Unidad 3: Distribución Datos

3.3 Seguridad de los Datos

Elementos de la Seguridad de Datos
La seguridad de los datos es la práctica de proteger la información
digital del acceso no autorizado, corrupción o robo. Abarca todos los
aspectos, desde la seguridad física del hardware, así como la seguridad
lógica de las aplicaciones de software.
Elementos de la Seguridad de Datos
Elementos de la seguridad de datos:
• La autenticación
• Control de acceso
• Copias de seguridad y recuperación
• Cifrado
• Enmascaramiento de datos
• Tokenización
• Eliminaciones y borrado
La autenticación
La autenticación, junto con la autorización, es una de las formas
recomendadas para aumentar la seguridad de los datos y protegerse
contra violaciones de datos. La tecnología de autenticación verifica si
las credenciales de un usuario coinciden con las almacenadas en la
base de datos. Los procesos de autenticación estándar actuales
incluyen el uso de una combinación de formas de identificar a un
usuario autorizado, como contraseñas, PIN, tokens de seguridad, una
tarjeta magnética o datos biométricos.
La autenticación
La autenticación se facilita mediante la tecnología de inicio de sesión
único, que, con un token de seguridad, permite que un usuario
autenticado acceda a múltiples sistemas, plataformas y aplicaciones. La
tecnología de autorización determina lo que un usuario autenticado
puede hacer o ver en tu sitio web o servidor.
Control de acceso
La autenticación y la autorización ocurren a través del proceso llamado
control de acceso, que puede incluir:
• Control de acceso discrecional (el menos restrictivo), que permite el
acceso a los recursos en función de la identidad de los usuarios o
grupos.
• Control de acceso basado en roles, que asigna el acceso según el rol
organizacional y permite a los usuarios acceder solo a información
específica.
• Control de acceso obligatorio, que permite al administrador del
sistema vigilar estrictamente el acceso a toda la información.
Copias de seguridad y recuperación
Dar prioridad a la seguridad de los datos también requiere un plan
sobre cómo acceder a los datos de tu empresa y del cliente en caso de
falla del sistema, desastre, corrupción de datos o violación. Hacer
copias de seguridad de datos con regularidad es una actividad
importante para respaldar ese acceso.
Una copia de seguridad de datos implica hacer una copia de tus datos y
almacenarlos en un sistema o medio separado, como un disco o en la
nube. Puedes recuperar los datos perdidos utilizando su copia de
seguridad.
Cifrado
El software de cifrado de datos mejora de manera eficaz la seguridad
de los datos mediante el uso de un algoritmo (llamado cifrado) y una
clave de cifrado para convertir el texto normal en texto cifrado. Para
una persona no autorizada, los datos cifrados serán ilegibles.
Luego, esos datos solo pueden ser descifrados por un usuario con una
clave autorizada. El cifrado se utiliza para proteger los datos que
almacena (denominados datos en reposo) y los datos intercambiados
entre bases de datos, dispositivos móviles y la nube (denominados
datos en tránsito). Tus claves de cifrado deben administrarse de
manera segura, lo que incluye proteger tus sistemas de administración
críticos, administrar una copia de seguridad de cifrado segura fuera del
sitio y restringir el acceso.
Enmascaramiento de datos
El software de enmascaramiento de datos oculta las letras y números
con caracteres proxy. Los datos siguen ahí, detrás del
enmascaramiento. El software cambia los datos a su forma original solo
cuando un usuario autorizado los recibe.
Tokenización
La tokenización sustituye los datos confidenciales por caracteres
aleatorios que no son reversibles algorítmicamente. La relación entre
los datos y sus valores de token se almacena en una tabla de búsqueda
de base de datos protegida, en lugar de ser generada y descifrada por
un algoritmo matemático (como en el caso del cifrado). El token que
representa los datos reales se usa en diferentes sistemas como
reemplazo, mientras que los datos reales se almacenan en una
plataforma segura separada.
Eliminación y borrado
Cuando los datos electrónicos ya no son necesarios y deben borrarse
permanentemente del sistema, el borrado puede sobrescribirlos para
que sean irrecuperables.
Tipos de Seguridad de Datos
1. Seguridad del hardware
La seguridad del hardware, como su nombre indica, protege la máquina
y el hardware periférico de daños. Utiliza un circuito integrado
especialmente diseñado para proporcionar funciones criptográficas y
proteger contra ataques. Proporciona inmunidad contra las
vulnerabilidades inherentes y los agujeros de seguridad del sistema
operativo usado.
Tipos de Seguridad de Datos
2. Seguridad del software
Es un tipo de seguridad que blinda el software ante daños. Es
importante proporcionar integridad, autenticación y disponibilidad.
Generalmente, el software se considera la principal fuente de
problemas de seguridad. Es el eslabón más débil de la cadena de
seguridad detrás del factor humano. Por tanto, es importante centrarse
en la seguridad del software.
Tipos de Seguridad de Datos
3. Seguridad de red
Es un conjunto de reglas y configuraciones diseñadas para resguardar la
integridad, la confidencialidad y la accesibilidad de las redes
informáticas, utilizando tecnologías de software y hardware. Toda
organización, independientemente de su tamaño, industria o
infraestructura, requiere cierto grado de soluciones de seguridad de
red para protegerse de las amenazas cibernéticas en la actualidad.
Proceso Para Iniciar en la Protección de Datos
1. Identifica todos los activos de TI en tu red
El primer paso para aplicar cualquier tipo de estrategia de defensa es
saber cuáles son todos los recursos que necesitas proteger. Realiza un
inventario minucioso de todos los dispositivos de tu red, ya sean
impresoras, estaciones de trabajo, dispositivos de Internet de las Cosas
(IoT), teléfonos inteligentes, etc. También debes inventariar cualquier
sistema de terceros que exista en tu red de socios, porque estos
dispositivos podrían usarse para ingresar en tu red.
Proceso Para Iniciar en la Protección de Datos
Una vez que tengas un inventario de todos los dispositivos conectados
al internet en tu empresa, también necesitas saber qué
software/firmware está ejecutando esos dispositivos, es decir, sistemas
operativos como Windows, Mac o Linux. Esta información es crucial
para saber qué necesita parches y cuándo.
Además, considera la posibilidad de establecer una estrategia para
cambiar tus activos a fin de reducir la complejidad. Debes asegurarte
de que la mayoría de sus activos tengan sistemas operativos
compatibles; esto puede facilitar el seguimiento de los parches y
actualizaciones de seguridad.
Proceso Para Iniciar en la Protección de Datos
2. Evalúa tus riesgos
Ahora que sabes lo que hay en tu red, es momento de evaluar cuánto
riesgo representa cada uno de los dispositivos y plataformas de la red
para que puedas priorizarlos, según sea necesario.
Proceso Para Iniciar en la Protección de Datos
Esta evaluación de riesgos debe constar de varios pasos, que incluyen:
• Caracterización del sistema (proceso, aplicación, función)
• Identificación de amenazas
• Determinación del riesgo y el impacto
• Análisis del entorno de control
• Determinación de la clasificación de probabilidad
• Cálculo de la calificación de riesgo
Proceso Para Iniciar en la Protección de Datos
Después de identificar todos los riesgos que enfrenta tu organización,
puedes priorizarlos en función de la gravedad y la facilidad de
reparación. De esta manera, podrás cerrar las brechas más grandes en
tu postura de ciberseguridad lo más rápido posible.
Proceso Para Iniciar en la Protección de Datos
3. Configura políticas para administrar el acceso a la información
Uno de los mayores riesgos para la seguridad de los datos en cualquier
organización son los usuarios que están en tu organización, ya sea
porque abusaron de tus privilegios de acceso, compartieron datos
accidentalmente con las personas equivocadas, o porque los detalles
de tu cuenta de usuario se vieron comprometidos en un ataque de
phishing.
Proceso Para Iniciar en la Protección de Datos
Como tal, es importante comprobar que tu organización haya
clasificado todos los datos que estás administrando. Configura una
serie de controles y herramientas para administrar el acceso a esos
datos y aplicar una política de privilegios mínimos para acceder a los
mismos.
Al limitar el acceso a los datos a lo justo necesario para que cada
usuario realice su función laboral, puedes reducir la cantidad de daño
que podría haber si esa cuenta se usa ilícitamente.
Proceso Para Iniciar en la Protección de Datos
4. Crea un plan para responder a un incidente de seguridad de datos
Ninguna empresa es 100 % inmune a las violaciones de datos, incluso
con un sólido conjunto de controles de seguridad implementados.
Como tal, una parte importante de cualquier estrategia de seguridad es
crear un plan para responder a una infracción.
Proceso Para Iniciar en la Protección de Datos
Es posible que el plan de tu negocio deba ajustarse en función de la
naturaleza del incidente y los recursos que tiene disponibles, pero un
esquema básico sería:
• Identificar
• Contener
• Erradicar
• Recuperar
• Estudiar
• Prepararse (para el próximo ataque)
Proceso Para Iniciar en la Protección de Datos
Un sistema de detección de intrusiones (IDS) es clave para identificar
un evento de seguridad de datos, por lo que parte de la preparación
para estos eventos sería adquirir e implementar un IDS
Proceso Para Iniciar en la Protección de Datos
5. Asigna responsabilidad para elementos específicos de la estrategia
de seguridad
¿Quién en tu organización será responsable de implementar tu
estrategia de seguridad de datos? Si ocurre un incidente, ¿quién será
responsable de identificar, contener y erradicar la infracción?
Un elemento clave de cualquier estrategia de seguridad es crear una
lista de responsabilidades para cada parte del plan y asignarlas a
personas específicas. De esta manera, todos saben lo que se espera de
ellos antes, durante y después de un incidente de seguridad.
Proceso Para Iniciar en la Protección de Datos
Además de asignar roles y responsabilidades para que las personas
administren partes clave de la estrategia de seguridad, es importante
brindar capacitación para que todos sepan cómo ejecutar sus labores.