Claroty Preguntas frecuentes sobre seguridad y privacidad

Actualizado 14/1/2025

Claroty implementa y mantiene un sólido programa de seguridad de la información y protección de datos multicapa. Nuestro programa de protección de datos implica la implementación de una amplia variedad de controles técnicos, organizativos y procedimentales, que Claroty considera necesarios para proteger los datos de los clientes, proteger el entorno de Clarory contra amenazas de ciberseguridad y cumplir con los requisitos normativos (ISO 27001, ISO 27701, SOC2 Tipo 2, GDPR, HIPAA y leyes locales de privacidad, así como las disposiciones de mejores prácticas).

ClarotyLa estrategia de protección de datos y seguridad de la información de incluye los siguientes componentes clave:

Gobernanza, riesgo y cumplimiento (GRC)
Políticas de seguridad corporativa
Seguridad organizacional
Programa de gestión de riesgos de seguridad
Clasificación y control de activos
Gestión segura del personal/recursos humanos
Concientización sobre la seguridad de la información
Criptografía
Seguridad de las comunicaciones
Gestión de riesgos de seguridad de proveedores
Gestión de cambios
Seguridad física y ambiental
Seguridad operativa
Gestión de vulnerabilidades de seguridad
Controles de acceso
Desarrollo y mantenimiento seguros de sistemas
Recuperación ante desastres y continuidad del negocio
Programa de medidas correctivas
Cumplimiento normativo

1. Gobernanza, riesgo y cumplimiento (GRC)

Políticas de seguridad de la información: establecer y hacer cumplir políticas de protección de datos, seguridad y cumplimiento de estándares como HIPAA, GDPR, SOC 2 e ISO 27001.
Clasificación de datos: Clasifique los datos de acuerdo con la sensibilidad (p. ej., confidencial, interna, pública) y aplique los controles de seguridad adecuados para cada clase.
Marco de gestión de riesgos: Implementar un proceso formal de gestión de riesgos para identificar, evaluar y mitigar los riesgos de seguridad.
Monitoreo del cumplimiento: Monitoreo continuo del cumplimiento de marcos regulatorios como GDPR, HIPAA y estándares de la industria.
Auditorías internas: auditar regularmente los procesos y controles de seguridad internos para garantizar el cumplimiento de las políticas y los estándares establecidos.
Plan de respuesta a incidentes: Desarrollar y mantener un plan de respuesta a incidentes que incluya funciones, responsabilidades y procedimientos para manejar las violaciones de seguridad.

2. Control de acceso y gestión de identidad

Gestión de identidad y acceso (Identity and Access Management, IAM): Implementar soluciones de IAM para gestionar y controlar el acceso de los usuarios a sistemas, aplicaciones y datos.
Control de acceso basado en roles (RBAC): Asegúrese de que los usuarios tengan acceso solo a los recursos necesarios para sus roles laborales.
Autenticación multifactor (MFA): Aplicar MFA para acceder a sistemas y datos críticos, tanto para empleados como para clientes.
Privilegio mínimo: aplique el principio de mínimo privilegio para limitar los derechos de acceso para los usuarios al mínimo necesario.
Inicio de sesión único (Single Sign-On, SSO): Implemente SSO para optimizar la autenticación y mejorar la seguridad.
Revisión y recertificación de la cuenta: Realizar revisiones periódicas de los permisos de acceso del usuario para garantizar que estén actualizados y sean apropiados.

3. Cifrado de datos

Cifrado en reposo: Cifre todos los datos en reposo utilizando algoritmos de cifrado sólidos (p. ej., AES-256) para bases de datos, sistemas de archivos y copias de seguridad.
Cifrado en tránsito: utilice TLS/SSL para cifrar datos en tránsito entre la plataforma SaaS y los clientes.
Cifrado de extremo a extremo: para datos altamente sensibles, implemente el cifrado de extremo a extremo para garantizar que los datos permanezcan cifrados desde el origen hasta el destino.
Administración de claves de cifrado: administre de manera segura las claves de cifrado, incluidos los controles de rotación, almacenamiento y acceso de claves.

4. Seguridad de red

Firewalls: Implemente firewalls para controlar el tráfico de red entrante y saliente y evitar el acceso no autorizado.
Sistemas de detección y prevención de intrusiones (IDPS): Utilice IDPS para monitorear el tráfico de red en busca de actividades sospechosas y bloquear el comportamiento malicioso.
Segmentación de la red: Segmente la red en diferentes zonas (p. ej., producción, desarrollo, pruebas) para limitar la propagación de un ataque.
Redes privadas virtuales (Virtual Private Networks, VPN): use VPN para acceso remoto seguro los sistemas internos, especialmente para los empleados que trabajan fuera del sitio.
Protección contra DDoS: Implementar mecanismos de protección de denegación de servicio distribuido (DDoS) para proteger contra ataques a gran escala a la disponibilidad de la red.

5. Seguridad del punto final

Antivirus y antimalware: instale y mantenga software antivirus y antimalware actualizado en todos los puntos finales.
Detección y respuesta de punto final (EDR): Implemente soluciones EDR para detectar y responder a actividades maliciosas en dispositivos de endpoint .
Gestión de parches: asegúrese de que todos los dispositivos de endpoint se actualicen regularmente con parches de seguridad y actualizaciones de software.
Gestión de dispositivos móviles (MDM): Aplicar soluciones MDM para administrar, proteger y monitorear dispositivos móviles utilizados por los empleados.

6. Seguridad de aplicaciones

Ciclo de vida de desarrollo de software seguro (SDLC): Integre la seguridad a lo largo del proceso de desarrollo, incluidas las prácticas de codificación segura, las revisiones de códigos y las evaluaciones de vulnerabilidad.
Pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST): realice pruebas automatizadas para identificar vulnerabilidades en el código y las aplicaciones durante y después del desarrollo.
Pruebas de penetración: realice pruebas de penetración regulares para identificar debilidades de seguridad en las aplicaciones.
Parches de seguridad: aplique parches para las vulnerabilidades de la aplicación tan pronto como se identifiquen.
Firewalls de aplicaciones web (WAF): Utilice WAF para proteger las aplicaciones web de amenazas como inyección SQL, secuencias de comandos entre sitios (XSS) y otros ataques.

7. Minimización y protección de la privacidad de los datos

Anonimato de datos y seudonimización: utilice técnicas como el anonimato y la seudonimización para proteger la información de identificación personal (personally identifiable information, PII) y otros datos confidenciales.
Minimización de datos: Limite la recopilación y el procesamiento de datos personales solo a lo que sea necesario para los fines comerciales.
Retención y eliminación de datos: Implementar políticas para la retención y eliminación segura de datos de clientes en cumplimiento con las regulaciones de privacidad.
Gestión de los derechos de los interesados: proporcionar mecanismos para cumplir con las solicitudes de los clientes con respecto al acceso, rectificación, eliminación y portabilidad de los datos según lo requerido por el RGPD y regulaciones similares.

8. Seguridad en la nube

Corredor de seguridad de acceso a la nube (CASB): utilice CASB para aplicar políticas de seguridad para el uso en la nube, monitorear el acceso a los servicios en la nube y proteger los datos alojados en la nube.
Seguridad de contenedores: Implemente controles de seguridad para contenedores (p. ej., Docker, Kubernetes), incluido el escaneo de imágenes y la protección del tiempo de ejecución.
Seguridad de infraestructura como código (IaC): configuraciones de infraestructura seguras implementadas con herramientas IaC como Terraform o AWS CloudFormation mediante la validación de archivos de configuración para configuraciones erróneas de seguridad.
Aislamiento de recursos en la nube: utilice técnicas de aislamiento de recursos en la nube (p. ej., VPC) para garantizar que los datos del cliente se separen y se aíslen en entornos de múltiples usuarios.

9. Respaldo y recuperación ante desastres

Copias de seguridad regulares: realice copias de seguridad regulares de datos críticos, asegurándose de que las copias de seguridad estén cifradas y almacenadas de manera segura en ubicaciones geográficamente separadas.
Plan de recuperación ante desastres (Disaster Recovery Plan, DRP): Desarrollar y mantener un plan de recuperación ante desastres que describa los procedimientos para restaurar sistemas y datos en caso de un desastre.
Pruebas de copia de seguridad: prueba periódicamente los procedimientos de copia de seguridad y restauración para garantizar que los datos puedan recuperarse de manera efectiva.

10. Registro y monitoreo

Gestión de eventos e información de seguridad (SIEM): Utilice los sistemas SIEM para recopilar y analizar registros de seguridad en tiempo real para detectar y responder a eventos de seguridad.
Monitoreo continuo: Implementar el monitoreo continuo de sistemas, redes y aplicaciones para actividades sospechosas.
Retención de registros: conserve los registros de seguridad durante un período definido por los requisitos regulatorios y las necesidades comerciales para facilitar la auditoría y forense.
Registros de auditoría: Mantener registros de auditoría detallados de las actividades del usuario y del sistema, incluidos los cambios en los datos, la configuración y los ajustes de control de acceso.

11. Gestión de vulnerabilidades

Escaneo regular de vulnerabilidades: realice escaneos regulares de vulnerabilidades de redes, aplicaciones y sistemas para identificar posibles problemas de seguridad.
Gestión de parches: Implementar un proceso formal de gestión de parches para garantizar que todas las vulnerabilidades críticas se corrijan de manera oportuna.
Programas Bug Bounty: Considere ejecutar un programa de Bbug Bounty para alentar a los investigadores de seguridad externos a encontrar vulnerabilidades.

12. Seguridad física

Seguridad de los centros de datos: garantizar la seguridad física en los centros de datos, incluidos los controles de acceso biométrico, la vigilancia 24/7 y los controles ambientales (p. ej., supresión de incendios, control climático).
Control de acceso para oficinas: utilice mecanismos de control de acceso como credenciales, datos biométricos y CCTV en edificios de oficinas para evitar el acceso no autorizado.

13. Respuesta y recuperación ante incidentes

Plan de respuesta a incidentes (Incident Response Plan, IRP): Establecer un IRP documentado que defina los pasos que se deben tomar en caso de un incidente de seguridad.
Detección e informes de incidentes: Implementar procesos para detectar, informar y gestionar incidentes de seguridad en tiempo real.
Revisión posterior al incidente: Realizar revisiones posteriores al incidente para analizar las causas raíz de los incidentes y mejorar los esfuerzos de respuesta futuros.

14. Capacitación y concientización

Capacitación de concientización sobre seguridad: Proporcionar capacitación continua de concientización sobre seguridad a los empleados sobre temas como phishing, ingeniería social y manejo adecuado de datos.
Simulaciones de phishing: ejecute simulaciones de phishing regulares para probar y mejorar la conciencia de los empleados sobre los ataques de ingeniería social.
Educación sobre políticas de seguridad: asegúrese de que todos los empleados estén informados sobre las políticas y los procedimientos de seguridad de la compañía.

15. Gestión de terceros y proveedores

Evaluación de riesgos de proveedores: realizar evaluaciones de seguridad de proveedores externos para garantizar que cumplan con los mismos estándares de seguridad y privacidad que la compañía.
Auditorías de terceros: requieren que los proveedores críticos se sometan a auditorías de seguridad regulares (p. ej., SOC 2, ISO 27001) y proporcionen informes para su revisión.
Acuerdos de procesamiento de datos: garantizar que los contratos con procesadores externos incluyan cláusulas de protección de datos que cumplan con las normas regulatorias como el RGPD y la HIPAA.

16. Planificación de la continuidad del negocio (BCP)

Plan de continuidad del negocio: Desarrollar y mantener un BCP que garantice la continuidad de las operaciones críticas en caso de una interrupción o interrupción prolongada.
Análisis de impacto en el negocio (BIA): Realizar un BIA para identificar las funciones y los recursos comerciales críticos necesarios para la continuidad durante las interrupciones.

Claroty Nombrado líder en el Cuadrante Mágico Gartner® 2025 para Plataformas de Protección CPS

Claroty Gana lo mejor en KLAS para la seguridad de IoT en la atención médica - Cinco años consecutivos

Estado de seguridad de CPS: exposiciones de OT 2025

Impactos financieros de asegurar las operaciones de CPS

Ahora presentamos Claroty xDome para el cuidado de la salud

Phlow aprovecha las tecnologías de Claroty para una protección inigualable del sistema ciberfísico