stringtranslate.com

Seguridad de datos

La seguridad de los datos significa proteger los datos digitales , como los de una base de datos , de fuerzas destructivas y de acciones no deseadas de usuarios no autorizados, [1] como un ciberataque o una violación de datos . [2]

Tecnologías

Cifrado de disco

El cifrado de disco se refiere a la tecnología de cifrado que cifra los datos en una unidad de disco duro . [3] El cifrado de disco normalmente se realiza mediante software (consulte software de cifrado de disco ) o hardware (consulte hardware de cifrado de disco ). El cifrado de disco a menudo se denomina cifrado sobre la marcha (OTFE) o cifrado transparente.

Mecanismos basados ​​en software versus hardware para proteger datos

Las soluciones de seguridad basadas en software cifran los datos para protegerlos contra robos. Sin embargo, un programa malicioso o un pirata informático podría corromper los datos y hacerlos irrecuperables, dejando el sistema inutilizable. Las soluciones de seguridad basadas en hardware impiden el acceso de lectura y escritura a los datos, lo que proporciona una protección muy sólida contra la manipulación y el acceso no autorizado.

La seguridad basada en hardware o seguridad informática asistida ofrece una alternativa a la seguridad informática basada únicamente en software. Los tokens de seguridad, como los que utilizan PKCS#11 o un teléfono móvil, pueden ser más seguros debido al acceso físico necesario para verse comprometidos. [4] El acceso se habilita solo cuando el token está conectado y se ingresa el PIN correcto (ver autenticación de dos factores ). Sin embargo, cualquier persona que pueda tener acceso físico a ellos puede utilizar los dongles. Las tecnologías más nuevas en seguridad basada en hardware resuelven este problema al ofrecer pruebas completas de seguridad de los datos. [5]

Trabajar con seguridad basada en hardware: un dispositivo de hardware permite a un usuario iniciar sesión, cerrar sesión y establecer diferentes niveles mediante acciones manuales. El dispositivo utiliza tecnología biométrica para evitar que usuarios malintencionados inicien, cierren sesión y cambien los niveles de privilegios. El estado actual de un usuario del dispositivo es leído por controladores en dispositivos periféricos como discos duros. El acceso ilegal por parte de un usuario malicioso o un programa malicioso se interrumpe según el estado actual de un usuario mediante controladores de disco duro y DVD, lo que hace imposible el acceso ilegal a los datos. El control de acceso basado en hardware es más seguro que la protección proporcionada por los sistemas operativos, ya que los sistemas operativos son vulnerables a ataques maliciosos de virus y piratas informáticos. Los datos de los discos duros pueden dañarse después de obtener un acceso malicioso. Con la protección basada en hardware, el software no puede manipular los niveles de privilegios del usuario. Un pirata informático o un programa malicioso no puede obtener acceso a datos seguros protegidos por hardware ni realizar operaciones privilegiadas no autorizadas. Esta suposición se rompe sólo si el hardware en sí es malicioso o contiene una puerta trasera. [6] El hardware protege la imagen del sistema operativo y los privilegios del sistema de archivos contra manipulaciones. Por lo tanto, se puede crear un sistema completamente seguro utilizando una combinación de seguridad basada en hardware y políticas seguras de administración del sistema.

Copias de seguridad

Las copias de seguridad se utilizan para garantizar que los datos perdidos se puedan recuperar de otra fuente. Se considera esencial mantener una copia de seguridad de cualquier dato en la mayoría de las industrias y el proceso se recomienda para cualquier archivo de importancia para un usuario. [7]

Enmascaramiento de datos

El enmascaramiento de datos estructurados es el proceso de ocultar (enmascarar) datos específicos dentro de una tabla o celda de una base de datos para garantizar que se mantenga la seguridad de los datos y que la información confidencial no quede expuesta a personal no autorizado. [8] Esto puede incluir enmascarar los datos de los usuarios (por ejemplo, para que los representantes de los clientes bancarios solo puedan ver los últimos cuatro dígitos del número de identidad nacional de un cliente), desarrolladores (que necesitan datos de producción reales para probar nuevas versiones de software pero no deberían poder para ver datos financieros confidenciales), proveedores subcontratados, etc. [9]

Borrado de datos

El borrado de datos es un método de sobrescritura basado en software que borra por completo todos los datos electrónicos que residen en un disco duro u otros medios digitales para garantizar que no se pierdan datos confidenciales cuando se retira o reutiliza un activo.[10]

Leyes y estándares internacionales

leyes internacionales

En el Reino Unido , la Ley de Protección de Datos se utiliza para garantizar que los datos personales sean accesibles para quienes les conciernen y proporciona reparación a las personas si hay inexactitudes. [11] Esto es particularmente importante para garantizar que las personas reciban un trato justo, por ejemplo a efectos de verificación de crédito. La Ley de Protección de Datos establece que sólo las personas y empresas con motivos legítimos y legales pueden procesar información personal y no pueden compartirla. El Día de la Privacidad de Datos es un feriado internacional iniciado por el Consejo de Europa que ocurre cada 28 de enero. [12]

Desde que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) entró en vigor el 25 de mayo de 2018, las organizaciones pueden enfrentar importantes sanciones de hasta 20 millones de euros o el 4% de sus ingresos anuales si no cumplen con el reglamento. . [13] Se pretende que el RGPD obligue a las organizaciones a comprender los riesgos de privacidad de sus datos y tomar las medidas adecuadas para reducir el riesgo de divulgación no autorizada de información privada de los consumidores.[14]

Estándares internacionales

Los estándares internacionales ISO/IEC 27001 :2013 e ISO/IEC 27002 :2013 cubren la seguridad de los datos bajo el tema de seguridad de la información , y uno de sus principios fundamentales es que toda la información almacenada, es decir, los datos, debe ser propiedad de manera que quede claro de quién es. responsabilidad es proteger y controlar el acceso a esos datos. [15] [16] Los siguientes son ejemplos de organizaciones que ayudan a fortalecer y estandarizar la seguridad informática:

Trusted Computing Group es una organización que ayuda a estandarizar las tecnologías de seguridad informática.

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar internacional de seguridad de la información patentado para organizaciones que manejan información de titulares de tarjetas para las principales tarjetas de débito , crédito , prepago, monedero electrónico , cajeros automáticos y puntos de venta. [17]

El Reglamento General de Protección de Datos (GDPR) propuesto por la Comisión Europea fortalecerá y unificará la protección de datos para las personas dentro de la UE, al tiempo que abordará la exportación de datos personales fuera de la UE.

Ver también

Referencias

  1. ^ Veranos, G. (2004). Datos y bases de datos. En: Koehne, H Desarrollo de bases de datos con acceso: Nelson Australia Pty Limited. págs.4-5.
  2. ^ "Conozca sus datos para protegerlos". Ventaja empresarial de TI . 2017-09-25 . Consultado el 3 de noviembre de 2022 .
  3. ^ "Cifrado de disco completo (FDE)". enciclopedia.kaspersky.com . Consultado el 3 de noviembre de 2022 .
  4. ^ Thanh, Do van; Jorstad, Ivar; Jonvik, Tore; Thuan, Do van (2009). "Autenticación sólida con teléfono móvil como token de seguridad". 2009 IEEE 6ª Conferencia Internacional sobre Sistemas de Sensores y Adhoc Móviles . págs. 777–782. doi :10.1109/MOBHOC.2009.5336918. ISBN 978-1-4244-5114-2. S2CID  5470548.
  5. ^ Stubbs, Rob (10 de septiembre de 2019). "Por qué el mundo se está moviendo hacia la seguridad basada en hardware". Fortanix . Consultado el 30 de septiembre de 2022 .
  6. ^ Waksman, Adán; Sethumadhavan, Simha (2011), "Silenciar puertas traseras de hardware" (PDF) , Actas del Simposio IEEE sobre seguridad y privacidad , Oakland, California, archivado (PDF) desde el original el 28 de septiembre de 2013.
  7. ^ "Copias de seguridad | Manténgase inteligente en línea". Archivado desde el original el 7 de julio de 2017.
  8. ^ "Definición de enmascaramiento de datos". Archivado desde el original el 27 de febrero de 2017 . Consultado el 1 de marzo de 2016 .
  9. ^ "enmascaramiento de datos". Archivado desde el original el 5 de enero de 2018 . Consultado el 29 de julio de 2016 .
  10. ^ Michael Wei; Laura M. Grupo; Federico E. Spada; Steven Swanson (2011). "Borrado fiable de datos de unidades de estado sólido basadas en flash". FAST'11: Actas de la novena conferencia USENIX sobre tecnologías de archivos y almacenamiento . Wikidata  Q115346857 . Consultado el 22 de noviembre de 2022 .
  11. ^ "ley de protección de datos". Archivado desde el original el 13 de abril de 2016 . Consultado el 29 de julio de 2016 .
  12. ^ Peter Fleischer, Jane Horvath, Shuman Ghosemajumder (2008). "Celebrando la privacidad de los datos". Blog de Google . Archivado desde el original el 20 de mayo de 2011 . Consultado el 12 de agosto de 2011 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
  13. ^ "Sanciones RGPD". Archivado desde el original el 31 de marzo de 2018.
  14. ^ "Detectar y proteger para la transformación digital". Informática . Consultado el 27 de abril de 2018 .
  15. ^ "ISO/IEC 27001:2013". YO ASI . 16 de diciembre de 2020 . Consultado el 3 de noviembre de 2022 .
  16. ^ "ISO/IEC 27002:2013". YO ASI . 15 de abril de 2021 . Consultado el 3 de noviembre de 2022 .
  17. ^ "Definición de PCI DSS". Archivado desde el original el 2 de marzo de 2016 . Consultado el 1 de marzo de 2016 .

enlaces externos

Wikimedia Commons tiene medios relacionados con la seguridad de los datos .