Guía para Tipos de información sensible

Dominar la protección de datos: una guía completa para salvaguardar la información confidencial

¿Cuándo fue la última vez que compartiste un secreto? ¿Le dijiste a alguien de confianza que no lo compartiera con nadie o se lo contaste a alguien que vive para el chisme? En el mundo actual, impulsado por la tecnología, los datos sensibles son el secreto más importante. Empresas de diversos sectores participan en la recopilación, el procesamiento, el almacenamiento y el intercambio de diversos tipos de información relativa a clientes, proveedores y empleados. Dentro de esta vasta gama de datos se encuentran piezas cruciales de... información sensible que exigen una protección estricta contra acceso no autorizado y mal uso.

¿Qué se considera información sensible?

La información confidencial abarca cualquier dato que, de verse comprometido, podría provocar daños, pérdidas o acceso no autorizado. Esto incluye información personal identificable (IPI), datos financieros, propiedad intelectual, registros de salud, y otra información confidencial.

¿Por qué es importante proteger la información confidencial?

La importancia de proteger la información confidencial es fundamental, especialmente en la era digital actual, donde las filtraciones de datos son cada vez más frecuentes y representan riesgos significativos tanto para personas como para organizaciones. Considere lo siguiente:

Protección de la privacidad personal

La información confidencial a menudo incluye datos personales como nombres, direcciones, números de seguro social e historiales médicos. Proteger esta información es crucial para proteger la privacidad de las personas y... prevenir el robo de identidad, el fraude u otras formas de explotación. Las organizaciones tienen la responsabilidad de garantizar que los datos personales de las personas se manejen de forma segura y se utilicen únicamente para fines legítimos.

Confianza y reputación

A violación de datos El manejo inadecuado de información confidencial puede tener graves consecuencias para la reputación y la confiabilidad de una organización. Los clientes y las partes interesadas esperan que las organizaciones gestionen sus datos con cuidado e integridad. No hacerlo puede resultar en pérdida de confianza, abandono de clientes y daño a la imagen de marca de la organización, con repercusiones financieras y reputacionales a largo plazo.

Cumplimiento legal y regulatorio

Numerosas leyes y regulaciones rigen la recopilación, el almacenamiento y el uso de información confidencial, incluida la Reglamento general de protección de datos (RGPD), Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)y diversas regulaciones específicas del sector. El cumplimiento de estas regulaciones es obligatorio y su incumplimiento puede resultar en sanciones severas, multas, acciones legales y daños a la reputación.

Transparencia y rendición de cuentas empresarial

La protección de la información sensible promueve transparencia y rendición de cuentas Dentro de las organizaciones. Al implementar medidas sólidas de protección de datos, las organizaciones demuestran su compromiso con las prácticas comerciales éticas y la rendición de cuentas a las partes interesadas. Las prácticas transparentes en el manejo de datos también fomentan la confianza entre clientes, empleados y socios, fomentando relaciones más sólidas y la sostenibilidad a largo plazo.

¿Cómo se protegen los datos sensibles?

Sin importar la ubicación o la industria de su empresa, la protección de la información confidencial y el cumplimiento de las demandas regulatorias multifacéticas comienzan con descubrimiento integral de datosEsto implica mapear, inventariar y categorizar toda la información confidencial en un repositorio centralizado.

Estos son los pasos que deben seguir las organizaciones para proteger eficazmente todo tipo de información confidencial:

1. Identificar y clasificar datos confidenciales

El primer paso es realizar un inventario exhaustivo de todos los activos de datos y clasificarlos según su sensibilidad. Esto implica identificar información personal identificable (PII), datos financieros, propiedad intelectual, historiales médicos y cualquier otra información confidencial. Clasificar los datos ayuda a priorizar las medidas de protección según el nivel de riesgo asociado a cada categoría de datos.

2. Implementar controles de acceso

Limite el acceso a información confidencial mediante la implementación de controles de acceso estrictos. Esto incluye control de acceso basado en roles (RBAC), donde los permisos de acceso se otorgan según el rol o la función laboral de cada individuo dentro de la organización. Además, se aplica el principio de mínimo privilegio, otorgando a los usuarios solo el nivel mínimo de acceso necesario para realizar sus funciones.

3. Almacenamiento y transmisión seguros

Asegúrese de que datos sensibles Se almacena y transmite de forma segura. Utilice soluciones de almacenamiento de datos seguras, como bases de datos cifradas y sistemas de almacenamiento de archivos seguros, para proteger los datos en reposo. Emplee protocolos de comunicación seguros, como HTTPS y VPN, para cifrar datos durante la transmisión a través de redes, evitando la intercepción o escuchas por parte de actores maliciosos.

4. Actualice y aplique parches a los sistemas periódicamente

Mantenga el software, las aplicaciones y los sistemas actualizados con los últimos parches y actualizaciones de seguridad. Los ciberatacantes pueden aprovechar las vulnerabilidades del software obsoleto para obtener acceso no autorizado a información confidencial. La aplicación regular de parches en los sistemas ayuda a mitigar estos riesgos. fortalece la postura de seguridad de la organización.

5. Capacitar a los empleados sobre las mejores prácticas de seguridad

Capacite a sus empleados sobre seguridad y las mejores prácticas para el manejo de información confidencial. Capacite a sus empleados sobre cómo reconocer intentos de phishing, usar contraseñas seguras, almacenar y transmitir datos de forma segura, y reportar incidentes de seguridad o actividades sospechosas. Un equipo bien informado es esencial para mantener una sólida defensa contra las ciberamenazas.

6. Supervisar y auditar el acceso

Implemente mecanismos de monitoreo y auditoría para rastrear el acceso a datos confidenciales y detectar actividades sospechosas o no autorizadas. Supervise los registros de actividad de los usuarios, los intentos de acceso y las transferencias de datos para identificar posibles incidentes o brechas de seguridad. Realice auditorías y evaluaciones de seguridad periódicas para garantizar el cumplimiento de las políticas y normativas de seguridad.

7. Establecer procedimientos de respuesta a incidentes

Desarrollar y documentar procedimientos de respuesta a incidentes Para responder eficazmente a incidentes de seguridad o filtraciones de datos. Definir roles y responsabilidades, establecer canales de comunicación y delinear los pasos para contener, investigar y mitigar incidentes de seguridad. Elaborar planes de respuesta a incidentes y realizar simulacros o simulacros periódicos para evaluar la preparación de la organización para gestionar eficazmente los incidentes de seguridad.

8. Revise y actualice periódicamente las políticas de seguridad

Revise y actualice periódicamente las políticas, procedimientos y controles de seguridad para adaptarse a las amenazas en constante evolución y a los requisitos regulatorios. Asegúrese de que las políticas de seguridad sean integrales, se comuniquen claramente a los empleados y se apliquen de forma coherente en toda la organización. Evalúe y mejore periódicamente las medidas de seguridad en función de las amenazas emergentes, las mejores prácticas del sector y las lecciones aprendidas de los incidentes de seguridad.

Tipos de información sensible

Para explorar los diferentes tipos de información sensible que las distintas regulaciones definen y monitorean, comencemos con los conceptos básicos de PII y PIy luego explorar iteraciones más específicas, particularmente aquellas relevantes para ciertas verticales.

Luego exploraremos cómo se superponen estas regulaciones y cómo proteger la información confidencial en toda la empresa, sin importar cuál sea su industria u organización.

PII: Información de identificación personal

La Información de Identificación Personal (IIP) es cualquier información que pueda utilizarse para distinguir o rastrear la identidad de una persona, ya sea de forma individual o en combinación con otra información personal o de identificación. Estos datos son cruciales en diversos sectores para identificar, contactar o localizar a una persona y están sujetos a estrictas protecciones legales debido a su naturaleza sensible.

Proteger la información de identificación personal (PII) es crucial para proteger a las personas del robo de identidad, el fraude y otras intrusiones a la privacidad. El acceso no autorizado a la PII puede causar importantes daños personales y financieros.

¿Cómo ha evolucionado la información PII?

El concepto de información de identificación personal (PII) ha evolucionado con los avances tecnológicos y los cambios en las normas sociales. Inicialmente centrada en identificadores sencillos como nombres y números de seguro social, la definición de PII se ha ampliado para abarcar datos digitales y biométricos a medida que el panorama digital ha evolucionado. Los organismos reguladores siguen adaptando sus marcos para abordar los nuevos desafíos de privacidad y los avances tecnológicos.

Características clave de la información de identificación personal (PII)

Identificadores PII directos

• Nombre completo
• Número de Seguro Social (SSN)
• Número de licencia de conducir
• Número de pasaporte
• Dirección de correo electrónico
• Número de teléfono

Identificadores PII indirectos

Información que puede combinarse con otros datos para identificar a una persona. Algunos ejemplos incluyen:

• Fecha de nacimiento
• Género
• Código postal
• Dirección IP
• Datos biométricos (por ejemplo, huellas dactilares, datos de reconocimiento facial)

Marcos regulatorios que rigen la información de identificación personal (PII)

• Reglamento General de Protección de Datos (RGPD): Aplicable en la Unión Europea, el RGPD es una de las leyes de protección de datos más completas. Define los datos personales de forma amplia e incluye requisitos rigurosos para el manejo, procesamiento y almacenamiento de información de identificación personal (PII).
• Ley de Privacidad del Consumidor de California (CCPA): Esta ley estatal de EE. UU. otorga a los residentes de California derechos sobre su información personal, incluido el derecho a saber qué datos se recopilan, el derecho a eliminar datos y el derecho a optar por no vender datos.
• Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA): En EE. UU., la HIPAA regula la protección de la información personal identificable (PII) relacionada con la salud, garantizando que la información médica esté protegida.
• Directrices de la Comisión Federal de Comercio (FTC): La FTC hace cumplir las leyes de protección al consumidor en los EE. UU., incluidas aquellas relacionadas con la privacidad y seguridad de los datos.

PI: Información personal

La Información Personal (IP) se refiere a cualquier dato que pueda utilizarse para identificar, contactar o localizar a una persona, ya sea directa o indirectamente. Esta categoría es amplia y abarca una amplia gama de tipos de información, que pueden variar según el contexto y las definiciones legales específicas aplicables en las distintas jurisdicciones.

Proteger la información personal es esencial para prevenir el acceso no autorizado, que puede provocar robo de identidad, fraude financiero y otras violaciones de la privacidad. Garantizar la confidencialidad y la seguridad de la información personal contribuye a preservar la privacidad y la confianza de las personas.

¿Cómo han evolucionado los datos de PI?

La definición y el alcance de la información personal han evolucionado significativamente con los avances tecnológicos y los cambios en el marco regulatorio. Inicialmente centrado en identificadores obvios como nombres y números de seguro social, el concepto ahora incluye huellas digitales, datos biométricos y otros identificadores emergentes. Los organismos reguladores siguen adaptando sus definiciones y protecciones para abordar los nuevos desafíos de privacidad que plantea la innovación tecnológica.

Características clave de PI

Identificadores directos

Información que permite identificar directamente a una persona sin necesidad de datos adicionales. Algunos ejemplos son:

• Nombre completo
• Número de Seguro Social (SSN)
• Número de licencia de conducir
• Número de pasaporte
• Dirección de correo electrónico
• Número de teléfono

Identificadores indirectos

Información que, al combinarse con otros datos, permite identificar a una persona. Algunos ejemplos son:

• Fecha de nacimiento
• Género
• Código postal
• Dirección IP
• Identificadores de dispositivos
• Datos de geolocalización

SPI — Información personal sensible

Información Personal Sensible (IPS) bajo la próxima Ley de Derechos de Privacidad de California (CPRA) es un nuevo término definido que cubre datos relacionados con un individuo pero que no lo identifican directamente.y puede causar daño si se hace público. La SPI incluye información personal que revela:

• el número de seguro social, licencia de conducir, tarjeta de identificación estatal o pasaporte de un consumidor
• números de inicio de sesión de cuenta, cuenta financiera, tarjeta de débito o tarjeta de crédito en combinación con cualquier código de acceso o seguridad requerido,
• contraseña o credenciales que permiten el acceso a una cuenta
• geolocalización precisa
• origen racial o étnico, creencias religiosas o filosóficas o afiliación sindical
• el contenido del correo, correo electrónico y mensajes de texto de un consumidor, a menos que la empresa sea el destinatario previsto de la comunicación
• datos genéticos, incluidos
  • el procesamiento de información biométrica con el fin de identificar de forma única a un consumidor;
  • información personal recopilada y analizada sobre la salud de un consumidor; o
  • información personal recopilada y analizada sobre la vida sexual o la orientación sexual de un consumidor

NPI — Información personal no pública

La información personal no pública, o NPI, es un tipo de información confidencial creada y definida por Ley Gramm-Leach Bliley (GLBA), que regula específicamente las instituciones de servicios financieros.

La NPI no incluye información disponible públicamente y se define como “información financiera de identificación personal que es:

• proporcionado por un consumidor a una institución financiera
• resultantes de una transacción o servicio realizado para el consumidor, o
• de otro modo obtenidos por la institución financiera”.

La NPI puede incluir nombres, direcciones, números de teléfono, números de seguro social, números de cuentas bancarias y de tarjetas de crédito, compras con tarjeta de crédito o débito, registros judiciales de un informe del consumidor o cualquier otra información financiera del consumidor que:

• un consumidor proporciona a una institución financiera
• resultados de una transacción o servicio realizado para el consumidor
• se obtiene de otra manera por las instituciones financieras
• La NPI no incluye información que se haya puesto a disposición del público o se haya distribuido ampliamente en los medios de comunicación o en registros públicos del gobierno.

Las regulaciones relevantes para la información personal no pública incluyen: GLBA, NYDSF / NYCRR 500

MNPI — Información material no pública

Información material no pública, o MNPI, son datos relacionados con una empresa, sus participaciones y sus subsidiarias, que no se han difundido públicamente ni se han puesto a disposición de los inversores en general, y que podrían afectar el precio de las acciones de la empresa.

El reglamento tiene como objetivo supervisar y prevenir el tráfico de información privilegiada ilegal, impidiendo que quienes poseen información privilegiada la utilicen en su beneficio al negociar acciones u otros valores, o que la compartan con terceros que puedan utilizarla en su propio beneficio. Cuando la negociación implica el uso de información privilegiada, se considera ilegal, independientemente de si quien la utiliza es empleado de la empresa o no.

El uso o conocimiento de información privilegiada (MNPI) determina en parte la legalidad del uso de información privilegiada. Por lo tanto, si bien no todo uso de información privilegiada es ilegal —como cuando los empleados compran o venden acciones de su empresa y cumplen con los requisitos de registro y presentación del organismo regulador, la Comisión de Bolsa y Valores (SEC)—, cualquier operación que involucre información privilegiada (MPNI) es ilegal.

La parte "material" de la MNPI exige que la información sea lo suficientemente significativa como para influir en el valor de las acciones de la empresa. Si la información no afecta razonablemente el precio de las acciones, no se considera MNPI.

Los tipos de MNPI incluyen, entre otros:

• Información corporativa que proviene de la empresa afectada, o de agencias reguladoras externas, legisladores o instituciones financieras.
• informes de ganancias y otros registros financieros
• Próximas acciones o planes corporativos, como ofertas públicas iniciales (OPI), adquisiciones o divisiones de acciones
• resultados de los procedimientos judiciales
• Decisiones de agencias como la FDA

Las regulaciones relevantes para MNPI incluyen: el Ley de Valores y Ley de Intercambio de la Comisión de Bolsa y Valores — Reglamento FD (Divulgación Justa)

Información privada

La información privada es el conjunto de datos sensibles regulados por la Ley Stop Hacks and Improve Electronic Data Security (NY SHIELD) de Nueva York.

Escudo de Nueva York Se aplica a “cualquier persona o empresa que posea o licencie datos computarizados que incluyan información privada” de un residente de Nueva York, también conocidas como “empresas cubiertas”.

Información privada Amplía el concepto de «información personal», que era el tipo de datos originalmente regulado por la ley de violación de datos de Nueva York antes de la aparición de SHIELD. La ley de Nueva York definía la información personal como «cualquier información relativa a una persona física que, por su nombre, número, marca personal u otro identificador, pueda utilizarse para identificar a dicha persona física».

Para definir la información privada, la Ley SHIELD amplió esa definición para incluir “información personal que consiste en cualquier información en combinación con uno o más de los siguientes elementos de datos, cuando el elemento de datos o la combinación de información no está cifrada, o está cifrada con una clave de cifrado a la que también se ha accedido o adquirido”.

Los elementos de datos cubiertos son:

• Número de seguro social
• número de licencia de conducir o número de tarjeta de identificación de no conductor
• Información biométrica: o representación digital de las características físicas únicas de un individuo, como una huella dactilar, una huella de voz, una imagen de la retina o del iris u otra medición física única que pueda autenticar la identidad de un individuo.
• Número de cuenta o número de tarjeta de crédito/débito, ya sea en combinación con cualquier código de seguridad, código de acceso o contraseña requerido que permita el acceso, o sin dicha información de identificación adicional.

La información privada no incluye datos disponibles públicamente que estén legalmente disponibles en los registros gubernamentales a nivel federal, estatal o local.

La conclusión más importante es que la información privada incorpora una combinación de diferentes tipos de datos personales, como un nombre de usuario o un correo electrónico con una pregunta de seguridad o una contraseña.

PHI / ePHI — Información de salud protegida / Información de salud protegida electrónicamente

Información de salud protegida, o PHI, es un tipo de información confidencial regulada por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), una regulación estadounidense para proveedores de atención médica, planes y aseguradoras de salud, cámaras de compensación de atención médica o empresas asociadas con organizaciones de atención médica, también llamadas colectivamente "entidades cubiertas por HIPAA" o simplemente "entidades cubiertas".

La PHI es cualquier información médica que pueda identificar a una persona, o que se crea, utiliza o divulga durante la prestación de servicios de atención médica. Esto incluye información pasada, presente y futura sobre las condiciones médicas o físicas/mentales de las personas, tal como se encuentra en los historiales físicos, los historiales electrónicos e incluso en las conversaciones entre pacientes y profesionales clínicos.

Los registros médicos, historiales médicos, servicios de atención médica prestados, resultados de análisis o pruebas, recetas médicas, citas, formularios de pacientes, facturas médicas y registros de comunicación con proveedores o pacientes se consideran PHI. Cualquier información se considera PHI si se puede relacionar con una persona, incluso si se consideraría IP bajo una regulación diferente (por ejemplo, nombres, números de seguro social, fechas de nacimiento).

La PHI incluye 18 identificadores, cualquiera de los cuales se considera PHI si es manejado por una entidad cubierta:

• nombres
• fechas
• números de teléfono
• datos geográficos
• Números de fax
• números de seguridad social
• direcciones de correo electrónico
• números de historial médico
• números de cuenta
• números de beneficiarios del plan de salud
• números de certificado/licencia
• identificadores de vehículos y números de serie, incluidas las placas de matrícula
• URL web
• identificadores de dispositivos y números de serie
• direcciones de protocolo de Internet
• Fotografías de rostro completo e imágenes comparables
• identificadores biométricos
• cualquier número o código de identificación único

La PHI en archivos digitales se denomina Información Médica Protegida Electrónicamente (ePHI). La Norma de Seguridad de la HIPAA exige que las entidades cubiertas garanticen la santidad e integridad de la PHI con medidas de seguridad administrativas, técnicas y físicas.

Datos regulados, comerciales, confidenciales y de alto riesgo

Al adoptar una perspectiva más amplia de los datos sensibles que pueden poseer las organizaciones, las empresas deben considerar cómo tratan los datos regulados, los datos comerciales, los datos confidenciales y los datos de alto riesgo: las joyas de la corona de una organización.

Estas categorías pueden incluir información como propiedad intelectual (PI), incluyendo secretos comerciales, patentes, derechos de autor y marcas registradas. También pueden incluir datos financieros o de salud altamente sensibles, información personal que debe mantenerse confidencial y datos oscuros que pueden estar ocultos en silos, servidores ocultos o flujos de datos, y que representan un mayor riesgo de seguridad si se exponen.

Podrían ser datos sensibles específicos de la empresa, cruciales para ella, pero que tradicionalmente no se etiquetan como sensibles ni están regulados. O datos transaccionales cruciales para la lucha contra el blanqueo de capitales (AML), la identificación de clientes, etc.

Estos tipos de datos confidenciales a menudo se superponen con PI, PII, SPI, NPI, PHI y otras definiciones de datos, pero es posible que sea necesario clasificarlos, mapearlos y catalogarlos según permisos de acceso específicos o requisitos de informes, o etiquetarlos de manera personalizada para necesidades comerciales específicas.

Las empresas que cuentan con la capacidad de clasificar y correlacionar datos no solo por normativa, sino también según categorías de riesgo, principios de confidencialidad y otros elementos relevantes para su funcionamiento, pueden contextualizar, comprender y actuar mejor sobre sus datos. Esta visibilidad permite a las empresas:

• habilitar la puntuación de riesgos
• garantizar controles de acceso adecuados
• Poner en práctica los esfuerzos de minimización de datos y los flujos de trabajo de retención
• establecer estándares de calidad de datos y más.

Desde un punto de vista comercial, permitir una visibilidad completa de sus datos reducirá significativamente el riesgo, fortalecerá las protecciones contra el acceso no autorizado, generará información comercial significativa y, en última instancia, ayudará a liberar el valor de sus datos.

¿Qué es la información compartimentada sensible?

La Información Compartimentada Sensible (SCI) es un tipo de información clasificada utilizada por el gobierno de Estados Unidos y las agencias de inteligencia de algunos países. La SCI se refiere a información altamente sensible que requiere un manejo y protección especiales para evitar su divulgación no autorizada.

La información de la SCI se clasifica a un nivel superior al de la información de Alto Secreto y se divide en compartimentos según el nivel de sensibilidad y la necesidad de conocer a las personas autorizadas a acceder a ella. Cada compartimento se designa con una palabra clave que indica el nivel de sensibilidad y el tipo de información que contiene.

El acceso a la información de SCI está estrictamente controlado y limitado a personas con la autorización correspondiente y la necesidad de conocerla. Quienes están autorizados a acceder a la información de SCI deben someterse a exhaustivas verificaciones de antecedentes, autorizaciones de seguridad y capacitación periódica para garantizar el manejo seguro y la protección de la información confidencial.

Los ejemplos de información SCI incluyen informes de inteligencia, planes militares y otra información clasificada relacionada con la seguridad nacional o las relaciones exteriores.

Excepciones regulatorias por vertical y ubicación

Dependiendo del sector de una organización, esta puede ser responsable de cumplir con múltiples regulaciones y de rastrear qué datos sensibles están regulados por qué conjunto de normas y cuáles están sujetos a múltiples conjuntos de normas. Establecer este "diagrama de Venn" para prácticas regulatorias responsables requiere una funcionalidad sofisticada de clasificación de datos.

Por ejemplo, una empresa de préstamos hipotecarios que está sujeta tanto a GLBA como a CCPA (o la próxima CPRA) siempre deberá realizar un seguimiento minucioso de su NPI para el cumplimiento y la presentación de informes de la GLBA (así como de otras regulaciones financieras), pero descubrirá que su NPI está exento de los requisitos de la CCPA. Al mismo tiempo, los datos que la entidad hipotecaria recopila, procesa y almacena y que no se consideran NPI podrían estar sujetos a los requisitos de la CCPA para información personal sensible.

Por otro lado, una empresa de servicios de salud que opera en Francia, Brasil y varios estados de EE. UU., incluidos Nueva York y California, necesitará determinar y categorizar cuáles de sus datos están sujetos a PHI bajo HIPAA, PI bajo GDPR, LGPD, NY SHIELD y CCPA —y próximamente, SPI bajo CPRA— y procesarla adecuadamente para cumplir con los diversos estándares de información requeridos por cada una. Para complicar aún más la situación, las empresas que operan internacionalmente también deben tener en cuenta los requisitos de transferencia transfronteriza.

Las complicaciones que plantean múltiples regulaciones pueden generar un verdadero atolladero para los programas de gobernanza, seguridad y privacidad de datos si los datos de la empresa no están correctamente mapeados, etiquetados, catalogados y limpiados.

¿Existen datos sensibles que sean más vulnerables que otros?

• Información de identificación personal (PII): La información personal identificable (PII) suele ser el blanco de los ciberdelincuentes, ya que puede utilizarse para cometer robo de identidad, fraude financiero u otras actividades maliciosas. En particular, los números de la Seguridad Social y los números de tarjetas de crédito son muy buscados por los hackers.
• Información de salud: La información de salud se considera sensible porque puede usarse para identificar y atacar a individuos con condiciones médicas específicas, y también puede usarse para fraudes de seguros u otros tipos de estafas financieras.
• Información financiera: La información financiera es un objetivo prioritario para los ciberdelincuentes, ya que puede utilizarse para robar dinero, abrir cuentas de crédito o realizar compras fraudulentas. Los datos de cuentas bancarias, números de tarjetas de crédito e información fiscal son muy valiosos para los hackers.
• Propiedad intelectual: La propiedad intelectual, como secretos comerciales, códigos de software propietarios y patentes, a menudo son blanco del espionaje corporativo o de ciberdelincuentes que buscan robar información valiosa para obtener ganancias económicas.
• Información biométrica: La información biométrica, como las huellas dactilares, los datos de reconocimiento facial y los escaneos de iris, se considera altamente sensible porque no se puede cambiar, como una contraseña o un número de tarjeta de crédito. Una vez que esta información se ve comprometida, puede utilizarse para el robo de identidad u otras actividades maliciosas.

Pérdida de datos confidenciales: ¿Qué está en juego?

El riesgo de pérdida de datos confidenciales es significativo y puede tener graves consecuencias tanto para las personas como para las organizaciones. Estos son algunos de los posibles riesgos de pérdida de datos confidenciales:

• Robo de identidad: Datos confidenciales, como información personal y financiera, pueden usarse para robar la identidad de una persona, lo que permite a los piratas informáticos acceder a cuentas bancarias, abrir cuentas de crédito y realizar compras fraudulentas.
• Daño a la reputación: Si se pierden datos confidenciales de una organización o un individuo, puede dañar su reputación, lo que genera una pérdida de confianza entre clientes o socios.
• Consecuencias legales y regulatorias: Dependiendo del tipo de datos perdidos, las organizaciones y los individuos pueden estar sujetos a acciones legales o regulatorias, multas u otras sanciones por no proteger adecuadamente la información confidencial.
• Pérdidas financieras: La pérdida de datos confidenciales puede generar pérdidas financieras para personas y organizaciones, incluidos costos directos asociados con esfuerzos de remediación, honorarios legales y daños a la propiedad intelectual.
• Riesgos para la seguridad nacional: La pérdida de datos confidenciales también puede suponer riesgos para la seguridad nacional si la información que se pierde está relacionada con operaciones gubernamentales o militares.

BigID para todo tipo de datos confidenciales

No importa dónde opere su empresa o en qué industria se encuentre, cumplir con una compleja variedad de requisitos regulatorios comienza con un descubrimiento profundo de datos que mapea, inventaría y categoriza toda su información confidencial, todo en un solo lugar.

BigID descubrimiento y clasificación de datos va más allá de las técnicas de descubrimiento tradicionales, que solo ve un tipo de datos, y el descubrimiento de datos dirigido, que solo encuentra datos que ya conoce. Con el aprendizaje automático avanzado, puede proteger toda la información personal identificable (PII), información personal confidencial (PI), información de seguridad de datos (SPI), información no confidencial de terceros (NPI), información médica protegida (PHI) y más de su organización; saber qué datos están sujetos a cada regulación; mantener estándares de informes precisos; y lograr el cumplimiento normativo.

Aquí hay sólo algunas formas La plataforma de inteligencia de datos inigualable de BigID puede ayudar:

• Clasifique todos sus datos confidenciales —de todo tipo— para conocer su finalidad de uso, calidad, impactos de riesgo y más
• catalogar automáticamente datos confidenciales y metadatos en fuentes estructuradas, no estructuradas, en la nube, Big Data, NoSQL, de lagos de datos y en todos los niveles intermedios
• buscar, marcar y etiquetar datos relacionados
• Identificar automáticamente datos duplicados, derivados y similares

Programe una demostración para obtener más información sobre qué información confidencial necesita proteger su organización y cómo aprovechar al máximo sus datos.