Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de datos
1. Introducción
1.2.1 Objetivos
Los objetivos de las actividades de seguridad de datos incluyen:
Permitir el acceso apropiado y prevenir el acceso inapropiado a los activos
de datos empresariales
Permitir el cumplimiento de las regulaciones y políticas de privacidad,
protección y confidencialidad.
Asegurar que se cumplan los requisitos de las partes interesadas para la
privacidad y confidencialidad
1.2.2 Principios
La seguridad de los datos en una organización sigue estos principios rectores:
Colaboración : Data Security es un esfuerzo de colaboración que involucra
a administradores de seguridad de TI, administradores de datos / gobierno de
datos, equipos de auditoría interna y externa y el departamento legal.
Enfoque empresarial : los estándares y políticas de seguridad de datos
deben aplicarse de manera coherente en toda la organización.
Gestión proactiva : el éxito en la gestión de la seguridad de los datos
depende de ser proactivo y dinámico, involucrar a todos los interesados,
gestionar el cambio y superar los cuellos de botella organizativos o culturales,
como la separación tradicional de responsabilidades entre la seguridad de la
información, la tecnología de la información, la administración de datos y las
partes interesadas del negocio.
Responsabilidad clara : los roles y las responsabilidades deben estar
claramente definidos, incluida la "cadena de custodia" de los datos en todas las
organizaciones y roles.
Impulsado por los metadatos : la clasificación de seguridad para los
elementos de datos es una parte esencial de las definiciones de datos.
Reduzca el riesgo reduciendo la exposición : minimice la proliferación de
datos confidenciales / confidenciales, especialmente en entornos que no son de
producción.
1.3.1 Vulnerabilidad
Una vulnerabilidad es una debilidad o defecto en un sistema que le permite ser atacado y
comprometido con éxito, esencialmente un agujero en las defensas de una
organización. Algunas vulnerabilidades se llaman exploits .
Los ejemplos incluyen computadoras de red con parches de seguridad desactualizados,
páginas web no protegidas con contraseñas robustas, usuarios no capacitados para ignorar
los archivos adjuntos de correo electrónico de remitentes desconocidos o software
corporativo desprotegido contra comandos técnicos que le darán al atacante el control del
sistema.
En muchos casos, los entornos que no son de producción son más vulnerables a las
amenazas que los entornos de producción. Por lo tanto, es fundamental mantener los
datos de producción fuera de los entornos que no son de producción.
1.3.2 Amenaza
Una amenaza es una posible acción ofensiva que se podría tomar contra una
organización. Las amenazas pueden ser internas o externas. No siempre son
maliciosos. Una información privilegiada uniformada puede tomar acciones ofensivas
nuevamente contra la organización sin siquiera saberlo. Las amenazas pueden estar
relacionadas con vulnerabilidades específicas, que luego se pueden priorizar para su
reparación. Cada amenaza debe coincidir con una capacidad que evite la amenaza o limite
el daño que podría causar. La aparición de una amenaza también se denomina superficie de
ataque .
Los ejemplos de amenazas incluyen los archivos adjuntos de correo electrónico infectados
con virus que se envían a la organización, los procesos que abruman a los servidores de
red y resultan en la imposibilidad de realizar transacciones comerciales (también llamadas
ataques de denegación de servicio) y la explotación de vulnerabilidades conocidas.
1.3.3 Riesgo
El término riesgo se refiere tanto a la posibilidad de pérdida como a la cosa o condición que
plantea la pérdida potencial. El riesgo puede calcularse para cada posible amenaza
utilizando los siguientes factores.
Probabilidad de que ocurra la amenaza y su frecuencia probable
El tipo y la cantidad de daño creado cada ocurrencia puede causar, incluido
el daño a la reputación
El efecto que el daño tendrá sobre los ingresos o las operaciones
comerciales.
El costo de reparar el daño después de una ocurrencia
El costo para prevenir la amenaza, incluso mediante la reparación de
vulnerabilidades.
El objetivo o la intención del probable atacante.
Los riesgos se pueden priorizar por la gravedad potencial del daño a la empresa, o por la
probabilidad de ocurrencia, con vulnerabilidades fácilmente explotadas que crean una
mayor probabilidad de ocurrencia. A menudo, una lista de prioridades combina ambas
métricas. La priorización del riesgo debe ser un proceso formal entre las partes
interesadas.
1.3.8 Cifrado
El cifrado es el proceso de traducir texto plano en códigos complejos para ocultar
información privilegiada, verificar la transmisión completa o verificar la identidad del
remitente. Los datos cifrados no se pueden leer sin la clave o el algoritmo de descifrado,
que generalmente se almacena por separado y no se puede calcular en función de otros
elementos de datos en el mismo conjunto de datos. Existen cuatro métodos principales de
cifrado: hash, simétrico, de clave privada y clave pública, con diferentes niveles de
complejidad y estructura de claves.
1.3.8.1 Hash
El cifrado de hash utiliza algoritmos para convertir datos en una representación
matemática. Los algoritmos exactos utilizados y el orden de aplicación deben conocerse
para revertir el proceso de cifrado y revelar los datos originales. A veces, el hash se usa
como verificación de la integridad o identidad de la transmisión. Los algoritmos de hash
comunes son Message Digest 5 (MD5) y Secure Hashing Algorithm (SHA).
1.3.8.2 Clave privada
Private-key encryption uses one key to encrypt the data. Both the sender and the recipient
must have the key to read the original data. Data can be encrypted one character at a time
(as in a stream) or in blocks. Common private-key algorithms include Data Encryption
Standard (DES), Triple DES (3DES), Advanced Encryption Standard (AES), and
International Data Encryption Algorithm (IDEA). Cyphers Twofish and Serpent are also
considered secure. The use of simple DES is unwise as it is susceptible to many easy
attacks.
1.3.8.3 Public-key
En el cifrado de clave pública, el remitente y el receptor tienen claves diferentes. El
remitente utiliza una clave pública que está disponible gratuitamente, y el receptor utiliza
una clave privada para revelar los datos originales. Este tipo de cifrado es útil cuando
muchas fuentes de datos deben enviar información protegida a unos pocos destinatarios,
como cuando se envían datos a cámaras de compensación. Los métodos de clave pública
incluyen el intercambio de claves Rivest-Shamir-Adelman (RSA) y el acuerdo clave Diffie-
Hellman. PGP (Pretty Good Privacy) es una aplicación de cifrado de clave pública
disponible gratuitamente.
• Sustitución: Reemplace los caracteres o valores enteros con esos en una búsqueda o
como un patrón estándar. Por ejemplo, los nombres se pueden reemplazar con valores
aleatorios de una lista.
Las conexiones VPN utilizan Internet no segura para crear una ruta segura o "túnel" en el
entorno de una organización. El túnel está altamente encriptado. Permite la comunicación
entre los usuarios y la red interna mediante el uso de múltiples elementos de autenticación
para conectarse con un firewall en el perímetro del entorno de una organización. Luego,
cifra fuertemente todos los datos transmitidos.
Las amenazas sociales a la seguridad a menudo implican comunicaciones directas (ya sea
en persona, por teléfono o por Internet) diseñadas para engañar a las personas que tienen
acceso a datos protegidos para que brinden esa información (o acceso a la información) a
personas que la usarán para delinquir o con fines maliciosos
La ingeniería social se refiere a cómo los hackers maliciosos intentan engañar a las
personas para que les brinden información o acceso. Los hackers usan cualquier
información que obtengan para convencer a otros empleados de que tienen solicitudes
legítimas. A veces, los piratas informáticos se ponen en contacto con varias personas en
secuencia, recopilando información en cada paso útil para ganarse la confianza del
próximo empleado superior.
1.3.16 Malware
Malware refers to any malicious software created to damage, change, or improperly access
a computer or network. Computer viruses, worms, spyware, key loggers, and adware are
all examples of malware. Any software installed without authorization can be considered
malware, if for no other reason than that it takes up disk space and possibly processing
cycles that the system owner did not authorize. Malware can take many forms, depending
on its purpose (replication, destruction, information or processing theft, or behavior
monitoring).
1.3.16.1 Adware
Adware is a form of spyware that enters a computer from an Internet download. Adware
monitors a computer’s use, such as what websites are visited. Adware also may insert
objects and tool bars in the user’s browser. Adware is not illegal, but is used to develop
complete profiles of the user’s browsing and buying habits to sell to other marketing firms.
It can also be easily leveraged by malicious software for identity theft.
1.3.16.2 Spyware
Spyware refers to any software program that slips into a computer without consent, in
order to track online activity. These programs tend to piggyback on other software
programs. When a user downloads and installs free software from a site on the Internet,
spyware can also install, usually without the user’s knowledge. Different forms of
spyware track different types of activity. Some programs monitor what websites are
visited, while others record the user’s keystrokes to steal personal information, such as
credit card numbers, bank account information, and passwords.
Many legitimate websites, including search engines, install tracking spyware, which is a
form of Adware.
1.3.16.3 Trojan Horse
The Trojan horse was a large wooden ‘gift statue’ of a horse that the Greeks gave to the
people of Troy, who quickly brought it inside the city walls. Unfortunately for them, it
concealed Greek soldiers, who, once inside the Troy, slipped out and attacked the city.
In computer security terms, a Trojan horse refers to a malicious program that enters a
computer system disguised or embedded within legitimate software. Once installed, a
Trojan horse will delete files, access personal information, install malware, reconfigure the
computer, install a key logger, or even allow hackers to use the computer as a weapon (Bot
or Zombie) against other computers on a network.
1.3.16.4 Virus
A virus is a program that attaches itself to an executable file or vulnerable application and
delivers a payload that ranges from annoying to extremely destructive. A file virus
executes when an infected file opens. A virus always needs to accompany another
program. Opening downloaded and infected programs can release a virus.
1.3.16.5 Worm
A computer worm is a program built to reproduce and spread across a network by itself. A
worm-infected computer will send out a continuous stream of infected messages. A worm
may perform several different malicious activities, although the main function is to harm
networks by consuming large amounts of bandwidth, potentially shutting the network
down.
1.3.16.6 Malware Sources
1.3.16.6.1 Instant Messaging (IM)
IM permite a los usuarios retransmitirse mensajes entre sí en tiempo real. La mensajería
instantánea también se está convirtiendo en una nueva amenaza para la seguridad de la
red. Debido a que muchos sistemas de mensajería instantánea han tardado en agregar
funciones de seguridad, los piratas informáticos malintencionados han encontrado que la
mensajería instantánea es un medio útil para propagar virus, spyware, estafas de phishing
y una amplia variedad de gusanos. Por lo general, estas amenazas se infiltran en los
sistemas a través de archivos adjuntos y mensajes contaminados.
1.3.16.6.2 Sitios de redes sociales
Los sitios de redes sociales, como Facebook, Twitter, Vimeo, Google+, LinkedIn, Xanga,
Instagram, Pinterest o MySpace, donde los usuarios crean perfiles en línea y comparten
información personal, opiniones, fotografías, entradas de blog y otra información, se han
convertido en objetivos de depredadores en línea, spammers y ladrones de identidad.
Además de representar una amenaza de personas malintencionadas, estos sitios presentan
riesgos para los empleados que pueden publicar información sensible a la empresa o
conocimiento 'interno' que podría afectar el precio de las acciones de una organización
pública. Informe a los usuarios de los peligros y la realidad de que cualquier cosa que
publiquen será permanente en Internet. Incluso si luego eliminan los datos, muchos
habrán hecho copias. Algunas compañías bloquean estos sitios en su firewall.
1.3.16.6.3 Spam
El spam se refiere a mensajes de correo electrónico comerciales no solicitados enviados en
masa, generalmente a decenas de millones de usuarios con la esperanza de que algunos
puedan responder. Una tasa de retorno del 1% puede generar millones de dólares
netos. La mayoría de los sistemas de enrutamiento de correo electrónico tienen trampas
para filtrar los patrones conocidos de mensajes de spam para reducir el tráfico
interno. Estos patrones de exclusión incluyen:
Dominios conocidos para la transmisión de spam
CC: o BCC: número de direcciones por encima de ciertos límites.
El cuerpo del correo electrónico solo tiene una imagen como hipervínculo
Cadenas de texto o palabras específicas
La respuesta a un mensaje de spam confirmará al remitente que ha alcanzado una
dirección de correo electrónico legítima y aumentará el correo no deseado futuro porque
se pueden vender listas de correos electrónicos válidos a otros spammers.
Los mensajes de spam también pueden ser engaños de Internet o incluir archivos adjuntos
de malware, con nombres y extensiones de archivos adjuntos, mensajes de texto e
imágenes que dan la apariencia de una comunicación legítima. Una forma de detectar el
correo electrónico no deseado es colocar el puntero sobre los hipervínculos, lo que
mostrará el enlace real que no tiene nada en común con la compañía que se muestra en el
texto. Otra forma es la falta de una forma de darse de baja. En los EE. UU., Los correos
electrónicos publicitarios deben incluir un enlace para cancelar la suscripción para detener
más correos electrónicos.
2. Actividades
No hay una forma prescrita de implementar la seguridad de los datos para cumplir con
todos los requisitos de privacidad y confidencialidad necesarios. Las regulaciones se
centran en los fines de la seguridad, no en los medios para lograrla. Las organizaciones
deben diseñar sus propios controles de seguridad, demostrar que los controles cumplen o
exceden los requisitos de las leyes o regulaciones, documentar la implementación de esos
controles y monitorearlos y medirlos a lo largo del tiempo. Al igual que en otras áreas de
conocimiento, las actividades incluyen la identificación de requisitos, la evaluación del
entorno actual para detectar lagunas o riesgos, la implementación de herramientas y
procesos de seguridad y la auditoría de las medidas de seguridad de datos para garantizar
que sean efectivas.
Document the findings, as they create a baseline for future evaluations. This
documentation may also be a requirement for privacy compliance, such as in the European
Union. Gaps must be remediated through improved security processes supported by
technology. The impact of improvements should be measured and monitored to ensure
risks are mitigated.
In larger organizations, white-hat hackers may be hired to assess vulnerabilities. A white
hat exercise can be used as proof of an organization’s impenetrability, which can be used
in publicity for market reputation.
3. Tools
The tools used for managing information security depend, in large part, on the size of the
organization, the network architecture, and the policies and standards used by a security
organization.
3.2 HTTPS
If a Web address begins with https://, it indicates that the website is equipped with an
encrypted security layer. Typically, users must provide a password or other means of
authentication to access the site. Making payments online or accessing classified
information uses this encryption protection. Train users to look for this in the URL address
when they are performing sensitive operations over the Internet, or even within the
enterprise. Without encryption, people on the same network segment can read the plain
text information.
4. Techniques
Techniques for managing information security depend on the size of the organization, the
architecture of the network, the type of data that must be secured, and the policies and
standards used by a security organization.
4.4 Métricas
Es esencial medir los procesos de protección de la información para garantizar que
funcionen según sea necesario. Las métricas también permiten mejorar estos
procesos. Algunas métricas miden el progreso en los procesos: la cantidad de auditorías
realizadas, los sistemas de seguridad instalados, los incidentes reportados y la cantidad de
datos no examinados en los sistemas. Las métricas más sofisticadas se centrarán en los
resultados de las auditorías o el movimiento de la organización a lo largo de un modelo de
madurez.
En organizaciones más grandes con personal de seguridad de la información existente,
puede existir un número significativo de estas métricas. Es útil reutilizar las métricas
existentes como parte de un proceso general de medición de gestión de amenazas y evitar
la duplicación de esfuerzos. Cree una línea base (lectura inicial) de cada métrica para
mostrar el progreso en el tiempo.
Si bien se puede medir y rastrear una gran cantidad de actividades y condiciones de
seguridad, céntrese en métricas accionables. Algunas métricas clave en grupos
organizados son más fáciles de administrar que las páginas de indicadores aparentemente
no relacionados. Las acciones de mejora pueden incluir capacitación de concientización
sobre políticas reguladoras de datos y acciones de cumplimiento.
Muchas organizaciones enfrentan desafíos de seguridad de datos similares. Las siguientes
listas pueden ayudarlo a seleccionar las métricas aplicables.
5. Implementation Guidelines
Implementation of data security practices depends on corporate culture, the nature of the
risks, the sensitivity of what data the company manages, and the types of systems in place.
Implementation system components should be guided by a strategic security plan and
supporting architecture.
Copiar
Agregar resaltado
Añadir la nota