Las lecciones de protección de datos aprendidas en los últimos 10 años han subrayado la importancia de proteger la información de identificación personal (PII) una y otra vez.

Se han perdido casi 4 mil millones de registros en las 15 violaciones de datos más grandes de la historia, 10 de las cuales ocurrieron en la última década. Cuando ocurren estas infracciones, las empresas se enfrentan a algo más que un éxito en su reputación de marca: también pueden traducirse en multas y sanciones equivalentes a millones o incluso miles de millones de dólares.

Debido a que la seguridad de la PII continúa creciendo en complejidad, los gobiernos extienden continuamente los derechos de las personas para controlar y proteger mejor el uso de sus datos personales. En la Unión Europea, la aplicación del Reglamento General de Protección de Datos (GPDR) empezó en mayo de 2018 para regular la protección de datos y la privacidad.

Mientras tanto, en los Estados Unidos, un proyecto de ley destinado a imponer sanciones por infracciones de seguridad cibernética que ponen en riesgo los datos confidenciales de los consumidores, la Ley de Prevención y Compensación de Incumplimiento de Datos se está abriendo camino en el Congreso y varios estados ya tienen sus propias leyes de infracción de datos de seguridad similares al GPDR.

La reciente ley de Nueva York, Stop Hacks and Calculate Electronic Data Security Act (SHIELD Act), que se implementó para ampliar la seguridad de los datos y los requisitos de notificación de incumplimiento, amplió la definición de los tipos de información privada a proteger. Por ejemplo, SHIELD agregó elementos de datos o una combinación de elementos de datos que otorgarían acceso a la PII de alguien y a los tipos de información protegida.

Además, las direcciones de correo electrónico, las contraseñas de correo electrónico y la información biométrica (copias digitales de huellas digitales, impresiones de voz, escaneos de retina o cualquier otra representación digital de datos biométricos) se incluyen en la definición ampliada de los tipos de información privada según la Ley SHIELD.

A medida que se siguen promulgando más leyes de privacidad en todo el mundo, está claro que las empresas ahora tienen la obligación legal de proteger los datos del consumidor, y con multas de hasta el 4% de los ingresos globales anuales (en el caso de GDPR), es una obligación que ninguna empresa puede permitirse ignorar.  El Instituto Nacional de Estándares y Tecnología (NIST) sugiere que la PII debe protegerse mediante una combinación de medidas que incluyen salvaguardas operacionales, salvaguardas específicas de privacidad y controles de seguridad alineados con un enfoque basado en el riesgo.

La gestión del acceso privilegiado tiene un papel clave que desempeñar en la protección de la PII dónde destacan los siguientes elementos:

Aplicación de acceso y separación de deberes

Las organizaciones deben controlar el acceso a la PII a través de políticas y mecanismos de aplicación de acceso. Una de las formas en que esto se puede hacer es mediante la administración de políticas de credenciales privilegiadas en todo el entorno de TI, aislando las sesiones a través de un proxy altamente seguro e implementando un control de acceso basado en roles para ayudar a garantizar que cada usuario solo pueda acceder a los sistemas y datos necesarios para su Rol específico.

Las soluciones de administración de acceso privilegiado escanean continuamente el entorno para detectar el acceso privilegiado, validar el privilegio agregando cuentas descubiertas a una cola pendiente y automáticamente rotar e incorporar cuentas y credenciales basadas en la política empresarial en una bóveda altamente cifrada.

El uso de un proxy seguro y completamente aislado ayuda a evitar la exposición de credenciales privilegiadas directamente a los usuarios finales, sus aplicaciones o dispositivos de destino. Este punto de control seguro administra el acceso a estas credenciales privilegiadas e implementa un control dual para un flujo de trabajo más robusto, brindando a los usuarios flujos de trabajo de aprobación personalizados que aseguran que cumplen con los requisitos y se les permite acceder a los sistemas que alojan PII, sin importar el entorno (nube o híbrido).

Colaboración basada en el usuario e intercambio de información

Otra directriz del NIST se centra en la necesidad de mecanismos automatizados para ayudar a los usuarios a determinar si las autorizaciones de acceso coinciden con las restricciones de acceso. Esto es especialmente importante para la PII. Las soluciones de administración de acceso privilegiado pueden integrarse con las soluciones de administración de servicios de TI para hacer cumplir las políticas de seguridad de una manera operacionalmente eficiente. Lo hacen activando los procesos de aprobación que autorizan el acceso a sistemas y aplicaciones que contienen PII y elevan los privilegios para ejecutar tareas dentro de un sistema o aplicación.

Acceso remoto

Para realizar sus tareas definidas, las organizaciones a menudo otorgan a terceros acceso a sistemas internos críticos e información confidencial, incluida la PII. Proporcionar acceso remoto a través de VPN es una solución común y valiosa para una conexión segura desde fuera de la red. Sin embargo, cuando se trata de proporcionar acceso a sistemas y aplicaciones empresariales críticos, como los que administran y almacenan PII, las VPN no están diseñadas para proporcionar acceso granular basado en roles.

Las soluciones de acceso remoto tienen como objetivo resolver este problema aprovechando el acceso a Zero Trust, la autenticación biométrica multifactor y el aprovisionamiento justo a tiempo para que terceros solo tengan acceso a los sistemas que necesitan y solo durante el tiempo que lo necesiten.

Privilegios mínimos

Es una práctica recomendada común solo permitir el acceso a aplicaciones y máquinas a quienes realizan una tarea específica. Las soluciones de administración de acceso privilegiado ayudan a hacer cumplir los permisos de acceso definidos. Estas soluciones también son esenciales para hacer cumplir el principio de privilegio mínimo: que las personas solo tengan acceso a lo que necesitan para hacer su trabajo y solo por un cierto período de tiempo.

Las soluciones de administración de acceso privilegiado eliminan y administran los derechos de administrador local en estaciones de trabajo y servidores, aprueban aplicaciones para ejecutar y bloquear malware, incluido el ransomware. Las aplicaciones desconocidas pueden ejecutarse en 'modo restringido', lo que les impide acceder a recursos corporativos, datos confidenciales como PII o Internet.

Eventos auditables, revisiones, análisis e informes

Para que las empresas cumplan con múltiples regulaciones, deben demostrar que están administrando correctamente la PII para las auditorías. Las soluciones de administración de acceso privilegiado permiten a las empresas grabar y almacenar automáticamente sesiones privilegiadas dentro de un repositorio cifrado centralizado. Priorice la auditoría de sesiones grabadas y activas con reproducción de video que simplifica la revisión de la actividad más sospechosa.

Identificación y autenticación

Un paso crucial en un programa de seguridad sólido es la capacidad de identificar y autenticar a los usuarios antes de acceder a sistemas críticos y PII sensibles. Las soluciones de administración de acceso privilegiado ayudan a autenticar a los usuarios e iniciar sesión de forma transparente en las aplicaciones utilizando credenciales almacenadas y administradas en bóvedas altamente encriptadas.

Estas soluciones también pueden integrarse con cuentas de usuarios de soporte y grupos de usuarios cuyos detalles se almacenan externamente en directorios compatibles con LDAP y usan los Servicios de Federación de Active Directory (ADFS) para acceder a entornos con inicio de sesión único. Del mismo modo, el aprovechamiento de la autenticación multifactor (MFA) como parte de un programa general de administración de acceso privilegiado permite a las organizaciones agregar una capa adicional de protección, más allá de una contraseña, para proteger mejor los sistemas que contienen información confidencial.

A medida que las organizaciones continúan lidiando con regulaciones nuevas y emergentes, un programa de gestión de acceso privilegiado maduro puede desempeñar un papel clave para ayudar no solo a proteger la PII sensible y cumplir con estas directivas, sino también a continuar creando confianza en el consumidor.

Los atacantes han tenido mucho éxito (y rentabilidad) en los últimos 10 años, poniendo a prueba a muchas empresas y sus programas de seguridad. Al comenzar esta nueva década, es poco probable que los atacantes disminuyan su velocidad, pero existen herramientas y tecnologías para ayudar a limitar su éxito.

¿Quieres aprender más? Descubra cómo la administración de acceso privilegiado ayuda a cumplir con los controles NIST para la administración de acceso, auditoría y responsabilidad, e identificación y autenticación. O consulta el CyberArk Blueprint para obtener una guía simple y prescriptiva sobre cómo desarrollar programas eficaces y maduros de administración de acceso privilegiado.

Si necesitas ayuda adicional o tienes dudas, agenda con nosotros una sesión de consultoría breve, ya sea remota o presencial para identificar cómo podemos ayudarte a asegurar tus activos en esta situación de crisis.