“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Clasificación de datos: Una parte fundamental de la ciberseguridad
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Clasificación de datos: Una parte fundamental de la ciberseguridad
Conclusiones
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
La información digital es uno de los activos más valiosos en el mundo moderno. Por lo tanto, su protección es de suma importancia para todas aquellas empresas que manejan información personal, confidencial y sensible de sus usuarios.
Sigue leyendo y conoce más sobre la clasificación de datos y cómo esto ayuda a salvaguardar la valiosa información de la empresa y de sus usuarios.
¿Qué es la clasificación de datos?
La clasificación de datos es un proceso que consiste en asignar categorías a los datos que maneja una empresa, de acuerdo con el nivel de confidencialidad o sensibilidad que tienen para la misma.
La clasificación de datos tiene como objetivo principal proteger la información que es valiosa o crítica para la empresa, y así evitar que caiga en manos de personas no autorizadas o malintencionadas, que puedan usarla para fines ilícitos o perjudiciales.
Esta clasificación es importante porque ayuda a cumplir con las normativas legales que existen en materia de protección de datos y ciberseguridad, tales como las normativas GDPR, PCI, ISO, entre otros, que exigen a las empresas y organizaciones garantizar la confidencialidad, integridad y disponibilidad de los datos que se utilizan.
En la clasificación de datos existen dos elementos fundamentales, los cuales son: la autorización para el acceso a la información y las políticas de protección a ser utilizadas.
Determina quién debe tener autorización para acceder a la información
Es importante que establezcas los niveles de acceso y autenticación para los distintos tipos de datos según su grado de confidencialidad y sensibilidad. Por ejemplo, los datos más importantes y delicados solo deben estar disponibles para un número reducido de personas autorizadas, mientras que los datos públicos pueden ser accesibles más libremente.
Los niveles de acceso deben estar bien definidos y deben ser comunicados a los usuarios. Además, se debe controlar y auditar el acceso de manera periódica para prevenir posibles irregularidades como la fuga de datos.
Indica qué políticas de protección aplicar al almacenar la información y transferirla
Otro requerimiento fundamental es establecer las políticas de seguridad, las cuales incluyen medidas de ciberseguridad y cifrado que se deben usar con los datos de los usuarios cuando estos se guarden o compartan.
Las bases de datos confidenciales deben estar bien encriptados, mientras que los datos públicos pueden no necesitar encriptación, pero sí deben estar protegidos contra cambios no autorizados.
Estas políticas de seguridad deben estar de acuerdo con los estándares de ciberseguridad y las leyes y normativas de cumplimiento vigente.
Tipos de clasificación de datos
Los tipos de clasificación de datos o sistema de clasificación, son las categorías o etiquetas que se asignan a la información que se maneja en una organización, según su nivel de confidencialidad o sensibilidad, y que determinan las medidas para garantizar la seguridad de los datos.
Es importante destacar que los esquemas de clasificación no son únicos, y que empresas como Microsoft, Meta o Google podrían tener distintas clasificaciones internas. A continuación, te damos una de esas posibles clasificaciones:
Información pública
Es la información que no tiene ningún tipo de restricción para su acceso, difusión o uso, y que no causa ningún daño o perjuicio a la organización o a terceros si se revela.
Por ejemplo, la información que se publica en la página web oficial de una empresa o institución, o aquella que se comparte en redes sociales o medios de comunicación. La información pública no requiere de medidas de seguridad especiales, salvo las que garanticen su integridad y disponibilidad.
Información confidencial
Es la información que tiene un nivel de confidencialidad alto, y que solo debe ser conocida por un grupo limitado de personas dentro de la organización que tengan una autorización específica para acceder a ella. Por ejemplo, los datos de los empleados, clientes o usuarios, o los datos financieros, contables o legales de la organización.
La divulgación, alteración o destrucción de esta información de uso interno podría causar un impacto negativo en la empresa o en terceros. La información confidencial requiere de medidas de seguridad estrictas, tales como el cifrado y los controles de seguridad como el acceso, la auditoría y el respaldo.
Información sensible
La información sensible es el tipo de información más delicada y puede referirse tanto a la información del usuario como a la información de la empresa.
En el caso de los usuarios puede ser considerada como información sensible aquellos datos relacionados con los aspectos más íntimos del usuario como sus creencias religiosas, su estado de salud, su orientación sexual, sus opiniones políticas, entre otros.
En el caso de una empresa u organización, la información sensible puede estar relacionada con la propiedad intelectual, la investigación y el desarrollo, o la seguridad nacional o internacional. Algunos elementos claves podrían ser datos relacionados con las patentes, proyectos innovadores, o los planes de contingencia o defensa.
La información sensible requiere de las medidas de seguridad de más alto nivel, ya que su divulgación o modificación pueden causar daños graves tanto a los usuarios como a las empresas.
Información personal
La información personal es aquella que identifica o hace identificable a una persona física, ya sea directa o indirectamente.
Esta puede ser de diferentes tipos, según su grado de especificidad o relevancia, y puede incluir datos como el nombre, el apellido, el documento de identidad, el correo electrónico, el teléfono, la dirección, la fecha de nacimiento, el sexo, la nacionalidad, entre otros.
La información personal requiere de medidas de seguridad proporcionales a su nivel de sensibilidad, y es importante que se aseguren su confidencialidad y privacidad.
Importancia de la clasificación de datos en empresas
Cada empresa cuenta datos importantes, confidenciales y sensibles que deben ser debidamente resguardados. La clasificación de datos es un aspecto importante para la protección de la información. A continuación, te comentamos la importancia de implementar esta clasificación dentro de tu empresa:
Permite mantener la confidencialidad
La clasificación de datos en las empresas permite mantener la confidencialidad de la información, ya que establece los niveles de acceso, permisos y autenticación que se deben otorgar a cada persona que interactúe con los datos, según la categoría que se les haya asignado.
De esta forma, se evita que la información caiga en manos de personas no autorizadas, que puedan hacer un uso indebido o malintencionado de la misma, y que puedan causar daños a la organización o a terceros.
Brinda mayor facilidad de acceso y la integridad de datos
Gracias a la clasificación se brinda mayor facilidad de acceso e integridad a los datos, ya que permite organizar y gestionar la información de forma eficiente y ordenada, según la categoría o etiqueta que se haya asignado a la información.
De esta forma, se facilita la búsqueda, el almacenamiento, el procesamiento y la transmisión de la información, y se asegura que la información sea precisa, completa y actualizada.
Reduce el peligro de vulnerabilidades de información
Una buena gestión de riesgos a la hora de clasificar los datos permite reducir el peligro de vulnerabilidades de información, ya que se puede identificar y evaluar los riesgos que pueden afectar a cada tipo de datos.
De esta forma, se pueden implementar las medidas de seguridad adecuadas para cada tipo de dato, tales como el cifrado, el control de acceso, la auditoría, el respaldo y la eliminación o destrucción segura.
Evita costes elevados de almacenamiento de datos
Hacer una clasificación de información adecuada de los datos puede ayudar a evitar costes elevados de almacenamiento de datos, ya que permite optimizar el uso de los recursos y el espacio disponible.
Se puede priorizar el almacenamiento de los datos más importantes o críticos, y se pueden eliminar los datos que ya no sean necesarios o que hayan caducado, lo cual permite ahorrar dinero y tiempo.
Proceso de clasificación de datos
La clasificación de los datos es un proceso que se puede realizar de manera esquemática. Acá te comentamos los pasos a seguir para poder llevar dicha implementación de manera exitosa:
Llevar a cabo una evaluación de riesgos
El primer paso es realizar una evaluación de riesgos, la cual consiste en identificar y valorar los posibles riesgos que pueden afectar a la seguridad de la información, que pueden ser de origen interno o externo, intencional o accidental, natural o humano.
Esta evaluación permite determinar el nivel de impacto y la probabilidad de ocurrencia de cada riesgo, y establecer las medidas de prevención y mitigación que se deben aplicar para reducirlos o eliminarlos.
Desarrollar políticas y estándares de clasificación
Luego de haber realizado la evaluación de riesgos se procede a desarrollar las políticas y estándares de la clasificación de la información. Estas políticas definen los criterios, las metodologías, las categorías, los roles, las responsabilidades y obligaciones que se deben seguir para clasificar los datos de forma adecuada y consistente.
Dichas políticas deben ser claras, específicas, actualizadas y comunicadas a todos los miembros de la organización. Además, deben seguir el cumplimiento normativo y regulatorio aplicable.
Categorizar los datos
Una vez establecidas las políticas, se procede a la categorización de los datos, la cual consiste en la asignación de una categoría o etiqueta a cada dato, según su nivel de confidencialidad o sensibilidad, y que determina las medidas de seguridad que se deben aplicar para protegerlo.
La categorización de los datos debe basarse en los criterios y las metodologías que se hayan definido previamente, y debe documentarse y justificarse adecuadamente.
Encontrar la ubicación de los datos
El siguiente aspecto a realizar es encontrar la ubicación de los datos. Esto se refiere a buscar el lugar, ya sea medio físico o digital, en donde se almacenan, procesan o transmiten los datos.
La ubicación del conjunto de datos puede ser interna o externa, centralizada o descentralizada, y puede variar según el ciclo de vida de los datos. Encontrar la ubicación de los datos es importante para poder aplicar las medidas de seguridad adecuadas en cada ubicación.
Implementar controles de acceso
Los controles de acceso son las medidas de seguridad que se aplican para restringir o permitir el acceso a los datos, según el nivel de clasificación de los datos y el usuario o rol que solicite el acceso.
Los controles de acceso pueden basarse en diferentes factores, tales como la identificación, la autenticación y la autorización. Estos controles deben ser proporcionales al nivel de confidencialidad o sensibilidad de los datos, y deben garantizar su integridad y disponibilidad.
Monitorización de accesos
Finalmente, se establece la monitorización de accesos, la cual es el seguimiento y la supervisión que se realiza para verificar y controlar el acceso a los datos.
Esta monitorización permite detectar y registrar cualquier actividad anómala, sospechosa o maliciosa que se realice sobre los datos, y ayuda a tomar las acciones correctivas o preventivas que se requieran para proteger la pérdida de datos u otros incidentes.
Este proceso debe ser continuo, periódico y en tiempo real, y debe generar informes o alertas que faciliten la gestión de datos y así mejorar la seguridad de los mismos.
La seguridad de la información es un aspecto fundamental para cualquier empresa u organización y la clasificación de los datos es un paso importante para lograr esto.
En Delta Protect hacemos más sencillo el proceso de ciberseguridad y cada punto relevante, como lo es la clasificación de datos. Con nuestro programa Apolo podrás automatizar la ciberseguridad y compliance manteniendo el factor humano y procesos totalmente confiables y actualizados. ¡Conoce más sobre Apolo en nuestro sitio web!
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
