La seguridad de los datos significa proteger los datos digitales , como los de una base de datos , de fuerzas destructivas y de acciones no deseadas de usuarios no autorizados, [1] como un ciberataque o una violación de datos . [2]
El cifrado de disco se refiere a la tecnología de cifrado que cifra los datos en una unidad de disco duro . [3] El cifrado de disco normalmente se realiza mediante software (consulte software de cifrado de disco ) o hardware (consulte hardware de cifrado de disco ). El cifrado de disco a menudo se denomina cifrado sobre la marcha (OTFE) o cifrado transparente.
Las soluciones de seguridad basadas en software cifran los datos para protegerlos contra robos. Sin embargo, un programa malicioso o un pirata informático podría corromper los datos y hacerlos irrecuperables, dejando el sistema inutilizable. Las soluciones de seguridad basadas en hardware impiden el acceso de lectura y escritura a los datos, lo que proporciona una protección muy sólida contra la manipulación y el acceso no autorizado.
La seguridad basada en hardware o seguridad informática asistida ofrece una alternativa a la seguridad informática basada únicamente en software. Los tokens de seguridad, como los que utilizan PKCS#11 o un teléfono móvil, pueden ser más seguros debido al acceso físico necesario para verse comprometidos. [4] El acceso se habilita solo cuando el token está conectado y se ingresa el PIN correcto (ver autenticación de dos factores ). Sin embargo, cualquier persona que pueda tener acceso físico a ellos puede utilizar los dongles. Las tecnologías más nuevas en seguridad basada en hardware resuelven este problema al ofrecer pruebas completas de seguridad de los datos. [5]
Trabajar con seguridad basada en hardware: un dispositivo de hardware permite a un usuario iniciar sesión, cerrar sesión y establecer diferentes niveles mediante acciones manuales. El dispositivo utiliza tecnología biométrica para evitar que usuarios malintencionados inicien, cierren sesión y cambien los niveles de privilegios. El estado actual de un usuario del dispositivo es leído por controladores en dispositivos periféricos como discos duros. El acceso ilegal por parte de un usuario malicioso o un programa malicioso se interrumpe según el estado actual de un usuario mediante controladores de disco duro y DVD, lo que hace imposible el acceso ilegal a los datos. El control de acceso basado en hardware es más seguro que la protección proporcionada por los sistemas operativos, ya que los sistemas operativos son vulnerables a ataques maliciosos de virus y piratas informáticos. Los datos de los discos duros pueden dañarse después de obtener un acceso malicioso. Con la protección basada en hardware, el software no puede manipular los niveles de privilegios del usuario. Un pirata informático o un programa malicioso no puede obtener acceso a datos seguros protegidos por hardware ni realizar operaciones privilegiadas no autorizadas. Esta suposición se rompe sólo si el hardware en sí es malicioso o contiene una puerta trasera. [6] El hardware protege la imagen del sistema operativo y los privilegios del sistema de archivos contra manipulaciones. Por lo tanto, se puede crear un sistema completamente seguro utilizando una combinación de seguridad basada en hardware y políticas seguras de administración del sistema.
Las copias de seguridad se utilizan para garantizar que los datos perdidos se puedan recuperar de otra fuente. Se considera esencial mantener una copia de seguridad de cualquier dato en la mayoría de las industrias y el proceso se recomienda para cualquier archivo de importancia para un usuario. [7]
El enmascaramiento de datos estructurados es el proceso de ocultar (enmascarar) datos específicos dentro de una tabla o celda de una base de datos para garantizar que se mantenga la seguridad de los datos y que la información confidencial no quede expuesta a personal no autorizado. [8] Esto puede incluir enmascarar los datos de los usuarios (por ejemplo, para que los representantes de los clientes bancarios solo puedan ver los últimos cuatro dígitos del número de identidad nacional de un cliente), desarrolladores (que necesitan datos de producción reales para probar nuevas versiones de software pero no deberían poder para ver datos financieros confidenciales), proveedores subcontratados, etc. [9]
El borrado de datos es un método de sobrescritura basado en software que borra por completo todos los datos electrónicos que residen en un disco duro u otros medios digitales para garantizar que no se pierdan datos confidenciales cuando se retira o reutiliza un activo.[10]
En el Reino Unido , la Ley de Protección de Datos se utiliza para garantizar que los datos personales sean accesibles para quienes les conciernen y proporciona reparación a las personas si hay inexactitudes. [11] Esto es particularmente importante para garantizar que las personas reciban un trato justo, por ejemplo a efectos de verificación de crédito. La Ley de Protección de Datos establece que sólo las personas y empresas con motivos legítimos y legales pueden procesar información personal y no pueden compartirla. El Día de la Privacidad de Datos es un feriado internacional iniciado por el Consejo de Europa que ocurre cada 28 de enero. [12]
Desde que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) entró en vigor el 25 de mayo de 2018, las organizaciones pueden enfrentar importantes sanciones de hasta 20 millones de euros o el 4% de sus ingresos anuales si no cumplen con el reglamento. . [13] Se pretende que el RGPD obligue a las organizaciones a comprender los riesgos de privacidad de sus datos y tomar las medidas adecuadas para reducir el riesgo de divulgación no autorizada de información privada de los consumidores.[14]
Los estándares internacionales ISO/IEC 27001 :2013 e ISO/IEC 27002 :2013 cubren la seguridad de los datos bajo el tema de seguridad de la información , y uno de sus principios fundamentales es que toda la información almacenada, es decir, los datos, debe ser propiedad de manera que quede claro de quién es. responsabilidad es proteger y controlar el acceso a esos datos. [15] [16] Los siguientes son ejemplos de organizaciones que ayudan a fortalecer y estandarizar la seguridad informática:
Trusted Computing Group es una organización que ayuda a estandarizar las tecnologías de seguridad informática.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar internacional de seguridad de la información patentado para organizaciones que manejan información de titulares de tarjetas para las principales tarjetas de débito , crédito , prepago, monedero electrónico , cajeros automáticos y puntos de venta. [17]
El Reglamento General de Protección de Datos (GDPR) propuesto por la Comisión Europea fortalecerá y unificará la protección de datos para las personas dentro de la UE, al tiempo que abordará la exportación de datos personales fuera de la UE.
{{cite web}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace )