CAPÍTULO 7

Seguridad de datos

1. Introducción

La seguridad de datos incluye la planificación, el desarrollo y la ejecución de políticas y

procedimientos de seguridad para proporcionar autenticación, autorización, acceso y
auditoría adecuados de los activos de datos e información. Los detalles de la seguridad de
los datos (qué datos deben protegerse, por ejemplo) difieren entre industrias y países. Sin
embargo, el objetivo de las prácticas de seguridad de datos es el mismo: proteger los
activos de información de acuerdo con las normas de privacidad y confidencialidad, los
acuerdos contractuales y los requisitos comerciales. Estos requisitos provienen de:
 Partes interesadas : las organizaciones deben reconocer las necesidades de
privacidad y confidencialidad de sus partes interesadas, incluidos clientes,
pacientes, estudiantes, ciudadanos, proveedores o socios comerciales. Todos en
una organización deben ser un administrador responsable de los datos sobre las
partes interesadas.
 Regulaciones gubernamentales : existen regulaciones gubernamentales
para proteger los intereses de algunas partes interesadas. Las regulaciones tienen
diferentes objetivos. Algunos restringen el acceso a la información, mientras que
otros aseguran apertura, transparencia y responsabilidad.
 Preocupaciones comerciales de propiedad : cada organización tiene datos
de propiedad para proteger. Los datos de una organización proporcionan
 información sobre sus clientes y, cuando se aprovechan eficazmente, pueden
proporcionar una ventaja competitiva. Si se roban o violan datos confidenciales,
una organización puede perder ventaja competitiva.
 Necesidades de acceso legítimo : al proteger los datos, las organizaciones
también deben habilitar el acceso legítimo. Los procesos comerciales requieren
que las personas con ciertos roles puedan acceder, usar y mantener los datos.
 Obligaciones contractuales : los acuerdos contractuales y de no divulgación
también influyen en los requisitos de seguridad de datos. Por ejemplo, el Estándar
PCI, un acuerdo entre compañías de tarjetas de crédito y empresas comerciales
individuales, exige que ciertos tipos de datos estén protegidos de formas
definidas (por ejemplo, cifrado obligatorio para las contraseñas de los clientes).
Las políticas y procedimientos efectivos de seguridad de datos aseguran que las personas
adecuadas puedan usar y actualizar los datos de la manera correcta, y que todo acceso y
actualización inapropiados estén restringidos (Ray, 2012) (ver Figura 62 ). Comprender y
cumplir con los intereses y necesidades de privacidad y confidencialidad de todas las
partes interesadas es lo mejor para cada organización. Las relaciones con clientes,
proveedores y constituyentes confían y dependen del uso responsable de los datos.
Figura 62 Fuentes de requisitos de seguridad de datos

Figura 63 Diagrama de contexto: seguridad de datos

1.1 Conductores comerciales
La reducción de riesgos y el crecimiento empresarial son los principales impulsores de las
actividades de seguridad de datos. Asegurar que los datos de una organización estén
seguros reduce el riesgo y agrega una ventaja competitiva. La seguridad en sí misma es un
activo valioso.
Los riesgos de seguridad de datos están asociados con el cumplimiento normativo, la
responsabilidad fiduciaria para la empresa y los accionistas, la reputación y una
responsabilidad legal y moral para proteger la información privada y confidencial de los
empleados, socios comerciales y clientes. Las organizaciones pueden ser multadas por
incumplimiento de las regulaciones y obligaciones contractuales. Las violaciones de datos
pueden causar una pérdida de reputación y confianza del cliente. (Ver Capítulo 2. )
El crecimiento del negocio incluye alcanzar y mantener objetivos comerciales
operativos. Los problemas de seguridad de datos, las infracciones y las restricciones
injustificadas al acceso de los empleados a los datos pueden afectar directamente el éxito
operativo.
Los objetivos de mitigar riesgos y hacer crecer el negocio pueden ser complementarios y
de apoyo mutuo si se integran en una estrategia coherente de gestión y protección de la
información.

1.1.1 Reducción de riesgos

A medida que aumentan las regulaciones de datos, generalmente en respuesta a robos e
infracciones de datos, también lo hacen los requisitos de cumplimiento. Las organizaciones
de seguridad a menudo tienen la tarea de administrar no solo los requisitos de
cumplimiento de TI, sino también políticas, prácticas, clasificaciones de datos y reglas de
autorización de acceso en toda la organización.
Al igual que con otros aspectos de la gestión de datos, es mejor abordar la seguridad de los
datos como una iniciativa empresarial. Sin un esfuerzo coordinado, las unidades de
negocios encontrarán diferentes soluciones a las necesidades de seguridad, aumentando el
costo general y reduciendo potencialmente la seguridad debido a una protección
inconsistente. La arquitectura o los procesos de seguridad ineficaces pueden costar a las
organizaciones por infracciones y pérdida de productividad. Una estrategia de seguridad
operativa bien financiada, orientada a los sistemas y consistente en toda la empresa
reducirá estos riesgos.
La seguridad de la información comienza clasificando los datos de una organización para
identificar qué datos requieren protección. El proceso general incluye los siguientes pasos:
 Identifique y clasifique los activos de datos confidenciales : dependiendo
de la industria y la organización, puede haber pocos o muchos activos y una
gama de datos confidenciales (incluyendo identificación personal, médica,
financiera y más).
 Localice datos confidenciales en toda la empresa : los requisitos de
seguridad pueden diferir, dependiendo de dónde se almacenan los datos. Una
cantidad significativa de datos confidenciales en una sola ubicación plantea un
alto riesgo debido al daño posible de una sola violación.
 Determine cómo debe protegerse cada activo : las medidas necesarias para
garantizar la seguridad pueden variar entre los activos, según el contenido de los
datos y el tipo de tecnología.
  Identifique cómo esta información interactúa con los procesos
comerciales : se requiere un análisis de los procesos comerciales para determinar
qué acceso está permitido y bajo qué condiciones.
Además de clasificar los datos en sí, es necesario evaluar las amenazas externas (como las
de los piratas informáticos y los delincuentes) y los riesgos internos (planteados por los
empleados y los procesos). Muchos datos se pierden o se exponen por la ignorancia de los
empleados que no se dieron cuenta de que la información era muy sensible o que
omitieron las políticas de seguridad. 37 Los datos de ventas de los clientes que quedan en
un servidor web pirateado, la base de datos de los empleados se descarga en la
computadora portátil de un contratista que posteriormente es robada, y los secretos
comerciales quedan sin cifrar en la computadora de un ejecutivo que desaparece, todo
resultado de controles de seguridad faltantes o no aplicados.
El impacto de las brechas de seguridad en marcas bien establecidas en los últimos años ha
resultado en enormes pérdidas financieras y una caída en la confianza del cliente. Las
amenazas externas de la comunidad de piratería criminal no solo se están volviendo más
sofisticadas y específicas, sino que la cantidad de daños causados por amenazas externas e
internas, intencionales o no, también ha aumentado constantemente a lo largo de los años
(Kark, 2009).
En un mundo de infraestructura comercial casi completamente electrónica, los sistemas de
información confiables se han convertido en un diferenciador comercial.

1.1.2 Crecimiento empresarial

A nivel mundial, la tecnología electrónica es generalizada en la oficina, el mercado y el
hogar. Las computadoras de escritorio y portátiles, los teléfonos inteligentes, las tabletas y
otros dispositivos son elementos importantes de la mayoría de las operaciones comerciales
y gubernamentales. El crecimiento explosivo del comercio electrónico ha cambiado la
forma en que las organizaciones ofrecen bienes y servicios. En su vida personal, las
personas se han acostumbrado a realizar negocios en línea con proveedores de bienes,
agencias médicas, servicios públicos, oficinas gubernamentales e instituciones
financieras. El comercio electrónico de confianza impulsa las ganancias y el
crecimiento. La calidad de los productos y servicios se relaciona con la seguridad de la
información de una manera bastante directa: la sólida seguridad de la información permite
transacciones y genera confianza en el cliente.

1.1.3 Seguridad como un activo

Un enfoque para administrar datos confidenciales es a través de metadatos. Las
clasificaciones de seguridad y la sensibilidad reguladora se pueden capturar a nivel del
elemento de datos y del conjunto de datos. Existe tecnología para etiquetar datos para que
los metadatos viajen con la información a medida que fluye por la empresa. El desarrollo
de un repositorio maestro de características de datos significa que todas las partes de la
empresa pueden saber con precisión qué nivel de protección requiere la información
confidencial.
Si se aplica un estándar común, este enfoque permite que varios departamentos, unidades
de negocios y proveedores utilicen los mismos Metadatos. Los metadatos de seguridad
estándar pueden optimizar la protección de datos y guiar el uso comercial y los procesos
de soporte técnico, lo que lleva a menores costos. Esta capa de seguridad de la información
puede ayudar a prevenir el acceso no autorizado y el mal uso de los activos de
datos. Cuando los datos confidenciales se identifican correctamente como tales, las
organizaciones crean confianza con sus clientes y socios. Los metadatos relacionados con
la seguridad en sí se convierten en un activo estratégico, aumentando la calidad de las
transacciones, los informes y el análisis comercial, al tiempo que reducen el costo de la
protección y los riesgos asociados que causan la información perdida o robada.

1.2 Metas y principios

1.2.1 Objetivos
Los objetivos de las actividades de seguridad de datos incluyen:
 Permitir el acceso apropiado y prevenir el acceso inapropiado a los activos
de datos empresariales
 Permitir el cumplimiento de las regulaciones y políticas de privacidad,
protección y confidencialidad.
 Asegurar que se cumplan los requisitos de las partes interesadas para la
privacidad y confidencialidad

1.2.2 Principios
La seguridad de los datos en una organización sigue estos principios rectores:
 Colaboración : Data Security es un esfuerzo de colaboración que involucra
a administradores de seguridad de TI, administradores de datos / gobierno de
datos, equipos de auditoría interna y externa y el departamento legal.
 Enfoque empresarial : los estándares y políticas de seguridad de datos
deben aplicarse de manera coherente en toda la organización.
 Gestión proactiva : el éxito en la gestión de la seguridad de los datos
depende de ser proactivo y dinámico, involucrar a todos los interesados,
gestionar el cambio y superar los cuellos de botella organizativos o culturales,
como la separación tradicional de responsabilidades entre la seguridad de la
información, la tecnología de la información, la administración de datos y las
partes interesadas del negocio.
 Responsabilidad clara : los roles y las responsabilidades deben estar
claramente definidos, incluida la "cadena de custodia" de los datos en todas las
organizaciones y roles.
 Impulsado por los metadatos : la clasificación de seguridad para los
elementos de datos es una parte esencial de las definiciones de datos.
  Reduzca el riesgo reduciendo la exposición : minimice la proliferación de
datos confidenciales / confidenciales, especialmente en entornos que no son de
producción.

1.3 Conceptos esenciales

La seguridad de la información tiene un vocabulario específico. El conocimiento de los
términos clave permite una articulación más clara de los requisitos de gobernanza.

1.3.1 Vulnerabilidad
Una vulnerabilidad es una debilidad o defecto en un sistema que le permite ser atacado y
comprometido con éxito, esencialmente un agujero en las defensas de una
organización. Algunas vulnerabilidades se llaman exploits .
Los ejemplos incluyen computadoras de red con parches de seguridad desactualizados,
páginas web no protegidas con contraseñas robustas, usuarios no capacitados para ignorar
los archivos adjuntos de correo electrónico de remitentes desconocidos o software
corporativo desprotegido contra comandos técnicos que le darán al atacante el control del
sistema.
En muchos casos, los entornos que no son de producción son más vulnerables a las
amenazas que los entornos de producción. Por lo tanto, es fundamental mantener los
datos de producción fuera de los entornos que no son de producción.

1.3.2 Amenaza
Una amenaza es una posible acción ofensiva que se podría tomar contra una
organización. Las amenazas pueden ser internas o externas. No siempre son
maliciosos. Una información privilegiada uniformada puede tomar acciones ofensivas
nuevamente contra la organización sin siquiera saberlo. Las amenazas pueden estar
relacionadas con vulnerabilidades específicas, que luego se pueden priorizar para su
reparación. Cada amenaza debe coincidir con una capacidad que evite la amenaza o limite
el daño que podría causar. La aparición de una amenaza también se denomina superficie de
ataque .
Los ejemplos de amenazas incluyen los archivos adjuntos de correo electrónico infectados
con virus que se envían a la organización, los procesos que abruman a los servidores de
red y resultan en la imposibilidad de realizar transacciones comerciales (también llamadas
ataques de denegación de servicio) y la explotación de vulnerabilidades conocidas.

1.3.3 Riesgo
El término riesgo se refiere tanto a la posibilidad de pérdida como a la cosa o condición que
plantea la pérdida potencial. El riesgo puede calcularse para cada posible amenaza
utilizando los siguientes factores.
 Probabilidad de que ocurra la amenaza y su frecuencia probable
 El tipo y la cantidad de daño creado cada ocurrencia puede causar, incluido
el daño a la reputación
  El efecto que el daño tendrá sobre los ingresos o las operaciones
comerciales.
 El costo de reparar el daño después de una ocurrencia
 El costo para prevenir la amenaza, incluso mediante la reparación de
vulnerabilidades.
 El objetivo o la intención del probable atacante.
Los riesgos se pueden priorizar por la gravedad potencial del daño a la empresa, o por la
probabilidad de ocurrencia, con vulnerabilidades fácilmente explotadas que crean una
mayor probabilidad de ocurrencia. A menudo, una lista de prioridades combina ambas
métricas. La priorización del riesgo debe ser un proceso formal entre las partes
interesadas.

1.3.4 Clasificaciones de riesgo

Las clasificaciones de riesgo describen la sensibilidad de los datos y la probabilidad de que
puedan buscarse con fines maliciosos. Las clasificaciones se utilizan para determinar quién
(es decir, personas en qué roles) pueden acceder a los datos. La clasificación de seguridad
más alta de cualquier dato dentro de un derecho de usuario determina la clasificación de
seguridad de toda la agregación. Las clasificaciones de ejemplo incluyen:
 Datos de riesgo crítico (CRD) : información personal que se busca
agresivamente para uso no autorizado por partes internas y externas debido a su
alto valor financiero directo. El compromiso de CRD no solo dañaría a las
personas, sino que también resultaría en un daño financiero para la empresa
debido a sanciones significativas, costos para retener a clientes y empleados, así
como daños a la marca y la reputación.
 Datos de alto riesgo (HRD) : HRD se busca activamente para uso no
autorizado debido a su potencial valor financiero directo. HRD proporciona a la
empresa una ventaja competitiva. Si se ve comprometido, podría exponer a la
empresa a daños financieros por la pérdida de oportunidades. La pérdida de
HRD puede causar desconfianza y provocar la pérdida de negocios y puede dar
lugar a exposición legal, multas y sanciones regulatorias, así como a daños a la
marca y la reputación.
 Datos de riesgo moderado (MRD) : información de la empresa que tiene
poco valor tangible para las partes no autorizadas; sin embargo, el uso no
autorizado de esta información no pública probablemente tendría un efecto
negativo en la empresa.

1.3.5 Organización de seguridad de datos

Dependiendo del tamaño de la empresa, la función general de Seguridad de la
Información puede ser la responsabilidad principal de un grupo dedicado de Seguridad
de la Información, generalmente dentro del área de Tecnología de la Información (TI). Las
empresas más grandes a menudo tienen un Director de Seguridad de la Información
(CISO) que informa al CIO o al CEO. En organizaciones sin personal dedicado de
Seguridad de la Información, la responsabilidad de la seguridad de los datos recaerá en los
administradores de datos. En todos los casos, los administradores de datos deben
participar en los esfuerzos de seguridad de datos.
En las grandes empresas, el personal de seguridad de la información puede permitir que
los gerentes comerciales guíen las funciones específicas de gobierno de datos y
autorización de usuarios. Los ejemplos incluyen la concesión de autorizaciones de usuario
y el cumplimiento de la normativa de datos. El personal dedicado de seguridad de la
información a menudo se preocupa más por los aspectos técnicos de la protección de la
información, como la lucha contra el software malicioso y los ataques al sistema. Sin
embargo, hay un amplio espacio para la colaboración durante el desarrollo o un proyecto
de instalación.
Esta oportunidad de sinergia a menudo se pierde cuando las dos entidades de gobierno, TI
y Gestión de datos, carecen de un proceso organizado para compartir los requisitos
reglamentarios y de seguridad. Necesitan un procedimiento estándar para informarse
mutuamente de las regulaciones de datos, amenazas de pérdida de datos y requisitos de
protección de datos, y para hacerlo al comienzo de cada proyecto de desarrollo o
instalación de software.
El primer paso en el Marco de Gestión de Riesgos del NIST (Instituto Nacional de
Estándares y Tecnología), por ejemplo, es clasificar toda la información de la
empresa. 38 Crear un modelo de datos empresariales es esencial para este objetivo. Sin una
visibilidad clara de la ubicación de toda la información confidencial, es imposible crear un
programa de protección de datos completo y efectivo.
Los administradores de datos deben involucrarse activamente con los desarrolladores de
tecnología de la información y los profesionales de seguridad cibernética para que se
puedan identificar los datos regulados, los sistemas confidenciales se puedan proteger
adecuadamente y los controles de acceso de los usuarios se puedan diseñar para hacer
cumplir la confidencialidad, la integridad y el cumplimiento normativo de los
datos. Cuanto más grande es la empresa, más importante se vuelve la necesidad de
trabajar en equipo y confiar en un modelo de datos empresariales correcto y actualizado.

1.3.6 Procesos de seguridad

Los requisitos y procedimientos de seguridad de datos se clasifican en cuatro grupos,
conocidos como las cuatro A: acceso, auditoría, autenticación y
autorización. Recientemente se ha incluido una E, derecho, para el cumplimiento efectivo
de la normativa de datos. La clasificación de la información, los derechos de acceso, los
grupos de roles, los usuarios y las contraseñas son los medios para implementar políticas y
satisfacer las cuatro A's. El monitoreo de seguridad también es esencial para demostrar el
éxito de los otros procesos. Tanto el monitoreo como la auditoría pueden realizarse de
manera continua o intermitente. Las auditorías formales deben ser realizadas por un
tercero para que se consideren válidas. El tercero puede ser interno o externo.
1.3.6.1 Las cuatro A
  Acceso : habilite a las personas con autorización para acceder a los sistemas
de manera oportuna. Utilizado como un verbo, acceso significa conectarse
activamente a un sistema de información y trabajar con los datos. Utilizado como
sustantivo, el acceso indica que la persona tiene una autorización válida para los
datos.
 Auditoría : revise las acciones de seguridad y la actividad del usuario para
garantizar el cumplimiento de las regulaciones y la conformidad con las políticas
y estándares de la compañía. Los profesionales de seguridad de la información
revisan periódicamente registros y documentos para validar el cumplimiento de
las normas, políticas y estándares de seguridad. Los resultados de estas auditorías
se publican periódicamente.
 Autenticación : Validar el acceso de los usuarios. Cuando un usuario
intenta iniciar sesión en un sistema, el sistema necesita verificar que la persona es
quien dice ser. Las contraseñas son una forma de hacerlo. Los métodos de
autenticación más estrictos incluyen a la persona que tiene un token de seguridad,
responde preguntas o envía una huella digital. Todas las transmisiones durante la
autenticación están encriptadas para evitar el robo de la información de
autenticación.
 Autorización : Otorgue privilegios a las personas para acceder a vistas
específicas de datos, apropiadas para su función. Después de la decisión de
autorización, el Sistema de control de acceso verifica cada vez que un usuario
inicia sesión para ver si tiene un token de autorización válido. Técnicamente, esta
es una entrada en un campo de datos en el Active Directory corporativo que
indica que la persona ha sido autorizada por alguien para acceder a los
datos. Además, indica que una persona responsable tomó la decisión de otorgar
esta autorización porque el usuario tiene derecho a ella en virtud de su trabajo o
estado corporativo.
 Derecho : un derecho es la suma total de todos los elementos de datos que
están expuestos a un usuario por una sola decisión de autorización de acceso. Un
gerente responsable debe decidir que una persona tiene 'derecho' a acceder a esta
información antes de generar una solicitud de autorización. Es necesario un
inventario de todos los datos expuestos por cada derecho para determinar los
requisitos reglamentarios y de confidencialidad para las decisiones de derecho.
1.3.6.2 Monitoreo
Los sistemas deben incluir controles de monitoreo que detecten eventos inesperados,
incluidas posibles violaciones de seguridad. Los sistemas que contienen información
confidencial, como datos salariales o financieros, comúnmente implementan monitoreo
activo en tiempo real que alerta al administrador de seguridad sobre actividades
sospechosas o acceso inapropiado.
Algunos sistemas de seguridad interrumpirán activamente actividades que no siguen
perfiles de acceso específicos. La cuenta o actividad permanece bloqueada hasta que el
personal de soporte de seguridad evalúe los detalles.
En contraste, el monitoreo pasivo rastrea los cambios a lo largo del tiempo al tomar
instantáneas del sistema a intervalos regulares y comparar tendencias con un punto de
referencia u otros criterios. El sistema envía informes a los administradores de datos o al
administrador de seguridad responsable de los datos. Mientras que el monitoreo activo es
un mecanismo de detección, el monitoreo pasivo es un mecanismo de evaluación.

1.3.7 Integridad de datos

En seguridad, la integridad de los datos es el estado de estar completo, protegido contra
alteraciones, supresiones o adiciones inadecuadas. Por ejemplo, en los EE. UU., Las
regulaciones de Sarbanes-Oxley se ocupan principalmente de proteger la integridad de la
información financiera mediante la identificación de reglas sobre cómo se puede crear y
editar la información financiera.

1.3.8 Cifrado
El cifrado es el proceso de traducir texto plano en códigos complejos para ocultar
información privilegiada, verificar la transmisión completa o verificar la identidad del
remitente. Los datos cifrados no se pueden leer sin la clave o el algoritmo de descifrado,
que generalmente se almacena por separado y no se puede calcular en función de otros
elementos de datos en el mismo conjunto de datos. Existen cuatro métodos principales de
cifrado: hash, simétrico, de clave privada y clave pública, con diferentes niveles de
complejidad y estructura de claves.
1.3.8.1 Hash
El cifrado de hash utiliza algoritmos para convertir datos en una representación
matemática. Los algoritmos exactos utilizados y el orden de aplicación deben conocerse
para revertir el proceso de cifrado y revelar los datos originales. A veces, el hash se usa
como verificación de la integridad o identidad de la transmisión. Los algoritmos de hash
comunes son Message Digest 5 (MD5) y Secure Hashing Algorithm (SHA).
1.3.8.2 Clave privada
Private-key encryption uses one key to encrypt the data. Both the sender and the recipient
must have the key to read the original data. Data can be encrypted one character at a time
(as in a stream) or in blocks. Common private-key algorithms include Data Encryption
Standard (DES), Triple DES (3DES), Advanced Encryption Standard (AES), and
International Data Encryption Algorithm (IDEA). Cyphers Twofish and Serpent are also
considered secure. The use of simple DES is unwise as it is susceptible to many easy
attacks.
1.3.8.3 Public-key
En el cifrado de clave pública, el remitente y el receptor tienen claves diferentes. El
remitente utiliza una clave pública que está disponible gratuitamente, y el receptor utiliza
una clave privada para revelar los datos originales. Este tipo de cifrado es útil cuando
muchas fuentes de datos deben enviar información protegida a unos pocos destinatarios,
como cuando se envían datos a cámaras de compensación. Los métodos de clave pública
incluyen el intercambio de claves Rivest-Shamir-Adelman (RSA) y el acuerdo clave Diffie-
Hellman. PGP (Pretty Good Privacy) es una aplicación de cifrado de clave pública
disponible gratuitamente.

1.3.9 Ofuscación o enmascaramiento

Los datos se pueden hacer menos disponibles por ofuscación (hacerlos oscuros o poco
claros) o enmascarar, lo que elimina, baraja o cambia la apariencia de los datos, sin perder
el significado de los datos o las relaciones que los datos tienen con otros conjuntos de
datos, como como relaciones de clave externa con otros objetos o sistemas. Los valores
dentro de los atributos pueden cambiar, pero los nuevos valores siguen siendo válidos
para esos atributos. La ofuscación es útil cuando se muestra información confidencial en
pantallas para referencia, o al crear conjuntos de datos de prueba a partir de datos de
producción que cumplen con la lógica de aplicación esperada.
El enmascaramiento de datos es un tipo de seguridad centrada en datos. Hay dos tipos de
enmascaramiento de datos, persistentes y dinámicos. El enmascaramiento persistente se
puede ejecutar en vuelo o in situ.
1.3.9.1 Enmascaramiento de datos persistente
El enmascaramiento persistente de datos altera de forma permanente e irreversible los
datos. Este tipo de enmascaramiento no se usa típicamente en entornos de producción,
sino más bien entre un entorno de producción y entornos de desarrollo o prueba. El
enmascaramiento persistente cambia los datos, pero los datos aún deben ser viables para
probar procesos, aplicaciones, informes, etc.
 El enmascaramiento persistente en vuelo ocurre cuando los datos se
enmascaran u ofuscan mientras se mueven entre el entorno de origen
(generalmente de producción) y de destino (generalmente no de producción). El
enmascaramiento en vuelo es muy seguro cuando se ejecuta correctamente
porque no deja un archivo intermedio o una base de datos con datos sin
máscara. Otro beneficio es que se puede volver a ejecutar si se encuentran
problemas durante el enmascaramiento.
 El enmascaramiento persistente en el lugar se usa cuando el origen y el
destino son los mismos. Los datos sin máscara se leen desde la fuente, se
enmascaran y luego se utilizan para sobrescribir los datos sin máscara. El
enmascaramiento en el lugar supone que los datos confidenciales se encuentran
en una ubicación donde no debería existir y el riesgo debe mitigarse, o que hay
una copia adicional de los datos en una ubicación segura para enmascarar antes
de moverlos a la ubicación no segura . Existen riesgos para este proceso. Si el
proceso de enmascaramiento falla a mitad del enmascaramiento, puede ser difícil
restaurar los datos a un formato utilizable. Esta técnica tiene algunos usos
específicos, pero en general, el enmascaramiento en vuelo satisfará de manera
más segura las necesidades del proyecto.
1.3.9.2 Enmascaramiento dinámico de datos
El enmascaramiento dinámico de datos cambia la apariencia de los datos para el usuario
final o el sistema sin cambiar los datos subyacentes. Esto puede ser extremadamente útil
cuando los usuarios necesitan acceso a algunos datos de producción confidenciales, pero
no a todos. Por ejemplo, en una base de datos, el número de seguro social se almacena
como 123456789, pero para el asociado del centro de llamadas que necesita verificar con
quién están hablando, los datos aparecen como *** - ** - 6789.
1.3.9.3 Métodos de enmascaramiento
Existen varios métodos para enmascarar u ofuscar datos.

• Sustitución: Reemplace los caracteres o valores enteros con esos en una búsqueda o
como un patrón estándar. Por ejemplo, los nombres se pueden reemplazar con valores
aleatorios de una lista.

• Reorganización: intercambia elementos de datos del mismo tipo dentro de un registro, o

intercambia elementos de datos de un atributo entre filas. Por ejemplo, mezclar nombres
de proveedores entre facturas de proveedores de manera que el proveedor original se
reemplace con un proveedor válido diferente en una factura.

• Variación temporal: fechas de movimiento +/– un número de días: lo suficientemente

pequeño como para preservar las tendencias, pero lo suficientemente significativo como
para que no sean identificables.

• Variación del valor: aplique un factor aleatorio +/– un porcentaje, nuevamente lo

suficientemente pequeño como para preservar las tendencias, pero lo suficientemente
significativo como para no ser identificable.

• Anulación o eliminación: elimine datos que no deberían estar presentes en un sistema de

prueba.

• Aleatorización: reemplace parte o la totalidad de los elementos de datos con caracteres

aleatorios o una serie de un solo carácter.

• Cifrado: Convierta una secuencia de caracteres significativamente significativa en una

secuencia de caracteres irreconocible mediante un código de cifrado. Una versión extrema
de ofuscación en el lugar.

• Enmascaramiento de expresiones: cambie todos los valores al resultado de una

expresión. Por ejemplo, una expresión simple simplemente codificaría todos los valores en
un campo grande de base de datos de forma libre (que podría contener datos
confidenciales) para ser "Este es un campo de comentarios".

• Enmascaramiento de clave: designe que el resultado del algoritmo / proceso de

enmascaramiento debe ser único y repetible porque se está utilizando para enmascarar un
campo clave de base de datos (o similar). Este tipo de enmascaramiento es
extremadamente importante para las pruebas a fin de mantener la integridad en la
organización.
• 1.3.10 Términos de seguridad de red
La seguridad de los datos incluye tanto datos en reposo como datos en
movimiento. Los datos en movimiento requieren una red para moverse entre
sistemas. Ya no es suficiente que una organización confíe totalmente en el
firewall para protegerlo de software malicioso, correo electrónico envenenado
o ataques de ingeniería social. Cada máquina en la red necesita tener una
línea de defensa, y los servidores web necesitan protección sofisticada ya que
están continuamente expuestos a todo el mundo en Internet.
1.3.10.1 Puerta trasera Backdoor
Una puerta trasera se refiere a una entrada ignorada u oculta en un sistema
informático o aplicación. Permite a usuarios no autorizados eludir el requisito
de contraseña para obtener acceso. Los desarrolladores suelen crear puertas
traseras con fines de mantenimiento. Cualquier puerta trasera es un riesgo de
seguridad. Los creadores de paquetes de software comerciales instalan otras
puertas traseras.
Las contraseñas predeterminadas que no se modifican al instalar cualquier
sistema de software o paquete de página web son una puerta trasera y, sin
duda, los piratas informáticos las conocerán. Cualquier puerta trasera es un
riesgo de seguridad.

1.3.10.2 Bot o Zombie

Un bot (abreviatura de robot) o Zombie es una estación de trabajo que ha sido
tomada por un pirata informático malicioso utilizando un troyano, un virus, un
phish o una descarga de un archivo infectado. Controlados de forma remota,
los bots se utilizan para realizar tareas maliciosas, como enviar grandes
cantidades de spam, atacar negocios legítimos con paquetes de Internet que
obstruyen la red, realizar transferencias ilegales de dinero y alojar sitios web
fraudulentos. Un Bot-Net es una red de computadoras robot (máquinas
infectadas) .39
Se estimó en 2012 que a nivel mundial el 17% de todas las computadoras
(aproximadamente 187 millones de 1.1 mil millones de computadoras) no tienen
protección antivirus. 40 En los EE. UU. Ese año, el 19.32% de los usuarios navegó sin
protección. Un gran porcentaje de ellos son zombis. Se estima que dos mil millones de
computadoras están en funcionamiento a partir de 2016. 41 Teniendo en cuenta que las
computadoras de escritorio y portátiles están siendo eclipsadas en número por teléfonos
inteligentes, tabletas, dispositivos portátiles y otros dispositivos, muchos de los cuales se
utilizan para transacciones comerciales, los riesgos para los datos la exposición solo
aumentará. 42
1.3.10.3 Cookie
Una cookie es un pequeño archivo de datos que un sitio web instala en el disco duro de una
computadora, para identificar a los visitantes que regresan y perfilar sus preferencias. Las
cookies se utilizan para el comercio por Internet. Sin embargo, también son controvertidos,
ya que plantean cuestiones de privacidad porque el spyware a veces los usa.
1.3.10.4 Cortafuegos
Un firewall es un software y / o hardware que filtra el tráfico de red para proteger una
computadora individual o una red completa de intentos no autorizados de acceder o
atacar el sistema. Un firewall puede escanear las comunicaciones entrantes y salientes en
busca de información restringida o regulada y evitar que pase sin permiso (Prevención de
pérdida de datos). Algunos firewalls también restringen el acceso a sitios web externos
específicos.
1.3.10.5 Perímetro
Un perímetro es el límite entre los entornos de una organización y los sistemas
exteriores. Por lo general, se establecerá un firewall entre todos los entornos internos y
externos.
1.3.10.6 DMZ
Abreviatura de zona desmilitarizada , una DMZ es un área en el borde o perímetro de una
organización, con un firewall entre esta y la organización. Un entorno DMZ siempre
tendrá un firewall entre él e Internet (consulte la Figura 64 ). Los entornos DMZ se utilizan
para pasar o almacenar temporalmente datos que se mueven entre organizaciones.
Figura 64 Ejemplo de DMZ

1.3.10.7 Cuenta de superusuario

Una cuenta de usuario de Super es una cuenta que tenga acceso de administrador o root a un
sistema para ser utilizado sólo en caso de emergencia. Las credenciales para estas cuentas
son altamente seguras, solo se liberan en una emergencia con la documentación y las
aprobaciones adecuadas, y caducan en poco tiempo. Por ejemplo, el personal asignado al
control de producción puede requerir autorizaciones de acceso a múltiples sistemas
grandes, pero estas autorizaciones deben estar estrictamente controladas por tiempo, ID
de usuario, ubicación u otro requisito para evitar abusos.
1.3.10.8 Key Logger
Los Key Loggers son un tipo de software de ataque que registra todas las pulsaciones de teclas que
una persona escribe en su teclado y luego las envía a otra parte de Internet. Por lo tanto, se
capturan todas las contraseñas, notas, fórmulas, documentos y direcciones web. A menudo, un sitio
web infectado o una descarga de software malicioso instalarán un registrador de claves. Algunos
tipos de descargas de documentos también permitirán que esto suceda.
1.3.10.9 Penetration Testing
Configurar una red y un sitio web seguros es incompleto sin probarlo para asegurarse de
que realmente es seguro. En Penetration Testing (a veces llamado 'penn test'), un hacker
ético, ya sea de la propia organización o contratado por una empresa de seguridad
externa, intenta ingresar al sistema desde afuera, como lo haría un hacker malicioso, para
identificar vulnerabilidades del sistema . Las vulnerabilidades encontradas a través de las
pruebas de penetración pueden abordarse antes de que se lance la aplicación.
Algunas personas se ven amenazadas por las auditorías de piratería ética porque creen
que estas auditorías solo darán lugar a señalar con el dedo. La realidad es que en el rápido
conflicto entre la seguridad empresarial y la piratería criminal, todo el software adquirido
y desarrollado internamente contiene vulnerabilidades potenciales que no se conocían en
el momento de su creación. Por lo tanto, todas las implementaciones de software deben ser
cuestionadas periódicamente. Encontrar vulnerabilidades es un procedimiento continuo y
no se debe culpar, solo parches de seguridad.
Como prueba de la necesidad de mitigar continuamente la vulnerabilidad del software,
observe un flujo constante de parches de seguridad que llegan de los proveedores de
software. Este proceso continuo de actualización de parches de seguridad es una señal de
la diligencia debida y la atención al cliente profesional de estos proveedores. Muchos de
estos parches son el resultado de la piratería ética realizada en nombre de los proveedores.

1.3.10.10 Virtual Private Network (VPN)

Las conexiones VPN utilizan Internet no segura para crear una ruta segura o "túnel" en el
entorno de una organización. El túnel está altamente encriptado. Permite la comunicación
entre los usuarios y la red interna mediante el uso de múltiples elementos de autenticación
para conectarse con un firewall en el perímetro del entorno de una organización. Luego,
cifra fuertemente todos los datos transmitidos.

1.3.11 Types of Data Security

Data security involves not just preventing inappropriate access, but also enabling
appropriate access to data. Access to sensitive data should be controlled by granting
permissions (opt-in). Without permission, a user should not be allowed to see data or take
action within the system. ‘Least Privilege’ is an important security principle. A user,
process, or program should be allowed to access only the information allowed by its
legitimate purpose.
1.3.11.1 Facility Security
Facility security is the first line of defense against bad actors. Facilities should have, at a
minimum, a locked data center with access restricted to authorized employees. Social
threats to security (See Section 1.3.15) recognize humans as the weakest point in facility
security. Ensure that employees have the tools and training to protect data in facilities.
1.3.11.2 Device Security
Mobile devices, including laptops, tablets, and smartphones, are inherently insecure, as
they can be lost, stolen, and physically and electronically attacked by criminal hackers.
They often contain corporate emails, spreadsheets, addresses, and documents that, if
exposed, can be damaging to the organization, its employees, or its customers.
With the explosion of portable devices and media, a plan to manage the security of these
devices (both company-owned and personal) must be part of any company’s overall
strategic security architecture. This plan should include both software and hardware tools.
Device security standards include:
 Access policies regarding connections using mobile devices
 Storage of data on portable devices such as laptops, DVDs, CDs, or USB
drives
 Data wiping and disposal of devices in compliance with records
management policies
 Installation of anti-malware and encryption software
 Awareness of security vulnerabilities
1.3.11.3 Credential Security
Each user is assigned credentials to use when obtaining access to a system. Most
credentials are a combination of a User ID and a Password. There is a spectrum of how
credentials are used across systems within an environment, depending on the sensitivity
of the system’s data, and the system’s capabilities to link to credential repositories.
1.3.11.3.1 Identity Management Systems
Traditionally, users have had different accounts and passwords for each individual
resource, platform, application system, or workstation. This approach requires users to
manage several passwords and accounts. Organizations with enterprise user directories
may have a synchronization mechanism established between the heterogeneous resources
to ease user password management. In such cases, the user is required to enter the
password only once, usually when logging into the workstation, after which all
authentication and authorization executes through a reference to the enterprise user
directory. An identity management system implementing this capability is known as
‘single-sign-on’, and is optimal from a user perspective.
1.3.11.3.2 User ID Standards for Email Systems
User IDs should be unique within the email domain. Most companies use some first name
or initial, and full or partial last name as the email or network ID, with a number to
differentiate collisions. Names are generally known and are more useful for business
contact reasons.
Email or network IDs containing system employee ID numbers are discouraged, as that
information is not generally available outside the organization, and provides data that
should be secure within the systems.
1.3.11.3.3 Password Standards
Passwords are the first line of defense in protecting access to data. Every user account
should be required to have a password set by the user (account owner) with a sufficient
level of password complexity defined in the security standards, commonly referred to as
‘strong’ passwords.
When creating a new user account, the generated temporary password should be set to
expire immediately after the first use and the user must choose a new password for
subsequent access. Do not permit blank passwords.
Most security experts recommend requiring users to change their passwords every 45 to
180 days, depending on the nature of the system, the type of data, and the sensitivity of
the enterprise. However, changing passwords too frequently introduces risk, since it often
causes employees write down their new passwords.
1.3.11.3.4 Multiple Factor Identification
Some systems require additional identification procedures. These can include a return call
to the user’s mobile device that contains a code, the use of a hardware item that must be
used for login, or a biometric factor such as fingerprint, facial recognition, or retinal scan.
Two-factor identification makes it much harder to break into an account or to log into a
user’s device. All users with authorization entitlement to highly sensitive information
should use two-factor identification to log into the network.
1.3.11.4 Electronic Communication Security
Users must be trained to avoid sending their personal information or any restricted or
confidential company information over email or direct communication applications. These
insecure methods of communication can be read or intercepted by outside sources. Once a
user sends an email, he or she no longer controls the information in it. It can be forwarded
to other people without the sender’s knowledge or consent.
Social media also applies here. Blogs, portals, wikis, forums, and other Internet or Intranet
social media should be considered insecure and should not contain confidential or
restricted information.

1.3.12 Types of Data Security Restrictions

Dos conceptos impulsan las restricciones de seguridad: el nivel de confidencialidad de los
datos y la regulación relacionada con los datos.
• Nivel de confidencialidad: Confidencial significa secreto o privado. Las organizaciones
determinan qué tipos de datos no deben conocerse fuera de la organización, o incluso
dentro de ciertas partes de la organización. La información confidencial se comparte solo
en base a la "necesidad de saber". Los niveles de confidencialidad dependen de quién
necesita saber ciertos tipos de información.
• Regulación: las categorías regulatorias se asignan en base a reglas externas, como leyes,
tratados, acuerdos aduaneros y regulaciones de la industria. La información reglamentaria
se comparte sobre una base de "permitido saber". Las formas en que se pueden compartir
los datos se rigen por los detalles de la regulación.
La principal diferencia entre las restricciones confidenciales y regulatorias es donde se
origina la restricción: las restricciones de confidencialidad se originan internamente,
mientras que las restricciones regulatorias se definen externamente.
Otra diferencia es que cualquier conjunto de datos, como un documento o una vista de
base de datos, solo puede tener un nivel de confidencialidad. Este nivel se establece en
función del elemento más sensible (y el más clasificado) del conjunto de datos. Las
categorizaciones regulatorias, sin embargo, son aditivas. Un único conjunto de datos
puede tener datos restringidos en función de múltiples categorías reguladoras. Para
garantizar el cumplimiento normativo, haga cumplir todas las acciones requeridas para
cada categoría, junto con los requisitos de confidencialidad.
Cuando se aplica a los derechos de usuario (la agregación de los elementos de datos
particulares a los que una autorización de usuario proporciona acceso), se deben seguir
todas las políticas de protección, independientemente de si se originaron interna o
externamente.
1.3.12.1 Datos confidenciales
Los requisitos de confidencialidad varían de altos (muy pocas personas tienen acceso, por
ejemplo, a datos sobre la remuneración de los empleados) a bajos (todos tienen acceso a
catálogos de productos). Un esquema de clasificación típico podría incluir dos o más de los
cinco niveles de clasificación de confidencialidad enumerados aquí:
• Para audiencias generales: información disponible para cualquier persona, incluido el
público.
• Uso interno únicamente: información limitada a empleados o miembros, pero con un
riesgo mínimo si se comparte. Sólo para uso interno; puede mostrarse o discutirse, pero no
copiarse, fuera de la organización.
• Confidencial: información que no se puede compartir fuera de la organización sin un
acuerdo de confidencialidad debidamente ejecutado o similar. La información confidencial
del cliente no se puede compartir con otros clientes.
• Confidencial restringido: la información limitada a las personas que desempeñan ciertos
roles con la "necesidad de saber". La confidencial restringida puede requerir que las
personas califiquen mediante autorización.
• Confidencial registrado: información tan confidencial que cualquiera que acceda a la
información debe firmar un acuerdo legal para acceder a los datos y asumir la
responsabilidad de su secreto.
El nivel de confidencialidad no implica ningún detalle sobre las restricciones debido a los
requisitos reglamentarios. Por ejemplo, no informa al administrador de datos que los datos
no pueden estar expuestos fuera de su país de origen, o que a algunos empleados se les
prohíbe ver cierta información basada en regulaciones como HIPAA.
1.3.12.2 Regulated Data
Certain types of information are regulated by external laws, industry standards, or
contracts that influence how data can be used, as well as who can access it and for what
purposes. As there are many overlapping regulations, it is easier to collect them by subject
area into a few regulatory categories or families to better inform data managers of
regulatory requirements.
Cada empresa, por supuesto, debe desarrollar categorías regulatorias que satisfagan sus
propias necesidades de cumplimiento. Además, es importante que este proceso y las
categorías sean lo más simples posible para permitir una capacidad de protección
accionable. Cuando las acciones de protección de categoría son similares, deben
combinarse en una 'familia' de regulación. Cada categoría reguladora debe incluir acciones
de protección auditables. Esta no es una herramienta organizativa sino un método de
aplicación.
Dado que las diferentes industrias se ven afectadas por diferentes tipos de regulaciones, la
organización necesita desarrollar agrupaciones reguladoras que satisfagan sus necesidades
operativas. Por ejemplo, las empresas que no hacen negocios fuera de su tierra natal
pueden no necesitar incorporar regulaciones relativas a las exportaciones.
Sin embargo, dado que todas las naciones tienen una mezcla de leyes de privacidad de
datos personales y es probable que los clientes sean de cualquier parte del mundo, puede
ser sabio y más fácil reunir todas las regulaciones de privacidad de datos de los clientes en
una sola familia reguladora y cumplir con los requisitos para todas las naciones Al hacerlo,
se garantiza el cumplimiento en todas partes y se ofrece un único estándar para hacer
cumplir.
Un ejemplo del posible detalle del cumplimiento normativo es uno que prohíbe por ley
que un solo tipo de elemento de datos en la base de datos viaje fuera de las fronteras
físicas de la nación de origen. Varias regulaciones, tanto nacionales como internacionales,
tienen esto como un requisito.
Un número óptimo de categorías de acción reguladora es nueve o menos. A continuación
se muestran ejemplos de categorías reguladoras.
1.3.12.2.1 Muestra de familias reguladoras
Ciertas regulaciones gubernamentales especifican elementos de datos por nombre y exigen
que estén protegidos de formas específicas. Cada elemento no necesita una categoría
diferente; en su lugar, use una sola familia de acciones para proteger todos los campos de
datos específicos. Algunos datos de PCI pueden incluirse en estas categorías aunque sea
una obligación contractual y no una regulación gubernamental. Las obligaciones
contractuales de PCI son principalmente uniformes en todo el mundo.
 Información de identificación personal (PII) : también conocida como
información personal privada (PPI), incluye cualquier información que pueda
identificar personalmente a la persona (individualmente o como un conjunto),
como nombre, dirección, números de teléfono, horario, número de identificación
gubernamental, cuenta números, edad, raza, religión, etnia, fecha de nacimiento,
nombres de familiares o amigos, información de empleo (datos de recursos
 humanos) y, en muchos casos, remuneración. Acciones de protección muy
similares satisfarán las Directivas de Privacidad de la UE, la Ley de Privacidad de
Canadá (PIPEDA), la Ley PIP 2003 en Japón, los estándares PCI, los requisitos de
la FTC de los EE. UU., GLB, los estándares de la FTC y la mayoría de las leyes de
violación de la información de seguridad.
 Datos financieramente sensibles: Toda la información financiera, incluida
la que se puede denominar datos de "accionista" o "información privilegiada",
incluida toda la información financiera actual que aún no se ha informado
públicamente. También incluye cualquier plan de negocios futuro que no se haga
público, fusiones, adquisiciones o escisiones planificadas, informes no públicos de
problemas importantes de la compañía, cambios inesperados en la alta gerencia,
ventas integrales, pedidos y datos de facturación. Todos estos pueden ser
capturados dentro de esta categoría y protegidos por las mismas políticas. En los
Estados Unidos, esto está cubierto por las leyes de información privilegiada, SOX
(Ley Sarbanes-Oxley) o GLBA (Ley de modernización de servicios financieros /
Gramm-Leach-Bliley). Nota: la ley Sarbanes-Oxley restringe y administra quién
puede cambiar los datos financieros, asegurando así la integridad de los datos,
mientras que las leyes de información privilegiada afectan a todos aquellos que
pueden ver los datos financieros.
 Datos médicamente sensibles / información de salud personal (PHI) : toda
la información relacionada con la salud o los tratamientos médicos de una
persona. En los Estados Unidos, esto está cubierto por la HIPAA (Ley de
Responsabilidad y Portabilidad de la Información de Salud). Otras naciones
también tienen leyes restrictivas con respecto a la protección de información
personal y médica. A medida que estos evolucionan, asegúrese de que Corporate
Counsel sea consciente de la necesidad de cumplir con los requisitos legales en
una nación en la que la organización hace negocios o tiene clientes.
 Registros educativos : toda la información sobre la educación de una
persona. En los Estados Unidos, esto está cubierto por FERPA (Ley de Derechos
Educativos y Privacidad de la Familia).
1.3.12.2.2 Industria o reglamento basado en contratos
Some industries have specific standards for how to record, retain, and encrypt
information. Some also disallow deletion, editing, or distributing to prohibited locations.
For example, regulations for pharmaceuticals, other dangerous substances, food,
cosmetics, and advanced technology prevent the transmission or storage of certain
information outside the country of origin, or require data to be encrypted during
transport.
 Payment Card Industry Data Security Standard (PCI-DSS): PCI-DSS is the
most widely known industry data security standard. It addresses any information
that can identify an individual with an account at a financial organization, such as
name, credit card number (any number on the card), bank account number, or
account expiration date. Most of these data fields are regulated by laws and
 policies. Any data with this classification in its Metadata definition automatically
should be carefully reviewed by data stewards when included in any database,
application, report, dashboard, or user view.
 Competitive advantage or trade secrets: Companies that use proprietary
methods, mixtures, formulas, sources, designs, tools, recipes, or operational
techniques to achieve a competitive advantage may be protected by industry
regulations and/or intellectual property laws.
 Contractual restrictions: In its contracts with vendors and partners, an
organization may stipulate how specific pieces of information may or may not be
used, and which information can and cannot be shared. For example,
environmental records, hazardous materials reports, batch numbers, cooking
times, points of origin, customer passwords, account numbers, and certain
national identity numbers of non-US nationals. Specific technical companies may
need to include certain restricted products or ingredients in this category.

1.3.13 System Security Risks

The first step in identifying risk is identifying where sensitive data is stored, and what
protections are required for that data. It is also necessary to identify risks inherent in
systems. System security risks include elements that can compromise a network or
database. These threats allow legitimate employees to misuse information, either
intentionally or accidentally, and enable malicious hacker success.
1.3.13.1 Abuse of Excessive Privilege
In granting access to data, the principle of least privilege should be applied. A user,
process, or program should be allowed to access only the information allowed by its
legitimate purpose. The risk is that users with privileges that exceed the requirements of
their job function may abuse these privileges for malicious purpose or accidentally. Users
may be granted more access than they should have (excessive privilege) simply because it
is challenging to manage user entitlements. The DBA may not have the time or Metadata
to define and update granular access privilege control mechanisms for each user
entitlement. As a result, many users receive generic default access privileges that far
exceed specific job requirements. This lack of oversight to user entitlements is one reason
why many data regulations specify data management security.
The solution to excessive privileges is query-level access control, a mechanism that
restricts database privileges to minimum-required SQL operations and data. The
granularity of data access control must extend beyond the table to specific rows and
columns within a table. Query-level access control is useful for detecting excessive
privilege abuse by malicious employees.
Most database software implementations integrate some level of query-level access control
(triggers, row-level security, table security, views), but the manual nature of these ‘built-
in’ features make them impractical for all but the most limited deployments. The process
of manually defining a query-level access control policy for all users across database rows,
columns, and operations is time consuming. To make matters worse, as user roles change
over time, query policies must be updated to reflect those new roles. Most database
administrators would have a hard time defining a useful query policy for a handful of
users at a single point in time, much less hundreds of users over time. As a result, in a
large number of organizations, automated tools are usually necessary to make real query-
level access control functional.
1.3.13.2 Abuso de privilegios legítimos
Los usuarios pueden abusar de los privilegios legítimos de la base de datos para fines no
autorizados. Considere un trabajador de la salud con inclinación criminal con privilegios
para ver los registros individuales de los pacientes a través de una aplicación web
personalizada.
La estructura de las aplicaciones web corporativas normalmente limita a los usuarios a ver
el historial médico de un paciente individual, donde no se pueden ver múltiples registros
simultáneamente y no se permiten copias electrónicas. Sin embargo, el trabajador puede
sortear estas limitaciones conectándose a la base de datos utilizando un sistema alternativo
como MS-Excel. Usando MS-Excel y sus credenciales de inicio de sesión legítimas, el
trabajador podría recuperar y guardar todos los registros de pacientes.
Hay dos riesgos a considerar: abuso intencional y no intencional. El abuso intencional
ocurre cuando un empleado maltrata deliberadamente los datos de la organización. Por
ejemplo, un trabajador errante que quiere intercambiar registros de pacientes por dinero o
por daños intencionales, como divulgar (o amenazar con divulgar) información
confidencial públicamente. El abuso no intencional es un riesgo más común: el empleado
diligente que recupera y almacena grandes cantidades de información del paciente en una
máquina de trabajo para lo que él o ella considera propósitos laborales legítimos. Una vez
que los datos existen en una máquina de punto final, se vuelve vulnerable al robo y
pérdida de computadoras portátiles.
La solución parcial al abuso de privilegios legítimos es el control de acceso a la base de
datos que no solo se aplica a consultas específicas, sino que también impone políticas para
máquinas de punto final que utilizan la hora del día, el monitoreo de ubicación y la
cantidad de información descargada, y reduce la capacidad de cualquier el usuario tendrá
acceso ilimitado a todos los registros que contengan información confidencial a menos que
su trabajo lo solicite específicamente y lo apruebe su supervisor. Por ejemplo, si bien
puede ser necesario que un agente de campo acceda a los registros personales de sus
clientes, es posible que no se les permita descargar toda la base de datos de clientes a su
computadora portátil solo para "ahorrar tiempo".
1.3.13.3 Elevación de privilegios no autorizados
Los atacantes pueden aprovechar las vulnerabilidades del software de la plataforma de la
base de datos para convertir los privilegios de acceso de los de un usuario común a los de
un administrador. Pueden producirse vulnerabilidades en procedimientos almacenados,
funciones integradas, implementaciones de protocolo e incluso sentencias SQL. Por
ejemplo, un desarrollador de software en una institución financiera podría aprovechar una
función vulnerable para obtener el privilegio administrativo de la base de datos. Con
privilegios administrativos, el desarrollador infractor puede desactivar los mecanismos de
auditoría, crear cuentas falsas, transferir fondos o cerrar cuentas.
Prevenga exploits de elevación de privilegios con una combinación de sistemas
tradicionales de prevención de intrusiones (IPS) y prevención de intrusiones de control de
acceso a nivel de consulta. Estos sistemas inspeccionan el tráfico de la base de datos para
identificar patrones que corresponden a vulnerabilidades conocidas. Por ejemplo, si una
función dada es vulnerable a un ataque, un IPS puede bloquear todo el acceso al
procedimiento o bloquear aquellos procedimientos que permiten ataques integrados.
Combine IPS con indicadores de ataque alternativos, como el control de acceso a consultas,
para mejorar la precisión en la identificación de ataques. IPS puede detectar si una
solicitud de base de datos accede a una función vulnerable mientras que el control de
acceso de consulta detecta si la solicitud coincide con el comportamiento normal del
usuario. Si una sola solicitud indica tanto el acceso a una función vulnerable como un
comportamiento inusual, entonces es casi seguro que se está produciendo un ataque.
1.3.13.4 Cuenta de servicio o abuso de cuenta compartida
El uso de cuentas de servicio (ID de lote) y cuentas compartidas (ID genéricas) aumenta el
riesgo de violaciones de seguridad de datos y complica la capacidad de rastrear la
violación hasta su origen. Algunas organizaciones aumentan aún más su riesgo cuando
configuran sistemas de monitoreo para ignorar cualquier alerta relacionada con estas
cuentas. Los gerentes de seguridad de la información deberían considerar la adopción de
herramientas para administrar las cuentas de servicio de forma segura.
1.3.13.4.1 Cuentas de servicio
Service accounts are convenient because they can tailor enhanced access for the processes
that use them. However, if they are used for other purposes, they are untraceable to a
particular user or administrator. Unless they have access to decryption keys, service
accounts do not threaten encrypted data. This may be especially important for data held
on servers storing legal documents, medical information, trade secrets, or confidential
executive planning.
Restrict the use of service accounts to specific tasks or commands on specific systems, and
require documentation and approval for distributing the credentials. Consider assigning a
new password every time distribution occurs, using processes such as those in place for
Super User accounts.
1.3.13.4.2 Shared Accounts
Shared accounts are created when an application cannot handle the number of user
accounts needed or when adding specific users requires a large effort or incurs additional
licensing costs. For shared accounts, credentials are given to multiple users, and the
password is rarely changed due to the effort to notify all users. Because they provide
essentially ungoverned access, any use of shared accounts should be carefully evaluated.
They should never be used by default.
1.3.13.5 Platform Intrusion Attacks
Software updates and intrusion prevention protection of database assets requires a
combination of regular software updates (patches) and the implementation of a dedicated
Intrusion Prevention Systems (IPS). An IPS is usually, but not always, implemented
alongside of an Intrusion Detection System (IDS). The goal is to prevent the vast majority
of network intrusion attempts and to respond quickly to any intrusion that has succeeded
in working its way past a prevention system. The most primitive form of intrusion
protection is a firewall, but with mobile users, web access, and mobile computing
equipment a part of most enterprise environments, a simple firewall, while still necessary,
is no longer sufficient.
Vendor-provided updates reduce vulnerabilities found in database platforms over time.
Unfortunately, software updates are often implemented by enterprises according to
periodic maintenance cycles rather than as soon as possible after the patches are made
available. In between update cycles, databases are not protected. In addition, compatibility
problems sometimes prevent software updates altogether. To address these problems,
implement IPS.
1.3.13.6 SQL Injection Vulnerability
En un ataque de inyección SQL, un autor inserta (o "inyecta") declaraciones de bases de
datos no autorizadas en un canal de datos SQL vulnerable, como procedimientos
almacenados y espacios de entrada de aplicaciones web. Estas instrucciones SQL
inyectadas se pasan a la base de datos, donde a menudo se ejecutan como comandos
legítimos. Mediante la inyección de SQL, los atacantes pueden obtener acceso sin
restricciones a una base de datos completa.
Las inyecciones de SQL también se utilizan para atacar el DBMS, al pasar comandos de
SQL como parámetro de una función o procedimiento almacenado. Por ejemplo, un
componente que proporciona funcionalidad de respaldo generalmente se ejecuta con un
alto privilegio; llamar a una función vulnerable de inyección de SQL en ese componente
específico podría permitir a un usuario regular escalar sus privilegios, convertirse en un
DBA y hacerse cargo de la base de datos.
Mitigue este riesgo desinfectando todas las entradas antes de devolverlas al servidor.

1.3.13.7 Default Passwords

It is a long-standing practice in the software industry to create default accounts during the
installation of software packages. Some are used in the installation itself. Others provide
users with a means to test the software out of the box.
Default passwords are part of many demo packages. Installation of third party software
creates others. For example, a CRM package might create several accounts in the backend
database, for install, test, and admin and for regular users. SAP creates a number of
default database users at the time of installation. The DBMS industry also engages in this
practice.
Attackers are constantly looking for an easy way to steal sensitive data. Mitigate threats to
sensitive data by creating the required username and password combinations, and
ensuring the no default passwords are left in place in the DBMS. Eliminating the default
passwords is an important security step after every implementation.
1.3.13.8 Backup Data Abuse
Backups are made to reduce the risks associated with data loss, but backups also represent
a security risk. The news offers many stories about lost backup media. Encrypt all
database backups. Encryption prevents loss of a backup either in tangible media or in
electronic transit. Securely manage backup decryption keys. Keys must be available off-
site to be useful for disaster recovery.

1.3.14 Hacking / Hacker

The term hacking came from an era when finding clever ways to perform some computer
task was the goal. A hacker is a person who finds unknown operations and pathways
within complex computer systems. Hackers can be good or bad.
An ethical or ‘White Hat’ hacker works to improve a system. (‘White Hat’ refers to
American western movies in which the hero always wore a white hat.) Without ethical
hackers, system vulnerabilities that could be corrected would be discovered only by
accident. The systematic patching (updating) of computers to increase security results
from ethical hacking.
A malicious hacker is someone who intentionally breaches or ‘hacks’ into a computer
system to steal confidential information or to cause damage. Malicious Hackers usually
look for financial or personal information in order to steal money or identities. They try to
guess simple passwords, and seek to find undocumented weaknesses and backdoors in
existing systems. They are sometimes called ‘Black Hat hackers’. (In those same American
westerns where the heroes wore white hats, the villains wore black hats.)

1.3.15 Social Threats to Security / Phishing

Las amenazas sociales a la seguridad a menudo implican comunicaciones directas (ya sea
en persona, por teléfono o por Internet) diseñadas para engañar a las personas que tienen
acceso a datos protegidos para que brinden esa información (o acceso a la información) a
personas que la usarán para delinquir o con fines maliciosos

La ingeniería social se refiere a cómo los hackers maliciosos intentan engañar a las
personas para que les brinden información o acceso. Los hackers usan cualquier
información que obtengan para convencer a otros empleados de que tienen solicitudes
legítimas. A veces, los piratas informáticos se ponen en contacto con varias personas en
secuencia, recopilando información en cada paso útil para ganarse la confianza del
próximo empleado superior.

La suplantación de identidad se refiere a una llamada telefónica, un mensaje instantáneo o

un correo electrónico destinados a atraer a los destinatarios a dar información valiosa o
privada sin darse cuenta de que lo están haciendo. A menudo, estas llamadas o mensajes
parecen provenir de una fuente legítima. Por ejemplo, a veces se enmarcan como
argumentos de venta para descuentos o tasas de interés más bajas. Pero solicitan
información personal como nombres, contraseñas, números de Seguro Social o
información de tarjetas de crédito. Para reducir las sospechas, estos mensajes a menudo
solicitan al destinatario que "actualice" o "confirme" la información. Los mensajes
instantáneos y correos electrónicos de suplantación de identidad también pueden dirigir a
los usuarios a sitios web falsos para engañarlos para que proporcionen información
personal. De especial peligro son los correos electrónicos falsos específicamente dirigidos a
altos ejecutivos por su nombre. Esto se llama "Spear-phishing para ballenas". Además de
las llamadas telefónicas y la suplantación de identidad, se sabe que los piratas
informáticos van físicamente a los sitios de destino y hablan directamente con los
empleados, a veces usando disfraces o haciéndose pasar por vendedores, para obtener
acceso a información confidencial.43

1.3.16 Malware
Malware refers to any malicious software created to damage, change, or improperly access
a computer or network. Computer viruses, worms, spyware, key loggers, and adware are
all examples of malware. Any software installed without authorization can be considered
malware, if for no other reason than that it takes up disk space and possibly processing
cycles that the system owner did not authorize. Malware can take many forms, depending
on its purpose (replication, destruction, information or processing theft, or behavior
monitoring).
1.3.16.1 Adware
Adware is a form of spyware that enters a computer from an Internet download. Adware
monitors a computer’s use, such as what websites are visited. Adware also may insert
objects and tool bars in the user’s browser. Adware is not illegal, but is used to develop
complete profiles of the user’s browsing and buying habits to sell to other marketing firms.
It can also be easily leveraged by malicious software for identity theft.
1.3.16.2 Spyware
Spyware refers to any software program that slips into a computer without consent, in
order to track online activity. These programs tend to piggyback on other software
programs. When a user downloads and installs free software from a site on the Internet,
spyware can also install, usually without the user’s knowledge. Different forms of
spyware track different types of activity. Some programs monitor what websites are
visited, while others record the user’s keystrokes to steal personal information, such as
credit card numbers, bank account information, and passwords.
Many legitimate websites, including search engines, install tracking spyware, which is a
form of Adware.
1.3.16.3 Trojan Horse
The Trojan horse was a large wooden ‘gift statue’ of a horse that the Greeks gave to the
people of Troy, who quickly brought it inside the city walls. Unfortunately for them, it
concealed Greek soldiers, who, once inside the Troy, slipped out and attacked the city.
In computer security terms, a Trojan horse refers to a malicious program that enters a
computer system disguised or embedded within legitimate software. Once installed, a
Trojan horse will delete files, access personal information, install malware, reconfigure the
computer, install a key logger, or even allow hackers to use the computer as a weapon (Bot
or Zombie) against other computers on a network.
1.3.16.4 Virus
A virus is a program that attaches itself to an executable file or vulnerable application and
delivers a payload that ranges from annoying to extremely destructive. A file virus
executes when an infected file opens. A virus always needs to accompany another
program. Opening downloaded and infected programs can release a virus.
1.3.16.5 Worm
A computer worm is a program built to reproduce and spread across a network by itself. A
worm-infected computer will send out a continuous stream of infected messages. A worm
may perform several different malicious activities, although the main function is to harm
networks by consuming large amounts of bandwidth, potentially shutting the network
down.
1.3.16.6 Malware Sources
1.3.16.6.1 Instant Messaging (IM)
IM permite a los usuarios retransmitirse mensajes entre sí en tiempo real. La mensajería
instantánea también se está convirtiendo en una nueva amenaza para la seguridad de la
red. Debido a que muchos sistemas de mensajería instantánea han tardado en agregar
funciones de seguridad, los piratas informáticos malintencionados han encontrado que la
mensajería instantánea es un medio útil para propagar virus, spyware, estafas de phishing
y una amplia variedad de gusanos. Por lo general, estas amenazas se infiltran en los
sistemas a través de archivos adjuntos y mensajes contaminados.
1.3.16.6.2 Sitios de redes sociales
Los sitios de redes sociales, como Facebook, Twitter, Vimeo, Google+, LinkedIn, Xanga,
Instagram, Pinterest o MySpace, donde los usuarios crean perfiles en línea y comparten
información personal, opiniones, fotografías, entradas de blog y otra información, se han
convertido en objetivos de depredadores en línea, spammers y ladrones de identidad.
Además de representar una amenaza de personas malintencionadas, estos sitios presentan
riesgos para los empleados que pueden publicar información sensible a la empresa o
conocimiento 'interno' que podría afectar el precio de las acciones de una organización
pública. Informe a los usuarios de los peligros y la realidad de que cualquier cosa que
publiquen será permanente en Internet. Incluso si luego eliminan los datos, muchos
habrán hecho copias. Algunas compañías bloquean estos sitios en su firewall.
1.3.16.6.3 Spam
El spam se refiere a mensajes de correo electrónico comerciales no solicitados enviados en
masa, generalmente a decenas de millones de usuarios con la esperanza de que algunos
puedan responder. Una tasa de retorno del 1% puede generar millones de dólares
netos. La mayoría de los sistemas de enrutamiento de correo electrónico tienen trampas
para filtrar los patrones conocidos de mensajes de spam para reducir el tráfico
interno. Estos patrones de exclusión incluyen:
 Dominios conocidos para la transmisión de spam
 CC: o BCC: número de direcciones por encima de ciertos límites.
 El cuerpo del correo electrónico solo tiene una imagen como hipervínculo
 Cadenas de texto o palabras específicas
La respuesta a un mensaje de spam confirmará al remitente que ha alcanzado una
dirección de correo electrónico legítima y aumentará el correo no deseado futuro porque
se pueden vender listas de correos electrónicos válidos a otros spammers.
Los mensajes de spam también pueden ser engaños de Internet o incluir archivos adjuntos
de malware, con nombres y extensiones de archivos adjuntos, mensajes de texto e
imágenes que dan la apariencia de una comunicación legítima. Una forma de detectar el
correo electrónico no deseado es colocar el puntero sobre los hipervínculos, lo que
mostrará el enlace real que no tiene nada en común con la compañía que se muestra en el
texto. Otra forma es la falta de una forma de darse de baja. En los EE. UU., Los correos
electrónicos publicitarios deben incluir un enlace para cancelar la suscripción para detener
más correos electrónicos.

2. Actividades
No hay una forma prescrita de implementar la seguridad de los datos para cumplir con
todos los requisitos de privacidad y confidencialidad necesarios. Las regulaciones se
centran en los fines de la seguridad, no en los medios para lograrla. Las organizaciones
deben diseñar sus propios controles de seguridad, demostrar que los controles cumplen o
exceden los requisitos de las leyes o regulaciones, documentar la implementación de esos
controles y monitorearlos y medirlos a lo largo del tiempo. Al igual que en otras áreas de
conocimiento, las actividades incluyen la identificación de requisitos, la evaluación del
entorno actual para detectar lagunas o riesgos, la implementación de herramientas y
procesos de seguridad y la auditoría de las medidas de seguridad de datos para garantizar
que sean efectivas.

2.1 Identificar los requisitos de seguridad de datos

It is important to distinguish between business requirements, external regulatory
restrictions, and the rules imposed by application software products. While application
systems serve as vehicles to enforce business rules and procedures, it is common for these
systems to have their own data security requirements over and above those required for
business processes. These requirements are becoming more common with packaged and
off-the-shelf systems. It is necessary, however, to see that they support organizational data
security standards as well.

2.1.1 Business Requirements

Implementing data security within an enterprise begins with a thorough understanding of
business requirements. The business needs of an enterprise, its mission, strategy and size,
and the industry to which it belongs define the degree of rigidity required for data
security. For example, financial and securities enterprises in the United States are highly
regulated and required to maintain stringent data security standards. In contrast, a small-
scale retail enterprise may choose not to have the same kind of data security function that
a large retailer has, even though both of them have similar core business activities.
Analyze business rules and processes to identify security touch points. Every event in the
business workflow may have its own security requirements. Data-to-process and data-to-
role relationship matrices are useful tools to map these needs and guide definition of data
security role-groups, parameters, and permissions. Plan to address short-term and long-
term goals to achieve a balanced and effective data security function.

2.1.2 Regulatory Requirements

Today’s fast changing and global environment requires organizations to comply with a
growing set of laws and regulations. The ethical and legal issues facing organizations in
the Information Age are leading governments to establish new laws and standards. These
have all imposed strict security controls on information management. (See Chapter 2.)
Create a central inventory of all relevant data regulations and the data subject area
affected by each regulation. Add links to the corresponding security policies developed for
compliance to these regulations (see Table 13), and the controls implemented. Regulations,
policies, required actions, and data affected will change over time, so this inventory
should be in a format that is simple to manage and maintain.
Table 13 Sample Regulation Inventory Table

Examples of laws that influence data security include:

 US
o Sarbanes-Oxley Act of 2002
o Health Information Technology for Economic and Clinical Health
(HITECH) Act, enacted as part of the American Recovery and
Reinvestment Act of 2009
o Health Insurance Portability and Accountability Act of 1996
(HIPAA) Security Regulations
o Gramm-Leach-Bliley I and II
o SEC laws and Corporate Information Security Accountability Act
o Homeland Security Act and USA Patriot Act
o Federal Information Security Management Act (FISMA)
o California: SB 1386, California Security Breach Information Act
  EU
o Data Protection Directive (EU DPD 95/46/) AB 1901, Theft of
electronic files or databases
 Canada
o Canadian Bill 198
 Australia
o The CLERP Act of Australia
Regulations that impact data security include:
 Payment Card Industry Data Security Standard (PCI DSS), in the form of a
contractual agreement for all companies working with credit cards
 EU: The Basel II Accord, which imposes information controls for all
financial institutions doing business in its related countries
 US: FTC Standards for Safeguarding Customer Info
El cumplimiento de las políticas de la compañía o las restricciones regulatorias a menudo
requerirán ajustes en los procesos comerciales. Por ejemplo, la necesidad de autorizar el
acceso a la información de salud (elementos de datos regulados) a múltiples grupos únicos
de usuarios, para acomodar HIPAA.

2.2 Definir política de seguridad de datos

Las organizaciones deben crear políticas de seguridad de datos basadas en los requisitos
comerciales y reglamentarios. Una política es una declaración de un curso de acción
seleccionado y una descripción de alto nivel del comportamiento deseado para lograr un
conjunto de objetivos. Las políticas de seguridad de datos describen comportamientos que
se determinan que son los mejores intereses de una organización que desea proteger sus
datos. Para que las políticas tengan un impacto medible, deben ser auditables y auditadas.
Las políticas corporativas a menudo tienen implicaciones legales. Un tribunal puede
considerar que una política instituida para respaldar un requisito reglamentario legal es
una parte intrínseca del esfuerzo de la organización para cumplir con ese requisito
legal. El incumplimiento de una política corporativa puede tener ramificaciones legales
negativas después de una violación de datos.
La definición de la política de seguridad requiere la colaboración entre los administradores
de seguridad de TI, los arquitectos de seguridad, los comités de gobierno de datos, los
administradores de datos, los equipos de auditoría interna y externa, y el departamento
legal. Los administradores de datos también deben colaborar con todos los oficiales de
privacidad (supervisores de Sarbanes-Oxley, oficiales de HIPAA, etc.) y gerentes de
negocios con experiencia en datos, para desarrollar metadatos de categoría reglamentaria
y aplicar las clasificaciones de seguridad adecuadas de manera consistente. Todas las
acciones de cumplimiento de la regulación de datos deben coordinarse para reducir los
costos, la confusión de las instrucciones de trabajo y las batallas innecesarias.

2.2.1 Contenido de la política de seguridad

Se requieren diferentes niveles de política para gobernar el comportamiento relacionado
con la seguridad empresarial. Por ejemplo:
 Política de seguridad empresarial : políticas globales para el acceso de los
empleados a instalaciones y otros activos, estándares y políticas de correo
electrónico, niveles de acceso de seguridad basados en el puesto o título, y
políticas de informes de violación de seguridad
 Política de seguridad de TI : estándares de estructuras de directorios,
políticas de contraseña y un marco de gestión de identidad
 Política de seguridad de datos : categorías para aplicaciones individuales,
roles de bases de datos, grupos de usuarios y sensibilidad de información
Comúnmente, la Política de seguridad de TI y la Política de seguridad de datos son parte
de una política de seguridad combinada. La preferencia, sin embargo, debería ser
separarlos. Las políticas de seguridad de datos son de naturaleza más granular, específicas
del contenido y requieren diferentes controles y procedimientos. El Consejo de Gobierno
de Datos debería revisar y aprobar la Política de Seguridad de Datos. El Ejecutivo de
gestión de datos posee y mantiene la política.
Los empleados deben comprender y seguir las políticas de seguridad. Desarrolle políticas
de seguridad para que los procesos requeridos y las razones detrás de ellos estén
claramente definidos y sean alcanzables. El cumplimiento debe hacerse más fácil que el
incumplimiento. Las políticas deben proteger y proteger los datos sin restringir el acceso
del usuario.
Security policies should be in a format easily accessible by the suppliers, consumers, and
other stakeholders. They should be available and maintained on the company intranet or a
similar collaboration portal.
Data security policies, procedures, and activities should be periodically reevaluated to
strike the best possible balance between the data security requirements of all stakeholders.

2.3 Define Data Security Standards

Policies provide guidelines for behavior. They do not outline every possible contingency.
Standards supplement policies and provide additional detail on how to meet the intention
of the policies. For example, a policy may state that passwords must follow guidelines for
strong passwords; the standards for strong passwords would be detailed separately; and
the policy would be enforced through technology that prevents passwords from being
created if they do not meet the standards for strong passwords.

2.3.1 Define Data Confidentiality Levels

Confidentiality classification is an important Metadata characteristic, guiding how users
are granted access privileges. Each organization should create or adopt a classification
scheme that meets its business requirements. Any classification method should be clear
and easy to apply. It will contain a range of levels, from the least to the most confidential
(e.g., from “for general use” to “registered confidential”). (See Section 1.3.12.1.)

2.3.2 Define Data Regulatory Categories

A growing number of highly publicized data breaches, in which sensitive personal
information has been compromised, have resulted in data-specific laws to being
introduced. Financially-focused data incidents have spurred governments across the globe
to implement additional regulations.
This has created a new class of data, which might be called ‘Regulated Information’.
Regulatory requirements are an extension of information security. Additional measures
are required to manage regulatory requirements effectively. Consultation with corporate
counsel is often helpful in determining what actions certain regulations require from the
enterprise. Often the regulations imply a goal, and it is up to the corporation to determine
the means for reaching that information protection goal. Actions that can be audited
provide legal proof of compliance.
A useful way to handle the data-specific regulations is by analyzing and grouping similar
regulations into categories, as was been done by grouping various risks into a few security
classifications.
With more than one-hundred different data-specific ordinances around the world, it
would be useless to develop a different category for each regulation. Most data
regulations, imposed as they are by separate legal entities, seek to do the same thing. For
example, the contractual obligations for protecting confidential customer data are
remarkably similar to U.S., Japanese, and Canadian government regulations for protecting
Personally Identifiable Information, and similar for compliance with EU privacy
requirements. This pattern is easy to see when the auditable compliance actions for each
regulation are listed and compared. Thus, they may all be managed properly by using the
same protective action category.
A key principle for both security classification and regulatory categorization is that most
information can be aggregated so that it has greater or lesser sensitivity. Developers need
to know how aggregations affect the overall security classification and regulatory
categories. When a developer of a dashboard, report, or database view knows that some of
the data that is required may be personally private or insider or related to competitive
advantage, the system can then be designed to eliminate aspects of that from the
entitlement, or, if the data must remain in the user-entitlement, to enforce all the security
and regulatory requirements at the time of user authorization.
The results of this classification work will be a formally approved set of security
classifications and regulatory categories and a process for capturing this Metadata in a
central repository so that employees, both business and technical, know the sensitivity if
the information they are handling, transmitting, and authorizing

2.3.3 Define Security Roles

Data access control can be organized at an individual or group level, depending on the
need. That said, granting access and update privileges to individual user accounts entails a
great deal of redundant effort. Smaller organizations may find it acceptable to manage
data access at the individual level. However, larger organizations will benefit greatly from
role-based access control, granting permissions to role groups and thereby to each group
member.
Role groups enable security administrators to define privileges by role and to grant these
privileges by enrolling users in the appropriate role group. While it is technically possible
to enroll a user in more than one group, this practice may make it difficult to understand
the privileges granted to a specific user. Whenever possible, try to assign each user to only
one role group. This may require the creation of different user views of certain data
entitlements to comply with regulations.
La consistencia de los datos en la gestión de usuarios y roles es un desafío. La información
del usuario, como el nombre, el título y la identificación del empleado, debe almacenarse
de forma redundante en varias ubicaciones. Estas islas de datos a menudo entran en
conflicto, representando múltiples versiones de la "verdad". Para evitar problemas de
integridad de datos, gestione los datos de identidad del usuario y la pertenencia a grupos
de roles de forma centralizada. Este es un requisito para la calidad de los datos utilizados
para un control de acceso efectivo. Los administradores de seguridad crean, modifican y
eliminan cuentas de usuario y grupos de roles. Los cambios realizados en la taxonomía del
grupo y la membresía deben recibir la aprobación adecuada. Los cambios deben ser
rastreados a través de un sistema de gestión de cambios.
La aplicación de medidas de seguridad de datos de manera inconsistente o inadecuada
dentro de una organización puede conducir a la insatisfacción de los empleados y a un
riesgo significativo para la organización. La seguridad basada en roles depende de roles
claramente definidos y constantemente asignados.
Hay dos formas de definir y organizar roles: como una cuadrícula (a partir de los datos) o
en una jerarquía (a partir del usuario).
2.3.3.1 Cuadrícula de asignación de roles
Una cuadrícula puede ser útil para mapear roles de acceso para datos, según la
confidencialidad de los datos, las regulaciones y las funciones del usuario. El rol de
usuario público puede tener acceso a todos los datos clasificados para audiencias generales
y no está sujeto a ninguna normativa. Un rol de marketing puede tener acceso a cierta
información de PII para usar en el desarrollo de campañas, pero no a datos restringidos o
datos confidenciales del cliente. La Tabla 14 muestra un ejemplo muy simplificado.
Tabla 14 Ejemplo de cuadrícula de asignación de roles

2.3.3.2 Jerarquía de asignación de roles

Construya definiciones de grupo a nivel de grupo de trabajo o unidad de
negocio. Organice estos roles en una jerarquía, de modo que los roles secundarios
restrinjan aún más los privilegios de los roles primarios. El mantenimiento continuo de
estas jerarquías es una operación compleja que requiere sistemas de informes capaces de
desglosar los privilegios de los usuarios individuales. Un ejemplo de jerarquía de roles de
seguridad se muestra en la Figura 65.

2.3.4 Evaluar los riesgos de seguridad actuales

Los riesgos de seguridad incluyen elementos que pueden comprometer una red y / o base
de datos. El primer paso para identificar el riesgo es identificar dónde se almacenan los
datos confidenciales y qué protecciones se requieren para esos datos. Evalúe cada sistema
para lo siguiente:
 La sensibilidad de los datos almacenados o en tránsito.
 Los requisitos para proteger esos datos, y
 Las protecciones de seguridad actuales vigentes
Figura 65 Diagrama de ejemplo de jerarquía de roles de seguridad

Document the findings, as they create a baseline for future evaluations. This
documentation may also be a requirement for privacy compliance, such as in the European
Union. Gaps must be remediated through improved security processes supported by
technology. The impact of improvements should be measured and monitored to ensure
risks are mitigated.
In larger organizations, white-hat hackers may be hired to assess vulnerabilities. A white
hat exercise can be used as proof of an organization’s impenetrability, which can be used
in publicity for market reputation.

2.3.5 Implement Controls and Procedures

Implementation and administration of data security policy is primarily the responsibility
of security administrators, in coordination with data stewards and technical teams. For
example, database security is often a DBA responsibility.
Organizations must implement proper controls to meet the security policy requirements.
Controls and procedures should (at a minimum) cover:
 How users gain and lose access to systems and/or applications
 How users are assigned to and removed from roles
 How privilege levels are monitored
 How requests for access changes are handled and monitored
 How data is classified according to confidentiality and applicable
regulations
 How data breaches are handled once detected
Document the requirements for allowing original user authorizations so de-authorization
may happen when these conditions no longer apply.
Por ejemplo, una política para 'mantener los privilegios de usuario apropiados' podría
tener un objetivo de control de ' Revisar los derechos y privilegios del DBA y del Usuario
mensualmente '. El procedimiento de la organización para satisfacer este control podría ser
implementar y mantener procesos para:
 Valide los permisos asignados contra un sistema de gestión de cambios
utilizado para rastrear todas las solicitudes de permisos de usuario
 Requiere un proceso de aprobación del flujo de trabajo o un formulario en
papel firmado para registrar y documentar cada solicitud de cambio
 Incluya un procedimiento para eliminar autorizaciones para personas cuyo
estado laboral o departamento ya no los califica para tener ciertos derechos de
acceso
Algún nivel de gestión debe solicitar, rastrear y aprobar formalmente todas las
autorizaciones iniciales y los cambios posteriores a las autorizaciones de usuarios y grupos
2.3.5.1 Asignar niveles de confidencialidad
Los administradores de datos son responsables de evaluar y determinar el nivel de
confidencialidad apropiado para los datos según el esquema de clasificación de la
organización.
La clasificación de documentos e informes debe basarse en el nivel más alto de
confidencialidad para cualquier información encontrada en el documento. (Consulte
el Capítulo 9 ). Etiquete cada página o pantalla con la clasificación en el encabezado o pie
de página. Los productos de información clasificados como menos confidenciales (por
ejemplo, "Para audiencias generales") no necesitan etiquetas. Suponga que los productos
no etiquetados son para el público en general.
Los autores de documentos y los diseñadores de productos de información son
responsables de evaluar, clasificar y etiquetar correctamente el nivel de confidencialidad
apropiado para cada documento, así como para cada base de datos, incluidas las tablas
relacionales, columnas y vistas de derechos de usuario.
En organizaciones más grandes, gran parte de la clasificación de seguridad y el esfuerzo
de protección serán responsabilidad de una organización dedicada a la seguridad de la
información. Si bien la seguridad de la información estará feliz de que los administradores
de datos trabajen con estas clasificaciones, por lo general se hacen responsables de la
aplicación y de la protección física de la red.
2.3.5.2 Asignar categorías regulatorias
Las organizaciones deben crear o adoptar un enfoque de clasificación para garantizar que
puedan cumplir con las demandas de cumplimiento normativo. (Consulte la Sección 3.3 .)
Este esquema de clasificación proporciona una base para responder a auditorías internas y
externas. Una vez que está en su lugar, la información necesita ser evaluada y clasificada
dentro del esquema. El personal de seguridad puede no estar familiarizado con este
concepto, ya que no trabajan con regulaciones de datos individuales, sino con sistemas de
infraestructura. Deberán tener requisitos documentados para la protección de datos
relacionados con estas categorías que definan las acciones que pueden implementar.
2.3.5.3 Administrar y mantener la seguridad de los datos
Una vez que todos los requisitos, políticas y procedimientos están en su lugar, la tarea
principal es garantizar que no se produzcan violaciones de seguridad y, si lo hacen,
detectarlas lo antes posible. El monitoreo continuo de los sistemas y la auditoría de la
ejecución de los procedimientos de seguridad son cruciales para preservar la seguridad de
los datos.
2.3.5.3.1 Control de disponibilidad de datos / seguridad centrada en datos
El control de la disponibilidad de datos requiere la gestión de los derechos de los usuarios
y de las estructuras (enmascaramiento de datos, creación de vistas, etc.) que técnicamente
controlan el acceso en función de los derechos. Algunas bases de datos son mejores que
otras para proporcionar estructuras y procesos para proteger los datos
almacenados. (Ver Sección 3.7 .)
Security Compliance managers may have direct responsibility for designing user
entitlement profiles that allow the business to function smoothly, while following relevant
restrictions.
Defining entitlements and granting authorizations requires an inventory of data, careful
analysis of data needs, and documentation of the data exposed in each user entitlement.
Often highly sensitive information is mixed with non-sensitive information. An enterprise
data model is essential to identifying and locating sensitive data. (See Section 1.1.1.)
Data masking can protect data even if it is inadvertently exposed. Certain data regulations
require encryption, an extreme version of in-place masking. Authorization to the
decryption keys can be part of the user authorization process. Users authorized to access
the decryption keys can see the unencrypted data, while others only see random
characters.
Relational database views can used to enforce data security levels. Views can restrict
access to certain rows based on data values or restrict access to certain columns, limiting
access to confidential or regulated fields.
2.3.5.3.2 Monitor User Authentication and Access Behavior
Reporting on access is a basic requirement for compliance audits. Monitoring
authentication and access behavior provides information about who is connecting and
accessing information assets. Monitoring also helps detect unusual, unforeseen, or
suspicious transactions that warrant investigation. In this way, it compensates for gaps in
data security planning, design, and implementation.
Deciding what needs monitoring, for how long, and what actions to take in the event of an
alert, requires careful analysis driven by business and regulatory requirements.
Monitoring entails a wide range of activities. It can be specific to certain data sets, users, or
roles. It can be used to validate data integrity, configurations, or core Metadata. It can be
implemented within a system or across dependent heterogeneous systems. It can focus on
specific privileges, such as the ability to download large sets of data or to access data at off
hours.
Monitoring can be automated or executed manually or executed through a combination of
automation and oversight. Automated monitoring does impose overhead on the
underlying systems and may affect system performance. Periodic snapshots of activity can
be useful in understanding trends and comparing against standards criteria. Iterative
configuration changes may be required to achieve the optimal parameters for proper
monitoring.
Automated recording of sensitive or unusual database transactions should be part of any
database deployment. Lack of automated monitoring represents serious risks:
 Regulatory risk: Organizations with weak database audit mechanisms will
increasingly find that they are at odds with government regulatory requirements.
Sarbanes-Oxley (SOX) in the financial services sector and the Healthcare
Information Portability and Accountability Act (HIPAA) in the healthcare sector
are just two examples of US government regulation with clear database audit
requirements.
 Detection and recovery risk: Audit mechanisms represent the last line of
defense. If an attacker circumvents other defenses, audit data can identify the
existence of a violation after the fact. Audit data can also be used to link a
violation to a particular user or as a guide to repair the system.
 Administrative and audit duties risk: Users with administrative access to
the database server – whether that access was obtained legitimately or
maliciously – can turn off auditing to hide fraudulent activity. Audit duties
should ideally be separate from both database administrators and the database
server platform support staff.
 Risk of reliance on inadequate native audit tools: Database software
platforms often try to integrate basic audit capabilities but they often suffer from
multiple weaknesses that limit or preclude deployment. When users access the
database via Web applications (such as SAP, Oracle E-Business Suite, or
PeopleSoft), native audit mechanisms have no awareness of specific user
identities and all user activity is associated with the Web application account
 name. Therefore, when native audit logs reveal fraudulent database transactions,
there is no link to the responsible user.
To mitigate the risks, implement a network-based audit appliance, which can address
most of the weaknesses associated with native audit tools, but which does not take place
of regular audits by trained auditors. This kind of appliance has the following benefits:
 High performance: Network-based audit appliances can operate at line
speed with little impact on database performance.
 Separation of duties: Network-based audit appliances should operate
independently of database administrators making it possible to separate audit
duties from administrative duties as appropriate.
 Granular transaction tracking supports advanced fraud detection,
forensics, and recovery. Logs include details such as source application name,
complete query text, query response attributes, source OS, time, and source name.
2.3.5.4 Manage Security Policy Compliance
Managing security policy compliance includes ongoing activities to ensure policies are
followed and controls are effectively maintained. Management also includes providing
recommendations to meet new requirements. In many cases, Data Stewards will act in
conjunction with Information Security and Corporate Counsel so that operational policies
and technical controls are aligned.
2.3.5.4.1 Manage Regulatory Compliance
Managing regulatory compliance includes:
 Measuring compliance with authorization standards and procedures
 Ensuring that all data requirements are measurable and therefore auditable
(i.e., assertions like “be careful” are not measurable)
 Ensuring regulated data in storage and in motion is protected using
standard tools and processes
 Using escalation procedures and notification mechanisms when potential
non-compliance issues are discovered, and in the event of a regulatory
compliance breach
Compliance controls require audit trails. For example, if policy states that users must take
training before accessing certain data, then the organization must be able to prove that any
given user took the training. Without an audit trail, there is no evidence of compliance.
Controls should be designed to ensure they are auditable.
2.3.5.4.2 Audit Data Security and Compliance Activities
Internal audits of activities to ensure data security and regulatory compliance policies are
followed should be conducted regularly and consistently. Compliance controls themselves
must be revisited when new data regulation is enacted, when existing regulation changes,
and periodically to ensure usefulness. Internal or external auditors may perform audits. In
all cases, auditors must be independent of the data and / or process involved in the audit
to avoid any conflict of interest and to ensure the integrity of the auditing activity and
results.
Auditing is not a fault-finding mission. The goal of auditing is to provide management
and the data governance council with objective, unbiased assessments, and rational,
practical recommendations.
Data security policy statements, standards documents, implementation guides, change
requests, access monitoring logs, report outputs, and other records (electronic or hard
copy) form the input to an audit. In addition to examining existing evidence, audits often
include performing tests and checks, such as:
 Analyzing policy and standards to assure that compliance controls are
defined clearly and fulfill regulatory requirements
 Analyzing implementation procedures and user-authorization practices to
ensure compliance with regulatory goals, policies, standards, and desired
outcomes
 Assessing whether authorization standards and procedures are adequate
and in alignment with technology requirements
 Evaluating escalation procedures and notification mechanisms to be
executed when potential non-compliance issues are discovered or in the event of
a regulatory compliance breach
 Reviewing contracts, data sharing agreements, and regulatory compliance
obligations of outsourced and external vendors, that ensure business partners
meet their obligations and that the organization meets its legal obligations for
protecting regulated data
 Assessing the maturity of security practices within the organization and
reporting to senior management and other stakeholders on the ‘State of
Regulatory Compliance’
 Recommending Regulatory Compliance policy changes and operational
compliance improvements
Auditing data security is not a substitute for management of data security. It is a
supporting process that objectively assesses whether management is meeting goals.

3. Tools
The tools used for managing information security depend, in large part, on the size of the
organization, the network architecture, and the policies and standards used by a security
organization.

3.1 Anti-Virus Software / Security Software

Anti-virus software protects computers from viruses encountered on the Web. New
viruses and other malware appear every day, so it is important to update security software
regularly.

3.2 HTTPS
If a Web address begins with https://, it indicates that the website is equipped with an
encrypted security layer. Typically, users must provide a password or other means of
authentication to access the site. Making payments online or accessing classified
information uses this encryption protection. Train users to look for this in the URL address
when they are performing sensitive operations over the Internet, or even within the
enterprise. Without encryption, people on the same network segment can read the plain
text information.

3.3 Identity Management Technology

Identity management technology stores assigned credentials and shares them with
systems upon request, such as when a user logs into a system. Some applications manage
their own credential repository, although it is more convenient for users to have most or
all applications use a central credential repository. There are protocols for managing
credentials: Lightweight Directory Access Protocol (LDAP) is one.
Some companies choose and provide an enterprise approved ‘Password Safe’ product that
creates an encrypted password file on each user’s computer. Users only need to learn one
long pass-phrase to open the program and they can store all their passwords safely in the
encrypted file. A single-sign-on system also can perform this role.

3.4 Intrusion Detection and Prevention Software

Tools that can detect incursions and dynamically deny access are necessary for when
hackers do penetrate firewalls or other security measures.
An Intrusion Detection System (IDS) will notify appropriate people when an
inappropriate incident happens. IDS should optimally be connected with an intrusion
Prevention System (IPS) that automatically responds to known attacks and illogical
combinations of user commands. Detection is often accomplished by analysis of patterns
within the organization. Knowledge of expected patterns allows detection of out-of-the-
ordinary events. When these take place, the system can send alerts.

3.5 Firewalls (Prevention)

Secure and sophisticated firewalls, with capacity to allow full speed data transmission
while still performing detailed packet analysis, should be placed at the enterprise gateway.
For web servers exposed to the Internet, a more complex firewall structure is advised, as
many malicious hacker attacks exploit legitimate appearing traffic that is intentionally
malformed to exploit database and web server vulnerabilities.

3.6 Metadata Tracking

Tools that track Metadata can help an organization track the movement of sensitive data.
These tools create a risk that outside agents can detect internal information from metadata
associated with documents. Identification of sensitive information using Metadata
provides the best way to ensure that data is protected properly. Since the largest number
of data loss incidents result from the lack of sensitive data protection due to ignorance of
its sensitivity, Metadata documentation completely overshadows any hypothetical risk
that might occur if the Metadata were to be somehow exposed from the Metadata
repository. This risk is made more negligible since it is trivial for an experienced hacker to
locate unprotected sensitive data on the network. The people most likely unaware of the
need to protect sensitive data appear to be employees and managers.

3.7 Data Masking/Encryption

Tools that perform masking or encryption are useful for restricting movement of sensitive
data. (See Section 1.3.9.)

4. Techniques
Techniques for managing information security depend on the size of the organization, the
architecture of the network, the type of data that must be secured, and the policies and
standards used by a security organization.

4.1 CRUD Matrix Usage

Creating and using data-to-process and data-to-role relationship (CRUD–Create, Read,
Update, Delete) matrices help map data access needs and guide definition of data security
role groups, parameters, and permissions. Some versions add an E for Execute to make
CRUDE.

4.2 Immediate Security Patch Deployment

A process for installing security patches as quickly as possible on all machines should be
in place. A malicious hacker only needs root access to one machine in order to conduct his
attack successfully on the network. Users should not be able to delay this update.

4.3 Data Security Attributes in Metadata

Un repositorio de metadatos es esencial para asegurar la integridad y el uso constante de
un modelo de datos empresariales en todos los procesos comerciales. Los metadatos deben
incluir clasificaciones regulatorias y de seguridad para los datos. (Consulte la Sección
1.1.3 .) Tener Metadatos de seguridad en el lugar protege a una organización de
empleados que pueden no reconocer los datos como confidenciales. Cuando los
administradores de datos aplican categorías de confidencialidad y reglamentarias, la
información de la categoría debe documentarse en el repositorio de metadatos y, si la
tecnología lo permite, etiquetarse a los datos. (Consulte las Secciones 3.3.1 y 3.3.2.) Estas
clasificaciones se pueden utilizar para definir y administrar los derechos y autorizaciones
de los usuarios, así como para informar a los equipos de desarrollo sobre los riesgos
relacionados con los datos confidenciales.

4.4 Métricas
Es esencial medir los procesos de protección de la información para garantizar que
funcionen según sea necesario. Las métricas también permiten mejorar estos
procesos. Algunas métricas miden el progreso en los procesos: la cantidad de auditorías
realizadas, los sistemas de seguridad instalados, los incidentes reportados y la cantidad de
datos no examinados en los sistemas. Las métricas más sofisticadas se centrarán en los
resultados de las auditorías o el movimiento de la organización a lo largo de un modelo de
madurez.
En organizaciones más grandes con personal de seguridad de la información existente,
puede existir un número significativo de estas métricas. Es útil reutilizar las métricas
existentes como parte de un proceso general de medición de gestión de amenazas y evitar
la duplicación de esfuerzos. Cree una línea base (lectura inicial) de cada métrica para
mostrar el progreso en el tiempo.
Si bien se puede medir y rastrear una gran cantidad de actividades y condiciones de
seguridad, céntrese en métricas accionables. Algunas métricas clave en grupos
organizados son más fáciles de administrar que las páginas de indicadores aparentemente
no relacionados. Las acciones de mejora pueden incluir capacitación de concientización
sobre políticas reguladoras de datos y acciones de cumplimiento.
Muchas organizaciones enfrentan desafíos de seguridad de datos similares. Las siguientes
listas pueden ayudarlo a seleccionar las métricas aplicables.

4.4.1 Métricas de implementación de seguridad

Estas métricas de seguridad generales se pueden enmarcar como porcentajes de valor
positivo:
 Porcentaje de computadoras empresariales que tienen instalados los
parches de seguridad más recientes
 Porcentaje de computadoras que tienen software antimalware actualizado
instalado y funcionando
 Porcentaje de nuevos empleados que han tenido verificaciones de
antecedentes exitosas
 Porcentaje de empleados que obtienen más del 80% en el cuestionario anual
de prácticas de seguridad
 Porcentaje de unidades de negocio para las que se ha completado un
análisis formal de evaluación de riesgos
 Porcentaje de procesos comerciales probados con éxito para recuperación
ante desastres en caso de incendio, terremoto, tormenta, inundación, explosión u
otro desastre
 Porcentaje de hallazgos de auditoría que se han resuelto con éxito
Las tendencias pueden rastrearse en métricas enmarcadas como listas o estadísticas:
 Métricas de rendimiento de todos los sistemas de seguridad.
 Investigaciones de antecedentes y resultados
 Planificación de contingencia y estado del plan de continuidad comercial
 Incidentes criminales e investigaciones
 Exámenes de diligencia debida para el cumplimiento y cantidad de
hallazgos que deben abordarse
 Análisis de gestión de riesgo informativo realizado y número de aquellos
que resultan en cambios accionables
  Implicaciones y resultados de la auditoría de políticas, como verificaciones
de políticas de escritorio limpio, realizadas por oficiales de seguridad del turno
nocturno durante las rondas
 Operaciones de seguridad, seguridad física y estadísticas de protección de
locales.
 Número de estándares de seguridad documentados y accesibles (también
conocidos como políticas)
 La motivación de las partes relevantes para cumplir con las políticas de
seguridad también se puede medir
 Conducta comercial y análisis de riesgo reputacional, incluida la
capacitación de los empleados
 Higiene empresarial y riesgo de información privilegiada basada en tipos
específicos de datos tales como información financiera, médica, secretos
comerciales e información privilegiada
 Indicadores de confianza e influencia entre gerentes y empleados como una
indicación de cómo se perciben los esfuerzos y políticas de seguridad de la
información de datos
Seleccione y mantenga un número razonable de métricas accionables en categorías
apropiadas a lo largo del tiempo para garantizar el cumplimiento, detectar problemas
antes de que se conviertan en crisis e indicar a la alta gerencia una determinación para
proteger la valiosa información corporativa.

4.4.2 Métricas de conciencia de seguridad

Considere estas áreas generales para seleccionar las métricas apropiadas:
 Los hallazgos de la evaluación de riesgos proporcionan datos cualitativos
que deben ser retroalimentados a las unidades de negocio apropiadas para que
sean más conscientes de su responsabilidad.
 Los eventos y perfiles de riesgo identifican exposiciones no gestionadas
que necesitan corrección. Determine la ausencia o el grado de mejora medible en
la exposición al riesgo o el cumplimiento de la política mediante la realización de
pruebas de seguimiento de la iniciativa de concienciación para ver qué tan bien se
transmitieron los mensajes.
 Formal feedback surveys and interviews identify the level of security
awareness. Also, measure the number of employees who have successfully
completed security awareness training within targeted populations.
 Incident post mortems, lessons learned, and victim interviews provide a
rich source of information on gaps in security awareness. Measures may include
how much vulnerability has been mitigated.
 Patching effectiveness audits involve specific machines that work with
confidential and regulated information to assess the effectiveness of security
patching. (An automated patching system is advised whenever possible.)
4.4.3 Data Protection Metrics
Requirements will dictate which of these are pertinent to an organization:
 Criticality ranking of specific data types and information systems that, if
made inoperable, would have profound impact on the enterprise.
 Annualized loss expectancy of mishaps, hacks, thefts, or disasters related
to data loss, compromise, or corruption.
 Risk of specific data losses related to certain categories of regulated
information, and remediation priority ranking.
 Risk mapping of data to specific business processes. Risks associated with
Point of Sale devices would be included in the risk profile of the financial
payment system.
 Threat assessments performed based on the likelihood of an attack against
certain valuable data resources and the media through which they travel.
 Vulnerability assessments of specific parts of the business process where
sensitive information could be exposed, either accidentally or intentionally.
Auditable list of locations where sensitive data is propagated throughout the organization.

4.4.4 Security Incident Metrics

 Intrusion attempts detected and prevented
 Return on Investment for security costs using savings from prevented
intrusions

4.4.5 Confidential Data Proliferation

The number of copies of confidential data should be measured in order to reduce this
proliferation. The more places confidential data is stored, the higher the risk of a breach.

4.5 Security Needs in Project Requirements

Every project that involves data must address system and data security. Identify detailed
data and application security requirements in the analysis phase. Identification up front
guides the design and prevents having to retrofit security processes. If implementation
teams understand data protection requirements from the start, they can build compliance
into the basic architecture of the system. This information can also be used for selecting
appropriate vendor/purchased software packages.

4.6 Efficient Search of Encrypted Data

Searching encrypted data obviously includes the need to decrypt the data. One way to
reduce the amount of data that needs decryption is to encrypt the search criteria (such as a
string) using the same encryption method used for the data, and then seek matches. The
amount of data matching the encrypted search criteria will be much less, and therefore less
costly (and risky) to decrypt. Then search using clear text on the result set to get exact
matches.

4.7 Document Sanitization

Document sanitization is the process of cleaning Metadata, such as tracked change history,
from documents before sharing. Sanitization mitigates the risk of sharing confidential
information that might be embedded in comments. In contracts especially, access to this
information may negatively affect negotiations.

5. Implementation Guidelines
Implementation of data security practices depends on corporate culture, the nature of the
risks, the sensitivity of what data the company manages, and the types of systems in place.
Implementation system components should be guided by a strategic security plan and
supporting architecture.

5.1 Readiness Assessment / Risk Assessment

Keeping data secure is deeply connected to corporate culture. Organizations often end up
reacting to crises, rather than proactively managing accountability and ensuring
auditability. While perfect data security is next to impossible, the best way to avoid data
security breaches is to build awareness and understanding of security requirements,
policies, and procedures. Organizations can increase compliance through:
 Training: Promotion of standards through training on security initiatives at
all levels of the organization. Follow training with evaluation mechanisms such as
online tests focused on improving employee awareness. Such training and testing
should be mandatory and a prerequisite for employee performance evaluation.
 Consistent policies: Definition of data security policies and regulatory
compliance policies for workgroups and departments that complement and align
with enterprise policies. Adopting an ‘act local’ mindset helps engage people
more actively.
 Measure the benefits of security: Link data security benefits to
organizational initiatives. Organizations should include objective metrics for data
security activities in their balanced scorecard measurements and project
evaluations.
 Set security requirements for vendors: Include data security requirements
in service level agreements and outsourcing contractual obligations. SLA
agreements must include all data protection actions.
 Build a sense of urgency: Emphasize legal, contractual, and regulatory
requirements to build a sense of urgency and an internal framework for data
security management.
 Ongoing communications: Supporting a continual employee security-
training program informing workers of safe computing practices and current
threats. An ongoing program communicates that safe computing is important
enough for management to support it.

5.2 Organization and Cultural Change

Organizations need to develop data policies that enable them to meet their goals while
protecting sensitive and regulated information from misuse or unauthorized exposure.
They must account for the interests of all stakeholders as they balance risks with ease of
access. Often the technical architecture must accommodate the Data Architecture to
balance these needs to create an effective and secure electronic environment. In most
organizations, the behavior of both management and employees will need to change if
they are to successfully protect their data.
In many larger companies, the existing information security group will have in place
policies, safeguards, security tools, access control systems, and information protection
devices and systems. There should be a clear understanding and appreciation where these
elements complement the work done by the Data Stewards and data administrators. Data
Stewards are generally responsible for data categorization. Information security teams
assist with compliance enforcement and establish operational procedures based on data
protection policies, and security and regulatory categorization.
Implementing data security measures without regard for the expectations of customers
and employees can result in employee dissatisfaction, customer dissatisfaction, and
organizational risk. To promote compliance, data security measures must account for the
viewpoint of those who will be working with the data and systems. Well-planned and
comprehensive technical security measures should make secure access easier for
stakeholders.

5.3 Visibility into User Data Entitlement

Each user data entitlement, which is the sum total of all the data made available by a
single authorization, must be reviewed during system implementation to determine if it
contains any regulated information. Knowing who can see which data requires
management of Metadata that describes the confidentiality and regulatory classifications
of the data, as well as management of the entitlements and authorizations themselves.
Classification of regulatory sensitivity should be a standard part of the data definition
process.

5.4 Data Security in an Outsourced World

Anything can be outsourced except liability.
Outsourcing IT operations introduces additional data security challenges and
responsibilities. Outsourcing increases the number of people who share accountability for
data across organizational and geographic boundaries. Previously informal roles and
responsibilities must be explicitly defined as contractual obligations. Outsourcing
contracts must specify the responsibilities and expectations of each role.
Any form of outsourcing increases risk to the organization, including some loss of control
over the technical environment and the people working with the organization’s data. Data
security measures and processes must look at the risk from the outsource vendor as both
an external and internal risk.
The maturity of IT outsourcing has enabled organizations to re-look at outsourced
services. A broad consensus has emerged that architecture and ownership of IT, which
includes data security architecture, should be an in-sourced function. In other words, the
internal organization owns and manages the enterprise and security architecture. The
outsourced partner may take the responsibility for implementing the architecture.
Transferring control, but not accountability, requires tighter risk management and control
mechanisms. Some of these mechanisms include:
 Service level agreements
 Limited liability provisions in the outsourcing contract
 Right-to-audit clauses in the contract
 Clearly defined consequences to breaching contractual obligations
 Frequent data security reports from the service vendor
 Independent monitoring of vendor system activity
 Frequent and thorough data security auditing
 Constant communication with the service vendor
 Awareness of legal differences in contract law should the vendor be located
in another country and a dispute arises
In an outsourced environment, it is critical to track the lineage, or flow, of data across
systems and individuals to maintain a ‘chain of custody’. Outsourcing organizations
especially benefit from developing CRUD (Create, Read, Update, and Delete) matrices that
map data responsibilities across business processes, applications, roles, and organizations,
tracing the transformation, lineage, and chain of custody for data. Additionally, the ability
to execute business decisions or application functionality such as approving checks or
orders, must be included as part of the matrix.
Responsible, Accountable, Consulted, and Informed (RACI) matrices also help clarify
roles, the separation of duties, and responsibilities of different roles, including their data
security obligations.
The RACI matrix can become part of the contractual agreements and data security policies.
Defining responsibility matrices like RACI will establish clear accountability and
ownership among the parties involved in the outsourcing engagement, leading to support
of the overall data security policies and their implementation.
In outsourcing information technology operations, the accountability for maintaining data
still lies with the organization. It is critical to have appropriate compliance mechanisms in
place and have realistic expectations from parties entering into the outsourcing
agreements.

5.5 Data Security in Cloud Environments

The rapid emergence of web computing and business-to-business and business-to-
consumer interaction has caused the boundaries of data to extend beyond the four walls of
the organization. The recent advances in cloud computing have extended the boundaries a
step further. The ‘as-a-service’ nomenclature is now common across all stacks of
technology and business. ‘Data-as-a-Service’, ‘Software-as-a-Service’, ‘Platform-as-a-
Service’ are commonly used terms today. Cloud computing, or having resources
distributed over the internet to process data and information, is complementing the ‘X-as-
a-Service’ provisioning.
Data security policies need to account for the distribution of data across the different
service models. This includes the need to leverage external data security standards.
Shared responsibility, defining chain of custody of data and defining ownership and
custodianship rights, is especially important in cloud computing. Infrastructure
considerations (e.g., Who is responsible for the firewall when the cloud provider delivers
the software over the web? Who is accountable for access rights on the servers?) have
direct impacts to data security management and data policies.
Fine-tuning or even creating a new data security management policy geared towards
cloud computing is necessary for organizations of all sizes. Even if an organization has not
directly implemented resources in the cloud, business partners may. In a connected world
of data, having a business partner use cloud computing means putting the organization’s
data in the cloud. The same data proliferation security principles apply to
sensitive/confidential production data.
Internal cloud data-center architecture, including virtual machines even though
potentially more secure, should follow the same security policy as the rest of the
enterprise.

6. Data Security Governance

Asegurar los sistemas empresariales y los datos que almacenan requiere la cooperación
entre TI y las partes interesadas del negocio. Políticas y procedimientos sólidos y claros
son la base de la gobernanza de la seguridad.

6.1 Seguridad de datos y arquitectura empresarial

Enterprise Architecture define los activos de información y los componentes de una
empresa, sus interrelaciones y las reglas comerciales con respecto a la transformación, los
principios y las pautas. La arquitectura de seguridad de datos es el componente de la
arquitectura empresarial que describe cómo se implementa la seguridad de datos dentro
de la empresa para satisfacer las reglas comerciales y las regulaciones externas. Influencias
de la arquitectura:
 Herramientas utilizadas para gestionar la seguridad de los datos.
 Estándares y mecanismos de encriptación de datos
 Pautas de acceso a proveedores y contratistas externos.
 Protocolos de transmisión de datos por internet
 Requisitos de documentación
 Estándares de acceso remoto
 Procedimientos de notificación de incidentes de violación de seguridad
La arquitectura de seguridad es particularmente importante para la integración de datos
entre:
 Sistemas internos y unidades de negocio.
  Una organización y sus socios comerciales externos.
 Una organización y agencias reguladoras
Por ejemplo, un patrón arquitectónico de un mecanismo de integración orientado a
servicios entre partes internas y externas requeriría una implementación de seguridad de
datos diferente de la arquitectura de integración de intercambio electrónico de datos (EDI)
tradicional.
Para una gran empresa, la función de enlace formal entre estas disciplinas es esencial para
proteger la información del mal uso, robo, exposición y pérdida. Cada parte debe conocer
los elementos que conciernen a los demás, para que puedan hablar un idioma común y
trabajar hacia objetivos compartidos.

7. Obras citadas / recomendadas

Andress, Jason. Los fundamentos de la seguridad de la información: comprensión de los
fundamentos de InfoSec en teoría y práctica . Syngress, 2011. Impresión.
Calder, Alan y Steve Watkins. Gobierno de TI: una guía internacional de seguridad de datos e
ISO27001 / ISO27002 . 5ta ed. Kogan Page, 2012. Impresión.
Fuster, Gloria González. El surgimiento de la protección de datos personales como un derecho
fundamental de la UE . Springer, 2014. Impresión. Ley, Gobierno y Serie Tecnológica /
Cuestiones de Privacidad y Protección de Datos.
Harkins, Malcolm. Gestión de riesgos y seguridad de la información: Proteger para habilitar (Voz
del experto en tecnología de la información) . Apress, 2012. Kindle.
Hayden, Lance. Métricas de seguridad de TI: un marco práctico para medir la seguridad y
proteger los datos . McGraw-Hill Osborne Media, 2010. Impresión.
Kark, Khalid. "Construyendo un caso de negocios para la seguridad de la
información". Computer World . 2009-08-10 http://bit.ly/2rCu7QQ Web.
Kennedy, Gwen y Leighton Peter Prabhu. Privacidad de datos: una guía práctica . Interstice
Consulting LLP, 2014. Kindle. Servicios digitales de Amazon.
Murdoch, Don GSE. Manual del equipo azul: Edición de respuesta a incidentes: una guía de
campo resumida para el Respondedor de incidentes de seguridad cibernética . 2da ed. Plataforma
de publicación independiente CreateSpace, 2014. Imprimir.
Instituto Nacional de Estándares y Tecnología (sitio web del Departamento de Comercio
de EE. UU.) Http://bit.ly/1eQYolG .
Rao, Umesh Hodeghatta y Umesha Nayak. El manual de InfoSec: una introducción a la
seguridad de la información . Apress, 2014. Kindle. Servicios digitales de Amazon.
Ray, Dewey E. El manual de fusiones y adquisiciones del profesional de TI . Diligencia
Cognitiva, 2012.
Schlesinger, David. The Hidden Corporation: una novela de seguridad de gestión de
datos . Technics Publications, LLC, 2011. Impresión.
Cantante, PW y Allan Friedman. Ciberseguridad y Ciberguerra: lo que todos deben
saber  ® . Oxford University Press, 2014. Impresión. Lo que todos necesitan saber.
Watts, John. Guía de estudio profesional de privacidad de la información certificada: ¡Pase el
examen de la Fundación de certificación de IAPP con facilidad!  Plataforma de publicación
independiente CreateSpace, 2014. Imprimir.
Williams, Branden R., Anton Chuvakin Ph.D. Cumplimiento de PCI: Comprenda e implemente
el cumplimiento efectivo del estándar de seguridad de datos PCI . 4ta ed. Syngress, 2014.
Impresión.
Una encuesta declaró que “el 70 por ciento de los profesionales de TI creen que el uso de
programas no autorizados resultó en la mitad de los incidentes de pérdida de datos de sus
empresas. Esta creencia fue más común en los Estados Unidos (74 por ciento), Brasil (75
por ciento) e India (79 por ciento) ". Un informe del grupo Ponomon y Symantic Anti-
Virus descubrió que "los errores humanos y los problemas del sistema causaron dos
tercios de las violaciones de datos en
2012. http://bit.ly/1dGChAz , http://symc.ly/1FzNo5l , http://bit.ly/2sQ68Ba , http://bit.ly/2t
NEkKY .
Instituto Nacional de Estándares y Tecnología (EE . UU.) Http://bit.ly/1eQYolG .
http://bit.ly/1FrKWR8 , http://bit.ly/2rQQuWJ .
http://tcrn.ch/2rRnsGr (el 17% carece globalmente de
AV), http://bit.ly/2rUE2R4 , http://bit.ly/2sPLBN4 , http://ubm.io/1157kyO (falta de
Windows 8 de AV).
http://bit.ly/2tNLO0i (el número de 2016 alcanza los 2 mil
millones), http://bit.ly/2rCzDCV , http://bit.ly/2tNpwfg .
Cisco Corporation estimó que “para 2018, habrá 8,2 mil millones de dispositivos portátiles
o personales listos para dispositivos móviles y 2 mil millones de conexiones de máquina a
máquina (p. Ej., Sistemas GPS en automóviles, sistemas de seguimiento de activos en los
sectores de envío y fabricación, o creación de aplicaciones médicas registros de pacientes y
estado de salud más fácilmente disponibles. ” http://bit.ly/Msevdw (números futuros de
computadoras y dispositivos).
El informe del FBI sobre la piratería rusa durante las elecciones presidenciales de EE. UU.
De 2016 describe cómo se utilizaron estas técnicas en ese caso. http://bit.ly/2iKStXO .

 Copiar
 Agregar resaltado
 Añadir la nota