Elementos de la Seguridad de Datos La seguridad de los datos es la práctica de proteger la información digital del acceso no autorizado, corrupción o robo. Abarca todos los aspectos, desde la seguridad física del hardware, así como la seguridad lógica de las aplicaciones de software. Elementos de la Seguridad de Datos Elementos de la seguridad de datos: • La autenticación • Control de acceso • Copias de seguridad y recuperación • Cifrado • Enmascaramiento de datos • Tokenización • Eliminaciones y borrado La autenticación La autenticación, junto con la autorización, es una de las formas recomendadas para aumentar la seguridad de los datos y protegerse contra violaciones de datos. La tecnología de autenticación verifica si las credenciales de un usuario coinciden con las almacenadas en la base de datos. Los procesos de autenticación estándar actuales incluyen el uso de una combinación de formas de identificar a un usuario autorizado, como contraseñas, PIN, tokens de seguridad, una tarjeta magnética o datos biométricos. La autenticación La autenticación se facilita mediante la tecnología de inicio de sesión único, que, con un token de seguridad, permite que un usuario autenticado acceda a múltiples sistemas, plataformas y aplicaciones. La tecnología de autorización determina lo que un usuario autenticado puede hacer o ver en tu sitio web o servidor. Control de acceso La autenticación y la autorización ocurren a través del proceso llamado control de acceso, que puede incluir: • Control de acceso discrecional (el menos restrictivo), que permite el acceso a los recursos en función de la identidad de los usuarios o grupos. • Control de acceso basado en roles, que asigna el acceso según el rol organizacional y permite a los usuarios acceder solo a información específica. • Control de acceso obligatorio, que permite al administrador del sistema vigilar estrictamente el acceso a toda la información. Copias de seguridad y recuperación Dar prioridad a la seguridad de los datos también requiere un plan sobre cómo acceder a los datos de tu empresa y del cliente en caso de falla del sistema, desastre, corrupción de datos o violación. Hacer copias de seguridad de datos con regularidad es una actividad importante para respaldar ese acceso. Una copia de seguridad de datos implica hacer una copia de tus datos y almacenarlos en un sistema o medio separado, como un disco o en la nube. Puedes recuperar los datos perdidos utilizando su copia de seguridad. Cifrado El software de cifrado de datos mejora de manera eficaz la seguridad de los datos mediante el uso de un algoritmo (llamado cifrado) y una clave de cifrado para convertir el texto normal en texto cifrado. Para una persona no autorizada, los datos cifrados serán ilegibles. Luego, esos datos solo pueden ser descifrados por un usuario con una clave autorizada. El cifrado se utiliza para proteger los datos que almacena (denominados datos en reposo) y los datos intercambiados entre bases de datos, dispositivos móviles y la nube (denominados datos en tránsito). Tus claves de cifrado deben administrarse de manera segura, lo que incluye proteger tus sistemas de administración críticos, administrar una copia de seguridad de cifrado segura fuera del sitio y restringir el acceso. Enmascaramiento de datos El software de enmascaramiento de datos oculta las letras y números con caracteres proxy. Los datos siguen ahí, detrás del enmascaramiento. El software cambia los datos a su forma original solo cuando un usuario autorizado los recibe. Tokenización La tokenización sustituye los datos confidenciales por caracteres aleatorios que no son reversibles algorítmicamente. La relación entre los datos y sus valores de token se almacena en una tabla de búsqueda de base de datos protegida, en lugar de ser generada y descifrada por un algoritmo matemático (como en el caso del cifrado). El token que representa los datos reales se usa en diferentes sistemas como reemplazo, mientras que los datos reales se almacenan en una plataforma segura separada. Eliminación y borrado Cuando los datos electrónicos ya no son necesarios y deben borrarse permanentemente del sistema, el borrado puede sobrescribirlos para que sean irrecuperables. Tipos de Seguridad de Datos 1. Seguridad del hardware La seguridad del hardware, como su nombre indica, protege la máquina y el hardware periférico de daños. Utiliza un circuito integrado especialmente diseñado para proporcionar funciones criptográficas y proteger contra ataques. Proporciona inmunidad contra las vulnerabilidades inherentes y los agujeros de seguridad del sistema operativo usado. Tipos de Seguridad de Datos 2. Seguridad del software Es un tipo de seguridad que blinda el software ante daños. Es importante proporcionar integridad, autenticación y disponibilidad. Generalmente, el software se considera la principal fuente de problemas de seguridad. Es el eslabón más débil de la cadena de seguridad detrás del factor humano. Por tanto, es importante centrarse en la seguridad del software. Tipos de Seguridad de Datos 3. Seguridad de red Es un conjunto de reglas y configuraciones diseñadas para resguardar la integridad, la confidencialidad y la accesibilidad de las redes informáticas, utilizando tecnologías de software y hardware. Toda organización, independientemente de su tamaño, industria o infraestructura, requiere cierto grado de soluciones de seguridad de red para protegerse de las amenazas cibernéticas en la actualidad. Proceso Para Iniciar en la Protección de Datos 1. Identifica todos los activos de TI en tu red El primer paso para aplicar cualquier tipo de estrategia de defensa es saber cuáles son todos los recursos que necesitas proteger. Realiza un inventario minucioso de todos los dispositivos de tu red, ya sean impresoras, estaciones de trabajo, dispositivos de Internet de las Cosas (IoT), teléfonos inteligentes, etc. También debes inventariar cualquier sistema de terceros que exista en tu red de socios, porque estos dispositivos podrían usarse para ingresar en tu red. Proceso Para Iniciar en la Protección de Datos Una vez que tengas un inventario de todos los dispositivos conectados al internet en tu empresa, también necesitas saber qué software/firmware está ejecutando esos dispositivos, es decir, sistemas operativos como Windows, Mac o Linux. Esta información es crucial para saber qué necesita parches y cuándo. Además, considera la posibilidad de establecer una estrategia para cambiar tus activos a fin de reducir la complejidad. Debes asegurarte de que la mayoría de sus activos tengan sistemas operativos compatibles; esto puede facilitar el seguimiento de los parches y actualizaciones de seguridad. Proceso Para Iniciar en la Protección de Datos 2. Evalúa tus riesgos Ahora que sabes lo que hay en tu red, es momento de evaluar cuánto riesgo representa cada uno de los dispositivos y plataformas de la red para que puedas priorizarlos, según sea necesario. Proceso Para Iniciar en la Protección de Datos Esta evaluación de riesgos debe constar de varios pasos, que incluyen: • Caracterización del sistema (proceso, aplicación, función) • Identificación de amenazas • Determinación del riesgo y el impacto • Análisis del entorno de control • Determinación de la clasificación de probabilidad • Cálculo de la calificación de riesgo Proceso Para Iniciar en la Protección de Datos Después de identificar todos los riesgos que enfrenta tu organización, puedes priorizarlos en función de la gravedad y la facilidad de reparación. De esta manera, podrás cerrar las brechas más grandes en tu postura de ciberseguridad lo más rápido posible. Proceso Para Iniciar en la Protección de Datos 3. Configura políticas para administrar el acceso a la información Uno de los mayores riesgos para la seguridad de los datos en cualquier organización son los usuarios que están en tu organización, ya sea porque abusaron de tus privilegios de acceso, compartieron datos accidentalmente con las personas equivocadas, o porque los detalles de tu cuenta de usuario se vieron comprometidos en un ataque de phishing. Proceso Para Iniciar en la Protección de Datos Como tal, es importante comprobar que tu organización haya clasificado todos los datos que estás administrando. Configura una serie de controles y herramientas para administrar el acceso a esos datos y aplicar una política de privilegios mínimos para acceder a los mismos. Al limitar el acceso a los datos a lo justo necesario para que cada usuario realice su función laboral, puedes reducir la cantidad de daño que podría haber si esa cuenta se usa ilícitamente. Proceso Para Iniciar en la Protección de Datos 4. Crea un plan para responder a un incidente de seguridad de datos Ninguna empresa es 100 % inmune a las violaciones de datos, incluso con un sólido conjunto de controles de seguridad implementados. Como tal, una parte importante de cualquier estrategia de seguridad es crear un plan para responder a una infracción. Proceso Para Iniciar en la Protección de Datos Es posible que el plan de tu negocio deba ajustarse en función de la naturaleza del incidente y los recursos que tiene disponibles, pero un esquema básico sería: • Identificar • Contener • Erradicar • Recuperar • Estudiar • Prepararse (para el próximo ataque) Proceso Para Iniciar en la Protección de Datos Un sistema de detección de intrusiones (IDS) es clave para identificar un evento de seguridad de datos, por lo que parte de la preparación para estos eventos sería adquirir e implementar un IDS Proceso Para Iniciar en la Protección de Datos 5. Asigna responsabilidad para elementos específicos de la estrategia de seguridad ¿Quién en tu organización será responsable de implementar tu estrategia de seguridad de datos? Si ocurre un incidente, ¿quién será responsable de identificar, contener y erradicar la infracción? Un elemento clave de cualquier estrategia de seguridad es crear una lista de responsabilidades para cada parte del plan y asignarlas a personas específicas. De esta manera, todos saben lo que se espera de ellos antes, durante y después de un incidente de seguridad. Proceso Para Iniciar en la Protección de Datos Además de asignar roles y responsabilidades para que las personas administren partes clave de la estrategia de seguridad, es importante brindar capacitación para que todos sepan cómo ejecutar sus labores.