¿Qué es la IIP y cómo debe protegerla su organización?

¿Qué son los datos sensibles y dónde viven en la colaboración?

Todas las organizaciones manejan algún tipo de datos sensibles, como propiedad intelectual, registros financieros, documentos legales e información regulada como datos de tarjetas de pago, información sanitaria protegida e información de identificación personal (PCI/PHI/PII).

El objetivo de la gestión de datos sensibles es identificar y mitigar los riesgos asociados al manejo de datos regulados y a la discusión de tratos comerciales confidenciales en herramientas de colaboración como Slack y Microsoft Teams. Si se filtra o se exfiltra, esta información podría dañar la reputación de la empresa, costarle cuota de mercado o dar lugar a demandas judiciales y acciones reguladoras.

¿Qué es la información personal identificable (IPI)?

La información personal identificable (IPI) es cualquier información que, vinculada a un individuo concreto, puede utilizarse sola o con otros datos relevantes para descubrir su identidad.

Existen dos tipos de identificadores. El primero son los identificadores directos, como la información del pasaporte o un número de cliente único que pueda identificar a un individuo de forma inequívoca. El segundo son los identificadores indirectos, o los llamados cuasi-identificadores, como la fecha de nacimiento. Cuando se combina con otros cuasi-identificadores como los códigos postales, esta información podría revelar con éxito la identidad de un individuo.

¿Qué se considera IIP?

Cualquier información relacionada con un individuo concreto que pueda utilizarse para descubrir su identidad se considera información personal identificable (IPI).

Entre los ejemplos de IIP se incluyen 

• Nombre completo (legal)
• Domicilio
• Dirección de correo electrónico
• Número de la Seguridad Social
• Número de pasaporte
• Número del permiso de conducir
• Números de tarjeta de crédito
• Fecha de nacimiento
• Número de teléfono
• Propiedades en propiedad, por ejemplo Número de identificación del vehículo (VIN)
• Detalles de acceso
• Número de serie del procesador o dispositivo
• Control de acceso a los medios (MAC)
• Dirección de Internet (IP)
• Identificación de dispositivos
• Cookies

Se consideran IIP porque son identificadores estáticos que se vinculan sistemáticamente a una persona o grupo de personas en particular. Cuando se combinan con otros elementos de información, pueden identificar, rastrear o localizar con éxito a una persona o grupo de personas.

IIP sensible frente a no sensible

No toda la información personal identificable (IPI) conlleva el mismo nivel de riesgo.

La IIP sensible incluye información que, si se divulga, podría causar un daño significativo a una persona. Esto puede ser a través de fraude financiero, robo de identidad o daño a la reputación. La IIP sensible suele estar sujeta a controles normativos más estrictos y requiere medidas de protección más fuertes.

Por otro lado, la IIP no sensible incluye datos personales que tienen menos probabilidades de causar daño si se exponen por sí solos. Sin embargo, cuando se combina con otros puntos de datos, incluso la IIP no sensible puede convertirse en identificadora y aumentar el riesgo.

Aunque la IIP no sensible no siempre requiera encriptación o redacción, sigue mereciendo protección. Especialmente cuando se almacena junto a información sensible.

Leyes de privacidad de datos y PII

A medida que aumentan las violaciones de datos y las ciberamenazas, las normativas mundiales de protección de datos se han vuelto más rigurosas. Las organizaciones que recopilan, procesan o almacenan IIP deben cumplir las leyes de seguridad de datos regionales y específicas del sector. Esto se hace para evitar el acceso no autorizado y proteger la privacidad individual.

En Estados Unidos, la Ley de Privacidad de 1974 rige el tratamiento de los datos personales por parte de los organismos federales. Leyes específicas del sector como la HIPAA (para la atención sanitaria) y la GLBA (para las instituciones financieras) imponen controles estrictos sobre la información sensible.

Del mismo modo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA) exigen a las organizaciones que mantengan la transparencia, la responsabilidad y el consentimiento en la gestión de los datos personales.

Los requisitos clave en la mayoría de los reglamentos incluyen:

• Implantar controles de seguridad sólidos para evitar fugas de datos o accesos no autorizados
• Minimizar la recogida de IIP innecesarias
• Proporcionar a las personas derechos sobre sus datos personales, incluidos el acceso, la rectificación y la supresión
• Informar oportunamente de las violaciones de datos a las autoridades y a los usuarios afectados

El incumplimiento de estas leyes puede acarrear multas sustanciales, daños a la reputación y la pérdida de la confianza de los clientes. A medida que los datos siguen fluyendo a través de fronteras y plataformas, es importante alinear las políticas de IPI de su organización con las normativas de protección de datos en evolución.

¿Cómo se roba la IIP?

La IIP puede verse comprometida de diferentes maneras, y con sólo unos pocos datos personales, los actores maliciosos pueden hacer un gran daño. Algunos de los muchos escenarios posibles incluyen crear cuentas falsas a su nombre, acumular deudas, falsificar un pasaporte a su nombre y robar y vender su identidad.

Con los negocios cada vez más en línea, los archivos digitales pueden ser fácilmente pirateados y los ciberdelincuentes pueden acceder a ellos. Esto es especialmente cierto si su protección cibernética es demasiado laxa. Sin una protección sólida y una política de protección de la IIP, las organizaciones y sus clientes están expuestos a un gran riesgo.

Una de las formas más fáciles que tienen los ciberdelincuentes de intentar hacerse con información personal es a través del correo electrónico. Con el correo electrónico como principal medio de comunicación, muchas cosas pueden correr peligro si no protege su entorno lo suficientemente bien. 

Cómo proteger la información de identidad personal (IIP)

El servicio de suscripción basado en SaaS de Mimecast aborda todos los retos a los que se enfrentan las organizaciones de servicios financieros a la hora de proteger la IIP y otra información confidencial contenida en el correo electrónico. Aprovechando una verdadera arquitectura en la nube, las soluciones Mimecast ayudan a reducir el coste y la complejidad de la protección del correo electrónico, al tiempo que mejoran drásticamente el rendimiento y mejoran la postura de seguridad y el cumplimiento.

Las soluciones de Mimecast para proteger la IIP ayudan:

• Protéjase contra las amenazas a la seguridad transmitidas por el correo electrónico. Mimecast no sólo detiene el spam y los virus, sino que también mitiga el spear-phishing, los ataques de suplantación de identidad, el ransomware, el ataque man in the browser y otros ataques sofisticados. 
• Mejore la resistencia del correo electrónico con un tiempo de actividad del 100%. Mimecast Mailbox Continuity proporciona acceso ininterrumpido al correo electrónico en directo e histórico y a los archivos adjuntos -incluso durante cortes y ataques- utilizando herramientas cotidianas como Outlook para Windows, aplicaciones móviles y la web.
• Simplifique el archivado y el cumplimiento de la normativa. Mimecast Cloud Archive sirve como repositorio central externo para el correo electrónico, los archivos y las conversaciones de mensajería instantánea, proporcionando a los usuarios capacidades de búsqueda ultrarrápidas y a los administradores herramientas para simplificar las políticas de retención del correo electrónico, el e-discovery y la retención legal de. Mimecast también facilita la gestión del cumplimiento de las normas PCI-DSS y FINRA, así como los requisitos de retención de correo electrónico de la SEC.
• Capacite a los usuarios. Mimecast ofrece a sus usuarios herramientas de autoservicio para la seguridad, el archivo y la continuidad, así como capacidades para enviar mensajes y compartir archivos de gran tamaño de forma segura.

Proteger la IIP con Mimecast

La protección de la IIP (información de identificación personal) en las comunicaciones por correo electrónico es una parte fundamental del cumplimiento de la normativa de los servicios financieros.El correo electrónico se ha convertido en el principal medio de comunicación con colegas, clientes, proveedores y socios. Como tales, las organizaciones de servicios financieros están obligadas a implantar soluciones seguras y eficaces para proteger la IIP.

Este requisito se hace más urgente por el hecho de que el correo electrónico es el vector de ataque nº 1 para los piratas informáticos que buscan robar información personal e información confidencial de otro tipo. Las empresas de servicios financieros son vulnerables a una amplia variedad de sofisticados ataques por correo electrónico. Estos pueden embaucar a los usuarios y engañar incluso a los empleados más exigentes. El trabajo de proteger la IIP se hace más complejo debido a las estrictas y cambiantes normativas, las plantillas distribuidas y los complejos entornos informáticos.

Mimecast puede ayudarle. Con un enfoque "todo en uno" de la seguridad, el archivo y la continuidad del correo electrónico, Mimecast ofrece servicios basados en la nube para proteger la información personal, los sistemas de correo electrónico y los usuarios, al tiempo que simplifica la gestión del correo electrónico empresarial.

Ventajas de proteger la IIP con Mimecast

Con Mimecast, podrá:

• Implemente y amplíe rápidamente soluciones para proteger la información confidencial de las empresas reduciendo al mismo tiempo los costes operativos y de capital, gracias a la solución SaaS en la nube 100% de Mimecast.
• Mejore la seguridad y la resistencia de Microsoft Office 365, Microsoft Exchange y Google G Suite.
• Simplifique la gestión del correo electrónico con una única consola para establecer políticas, elaborar informes, solucionar problemas y gestionar la seguridad, el archivado y la continuidad del correo electrónico.

Obtenga más información sobre la protección de la IIP con Mimecast y sobre las soluciones de cumplimiento sanitario de Mimecast.