catálogo de datos: Establecer un Catálogo de datos para crear un inventario de todos los activos de datos. Este catálogo debe proporcionar un índice organizado y con capacidad de búsqueda de conjuntos de datos, incluida la información confidencial y los datos específicos de la IA utilizados en el entrenamiento de modelos o la toma de decisiones.

  • Gestión de metadatos: Utilice la administración de metadatos para realizar un seguimiento de los datos'reglas de origen, uso y gobernanza, especialmente para los conjuntos de datos que alimentan modelos de IA. Asegurarse de saber de dónde provienen los datos y cómo se procesan es esencial para el cumplimiento normativo.

  • Etiquetar datos confidenciales: Aplique las etiquetas adecuadas a los datos en función de su confidencialidad y requisitos normativos. Este etiquetado debe abarcar tanto los datos tradicionales como los conjuntos de datos utilizados en los flujos de trabajo de IA.

  • Actualizaciones automatizadas: Asegúrese de que el catálogo de datos esté Actualizado dinámicamente a medida que nuevos datos ingresan al sistema o se modifican. Para las aplicaciones de IA, esto significa mantener un registro actualizado de todos los conjuntos de datos, entradas y salidas.

4. Seguimiento del linaje y la trazabilidad de los datos

  • Seguimiento del linaje de datos: Realice un seguimiento de cómo se mueven los datos dentro de sus sistemas desde la recopilación hasta el procesamiento y el almacenamiento. Esto es esencial para demostrar el cumplimiento y auditar los modelos de IA, ya que permite mostrar cómo se toman las decisiones impulsadas por la IA.

  • Trazabilidad de la IA: Asegúrese de que los modelos de IA y sus conjuntos de datos sean totalmente trazables, especialmente cuando se utilizan en sectores críticos para el cumplimiento, como las finanzas o la sanidad.

5. Implemente un cifrado de datos y controles de acceso sólidos

  • Encriptación: Cifre los datos tanto en reposo como en tránsito. En el caso de las aplicaciones de IA, asegúrese de que los datos de entrenamiento y las salidas que contengan información confidencial también estén cifrados.

  • Control de acceso:Instrumento control de acceso basado en roles (RBAC) y Acceso con privilegios mínimos para limitar quién puede acceder a datos confidenciales. En el caso de los sistemas de IA, asegúrese de que solo el personal autorizado pueda acceder a los datos, modelos y resultados de entrenamiento.

  • Autenticación multifactor (MFA): Utilice MFA para acceder a los sistemas que manejan datos confidenciales, incluidas las herramientas de IA o los entornos donde se entrenan los modelos.

6. Garantice la minimización y el anonimato de los datos

  • Minimización de datos: Recopile y almacene solo la cantidad mínima de datos necesarios para sus operaciones. Este principio también se aplica al entrenamiento de modelos de IA: utilice datos sintéticos o datos anónimos siempre que sea posible para minimizar los riesgos de privacidad.

  • Anonimización y seudonimización: Aplicar técnicas de anonimización para eliminar la información de identificación personal (PII) de los conjuntos de datos utilizados en el entrenamiento de IA u otros procesos de datos, garantizando el cumplimiento de las leyes de privacidad.

7. Implemente controles de seguridad específicos de la IA

  • Modelos de IA seguros: Los modelos de IA pueden ser vulnerables a Ataques adversarios, donde las entradas maliciosas hacen que los modelos tomen decisiones incorrectas. Implementar medidas de seguridad para detectar y prevenir estos ataques.

  • Protección contra envenenamiento de datos: Asegúrese de que los conjuntos de datos utilizados para entrenar modelos de IA estén protegidos y supervisados para evitar Ataques de envenenamiento de datos que pueden comprometer los resultados de la IA y provocar incumplimientos.

  • Gobernanza y explicabilidad del modelo: Garantizar que los modelos de IA utilizados en áreas sensibles, como la atención sanitaria o las finanzas, cuenten con mecanismos de explicabilidad y auditabilidad para mantener la confianza y el cumplimiento de las normas normativas.

Blog de Wiz

38TB of data accidentally exposed by Microsoft AI researchers

Leer más

8. Continuamente Supervise el riesgo y audite la actividad de los datos

  • Implementar el monitoreo continuo: Supervise el acceso, el movimiento y el uso de datos en todos los sistemas en tiempo real. Utilice soluciones nativas de la nube, como DSPM, para obtener visibilidad de los flujos de datos, incluidos los que implican canalizaciones de datos de IA.

  • Auditar modelos de IA: Auditar periódicamente los sistemas de IA, garantizando la integridad de los modelos y los datos en los que se basan. Incluya auditorías de los datos de entrenamiento para garantizar que cumplan con los estándares de seguridad y cumplimiento.

  • Registro de datos: Mantener registros detallados del acceso y uso de los datos. En el caso de la IA, asegúrese de que se conserven registros de quién accedió a los conjuntos de datos de entrenamiento, qué modelos se entrenaron con qué conjuntos de datos y qué decisiones o resultados se generaron.

  • Plan de respuesta a incidentes: Tener un Plan de respuesta a incidentes para hacer frente a las violaciones de datos, incluidas las violaciones de datos específicas de la IA. Asegúrese de que el plan incluya roles, responsabilidades y estrategias de comunicación.

Blog de Wiz

Why data security capabilities should be integrated with CNAPP

Leer más

Cómo Wiz puede ayudar con el cumplimiento de la seguridad de datos

Wiz can detect sensitive and remove attack paths to sensitive training data in AI pipelines

La solución DSPM de Wiz Permite a las empresas realizar análisis sin agentes de todo su panorama de datos, priorizar los riesgos de los datos en función de contextos profundos e intrincados y evitar la exposición de los datos abordando las combinaciones tóxicas y las rutas de ataque. Wiz amplía sus capacidades DSPM para abarcar los datos de IA, que es uno de los requisitos de seguridad más importantes en el mundo actual impulsado por la IA. 

Con Amplia cobertura de nubes y compatibilidad con innumerables plataformas y tecnologías en la nube, Wiz es la herramienta definitiva para la seguridad de datos integral y unificada. Con la herramienta DSPM de Wiz, puede seguir y cumplir fácilmente las leyes de privacidad y seguridad de datos más complejas y desafiantes. 

Obtener una demostración hoy para ver cómo Wiz puede proteger sus datos y garantizar el cumplimiento.

Protect your most critical cloud data

Learn why CISOs at the fastest companies choose Wiz to secure their cloud environments.

Para obtener información sobre cómo Wiz maneja sus datos personales, consulte nuestra Política de privacidad.