Toda organización moderna maneja información de identificación personal (PII) en al menos una forma, ya sean registros de empleados, datos de la cuenta del cliente o credenciales de inicio de sesión.
A medida que la red de su empresa se expande a través de plataformas en la nube, dispositivos remotos, contratistas y herramientas SaaS, la PII se mueve por más sistemas, más flujos de trabajo y más manos. Eso hace que la privacidad y la seguridad no sean solo obligaciones legales, sino prioridades operativas.
Los riesgos y responsabilidades de la PII no pueden quedar en segundo plano. En 2025, IBM descubrió que el costo promedio global de una vulneración de datos alcanzó los $4.4 millones(nueva ventana), un aumento del 10% respecto al año anterior y el mayor incremento desde la pandemia. Los datos de vulneraciones de 2025 de Verizon agregan un contexto importante: el 60% de las vulneraciones involucraron un elemento humano, como prácticas débiles de credenciales, mala gestión de acceso y errores por descuido que crean graves riesgos empresariales.
En otras palabras, los controles débiles en torno a la PII pueden convertirse rápidamente en un problema a nivel de la junta directiva que involucre pérdida de ingresos, exposición legal, pérdida de clientes y daño a la reputación.
Este artículo explica qué significa la PII en el entorno empresarial moderno, por qué crea un riesgo concentrado, qué responsabilidades tienen las organizaciones y qué prácticas reducen la exposición de manera más efectiva. También analizaremos qué herramientas empresariales pueden usar las organizaciones para dar soporte a un control de acceso más sólido y una higiene de credenciales como parte de una estrategia de privacidad y seguridad más amplia.
¿Qué son los datos de PII y por qué son importantes para las empresas?
Por qué las organizaciones deberían preocuparse por la PII
Los riesgos asociados con la PII en entornos digitales
Las responsabilidades organizacionales del manejo de la PII
Prácticas de seguridad que protegen la PII
Cómo Proton Pass for Business brinda soporte a la protección de la PII
¿Qué son los datos de PII y por qué son importantes para las empresas?
La información de identificación personal, o PII por sus siglas en inglés, es cualquier información que pueda identificar a un individuo específico directa o indirectamente. Eso incluye identificadores obvios como nombres completos, números de pasaporte, números de Seguro Social y detalles de tarjetas de pago.
Según el Instituto Nacional de Estándares y Tecnología (NIST), los datos de PII se pueden definir en términos generales como información que puede distinguir o rastrear la identidad de un individuo, ya sea por sí sola o cuando se enlaza con otros datos. La definición del NIST también incluye explícitamente información que está “enlazada o que se puede enlazar” a una persona. Es importante tener esto en cuenta para los sistemas digitales modernos, donde la identidad a menudo se infiere a través de conjuntos de datos en lugar de exponerse en un campo.
De manera menos obvia, la PII también incluye información que se vuelve identificativa en contexto, como identificaciones de dispositivos, direcciones IP, historial de ubicación, credenciales de inicio de sesión o combinaciones de puntos de datos que de otro modo serían comunes. El apellido de soltera de una madre o la dirección particular pueden parecer inofensivos de forma aislada, pero combinados con una fecha de nacimiento o un número de cuenta, estos puntos de datos pueden ser suficientes para verificar la identidad, eludir los controles de seguridad o activar actividades fraudulentas. La PII no se limita a identificaciones gubernamentales o datos financieros; también puede incluir los rastros digitales que hacen posible rastrear a alguien en línea.
En los programas modernos de ciberseguridad y privacidad de datos, la PII se trata como altamente sensible porque el acceso no autorizado o la divulgación pueden conducir al robo de identidad, fraude y violaciones normativas. Una dirección de correo electrónico en un CRM, la dirección particular de un empleado en la nómina, un identificador de navegador vinculado al comportamiento del usuario o una nota de soporte que incluye el historial de la cuenta pueden calificar como datos personales sensibles en el contexto adecuado. La protección de la PII requiere controles de acceso sólidos, cifrado y políticas claras que rijan cómo se recopila, almacena y comparte la información personal.
Por qué las organizaciones deberían preocuparse por la PII
La PII se encuentra en la intersección entre la privacidad, la seguridad, el cumplimiento y la confianza. Si una organización no puede proteger los datos que identifican a sus clientes, empleados o socios, no solo se enfrenta a una debilidad técnica. Se enfrenta a un problema de gobernanza y cumplimiento.
Eso es especialmente relevante en entornos distribuidos. Las aplicaciones en la nube, el trabajo remoto, los dispositivos compartidos, los contratistas y los proveedores externos amplían el número de puntos desde los cuales se puede acceder, duplicar o exponer la PII.
Las directrices del Comité Europeo de Protección de Datos (CEPD) enfatizan un principio similar: las organizaciones deben comprender qué datos personales procesan, dónde están almacenados y hacia dónde podrían moverse dentro de la red, y quién tiene acceso a ellos para cumplir con los requisitos de responsabilidad bajo el GDPR. Eso suena sencillo, pero en la práctica es aquí donde muchas empresas se quedan cortas.
La protección de la PII también tiene un valor comercial directo para su empresa: sus clientes esperan que usted demuestre cómo se protegen los datos personales en la práctica, mientras que los reguladores exigen controles documentados, pistas de auditoría y un cumplimiento verificable.
De manera similar, los empleados esperan un manejo responsable de los datos de recursos humanos y nómina, y los clientes esperan que las promesas de privacidad realizadas en avisos legales y de marketing estén respaldadas por salvaguardas operativas reales.
En general, una sólida gobernanza de la PII da soporte al cumplimiento, simplifica las adquisiciones al abordar las evaluaciones de riesgos de los proveedores y los requisitos de diligencia debida, mejora la conservación de clientes y fortalece la credibilidad de la marca.
Los riesgos asociados con la PII en entornos digitales
Sin importar la industria en la que opere su organización, los principales riesgos en torno a la PII ahora surgen de una combinación de escala, expansión y debilidades en las credenciales. La mayoría de las organizaciones utilizan docenas o cientos de servicios digitales, y cada uno crea otro punto de acceso desde el cual los datos personales podrían ser almacenados, vistos, exportados o compartidos.
Según el DBIR 2025 de Verizon, la principal variedad de piratería tanto para pymes como para grandes organizaciones es el uso de credenciales robadas, con un 32% en grandes organizaciones y un 33% en pymes. Aprovechar las credenciales robadas ha sido una de las formas más comunes de ingresar a una organización durante los últimos años, lo que refuerza una lección familiar sobre mantener un estricto control de acceso a información sensible de la empresa, empleados y clientes.
De hecho, los hallazgos recientes del Observatorio de vulneraciones de datos de Proton destacan cuán consistentemente se exponen los datos personales en incidentes del mundo real. Los nombres y las direcciones de correo electrónico aparecen en casi 9 de cada 10 vulneraciones, lo que los convierte en los puntos de datos más comúnmente comprometidos. La información de contacto, como números de teléfono y direcciones físicas, se expone en el 75% de las vulneraciones, mientras que las contraseñas están involucradas en el 47% de los incidentes.
Estas cifras refuerzan una realidad crítica para las organizaciones, revelando que incluso los puntos de datos aparentemente de “bajo riesgo” pueden convertirse en de alto riesgo cuando se agregan o reutilizan en los sistemas.
El informe también ilustra cómo los atacantes combinan la información para aumentar el impacto. En el 42% de las vulneraciones, el nombre de una persona y su dirección física se exponen juntos. Esta combinación es particularmente valiosa para el robo de identidad y las estafas dirigidas. Mientras tanto, los datos altamente sensibles como identificaciones emitidas por el gobierno, registros médicos y otros identificadores personales aparecen en el 37% de los incidentes, y la información financiera se expone alrededor del 5% del tiempo.
Amenazas comunes a los datos personales
Las causas más comunes de exposición de la PII son bien conocidas, pero eso no las hace menos dañinas. Incluyen ataques externos como suplantación, relleno de credenciales, ransomware y compromiso de correo electrónico empresarial.
El compromiso de correo electrónico empresarial (BEC) es un delito cibernético sofisticado y altamente dirigido en el que los atacantes se hacen pasar por ejecutivos, empleados o proveedores de confianza a través del correo electrónico para engañar a las víctimas a fin de que transfieran fondos o revelen datos sensibles, lo que lo convierte en una de las formas más sofisticadas de explotar las vulnerabilidades de los sistemas.
Es fácil ver cómo las vulnerabilidades personales pueden convertirse en superficies de ataque organizacionales. Estas amenazas suelen explotar las debilidades a nivel individual, como permisos laxos, credenciales compartidas, prácticas de desvinculación inconsistentes y el uso de herramientas de TI en la sombra para el almacenamiento de datos. Cada una de estas amenazas representa un posible punto de entrada que los malos actores están bien posicionados para identificar y explotar.
Esto es consistente con el DBIR 2025, que encontró que el elemento humano estuvo involucrado en el 60% de las vulneraciones. Los errores son inevitables, por lo que las organizaciones necesitan sistemas que asuman que las personas cometerán errores y que reduzcan el radio de explosión cuando lo hagan.
De manera similar, la pérdida de dispositivos y los malos protocolos de retiro de servicio son amenazas significativas para la exposición de datos de PII. ENISA señala que la información personal se pone en riesgo con frecuencia cuando las empresas no aseguran las computadoras portátiles, los medios de copia de seguridad o el almacenamiento portátil. Es especialmente vulnerable cuando los datos se mueven fuera de entornos controlados, como en dispositivos propiedad de los empleados bajo un esquema de traiga su propio dispositivo (BYOD). Usted debe borrar, destruir o retirar de servicio de forma segura el hardware, como computadoras portátiles, unidades de copia de seguridad o dispositivos USB, antes de su reutilización o eliminación, ya que estos dispositivos pueden dejar datos residuales accesibles para partes no autorizadas.
Esto es parte del marco del GDPR, que requiere que las organizaciones gestionen el ciclo de vida completo de los datos personales, incluyendo el almacenamiento, la transferencia y la eliminación, como parte de sus obligaciones de seguridad. Sin procesos claros para el seguimiento de dispositivos, la eliminación segura y la gestión de activos, las empresas pueden crear involuntariamente rutas de vulneración de datos que son difíciles de detectar y aún más difíciles de remediar, particularmente en entornos de trabajo híbridos donde los puntos finales están ampliamente distribuidos.
Consecuencias de la exposición
Cuando las organizaciones no logran proteger la PII, las consecuencias a menudo se intensifican rápidamente. Una sola vulneración de datos puede exponer miles, o incluso millones, de registros personales, desencadenando investigaciones regulatorias, sanciones financieras y daño a la reputación.
Para la organización, las repercusiones a menudo se extienden a través de varias funciones a la vez:
- Respuesta a incidentes
- Revisión legal
- Comunicaciones con los clientes
- Gestión de proveedores
- Seguro cibernético
- Informes regulatorios
- Remediación
Los costos rara vez se limitan a la investigación forense y las notificaciones. La investigación del Ponemon Institute muestra que los incidentes relacionados con personas con información privilegiada cuestan a las organizaciones un promedio de más de $17 millones al año, lo que refleja el ciclo de vida completo de detección, investigación, contención y recuperación.
Estas cifras muestran que los costos de las vulneraciones están impulsados tanto por la interrupción operativa, la exposición legal y la pérdida de negocios como por la respuesta a incidentes en sí.
Los incidentes internos maliciosos, donde empleados, contratistas o socios utilizan indebidamente de forma intencional el acceso legítimo a sistemas o datos, son particularmente costosos. A diferencia de los ataques externos, estos incidentes a menudo eluden las defensas perimetrales por completo, lo que los hace más difíciles de detectar y más dañinos una vez que los datos quedan expuestos. Las amenazas internas también pueden incluir acciones negligentes, como el manejo inadecuado de credenciales o la exposición no intencional de datos, que representan una parte significativa de las vulneraciones en el mundo real.
Esta es la razón por la que la protección de datos en su conjunto, y la seguridad de la PII en particular, debe tratarse como una disciplina empresarial continua en lugar de un ejercicio de cumplimiento reactivo. Las mayores amenazas de ciberseguridad de la actualidad (suplantación, contraseñas débiles, ransomware e ingeniería social) son comunes porque explotan brechas operativas, no solo errores de software.
Las responsabilidades de la organización en el manejo de la PII
Se espera que las organizaciones que recopilan o procesan PII hagan más que simplemente evitar la negligencia evidente. Se espera que establezcan reglas claras para la recopilación, el acceso, la conservación, la protección y la respuesta.
Obligaciones legales y regulatorias
El estándar legal exacto depende de la jurisdicción y el sector, pero las responsabilidades principales son coherentes:
- Como empresa, usted debe recopilar solo la PII que necesita.
- Explique por qué la está recopilando y por qué la está utilizando.
- Restrinja el acceso a los datos de la PII al personal autorizado.
- Proteja la PII con salvaguardas técnicas y de la organización.
- Responda de manera adecuada si la PII se ve comprometida.
Las leyes internacionales de protección de datos, incluido el marco del GDPR, enfatizan el mapeo de datos, la revisión de acceso, la minimización y la eliminación segura como requisitos fundamentales para la gobernanza responsable de los datos. Esto también significa que la mayoría de los procesos comerciales caen dentro del alcance de las regulaciones de la PII, ya que todos manejan información potencialmente confidencial de una forma u otra.
Incluso para empresas de tamaño pequeño y mediano con recursos limitados, estas obligaciones pueden acumularse rápidamente. Es posible que deban cumplir con el GDPR y los requisitos de privacidad locales, además de cumplir con las expectativas de seguridad de los socios y clientes. Desarrollar un programa de privacidad simple y escalable ayuda a abordar estas exigencias superpuestas sin agregar una complejidad innecesaria.
Proton for Business brinda a los dueños y gerentes de empresas las soluciones cifradas, herramientas y recursos adecuados para ayudarlos a navegar por estos requisitos superpuestos, proporcionando salvaguardas prácticas que fortalecen el control sobre los datos confidenciales sin agregar una complejidad innecesaria.
Transparencia y rendición de cuentas
La gobernanza de la PII también depende de poder explicar lo que sucede dentro de su organización. Eso incluye avisos de privacidad claros, reglas de conservación documentadas, registros de acceso, supervisión de proveedores y evidencia de que las políticas realmente se aplican.
Como tal, la rendición de cuentas interna es importante. Cada organización debe saber quién es el dueño de las decisiones de privacidad, quién aprueba el acceso a datos confidenciales, quién revisa los incidentes y quién es responsable de la desvinculación de usuarios y proveedores. Sin una responsabilidad designada, la expansión del acceso y los procesos en la sombra tienden a llenar el vacío.
Prácticas de seguridad que protegen la PII
Proteger la PII requiere controles en capas, no un solo producto o política. Los programas más resilientes combinan minimización, cifrado, gobernanza de acceso, capacitación de empleados, monitoreo y respuesta disciplinada a incidentes.
Minimización y clasificación de datos
El primer control es el menos glamoroso y uno de los más efectivos: mantenga menos datos confidenciales en su organización. La FTC aconseja a las empresas hacer un inventario de la información personal y reducir lo que conservan. Si los datos no son necesarios para el propósito comercial, no se deben recopilar.
La clasificación fortalece ese proceso. No toda la PII conlleva el mismo riesgo. Los registros de nómina, los detalles financieros de los clientes, la información de salud y los almacenes de credenciales no deben manejarse con las mismas suposiciones que los datos de preferencias de marketing. La clasificación ayuda a las organizaciones a adaptar los controles al impacto.
Cifrado y control de acceso
El cifrado debe proteger la PII tanto en reposo como en tránsito. Pero el cifrado por sí solo no es suficiente si el acceso es demasiado amplio o las credenciales son débiles. Las organizaciones también necesitan un modelo de privilegios mínimos, revisiones de acceso regulares, uso compartido de credenciales controlado, rotación de credenciales para sistemas confidenciales y revocación rápida cuando cambian los roles.
Esto es especialmente importante porque las vulneraciones modernas a menudo comienzan con credenciales válidas en lugar de intrusión por fuerza bruta. Si la persona equivocada puede iniciar sesión correctamente, el cifrado en la capa de almacenamiento no detendrá la situación comprometida.
Autenticación sólida y hábitos de contraseñas
La higiene de credenciales sigue siendo uno de los controles de mayor apalancamiento disponibles para la mayoría de las organizaciones. Las contraseñas fuertes y únicas con autenticación de dos factores (2FA), el monitoreo del estado de la contraseña y las políticas para compartir de manera segura abordan simultáneamente los problemas de seguridad más comunes. Proton Pass for Business, un gestor de contraseñas seguro para empresas, apoya ese modelo con almacenamiento de contraseñas con cifrado de extremo a extremo, un autenticador 2FA incorporado, comprobaciones del estado de la contraseña, monitoreo de la Dark Web y políticas de equipo que permiten a los administradores aplicar las mejores prácticas a escala.
Eso es importante porque los valores predeterminados seguros superan sistemáticamente a los recordatorios de políticas. Si se espera que los empleados recuerden y gestionen credenciales complejas de forma manual, entonces la reutilización, el uso compartido inseguro y el almacenamiento poco seguro se introducen inevitablemente. Por el contrario, herramientas como Proton Pass for Business incrustan prácticas seguras directamente en los flujos de trabajo diarios al generar contraseñas fuertes y únicas automáticamente, almacenándolas con cifrado de extremo a extremo y permitiendo un uso compartido seguro que no expone las credenciales.
Monitoreo, alertas y pruebas
Cuando se trata del monitoreo del acceso a datos confidenciales de PII, las empresas confían en controles como registros de auditoría, alertas de actividades inusuales, seguimiento de inicios de sesión fallidos y revisiones regulares del acceso con privilegios. Proton Pass for Business da soporte a estas prácticas con registros de actividad detallados, informes de uso y visibilidad basada en IP, lo que permite una supervisión operativa más fuerte al tiempo que simplifica la preparación de auditorías y los informes de cumplimiento.
Los controles también deben probarse regularmente. Los ejercicios de simulación teóricos, las revisiones de acceso, las pruebas de penetración y las simulaciones de incidentes le ayudan a garantizar que sus políticas sean eficaces en escenarios del mundo real, y no solo estén documentadas en papel.
Capacitación de empleados y cultura del lugar de trabajo
La conciencia sobre la seguridad todavía importa porque muchos incidentes comienzan con suplantación, robo de credenciales o un manejo inseguro de datos por parte de usuarios legítimos. La guía de ciberseguridad de Proton argumenta a favor de políticas repetibles, hábitos contra la suplantación y rutinas conscientes de la seguridad en lugar de recordatorios anuales puntuales.
Una cultura de seguridad fuerte no significa decirles a los empleados que tengan más cuidado. Significa hacer que la ruta segura sea la ruta fácil. Eso incluye herramientas aprobadas, canales de escalamiento claros, políticas simples para compartir el acceso y capacitación práctica basada en escenarios reales.
Conservación de datos, eliminación segura, gestión de proveedores y respuesta a incidentes
La conservación es un problema de seguridad, no solo un problema de registros. Cuanto más tiempo se guarda la PII, a más sistemas llega y más valor ofrece a los atacantes. Eso se debe a que, con el tiempo, los datos personales se duplicarán en copias de seguridad, plataformas de análisis, herramientas de terceros y dispositivos de los empleados, ampliando la cantidad de posibles puntos de acceso. Esto aumenta la superficie de ataque y también dificulta que las organizaciones rastreen, aseguren y eliminen esos datos de manera controlada.
Como tal, las empresas deben definir ventanas de conservación y procesos de eliminación segura tanto para los sistemas en vivo como para las copias de seguridad.
La gestión de proveedores pertenece a la misma discusión. Los proveedores de servicios con frecuencia tocan datos de nómina, identificadores de análisis, registros de soporte y datos de autenticación. Los contratos deben cubrir las expectativas de protección de datos, y el acceso debe ser limitado y revisable.
Por último, toda organización que maneja PII necesita un plan documentado de respuesta a incidentes. Las directrices de respuesta a vulneraciones(nueva ventana) del GDPR destacan la notificación rápida a las empresas e instituciones afectadas cuando corresponda, junto con pasos de contención y recuperación. La velocidad es importante, pero también lo es la preparación.
Como dueño o gerente de una empresa, usted debe tener políticas estrictas sobre cómo almacenar datos de PII en una base de datos de manera segura. Esto generalmente implica un enfoque por capas que incluye cifrado en reposo, gestión sólida de credenciales, controles de acceso estrictos, registro de auditoría y monitoreo regular de la actividad de la base de datos.
Cómo Proton Pass for Business apoya la protección de PII
Los programas de seguridad de PII tienen éxito cuando reducen la exposición real sin ralentizar a los equipos, cuando la ciberseguridad es parte de su cultura de seguridad y privacidad en lugar de una ocurrencia tardía. Ahí es donde un gestor de contraseñas para empresas puede desempeñar un rol significativo, especialmente porque las credenciales protegen las puertas de enlace a sistemas de recursos humanos, herramientas de finanzas, CRM, plataformas de soporte, infraestructura de desarrolladores y almacenamiento en la nube.
Proton Pass for Business está construido en torno a varios controles que son directamente relevantes para la protección de la PII. Proton Pass funciona con conocimiento cero y cifrado de extremo a extremo para contraseñas, claves de acceso, tarjetas de crédito, notas y metadatos, de modo que incluso los campos confidenciales, como los nombres de usuario y las URL del sitio web, están cifrados. También está protegido por la ley de privacidad suiza y cuenta con el soporte de un modelo de código abierto auditado de forma independiente.
Desde una perspectiva operativa, la oferta para empresas añade administración centralizada, registros de auditoría, comprobaciones del estado de la contraseña, monitoreo de la Dark Web, bóveda segura y uso compartido de elementos y políticas de equipo, y soporte de SSO y SCIM para entornos empresariales. Proton Pass for Business da soporte a las organizaciones no solo con el almacenamiento de contraseñas personales, sino también con la gobernanza de acceso en toda la empresa.
Las prácticas sólidas de seguridad de credenciales son una de las mejores formas de reducir la exposición de la PII. Cuando los equipos pueden generar y almacenar credenciales únicas, compartirlas de forma segura con capacidad de completado automático, realizar el monitoreo de contraseñas débiles o reutilizadas, y revocar el acceso rápidamente durante la desvinculación, reducen las probabilidades de que un problema con una credencial se convierta en un incidente de privacidad.
Proton Pass for Business ofrece supervisión central de administradores, cumplimiento de políticas, uso compartido seguro y visibilidad sobre cambios y eventos. Proton Pass también puede dar soporte a prácticas más amplias contra la suplantación y de protección de la identidad. Por ejemplo, los alias de hide-my-email pueden ayudar a los usuarios a limitar la exposición de sus direcciones reales, lo que puede reducir el spam y la presión de suplantación en algunos flujos de trabajo.
Para las organizaciones que se ocupan del soporte al cliente, probar cuentas y registros basados en roles, eso puede ser útil como parte de una estrategia más amplia de higiene de identidad.
Sin embargo, ningún gestor de contraseñas, incluyendo Proton Pass, resuelve la protección de PII por sí solo. Un gestor de contraseñas no reemplazará el mapeo de datos, las políticas de conservación, DLP, la seguridad de los puntos finales ni el trabajo de cumplimiento legal. Pero puede reducir una de las rutas más comunes de vulneración de la PII: el manejo inconsistente de credenciales entre personas, aplicaciones y equipos.
Preguntas frecuentes sobre la PII
¿Qué es la información de identificación personal (PII)?
La PII es información que puede identificar a una persona directa o indirectamente. El NIST la define como información que puede distinguir o rastrear la identidad de un individuo, ya sea de forma aislada o combinada con otros datos enlazados. Eso puede incluir nombres, identificaciones gubernamentales, credenciales de cuenta, detalles financieros, direcciones IP, datos de ubicación y otros identificadores según el contexto.
En el contexto de los marcos de cumplimiento modernos, las organizaciones a menudo preguntan qué es la PII en los programas de privacidad de datos. En términos simples, la PII se refiere a cualquier información que pueda identificar a un individuo directa o indirectamente cuando se combina con otros datos.
Las definiciones regulatorias también varían ligeramente entre jurisdicciones. Por ejemplo, las organizaciones preguntan con frecuencia qué son los datos de PII en el Reino Unido, donde el GDPR del Reino Unido considera que los identificadores como las direcciones IP, los datos de ubicación y los identificadores de dispositivos son datos personales si se pueden enlazar a un individuo.
¿Por qué es importante proteger la PII para las empresas?
Porque la exposición de la PII puede desencadenar fraude, robo de identidad, obligaciones legales, notificaciones a los clientes, daño a la reputación y pérdidas financieras importantes. Los informes recientes de vulneraciones y los datos de costos muestran que la escala y el impacto comercial de los incidentes de privacidad son significativos.
¿Cómo pueden las organizaciones asegurar los datos de PII de manera más eficaz?
El enfoque más sólido es por capas: recopile menos datos, clasifique lo que conserva, cífrelo, restrinja el acceso, aplique una autenticación sólida, capacite a los empleados, supervise si hay actividad sospechosa, revise a los proveedores y mantenga un plan de respuesta a incidentes probado. Las pautas de la FTC enfatizan específicamente saber qué datos tiene, hacia dónde fluyen y quién puede acceder a ellos.
¿Cuáles son los mayores riesgos de la exposición de PII en la actualidad?
Los mayores riesgos incluyen la suplantación de identidad (phishing), el robo de credenciales, el ransomware, el uso indebido por parte de empleados, las cuentas con demasiado acceso, la desvinculación deficiente, la pérdida de dispositivos y la exposición por parte de terceros. Los informes del DBIR de Verizon y el análisis de vulneraciones del Privacy Rights Clearinghouse muestran que el abuso de credenciales y el riesgo de los proveedores de servicios siguen siendo factores importantes en los incidentes modernos.
¿Qué son los incidentes de terceros o de la cadena de suministro en la ciberseguridad?
Los incidentes de terceros o de la cadena de suministro ocurren cuando una vulneración de seguridad se origina no dentro de sus propios sistemas, sino a través de un proveedor, proveedor de servicios o socio externo que tiene acceso a sus datos o infraestructura. Las empresas modernas dependen en gran medida de los servicios en la nube, las plataformas SaaS y las herramientas externas, razón por la cual estos incidentes son cada vez más comunes. Si se compromete a un proveedor que gestiona sus credenciales, análisis o sistemas de comunicaciones, los atacantes pueden obtener acceso indirecto a los datos de su organización.
¿Qué rol juega un gestor de contraseñas en la protección de datos de PII?
Un gestor de contraseñas para empresas ayuda a proteger el acceso a los sistemas donde se almacena la PII generando credenciales únicas y seguras, almacenándolas de forma segura, activando el uso compartido controlado y mejorando la visibilidad de la actividad de acceso.
Los gestores de contraseñas para empresas son especialmente útiles para reducir la reutilización de contraseñas, asegurar las cuentas compartidas y apoyar los flujos de trabajo de incorporación y desvinculación. Proton Pass for Business añade cifrado de extremo a extremo, comprobaciones del Estado de la contraseña, registros de auditoría y controles de administrador centralizados para respaldar esos objetivos.
