¿Qué es el dato sensible?

Con la llegada de la transformación digital — impulsada por el aumento del trabajo remoto relacionado con la pandemia — las empresas ahora almacenan la mayoría de sus datos de forma digital. Aunque el cambio a almacenamiento de datos digitales es increíblemente conveniente y promueve una mayor colaboración y eficiencia, también ha abierto la puerta a un número sin precedentes de ciberataques y data breaches.

En los últimos años, diferentes países, estados e industrias han aprobado regulaciones de protección de datos cada vez más estrictas que rigen cómo las empresas manejan los datos sensibles.

Definición de datos sensibles

La gente a menudo usa los términos datos sensibles, datos personales y datos confidenciales de manera intercambiable. En un uso informal, los datos sensibles son cualquier información que no deseas que se divulgue. Sin embargo, cuando se trata de obligaciones legales, la definición de datos sensibles es más específica.

Los datos sensibles son una categoría especial de datos que requiere protección adicional debido a las consecuencias que puede tener su exposición. Si los datos sensibles se exponen, existe una alta probabilidad de daño financiero, personal o de reputación si caen en manos equivocadas. Comprender el significado de los datos sensibles es crucial para que las organizaciones aseguren la protección adecuada de la información personal y confidencial contra el acceso no autorizado.

Datos personales vs. Datos sensibles

La información personal es cualquier dato que se pueda utilizar para identificar a una persona. Información como nombres, direcciones o números de teléfono son datos personales. En algunos casos, tu correo electrónico puede considerarse dato personal — por ejemplo, si es tu.nombre@tuempresa.com. Los datos personales también pueden incluir información que alguien pueda usar para confirmar que estuviste en un lugar específico, como tus huellas dactilares o grabaciones tuyas en una cámara de seguridad.

La información sensible es un subconjunto de datos personales que pueden ser utilizados para dañar a una persona de alguna manera. Tu nombre es un dato personal, pero tu número de Seguridad Social es un dato sensible porque un actor malicioso podría usarlo para robar tu identidad. No todos los datos personales son sensibles.

Tipos de datos sensibles

Por lo general, los datos sensibles no están disponibles públicamente y pertenecen a una de varias categorías de alto riesgo. Algunos ejemplos de datos personales sensibles incluyen:

Datos financieros

La información relacionada con el estado financiero de una persona o entidad se considera datos sensibles. Esto incluye:

• Números de cuenta bancaria
• Información de tarjetas de crédito y débito
• Historial crediticio
• Declaraciones fiscales

Las empresas que aceptan, procesan, transmiten o almacenan información de tarjetas de pago deben cumplir con el Payment Card Industry Data Security Standard (PCI DSS). Exige prácticas de gestión de seguridad sólidas para proteger los datos de los titulares de tarjetas.

Datos personales

Los datos personales, también conocidos como Información Personal Identificable (PII), son cualquier información que pueda ser utilizada para identificar a un individuo específico. Regulaciones como el EU General Data Protection Regulation (GDPR) y el California Consumer Privacy Act (CCPA) protegen los datos personales. Aunque ambas regulaciones protegen los datos personales, los definen de manera ligeramente diferente.

• El GDPR define 'datos personales' como cualquier información relacionada con una persona natural identificada o identificable ('sujeto de datos'). Los datos personales pueden ser directos, como un nombre, un número de identificación, datos de ubicación o un identificador en línea. También pueden ser indirectos, como características físicas, información de salud o marcadores de identidad cultural o social.
• La CCPA tiene una definición mucho más amplia de datos personales. Incluye cualquier información que identifica, se relaciona con, describe, hace referencia, es capaz de asociarse con, o podría razonablemente vincularse, directa o indirectamente, con un consumidor o hogar en particular.

El GDPR se aplica a las empresas que manejan datos personales de cualquier ciudadano de la UE, mientras que el CCPA se aplica a las empresas que manejan datos de cualquier residente del estado de California. Ambas regulaciones prescriben medidas extensivas de protección de datos que las organizaciones deben seguir para prevenir el acceso no autorizado o violaciones.

Protected Health Information (PHI)

La Información de Salud Protegida (PHI) bajo la Health Insurance Portability and Accountability Act (HIPAA) se refiere a cualquier información sobre el estado de salud, la prestación de servicios de salud o el pago por servicios de salud que pueda vincularse a un individuo. Incluye una amplia gama de identificadores personales, así como información sobre la condición de salud física o mental pasada, presente o futura de una persona.

Los proveedores de servicios de salud, proveedores de seguros, intermediarios de salud y sus entidades comerciales deben seguir las directrices de HIPAA al manejar datos de pacientes. HIPAA incluye medidas estrictas sobre cómo se puede utilizar y divulgar la PHI.

Datos sensibles en riesgo

Los datos sensibles se encuentran en tipos de datos estructurados y no estructurados en diversas aplicaciones y sistemas de almacenamiento. El movimiento de datos es bastante limitado dentro de repositorios de datos estructurados como una base de datos de SQL server, lo que le brinda más control sobre cómo se transmite y se asegura. Sin embargo, los archivos almacenados en repositorios no estructurados como comparticiones de archivos y sitios de SharePoint tienden a moverse más libremente, lo que dificulta precisar exactamente dónde existen. Estos datos ocultos son más difíciles de controlar y asegurar.

Although the GDPR is the most widely discussed data privacy law, over 70% of countries have enacted data privacy regulations. Most of these regulations share a common goal of protecting sensitive personal data, but the specifics vary. This patchwork of regulations is forcing companies to take control of their sensitive data. To do this, they need to know where it is and what security measures have been implemented to reduce sensitive data exposure.

Las empresas pueden enfrentar consecuencias graves por no asegurar los datos sensibles. Bajo el GDPR, un incumplimiento especialmente grave puede resultar en sanciones de más de $20 millones o el 4% del volumen de negocios global anual, dependiendo de cuál valor sea mayor. Hasta la fecha, la multa más grande emitida fue a Meta, la empresa matriz de Facebook. Fue multada con $1.3 mil millones por no proteger adecuadamente los datos de ciudadanos de la UE que fueron transmitidos a EE. UU.

Asegurando datos sensibles

Para evitar multas asociadas con el incumplimiento, necesita encontrar y asegurar sus datos sensibles sin importar dónde se encuentren. Un inventario de data classification le ayudará a identificar y clasificar los datos basándose en su sensibilidad e importancia. Una vez hecho esto, necesitará mantener un inventario completo de todos sus activos de datos, incluyendo dónde están almacenados, quién tiene acceso a ellos y cómo se utilizan.

Saber dónde se almacenan tus datos es el primer paso para el cumplimiento, pero también necesitarás asegurarte de tener los controles adecuados para prevenir el acceso no autorizado. Las empresas también necesitan estar conscientes de y evitar recolectar más datos de los necesarios, además de limitar el crecimiento de los datos eliminando la información innecesaria. No tienes que asegurar datos que no recolectas.

Cómo Netwrix puede ayudar

Netwrix ofrece una plataforma poderosa para ayudarlo a gobernar el acceso a todos sus datos sensibles, aplicaciones y sistemas. Con más de 40 módulos de recolección de datos integrados que identifican datos tanto en sistemas basados en la nube como en las instalaciones, puede mantener el control de sus activos de datos sin importar dónde estén almacenados. No tiene que preocuparse por pasar por alto datos sensibles en formatos no estructurados.

Netwrix’s Access Analyzer puede ayudarte a reducir el riesgo de violaciones de datos y pasar auditorías de cumplimiento fácilmente. Puedes identificar proactivamente brechas en tu postura de seguridad como permisos excesivos de usuarios y cuentas deshabilitadas que los actores maliciosos podrían explotar. El Access Analyzer remediará automáticamente las amenazas eliminando cuentas inactivas y revocando permisos excesivos.

By following the principle of least privilege, you can monitor who is accessing your data and for what purposes. Quickly revoke unnecessary privileges to tighten your data security. Reach out today to request a free trial.

FAQ

¿Qué se considera datos sensibles?

Los datos sensibles incluyen un rango de información que requiere protección adicional debido a su potencial de mal uso. Ejemplos de datos personales sensibles incluyen registros de salud o información financiera como detalles de cuentas bancarias, números de tarjetas de crédito y números de Seguro Social. También incluye datos biométricos, como huellas dactilares y reconocimiento facial, números de identificación personal de licencias de conducir y pasaportes, e información comercial confidencial. La información sobre origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, y orientación e identidad sexual también se considera datos sensibles. Proteger estos datos es crucial para prevenir el mal uso, el robo de identidad y la discriminación.

What is not considered sensitive data?

Los datos no sensibles incluyen información de dominio público, como nombres sin detalles identificativos adicionales, títulos de trabajo genéricos, información de contacto de negocios y datos anonimizados donde se han eliminado los identificadores personales. Este tipo de datos presenta un riesgo mínimo si se expone y, por lo general, no necesita medidas de protección especiales.

¿Qué información se considera sensible?

Los datos sensibles se caracterizan por su potencial para causar un daño significativo si se exponen, incluyendo el robo de identidad, pérdidas financieras o discriminación. Generalmente incluyen información personal identificable que puede identificar a un individuo directa o indirectamente. Estos datos a menudo se relacionan con la salud personal, el estado financiero, identificadores biométricos o operaciones comerciales confidenciales. Estos datos necesitan estar asegurados para proteger la privacidad y la seguridad y para cumplir con las regulaciones de protección de datos. Los datos sensibles también requieren a menudo un consentimiento explícito para su recolección y procesamiento debido a su naturaleza inherentemente privada.

¿Cuáles son los tres tipos de datos sensibles?

Los tres tipos principales de datos sensibles son la Información Personal Identificable (PII), la Información de Salud Protegida (PHI) y la información financiera. La PII incluye datos que pueden identificar a una persona, como nombres y números de Seguridad Social. La PHI abarca datos médicos y relacionados con la salud. La información financiera implica detalles bancarios, números de tarjetas de crédito y transacciones financieras.