Toda organización moderna gestiona información de identificación personal (PII) de al menos una forma, ya sean registros de empleados, datos de la cuenta del cliente o credenciales de inicio de sesión.
A medida que la red de tu empresa se expande a través de plataformas en la nube, dispositivos remotos, contratistas y herramientas SaaS, la PII se mueve a través de más sistemas, más flujos de trabajo y más manos. Eso hace que la privacidad y la seguridad no sean solo obligaciones legales, sino prioridades operativas.
Los riesgos y responsabilidades de la PII no pueden dejarse en un segundo plano. En 2025, IBM descubrió que el coste medio global de una vulneración de datos alcanzó los 4,4 millones de dólares(ventana nueva), un aumento del 10 % respecto al año anterior y el mayor incremento desde la pandemia. Los datos de vulneraciones de Verizon de 2025 añaden un contexto importante: el 60 % de las vulneraciones involucraron un elemento humano, como prácticas de credenciales débiles, una deficiente administración del acceso y errores por descuido que crean un grave riesgo empresarial.
En otras palabras, los controles débiles en torno a la PII pueden convertirse rápidamente en un problema a nivel de la junta directiva que involucre pérdida de ingresos, exposición legal, pérdida de clientes y daño a la reputación.
Este artículo explica qué significa la PII en el entorno empresarial moderno, por qué crea un riesgo concentrado, qué responsabilidades tienen las organizaciones y qué prácticas reducen la exposición de manera más efectiva. También analizaremos qué herramientas empresariales pueden usar las organizaciones para respaldar un control de acceso y una higiene de credenciales más sólidos como parte de una estrategia de privacidad y seguridad más amplia.
¿Qué son los datos de PII y por qué importan a las empresas?
Por qué a las organizaciones debería importarles la PII
Los riesgos asociados con la PII en entornos digitales
Las responsabilidades organizativas en el manejo de la PII
Prácticas de seguridad que protegen la PII
Cómo Proton Pass for Business apoya la protección de la PII
¿Qué son los datos de PII y por qué importan a las empresas?
La información de identificación personal, o PII, es cualquier información que pueda identificar a una persona específica directa o indirectamente. Eso incluye identificadores obvios como nombres completos, números de pasaporte, números de la Seguridad Social y detalles de tarjetas de pago.
Según el Instituto Nacional de Estándares y Tecnología (NIST), los datos de PII pueden definirse en términos generales como información que puede distinguir o rastrear la identidad de un individuo, ya sea por sí sola o cuando está vinculada con otros datos. La definición del NIST también incluye explícitamente información que está “vinculada o es vinculable” a una persona. Es importante tener esto en cuenta para los sistemas digitales modernos, donde la identidad a menudo se infiere a través de conjuntos de datos en lugar de exponerse en un solo campo.
De manera menos obvia, la PII también incluye información que se vuelve identificativa en contexto, como los ID del dispositivo, direcciones IP, historial de ubicación, credenciales de inicio de sesión o combinaciones de puntos de datos que por lo demás serían ordinarios. El apellido de soltera de la madre o la dirección particular pueden parecer inofensivos de forma aislada, pero combinados con una fecha de nacimiento o un número de cuenta, estos puntos de datos pueden ser suficientes para verificar la identidad, eludir los controles de seguridad o permitir actividades fraudulentas. La PII no se limita a los ID gubernamentales o los datos financieros; también puede incluir el rastro digital que hace posible rastrear a alguien online.
En los programas modernos de ciberseguridad y privacidad de datos, la PII se trata como altamente confidencial porque el acceso o divulgación no autorizados pueden provocar robo de identidad, fraude e infracciones normativas. Una dirección de correo electrónico en un CRM, la dirección particular de un empleado en la nómina, un identificador de navegador vinculado al comportamiento del usuario o una nota de soporte que incluya el historial de la cuenta pueden calificar como datos personales confidenciales en el contexto adecuado. Proteger la PII requiere controles de acceso estrictos, cifrado y políticas claras que rijan cómo se recopila, almacena y comparte la información personal.
Por qué a las organizaciones debería importarles la PII
La PII se encuentra en la intersección entre privacidad, seguridad, cumplimiento y confianza. Si una organización no puede proteger los datos que identifican a sus clientes, empleados o socios, no solo se enfrenta a una debilidad técnica. Se enfrenta a un problema de gobernanza y cumplimiento.
Eso es especialmente relevante en entornos distribuidos. Las aplicaciones en la nube, el trabajo remoto, los dispositivos compartidos, los contratistas y los proveedores de terceras partes amplían la cantidad de puntos desde los cuales se puede acceder, duplicar o exponer la PII.
Las directrices del Comité Europeo de Protección de Datos (CEPD) enfatizan un principio similar: las organizaciones deben comprender qué datos personales procesan, dónde se almacenan y dónde podrían moverse dentro de la red, y quién tiene acceso a ellos para cumplir con los requisitos de responsabilidad en virtud del GDPR. Eso suena sencillo, pero en la práctica es aquí donde muchas empresas se quedan cortas.
La protección de la PII también tiene un valor comercial directo para tu empresa: tus clientes esperan que demuestres cómo se protegen los datos personales en la práctica, mientras que los reguladores exigen controles documentados, registros de auditoría y una aplicación verificable.
Del mismo modo, los empleados esperan un manejo responsable de los datos de RR. HH. y nóminas, y los clientes esperan que las promesas de privacidad hechas en marketing y avisos legales estén respaldadas por garantías operativas reales.
En general, una sólida gobernanza de la PII apoya el cumplimiento, simplifica las adquisiciones al abordar las evaluaciones de riesgos de los proveedores y los requisitos de diligencia debida, mejora la conservación de los clientes y fortalece la credibilidad de la marca.
Los riesgos asociados con la PII en entornos digitales
Sin importar el sector en el que opere tu organización, los principales riesgos en torno a la PII ahora surgen de una combinación de escala, dispersión y debilidades de las credenciales. La mayoría de las organizaciones utilizan docenas o cientos de servicios digitales, y cada uno crea otro punto de acceso desde el cual los datos personales podrían ser almacenados, vistos, exportados o compartidos.
Según el DBIR 2025 de Verizon, la principal variedad de pirateo tanto para las pymes como para las grandes organizaciones es el uso de credenciales robadas, con un 32 % en las grandes organizaciones y un 33 % en las pymes. Aprovechar las credenciales robadas ha sido una de las formas más comunes de infiltrarse en una organización durante los últimos años, lo que refuerza una lección familiar sobre cómo mantener un estricto control de acceso a los datos confidenciales de la empresa, los empleados y los clientes.
De hecho, hallazgos recientes del Observatorio de vulneraciones de datos de Proton destacan cuán constantemente se exponen los datos personales en incidentes del mundo real. Los nombres y las direcciones de correo electrónico aparecen en casi 9 de cada 10 vulneraciones, lo que los convierte en los puntos de datos comprometidos con más frecuencia. La información de contacto, como números de teléfono y direcciones físicas, queda expuesta en el 75 % de las vulneraciones, mientras que las contraseñas están involucradas en el 47 % de los incidentes.
Estas cifras refuerzan una realidad fundamental para las organizaciones, al revelar que incluso los puntos de datos aparentemente de «bajo riesgo» pueden convertirse en de alto riesgo cuando se agregan o reutilizan en distintos sistemas.
El informe también ilustra cómo los atacantes combinan la información para aumentar el impacto. En el 42 % de las vulneraciones, tanto el nombre de una persona como su dirección física quedan expuestos a la vez. Esta combinación es especialmente valiosa para el robo de identidad y las estafas dirigidas. Mientras tanto, los datos altamente confidenciales, como los ID emitidos por el gobierno, los registros médicos y otros identificadores personales, aparecen en el 37 % de los incidentes, y la información financiera queda expuesta en un 5 % de las ocasiones.
Amenazas comunes a los datos personales
Las causas más comunes de exposición de la PII son bien conocidas, pero eso no las hace menos dañinas. Incluyen ataques externos como el phishing, el relleno de credenciales, el ransomware y el compromiso del correo electrónico corporativo.
El compromiso del correo electrónico corporativo (BEC) es un delito cibernético sofisticado y muy dirigido en el que los atacantes se hacen pasar por ejecutivos, empleados o proveedores de confianza a través del correo electrónico para engañar a las víctimas y que transfieran fondos o revelen datos confidenciales, lo que lo convierte en una de las formas más sofisticadas de explotar las vulnerabilidades de los sistemas.
Es fácil ver cómo las vulnerabilidades personales pueden convertirse en superficies de ataque organizativas. Estas amenazas suelen explotar debilidades a nivel individual, como permisos laxos, credenciales compartidas, prácticas de desvinculación incoherentes y el uso de herramientas de shadow IT para el almacenamiento de datos. Cada una de estas amenazas representa un posible punto de entrada que los malos actores están bien posicionados para identificar y explotar.
Esto coincide con el DBIR de 2025, que descubrió que el elemento humano estaba involucrado en el 60 % de las vulneraciones. Los errores son inevitables, por lo que las organizaciones necesitan sistemas que asuman que las personas cometerán errores y que reduzcan el radio de impacto cuando lo hagan.
De manera similar, la pérdida de dispositivos y los deficientes protocolos de desmantelamiento son amenazas importantes para la exposición de datos de PII. La ENISA señala que la información personal con frecuencia se pone en riesgo cuando las empresas no aseguran los portátiles, los soportes de las copias de seguridad o el almacenamiento portátil. Es especialmente vulnerable cuando los datos se mueven fuera de los entornos controlados, como en los dispositivos propiedad de los empleados bajo un esquema de trae tu propio dispositivo (BYOD). Debes borrar, destruir o retirar de forma segura el hardware, como portátiles, unidades de copia de seguridad o dispositivos USB, antes de reutilizarlos o desecharlos, ya que estos dispositivos pueden dejar datos residuales accesibles a personas no autorizadas.
Esto forma parte del marco del GDPR, que requiere que las organizaciones administren el ciclo de vida completo de los datos personales, incluido el almacenamiento, la transferencia y la eliminación, como parte de sus obligaciones de seguridad. Sin procesos claros para el seguimiento de dispositivos, la eliminación segura y la gestión de activos, las empresas pueden crear involuntariamente rutas de vulneraciones de datos que son difíciles de detectar y aún más difíciles de remediar, especialmente en entornos de trabajo híbridos donde los puntos de conexión están ampliamente distribuidos.
Consecuencias de la exposición
Cuando las organizaciones no logran proteger la PII, las consecuencias suelen escalar rápidamente. Una sola vulneración de datos puede exponer miles, o incluso millones, de registros personales, lo que desencadena investigaciones normativas, sanciones financieras y daños a la reputación.
Para la organización, las repercusiones a menudo se extienden a varias funciones a la vez:
- Respuesta a incidentes
- Revisión legal
- Comunicaciones con clientes
- Administración de proveedores
- Ciberseguro
- Informes normativos
- Remediación
Los costes rara vez se limitan a la informática forense y las notificaciones. La investigación del Ponemon Institute muestra que los incidentes relacionados con personas con información privilegiada cuestan a las organizaciones un promedio de más de 17 millones de dólares anuales, lo que refleja el ciclo de vida completo de detección, investigación, contención y recuperación.
Estas cifras muestran que los costes de las vulneraciones están impulsados tanto por la interrupción operativa, la exposición legal y la pérdida de negocios como por la propia respuesta al incidente.
Los incidentes maliciosos provocados por personal interno, en los que empleados, contratistas o socios hacen un mal uso intencionado del acceso legítimo a sistemas o datos, son especialmente costosos. A diferencia de los ataques externos, estos incidentes a menudo eluden por completo las defensas perimetrales, lo que los hace más difíciles de detectar y más dañinos una vez que se exponen los datos. Las amenazas internas también pueden incluir acciones negligentes, como el mal manejo de credenciales o la exposición involuntaria de datos, que representan una parte significativa de las vulneraciones del mundo real.
Por eso, la protección de datos en su conjunto, y la seguridad de la información de identificación personal (PII) en particular, deben tratarse como una disciplina empresarial continua en lugar de un ejercicio de cumplimiento reactivo. Las mayores amenazas de ciberseguridad de la actualidad (suplantación de identidad, contraseñas débiles, ransomware e ingeniería social) son comunes porque explotan lagunas operativas, no solo errores de software.
Las responsabilidades organizativas de manejar PII
Se espera que las organizaciones que recopilan o procesan PII hagan algo más que evitar una negligencia evidente. Se espera que establezcan reglas claras para la recopilación, el acceso, la conservación, la protección y la respuesta.
Obligaciones legales y normativas
El estándar legal exacto depende de la jurisdicción y el sector, pero las responsabilidades principales son consistentes:
- Como empresa, solo debes recopilar la PII que necesites.
- Explica por qué la recopilas y para qué la usas.
- Restringe el acceso a los datos de PII al personal autorizado.
- Protege la PII con medidas de seguridad técnicas y organizativas.
- Responde adecuadamente si la PII se ve comprometida.
Las leyes internacionales de protección de datos, incluido el marco del GDPR, enfatizan el mapeo de datos, la revisión de accesos, la minimización y la eliminación segura como requisitos fundamentales para una gobernanza de datos responsable. Esto también significa que la mayoría de los procesos empresariales entran dentro del ámbito de las normativas de PII, ya que todos manejan información potencialmente confidencial de una forma u otra.
Incluso para las pequeñas y medianas empresas con recursos limitados, estas obligaciones pueden acumularse rápidamente. Es posible que tengan que cumplir con el GDPR y los requisitos de privacidad locales, además de satisfacer las expectativas de seguridad de los socios y clientes. Desarrollar un programa de privacidad sencillo y escalable ayuda a abordar estas demandas superpuestas sin añadir una complejidad innecesaria.
Proton for Business ofrece a los propietarios y gerentes de empresas las soluciones cifradas, herramientas y recursos adecuados para ayudarles a navegar por estos requisitos superpuestos, proporcionando medidas de seguridad prácticas que fortalecen el control sobre los datos confidenciales sin añadir una complejidad innecesaria.
Transparencia y responsabilidad
La gobernanza de la PII también depende de poder explicar qué está sucediendo dentro de tu organización. Esto incluye avisos de privacidad claros, reglas de conservación documentadas, registros de acceso, supervisión de proveedores y pruebas de que las políticas realmente se cumplen.
Como tal, la responsabilidad interna es importante. Toda organización debe saber quién toma las decisiones de privacidad, quién aprueba el acceso a los datos confidenciales, quién revisa los incidentes y quién es responsable de dar de baja a usuarios y proveedores. Sin una responsabilidad asignada, la acumulación de accesos y los procesos paralelos tienden a llenar ese vacío.
Prácticas de seguridad que protegen la PII
Proteger la PII requiere controles en capas, no un solo producto o política. Los programas más resilientes combinan la minimización, el cifrado, la gobernanza de accesos, la formación de los empleados, la monitorización y una respuesta disciplinada a incidentes.
Minimización y clasificación de datos
El primer control es el menos atractivo y uno de los más efectivos: mantener menos datos confidenciales en tu organización. La FTC aconseja a las empresas inventariar la información personal y reducir lo que retienen. Si los datos no son necesarios para el propósito comercial, no deben recopilarse.
La clasificación fortalece ese proceso. No toda la PII conlleva el mismo riesgo. Los registros de nóminas, los detalles financieros de los clientes, la información de salud y los almacenes de credenciales no deben manejarse con las mismas suposiciones que los datos de preferencias de marketing. La clasificación ayuda a las organizaciones a adaptar los controles al impacto.
Cifrado y control de acceso
El cifrado debe proteger la PII tanto en reposo como en tránsito. Pero el cifrado por sí solo no es suficiente si el acceso es demasiado amplio o las credenciales son débiles. Las organizaciones también necesitan un modelo de privilegios mínimos, revisiones de acceso regulares, uso compartido controlado de credenciales, rotación de credenciales para sistemas confidenciales y una rápida revocación cuando cambian los roles.
Esto es especialmente importante porque las vulneraciones modernas a menudo comienzan con credenciales válidas en lugar de una intrusión por fuerza bruta. Si la persona equivocada puede iniciar sesión con éxito, el cifrado en la capa de almacenamiento no detendrá el compromiso de los datos.
Autenticación fuerte y hábitos de contraseñas
La higiene de las credenciales sigue siendo uno de los controles de mayor impacto disponibles para la mayoría de las organizaciones. Las contraseñas seguras y únicas con autenticación de dos factores (2FA), la monitorización del estado de las contraseñas y las políticas de uso compartido seguro abordan simultáneamente los problemas de seguridad más comunes. Proton Pass for Business, un gestor de contraseñas seguro para empresas, respalda ese modelo con almacenamiento de contraseñas cifrado de extremo a extremo, un autenticador 2FA integrado, comprobaciones del estado de las contraseñas, monitoreo de la dark web y políticas de equipo que permiten a los administradores aplicar las mejores prácticas a gran escala.
Eso importa porque los valores predeterminados seguros superan constantemente a los recordatorios de políticas. Si se espera que los empleados recuerden y administren credenciales complejas manualmente, la reutilización, el uso compartido inseguro y el almacenamiento no seguro inevitablemente se infiltran. Por el contrario, herramientas como Proton Pass for Business incrustan prácticas seguras directamente en los flujos de trabajo diarios al generar contraseñas seguras y únicas automáticamente, almacenándolas con cifrado de extremo a extremo, y permitiendo un uso compartido seguro que no expone las credenciales.
Monitorización, alertas y pruebas
Cuando se trata de la monitorización del acceso a datos confidenciales de PII, las empresas dependen de controles como registros de auditoría, alertas de actividad inusual, seguimiento de inicios de sesión fallidos y revisiones periódicas del acceso privilegiado. Proton Pass for Business respalda estas prácticas con registros de actividad detallados, informes de uso y visibilidad basada en IP, permitiendo una supervisión operativa más sólida al tiempo que simplifica la preparación de auditorías y los informes de cumplimiento.
Los controles también deben probarse regularmente. Los ejercicios de simulación teórica, las revisiones de acceso, las pruebas de penetración y las simulaciones de incidentes te ayudan a asegurar que tus políticas sean efectivas en escenarios del mundo real, y no solo estén documentadas en papel.
Formación de los empleados y cultura en el lugar de trabajo
La concienciación sobre seguridad sigue siendo importante porque muchos incidentes comienzan con suplantación de identidad, robo de credenciales o un manejo inseguro de datos por parte de usuarios legítimos. La guía de ciberseguridad de Proton aboga por políticas repetibles, hábitos contra la suplantación de identidad y rutinas conscientes de la seguridad en lugar de recordatorios anuales aislados.
Una fuerte cultura de seguridad no significa decir a los empleados que tengan más cuidado. Significa hacer que la ruta segura sea la ruta fácil. Eso incluye herramientas aprobadas, canales de escalado claros, políticas sencillas para compartir el acceso y una formación práctica basada en escenarios reales.
Conservación de datos, eliminación segura, gestión de proveedores y respuesta a incidentes
La conservación es un problema de seguridad, no solo un problema de registros. Cuanto más tiempo se guarda la PII, a más sistemas llega y más valor ofrece a los atacantes. Eso se debe a que, con el tiempo, los datos personales se duplicarán en copias de seguridad, plataformas de análisis, herramientas de terceros y dispositivos de los empleados, ampliando el número de posibles puntos de acceso. Esto aumenta la superficie de ataque y también hace que sea más difícil para las organizaciones rastrear, asegurar y eliminar esos datos de forma controlada.
Por lo tanto, las empresas deben definir ventanas de conservación y procesos de eliminación segura tanto para sistemas en vivo como para copias de seguridad.
La gestión de proveedores pertenece al mismo debate. Los proveedores de servicios frecuentemente manejan datos de nóminas, identificadores de análisis, registros de soporte y datos de autenticación. Los contratos deben cubrir las expectativas de protección de datos, y el acceso debe ser limitado y revisable.
Finalmente, cada organización que maneja PII necesita un plan de respuesta a incidentes documentado. Las directrices de respuesta a vulneraciones(ventana nueva) del GDPR enfatizan la rápida notificación a las empresas e instituciones afectadas donde corresponda, junto con medidas de contención y recuperación. La rapidez importa, pero también la preparación.
Como propietario o gerente de una empresa, debes tener políticas estrictas sobre cómo almacenar datos de PII en una base de datos de forma segura. Esto generalmente implica un enfoque en capas que incluye el cifrado en reposo, una sólida gestión de credenciales, estrictos controles de acceso, registro de auditorías y una monitorización regular de la actividad de la base de datos.
Cómo Proton Pass for Business da soporte a la protección de PII
Los programas de seguridad de PII tienen éxito cuando reducen la exposición real sin ralentizar a los equipos, cuando la ciberseguridad forma parte de tu cultura de seguridad y privacidad en lugar de ser una idea de último momento. Ahí es donde un gestor de contraseñas empresarial puede desempeñar un rol significativo, especialmente porque las credenciales protegen las puertas de enlace a los sistemas de recursos humanos, herramientas financieras, CRM, plataformas de soporte, infraestructura de desarrolladores y almacenamiento en la nube.
Proton Pass for Business está construido en torno a varios controles que son directamente relevantes para la protección de la PII. Proton Pass funciona con conocimiento cero, cifrado de extremo a extremo para contraseñas, llaves de acceso, tarjetas de débito o crédito, notas y metadatos, de modo que incluso los campos confidenciales como nombres de usuario y las URL de los sitios web están cifrados. También está protegido por la ley de privacidad suiza y cuenta con el soporte de un modelo de código abierto y auditado de forma independiente.
Desde una perspectiva operativa, la oferta empresarial añade administración centralizada, registros de auditoría, comprobaciones del estado de las contraseñas, monitoreo de la dark web, uso compartido seguro de cajas fuertes y elementos, políticas de equipo y soporte SSO y SCIM para entornos empresariales. Proton Pass for Business apoya a las organizaciones no solo con el almacenamiento de contraseñas personales, sino con la gobernanza de accesos a nivel de toda la empresa.
Las sólidas prácticas de seguridad de las credenciales son una de las mejores formas de reducir la exposición de la PII. Cuando los equipos pueden generar y almacenar credenciales únicas, compartirlas de forma segura con la capacidad de relleno automático, monitorizar en busca de contraseñas débiles o reutilizadas, y revocar el acceso rápidamente durante las bajas, reducen las probabilidades de que un problema de credenciales se convierta en un incidente de privacidad.
Proton Pass for Business ofrece supervisión centralizada para el administrador, aplicación de políticas, uso compartido seguro y visibilidad de los cambios y eventos. Proton Pass también puede dar soporte a prácticas más amplias contra la suplantación de identidad y de protección de identidad. Por ejemplo, los alias de hide-my-email pueden ayudar a los usuarios a limitar la exposición de sus direcciones reales, lo que puede reducir la presión del spam y la suplantación de identidad en algunos flujos de trabajo.
Para las organizaciones que se ocupan de la atención al cliente, las cuentas de prueba y los registros basados en roles, eso puede ser útil como parte de una estrategia más amplia de higiene de identidades.
Sin embargo, ningún gestor de contraseñas, incluido Proton Pass, resuelve la protección de la PII por sí solo. Un gestor de contraseñas no reemplazará el mapeo de datos, las políticas de conservación, el DLP, la seguridad del punto de conexión o el trabajo de cumplimiento legal. Pero puede reducir una de las rutas más comunes de vulneración de la PII: el manejo inconsistente de credenciales entre personas, aplicaciones y equipos.
Preguntas frecuentes sobre la PII
¿Qué es la información de identificación personal (PII)?
La PII (información de identificación personal) es información que puede identificar a una persona directa o indirectamente. El NIST la define como información que puede distinguir o rastrear la identidad de un individuo, ya sea por sí sola o cuando se combina con otros datos enlazados. Eso puede incluir nombres, identificaciones gubernamentales, credenciales de cuenta, detalles financieros, direcciones IP, datos de ubicación y otros identificadores dependiendo del contexto.
En el contexto de los marcos de cumplimiento modernos, las organizaciones a menudo preguntan qué es la PII en los programas de privacidad de datos. En términos simples, la PII se refiere a cualquier información que pueda identificar a un individuo directa o indirectamente cuando se combina con otros datos.
Las definiciones normativas también varían ligeramente entre jurisdicciones. Por ejemplo, las organizaciones suelen preguntar qué son los datos PII en el Reino Unido, donde el GDPR del Reino Unido considera que los identificadores como las direcciones IP, los datos de ubicación y los identificadores de dispositivos son datos personales si se pueden enlazar a un individuo.
¿Por qué es importante proteger la PII para las empresas?
Porque la exposición de PII puede desencadenar fraude, robo de identidad, obligaciones legales, notificaciones a los clientes, daños a la reputación e importantes pérdidas financieras. Los recientes informes de vulneraciones y datos de costes muestran que la escala y el impacto comercial de los incidentes de privacidad son significativos.
¿Cómo pueden las organizaciones asegurar los datos PII de manera más eficaz?
El enfoque más sólido tiene varias capas: recopilar menos datos, clasificar lo que guardas, cifrarlo, restringir el acceso, aplicar una autenticación sólida, capacitar a los empleados, monitorizar en busca de actividad sospechosa, revisar a los proveedores y mantener un plan de respuesta a incidentes probado. Las pautas de la FTC enfatizan específicamente saber qué datos tienes, por dónde fluyen y quién puede acceder a ellos.
¿Cuáles son los mayores riesgos de la exposición de PII en la actualidad?
Los mayores riesgos incluyen la suplantación, el robo de credenciales, el ransomware, el uso indebido interno, las cuentas con demasiado acceso, los procesos deficientes de baja de empleados, los dispositivos perdidos y la exposición por terceras partes. Los informes DBIR de Verizon y el análisis de vulneraciones de Privacy Rights Clearinghouse muestran que el abuso de credenciales y el riesgo de los proveedores de servicios siguen siendo factores principales en los incidentes modernos.
¿Qué son los incidentes de terceras partes o de la cadena de suministro en ciberseguridad?
Los incidentes de terceras partes o de la cadena de suministro ocurren cuando una vulneración de seguridad no se origina dentro de tus propios sistemas, sino a través de un proveedor de servicios o socio externo que puede acceder a tus datos o infraestructura. Las empresas modernas dependen en gran medida de los servicios en la nube, las plataformas SaaS y las herramientas externas, razón por la cual estos incidentes son cada vez más comunes. Si se compromete a un proveedor que administra tus credenciales, análisis o sistemas de comunicaciones, los atacantes pueden acceder indirectamente a los datos de tu organización.
¿Qué rol desempeña un gestor de contraseñas en la protección de los datos PII?
Un gestor de contraseñas para empresas ayuda a proteger el acceso a los sistemas donde la PII está almacenada, generando credenciales únicas y seguras, almacenándolas de forma segura, activando el uso compartido controlado y mejorando la visibilidad de la actividad de acceso.
Los gestores de contraseñas para empresas son especialmente útiles para reducir la reutilización de contraseñas, proteger las cuentas compartidas y dar soporte a los flujos de trabajo de alta y baja de empleados. Proton Pass for Business añade cifrado de extremo a extremo, comprobaciones del estado de las contraseñas, registros de auditoría y controles de administrador centralizados para dar soporte a esos objetivos.
