Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciencia de Datos - Módulo 4 - Seguridad y Privacidad de Datos
Ciencia de Datos - Módulo 4 - Seguridad y Privacidad de Datos
de datos
PID_00246839
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
⃝FUOC
c • PID_00246839 5 Seguridad y privacidad de datos
Introducción
• Como usuario, cuando tenemos una interacción con una organización (ya
sea abriendo una cuenta bancaria, creando un usuario en una red social o
reservando un vuelo en una aerolínea), se entrega información personal
como nombre, dirección o número de tarjeta de crédito. Múltiples pregun-
tas que nos suelen asaltar en todos estos casos son: ¿qué sucede con estos
datos? ¿Podrían caer en manos equivocadas? ¿Qué derechos tengo con res-
pecto a su información personal?
Estas dos vertientes confluyen. Por un lado, toda persona tiene derecho a la
protección de sus datos personales. Por otro, según la legislación del país en el
que opera la organización, los datos personales solo pueden recopilarse legal-
mente en condiciones estrictas, con un fin legítimo. Además, las personas u
organizaciones que recogen y gestionan su información personal deben pro-
tegerla del uso indebido y respetar ciertos derechos de los propietarios de los
datos. Por lo tanto, las organizaciones están obligadas por ley a ofrecer seguri-
dad y privacidad en los datos que almacenan.
La seguridad del dato se enmarca también dentro del ámbito del gobierno
del dato, de forma natural. La explotación eficiente del dato pasa por tener la
capacidad de planificar, desarrollar y ejecutar políticas y procedimientos para
asegurar la autentificación, autorización, acceso y auditoría de los activos de
datos e información.
Objetivos
Sin embargo, el reto de la seguridad del dato es complejo, puesto que los ries-
gos podemos encontrarlos en personas, procesos y tecnología.
En junio del 2013, Snowden hizo públicos, a través de The Guardian y The Washington
Post, documentos clasificados como alto secreto sobre varios programas de la National *Más información en:
Security Agency (NSA), incluyendo los programas de vigilancia masiva PRISM y XKeys- https://goo.gl/5dBkRa
core.*
⃝FUOC
c • PID_00246839 10 Seguridad y privacidad de datos
Todo tipo de organizaciones están teniendo problemas relacionados con la * Más información en:
seguridad de datos. Por ejemplo, el sistema de contraseñas de LinkedIn ha sido https://goo.gl/9p4cP8
Hoy en día, los retos se han magnificado pero los cinco puntos descritos en las
prácticas de información justas siguen siendo válidos. Se trata de un escenario
más complejo, producto de un entorno cambiante y mucho más descentrali- * Más información en:
zado, en el que el dato permite proporcionar servicios más personalizados a https://goo.gl/x6Mrnp
Aunque parece un futuro lejano, ya existen sistemas autónomos sin interacción humana
y que se fundamentan en nuestras preferencias y comportamientos. Existen ya semáforos
que se adaptan al flujo de tráfico, botones que nos permiten pedir de nuevo nuestra pizza
favorita e incluso termostatos que gestionan la temperatura adecuada en nuestra casa.
A medida que más elementos generan datos (como contadores inteligentes de agua, elec-
tricidad o gas, o dispositivos como Amazon Echo), es posible inferir comportamientos
anómalos o descubrir aspectos personales y privados. Lo que puede llevar a plantearse
preguntas como:
• ¿Si Amazon hubiera eliminado los datos, se podría considerar a la organización en-
cubridora de un asesinato?
• ¿Qué sucede si se acepta como prueba la grabación del dispositivo y al final el culpa-
ble no lo era? ¿Qué sucede si datos de diferentes dispositivos no aclaran con exactitud
el asesinato? Por ejemplo, que otra grabación de otro dispositivo se contradiga con
la grabación del de Amazon Echo o demuestre que no podía estar en ese momento
en la escena del crimen.
• Big data: tal y como apunta The Economist*, big data abre la puerta a lo
* Más información en el artículo
siguiente: del 2012: The challenge of big
data for data protection
Cumplimiento
Privacidad
legal
Datos
Seguridad
Fuente: John Sotiropoulos
La defensa de este activo es una parte esencial para asegurar la continuidad Implica la toma de iniciativa
y el desarrollo del negocio, por lo que las organizaciones deben adoptar una en el desarrollo de acciones
para generar mejoras.
actitud proactiva, en la que se responsabilicen de lo siguiente.
• Los datos personales de los clientes deben ser seguros y privados: sin
los datos, la organización no puede ponerse en contacto con el cliente, no
puede referirse a transacciones anteriores, no puede entender su compor-
tamiento. Por tanto, los datos son esenciales para ayudarnos a entender
nuestro negocio pero, al mismo tiempo, se debe respetar, preservar y hacer
cumplir la elección y el consentimiento del cliente a lo largo del ciclo de
vida de la información, particularmente cuando se trata de decidir cómo se
usa y distribuye la información personal dentro y fuera de la organización.
La gente ha confiado en nosotros con sus datos más personales. Nuestra obligación es la
de conseguir las mejores medidas de seguridad que la tecnología nos ofrece. La historia
nos ha enseñado que sacrificar nuestro derecho a la privacidad puede tener consecuen-
cias.
Como hemos comentado, las leyes de seguridad sobre los datos se perciben
Lectura
como un factor importante entre los usuarios y las organizaciones. Sin embar- complementaria
go, la privacidad se ha convertido en el más olvidado de todos los principios
Bambaeur, D. E. (2013).
de seguridad de datos. Por ejemplo, una organización puede tener en forma «Privacy Versus Security».
segura los datos de sus clientes, pero a través del análisis y uso de esta infor- Journal of Criminal Law and
Criminology (núm. 3, vol.
mación en su propio beneficio o el de terceros puede estar perjudicando a sus 10, págs. 667-684).
clientes, al vulnerar su privacidad (incluso por desconocimiento).
Los seis principios fundamentales de privacidad por diseño son los siguientes:
• Construir una marca con una mayor confianza de los consumidores, ga-
nando así una ventaja competitiva sostenible.
de los datos. El conocimiento de los usuarios sobre la normativa de protección Una normativa es la
de datos es cada vez mayor y, por este motivo, son cada vez más exigentes. Las agrupación de todas aquellas
normas que son o pueden ser
exigencias de los derechos de los consumidores y la protección de datos perso- aplicables en una materia
nales son elementos clave. La tendencia en el número de leyes de privacidad específica.
2.3.1. Normativas
Los diferentes estados y zonas a los que pertenecen suelen tener distintos enfo-
ques en materia de protección de datos. En este material, vamos a centrarnos
principalmente en comparar normativas que aplican a Estados Unidos, Euro-
pa y España, si bien es necesario comentar que sería necesario contextualizar
los aspectos que se van a tratar, en función del país del lector. En Europa, la
protección de datos es declarada como un derecho humano y regulada por
la legislación de protección de datos. En cambio, en Estados Unidos, la ac-
titud hacia la protección de datos se rige principalmente por las fuerzas del
mercado.
• EE. UU. no dispone de ningún tipo de ley semejante a la LOPD (Ley orgá-
nica de protección de datos) española, ni a la directiva europea que unifica
normativas en los estados miembro.
• En EE. UU., las sanciones por las diferentes infracciones contra la protec-
ción de datos se deciden caso por caso. En Europa, sin embargo, ya están
estipuladas de antemano y cuando se cometen, se aplica la multa pertinen-
te, dependiendo del grado de la infracción.
• En EE. UU., las leyes de protección de datos protegen solo a los ciudadanos
americanos. En cambio, en Europa se protege a todo aquel que esté dentro
de la UE.
El 25 de enero del 2012, la Comisión Europea (CE) anunció que trataría de GDPR definición
unificar la ley de protección de datos en la Unión Europea a través de una
Por el reglamento (UE)
propuesta de ley denominada Reglamento General de Protección de Datos 2016/679/CE General Data
Protection Regulation (GDPR),
(GDPR, acrónimo de General Data Protection Regulation). Estas nuevas normas
el Parlamento Europeo, el
de la UE sobre protección de datos refuerzan los derechos de las personas sobre Consejo Europeo y la
Comisión Europea refuerzan
sus datos personales e imponen multas para las organizaciones que no prote-
y unifican la protección de
gen sus datos. Los objetivos de la CE con esta nueva legislación incluyen: datos para los individuos
dentro de la Unión Europea
(UE).
• La armonización de 27 reglamentos nacionales de protección de datos en
una única reglamentación.
• La mejora del control del usuario sobre los datos de identificación personal.
integridad y confidencialidad*.
⃝FUOC
c • PID_00246839 22 Seguridad y privacidad de datos
– Real decreto 209/2003, de 21 febrero, que regula los registros y las notifi-
caciones telemáticas, así como la utilización de medios telemáticos para la
sustitución de la aportación de certificados por los ciudadanos (BOE 51, de
28 de febrero del 2003).
Riesgos de la
pérdida de datos
Causas Efectos
Tu espacio de trabajo
Pérdida o robo de Daño en la marca y pérdida
ordenadores portátiles de reputación
y dispositivos móviles
Pérdida de la ventaja sobre la
Transferencia de datos no Servicio competencia
autorizada a dispositivos USB Datos Investigación de atención Datos
corporativos y desarrollo al cliente del cliente Pérdida de clientes
Categorización inadecuada
de datos sensibles Pérdida de cuota de mercado
Las organizaciones deben pensar que las brechas de seguridad afectan a todo
tipo de datos, como los que se incluyen en la tabla 1.
⃝FUOC
c • PID_00246839 28 Seguridad y privacidad de datos
Es tan importante explotar los datos como asegurarlos. Según Scott Koegler, Buenas praxis
de Big Data Forum, obtener datos protegidos pero procesables es clave para
desarrollar prácticas empresariales avanzadas mientras se protege la identidad Por buenas o mejores
prácticas se entiende un
del cliente. Esto nos lleva a considerar la implementación de un programa de conjunto coherente de
acciones que han rendido un
seguridad de datos fundamentado en buenas praxis.
buen o incluso excelente
servicio en un determinado
contexto, y que se espera
. que, en contextos similares,
rindan similares resultados.
Se entiende por programa de seguridad de datos la metodología estra-
tégica y sistemática para asegurar los datos dentro de una organización.
Los siguientes cuatro principios están diseñados para ayudar a las organizacio-
nes a seleccionar las actividades que protegerán sus datos confidenciales.
Los tres elementos de cualquier programa de seguridad de datos son las perso-
nas, los procesos y la tecnología. Veámoslos:
• Personas: los procesos y las herramientas de gestión de datos son tan efec-
tivos como las personas que los utilizan y los gestionan. Un primer paso
importante es establecer un equipo de individuos de la organización, y do-
tarles de roles claramente definidos y responsabilidades, así como recursos
adecuados para desempeñar sus funciones requeridas y orientación sobre
los objetivos generales de la seguridad de los datos. Esencialmente, se tra-
ta de una organización cuyos miembros son colectivamente responsables
de definir principios, políticas y procedimientos que rigen los aspectos cla-
ve de la clasificación, protección, uso y gestión de datos. Estos individuos
desarrollan los perfiles de control de acceso de la organización, determinan
qué constituye un uso de datos compatible con las políticas, notificación
de infracciones de datos y rutas de escalamiento y supervisan otras áreas
de gestión de datos relacionadas con la seguridad.
De forma que:
den capturar el valor real de los datos que necesita asegurar. Además, las
implicaciones de la seguridad deben integrarse en el amplio conjunto de
funciones de gobierno corporativo, como la gestión de recursos humanos,
la gestión de proveedores y el cumplimiento normativo.
Confidencialidad Integridad
Disponibilidad
• Disponibilidad: los datos deben ser seguros y privados, pero también tie-
nen que poder ser explotados por la organización. La disponibilidad del
dato también se tiene que garantizar.
⃝FUOC
c • PID_00246839 36 Seguridad y privacidad de datos
Hemos revisado hasta ahora los aspectos vinculados a los procesos, gobierno,
políticas y estándares en el contexto de la gestión de datos maestros. En este
apartado, vamos a centrarnos en las herramientas, técnicas y tecnologías que
soportan la gestión de datos maestros.
4.1. Técnicas
Para poder respetar las preferencias de los clientes (respecto a cómo y cuándo Enmascaramiento
4.2. Tecnologías
Aunque es cierto que todos ellos son relevantes para las organizaciones, vamos
a centrarnos en aquellos que están vinculados a la seguridad y privacidad en
aplicaciones y datos.
A esto también debemos añadir el hecho de que los propios sistemas de aná-
lisis (es decir, los sistemas que soportan el data warehouse, la inteligencia de
negocio, big data, business analytics, etc.) deben incluir un componente de se-
guridad relacionado con las herramientas anteriores; de modo que, en lugar
de definir una política para cada una de las herramientas, pueda ser posible
establecer medidas en un ámbito de programa desde un componente central.
Figura 6. Marco que engloba la seguridad y privacidad dentro del data governance
Detectar y
mitigar
Factor
humano
fl
Evaluar la
vulnerabilidad
Prevención de Reducir la
pérdida de datos Gestión de los datos superficie
Prevenir hechos
«stay clean» del ataque
En los siguientes puntos, se detallan las partes más relevantes dentro del marco
que engloba la seguridad y privacidad en el data governance.
⃝FUOC
c • PID_00246839 39 Seguridad y privacidad de datos
Evaluar el nivel de sensibilidad de los datos de cada activo es algo que debe
definirse en el contexto de las políticas gobernantes. Por ejemplo, en el ámbito
del cuidado de la salud, las reglas de HIPAA determinan qué elementos de
datos requieren protección, pero puede haber muchos contextos en los que
se usen estos elementos de datos. Algunos requieren mayor protección que
otros.
Uno de los puntos más importantes para asegurar que los datos no puedan ser
explotados por otras organizaciones es la anonimización de los datos. Si los
datos personales son totalmente anónimos, ya no son datos personales. En
este contexto, el anonimato significa que no es posible identificar a un indi-
viduo a partir de los propios datos o de esos datos en combinación con otros
datos, teniendo en cuenta todos los medios razonablemente probables de ser
utilizados para identificarlos. Sin embargo, esto no quiere decir que no sean
útiles, simplemente que no se puede identificar al individuo. Un ejemplo sería
que una empresa de marketing segmente a sus clientes por edades, no dispon-
⃝FUOC
c • PID_00246839 40 Seguridad y privacidad de datos
En algunos casos, los datos utilizados para análisis de datos se anonimizan para los pro-
pósitos del análisis. Por ejemplo, la herramienta smart steps de Telefónica utiliza datos
sobre la ubicación de teléfonos móviles en su red, con el fin de rastrear el movimiento de
multitudes de personas. Esto puede ser utilizado por los minoristas para analizar cuántas
personas pasan cerca de un lugar concreto. Los datos que identifican a los individuos son
eliminados antes del análisis, y los datos anónimos se agregan para obtener información
sobre la población en su conjunto y combinada con datos de investigación de mercado * Más información en:
de otras fuentes*. https://luca-d3.com/
Resumen
En primer lugar, hemos mostrado los nuevos retos de seguridad a los que nos
enfrentamos.
Por último, se han revisado las técnicas y la tecnología que forman parte de lo
que se conoce actualmente como privacidad y seguridad de datos.
⃝FUOC
c • PID_00246839 43 Seguridad y privacidad de datos
Glosario
afectado o interesado m Persona física titular de los datos que sean objeto del trata-
miento.
amenaza f Una amenaza informática es toda circunstancia, evento o persona con el poten-
cial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación
de datos o negación de servicio (DoS).
confidencialidad f Requisito de seguridad que indica que el acceso a los recursos de siste-
ma debe estar limitado exclusivamente a los usuarios con acceso autorizado.
disponibilidad f Requisito de seguridad que implica que la información y los servicios del
sistema continúen en funcionamiento y que los usuarios autorizados puedan acceder a los
recursos cuando lo necesiten, donde lo necesiten y en la forma en que lo necesiten.
encriptación f Método de cifrado o codificación de datos para evitar que los usuarios no
autorizados lean o manipulen los datos. Solo los individuos con acceso a una contraseña
o clave pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación pa-
ra ocultarse del software de seguridad. Es decir, el malware cifrado revuelve el código del
programa para que sea difícil detectarlo.
monitorización f Despliegue de controles que aseguran que los datos siguen cumpliendo
con las reglas de negocio que definen la calidad de los datos para la organización.
persona identificable f Toda persona cuya identidad pueda determinarse, directa o indi-
rectamente, mediante cualquier información referida a su identidad física, fisiológica, psíqui-
ca, económica, cultural o social. Una persona física no se considerará identificable si dicha
identificación requiere plazos o actividades desproporcionados.
Permitir que un atacante ejecute comandos como otro usuario. Permitir a un atacante acceso
a los datos, lo que se opone a las restricciones específicas de acceso a los datos. Permitir a un
atacante hacerse pasar por otra entidad. Permitir a un atacante llevar a cabo una negación
de servicio.
⃝FUOC
c • PID_00246839 45 Seguridad y privacidad de datos
Bibliografía
Chio, C.; Freeman, D. (2017). Machine Learning and Security: Protecting Systems with Data
and Algorithms. Londres: O’Reilly.
Hayden, L. (2015). People-Centric Security: Transforming Your Enterprise Security Culture. Nueva
York: McGraw Hill Professional.
Jacobs, J.; Rudis, B. (2014). Data-Driven Security: Analysis, Visualization and Dashboards.
Nueva York: Wiley.
O’Neil, C. (2016). Weapons of Math Destruction: How Big Data Increases Inequality and Threa-
tens Democracy. Londres: Penguin Books Limited.
Payton, T.; Claypoole, T.; Schmidt, H. H. A. (2014). Privacy in the Age of Big Data:
Recognizing Threats, Defending Your Rights, and Protecting Your Family. Nueva York: Rowman &
Littlefield Publishers.
Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control
Your World. Nueva York: W. W. Norton & Company.