Seguridad de datos

Protección de datos digitales

La seguridad de los datos significa proteger los datos digitales , como los de una base de datos , de fuerzas destructivas y de acciones no deseadas de usuarios no autorizados, ^[1] como un ciberataque o una violación de datos . ^[2]

Tecnologías

Cifrado de disco

El cifrado de disco se refiere a la tecnología de cifrado que cifra los datos en una unidad de disco duro . El cifrado de disco normalmente se realiza mediante software (consulte software de cifrado de disco ) o hardware (consulte hardware de cifrado de disco ). El cifrado de disco suele denominarse cifrado sobre la marcha (OTFE) o cifrado transparente.

Mecanismos basados ​​en software versus mecanismos basados ​​en hardware para proteger datos

Las soluciones de seguridad basadas en software cifran los datos para protegerlos del robo. Sin embargo, un programa malicioso o un pirata informático podrían corromper los datos y hacerlos irrecuperables, lo que dejaría el sistema inutilizable. Las soluciones de seguridad basadas en hardware impiden el acceso de lectura y escritura a los datos, lo que proporciona una protección muy sólida contra la manipulación y el acceso no autorizado.

La seguridad basada en hardware o la seguridad informática asistida ofrece una alternativa a la seguridad informática basada únicamente en software. Los tokens de seguridad , como los que utilizan PKCS#11 o un teléfono móvil, pueden ser más seguros debido al acceso físico necesario para que se vean comprometidos. ^[3] El acceso se habilita únicamente cuando el token está conectado y se ingresa el PIN correcto (consulte la autenticación de dos factores ). Sin embargo, los dongles pueden ser utilizados por cualquier persona que pueda obtener acceso físico a ellos. Las tecnologías más nuevas en seguridad basada en hardware resuelven este problema al ofrecer una prueba completa de seguridad para los datos. ^[4]

Seguridad basada en hardware: un dispositivo de hardware permite a un usuario iniciar sesión, cerrar sesión y establecer diferentes niveles mediante acciones manuales. El dispositivo utiliza tecnología biométrica para evitar que usuarios malintencionados inicien sesión, cierren sesión y cambien los niveles de privilegio. Los controladores de dispositivos periféricos, como discos duros, leen el estado actual de un usuario del dispositivo . El acceso ilegal por parte de un usuario malintencionado o un programa malintencionado se interrumpe en función del estado actual de un usuario mediante controladores de disco duro y DVD, lo que hace imposible el acceso ilegal a los datos. El control de acceso basado en hardware es más seguro que la protección proporcionada por los sistemas operativos, ya que los sistemas operativos son vulnerables a ataques maliciosos de virus y piratas informáticos. Los datos de los discos duros pueden corromperse después de obtener acceso malintencionado. Con la protección basada en hardware, el software no puede manipular los niveles de privilegio del usuario. Un pirata informático o un programa malintencionado no puede obtener acceso a datos seguros protegidos por hardware ni realizar operaciones privilegiadas no autorizadas. Esta suposición solo se rompe si el propio hardware es malintencionado o contiene una puerta trasera. ^[5] El hardware protege la imagen del sistema operativo y los privilegios del sistema de archivos para que no se alteren. Por lo tanto, se puede crear un sistema completamente seguro utilizando una combinación de seguridad basada en hardware y políticas de administración de sistemas seguros.

Copias de seguridad

Las copias de seguridad se utilizan para garantizar que los datos perdidos se puedan recuperar de otra fuente. Se considera esencial mantener una copia de seguridad de todos los datos en la mayoría de las industrias y se recomienda el proceso para cualquier archivo importante para un usuario. ^[6]

Enmascaramiento de datos

El enmascaramiento de datos estructurados es el proceso de ocultar (enmascarar) datos específicos dentro de una tabla o celda de una base de datos para garantizar que se mantenga la seguridad de los datos y que la información confidencial no quede expuesta a personal no autorizado. ^[7] Esto puede incluir el enmascaramiento de los datos para los usuarios (por ejemplo, para que los representantes de atención al cliente bancario solo puedan ver los últimos cuatro dígitos del número de identidad nacional de un cliente), los desarrolladores (que necesitan datos de producción reales para probar nuevas versiones de software pero no deberían poder ver datos financieros confidenciales), los proveedores de servicios externos, etc. ^[8]

Borrado de datos

El borrado de datos es un método de sobrescritura basado en software que borra por completo todos los datos electrónicos que residen en un disco duro u otro medio digital para garantizar que no se pierdan datos confidenciales cuando se retira o reutiliza un activo. ^[9]

Leyes y normas internacionales

Leyes internacionales

En el Reino Unido , la Ley de Protección de Datos se utiliza para garantizar que los datos personales sean accesibles a quienes les conciernen y ofrece reparación a las personas si hay inexactitudes. ^[10] Esto es especialmente importante para garantizar que las personas sean tratadas de manera justa, por ejemplo, a efectos de verificación de crédito. La Ley de Protección de Datos establece que solo las personas y las empresas con motivos legítimos y legales pueden procesar información personal y no se puede compartir. El Día de la Privacidad de Datos es una festividad internacional iniciada por el Consejo de Europa que se celebra cada 28 de enero. ^[11]

Desde que el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) se convirtió en ley el 25 de mayo de 2018, las organizaciones pueden enfrentarse a importantes sanciones de hasta 20 millones de euros o el 4 % de sus ingresos anuales si no cumplen con la normativa. ^[12] Se pretende que el RGPD obligue a las organizaciones a comprender sus riesgos de privacidad de datos y a tomar las medidas adecuadas para reducir el riesgo de divulgación no autorizada de la información privada de los consumidores. ^[13]

Normas internacionales

Las normas internacionales ISO/IEC 27001 :2013 e ISO/IEC 27002 :2013 cubren la seguridad de los datos bajo el tema de seguridad de la información , y uno de sus principios cardinales es que toda la información almacenada, es decir, los datos, deben ser propiedad de manera que esté claro de quién es la responsabilidad de proteger y controlar el acceso a esos datos. ^{[14] [15]} Los siguientes son ejemplos de organizaciones que ayudan a fortalecer y estandarizar la seguridad informática:

El Trusted Computing Group es una organización que ayuda a estandarizar las tecnologías de seguridad informática.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar internacional de seguridad de la información patentado para organizaciones que manejan información de titulares de tarjetas de débito , crédito , prepago, monederos electrónicos , cajeros automáticos y tarjetas de punto de venta. ^[16]

El Reglamento General de Protección de Datos (RGPD) propuesto por la Comisión Europea reforzará y unificará la protección de datos de las personas dentro de la UE, al tiempo que aborda la exportación de datos personales fuera de la UE.

Salvaguardias

Los cuatro tipos de salvaguardas técnicas son los controles de acceso, los controles de flujo, los controles de inferencia y el cifrado de datos . Los controles de acceso gestionan la entrada de usuarios y la manipulación de datos, mientras que los controles de flujo regulan la difusión de datos. Los controles de inferencia impiden la deducción de información confidencial de bases de datos estadísticas y el cifrado de datos impide el acceso no autorizado a información confidencial. ^[17]

Véase también

• Protección de copia
• Regulación de la ciberseguridad
• Seguridad centrada en los datos
• Borrado de datos
• Enmascaramiento de datos
• Recuperación de datos
• Herencia digital
• Cifrado de disco
  • Comparación de software de cifrado de discos
• Seguridad basada en identidad
• Seguridad de la información
• Aseguramiento de la red de TI
• Autenticación previa al arranque
• Ingeniería de privacidad
• Ley de privacidad
• Raz Lee
• Leyes de notificación de violaciones de seguridad
• Inicio de sesión único
• Tarjeta inteligente
• Tokenización
• Cifrado de datos transparente
• Seguridad de la unidad flash USB
• Modelo Gordon-Loeb para inversiones en ciberseguridad

Referencias

1. Summers, G. (2004). Datos y bases de datos. En: Koehne, H. Desarrollo de bases de datos con Access: Nelson Australia Pty Limited. págs. 4-5.
2. "Conocer sus datos para protegerlos". IT Business Edge . 2017-09-25 . Consultado el 2022-11-03 .
3. Thanh, Do van; Jorstad, Ivar; Jonvik, Tore; Thuan, Do van (2009). "Autenticación fuerte con teléfono móvil como token de seguridad". 2009 IEEE 6th International Conference on Mobile Adhoc and Sensor Systems . págs. 777–782. doi :10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2.S2CID5470548  .​
4. Stubbs, Rob (10 de septiembre de 2019). "Por qué el mundo se está moviendo hacia la seguridad basada en hardware". Fortanix . Consultado el 30 de septiembre de 2022 .
5. Waksman, Adam; Sethumadhavan, Simha (2011), "Silenciar puertas traseras de hardware" (PDF) , Actas del Simposio IEEE sobre seguridad y privacidad , Oakland, California, archivado (PDF) desde el original el 28 de septiembre de 2013
6. "Copias de seguridad | Manténgase inteligente en línea". Archivado desde el original el 7 de julio de 2017.
7. "Definición de enmascaramiento de datos". Archivado desde el original el 27 de febrero de 2017. Consultado el 1 de marzo de 2016 .
8. "enmascaramiento de datos". Archivado desde el original el 5 de enero de 2018 . Consultado el 29 de julio de 2016 .
9. Michael Wei; Laura M. Grupp; Frederick E. Spada; Steven Swanson (2011). "Borrado fiable de datos de unidades de estado sólido basadas en flash". FAST'11: Actas de la 9.ª conferencia de USENIX sobre tecnologías de archivos y almacenamiento . Wikidata  Q115346857 . Consultado el 22 de noviembre de 2022 .
10. "Ley de protección de datos". Archivado desde el original el 13 de abril de 2016 . Consultado el 29 de julio de 2016 .
11. Peter Fleischer, Jane Horvath, Shuman Ghosemajumder (2008). «Celebrando la privacidad de los datos». Blog de Google . Archivado desde el original el 20 de mayo de 2011. Consultado el 12 de agosto de 2011 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
12. "Sanciones del RGPD". Archivado desde el original el 31 de marzo de 2018.
13. "Detección y protección para la transformación digital". Informatica . Consultado el 27 de abril de 2018 .
14. "ISO/IEC 27001:2013". ISO . 16 de diciembre de 2020 . Consultado el 3 de noviembre de 2022 .
15. "ISO/IEC 27002:2013". ISO . 15 de abril de 2021 . Consultado el 3 de noviembre de 2022 .
16. "Definición de PCI DSS". Archivado desde el original el 2 de marzo de 2016 . Consultado el 1 de marzo de 2016 .
17. Denning, Dorothy E. y Peter J. Denning. "Seguridad de datos". Encuestas de informática de la ACM (CSUR) 11.3 (1979): 227-249.

Enlaces externos

• Preparándose para las nuevas leyes de datos - Revista Local Gov
• Reglamento General de Protección de Datos de la UE (RGPD)
• Cómo contrarrestar los ataques de ransomware