Seguridad de datos - Data security
La seguridad de los datos significa proteger los datos digitales , como los de una base de datos , de fuerzas destructivas y de acciones no deseadas de usuarios no autorizados, como un ciberataque o una violación de datos .
Tecnologias
Cifrado de disco
El cifrado de disco se refiere a la tecnología de cifrado que cifra los datos en una unidad de disco duro . El cifrado de disco generalmente se realiza en software (consulte software de cifrado de disco ) o hardware (consulte hardware de cifrado de disco ). El cifrado de disco a menudo se denomina cifrado sobre la marcha (OTFE) o cifrado transparente.
Mecanismos basados en software versus hardware para proteger los datos
Las soluciones de seguridad basadas en software cifran los datos para protegerlos contra robos. Sin embargo, un programa malintencionado o un pirata informático podría corromper los datos para hacerlos irrecuperables e inutilizar el sistema. Las soluciones de seguridad basadas en hardware evitan el acceso de lectura y escritura a los datos, lo que proporciona una protección muy sólida contra la manipulación y el acceso no autorizado.
La seguridad basada en hardware o la seguridad informática asistida ofrece una alternativa a la seguridad informática basada únicamente en software. Los tokens de seguridad , como los que usan PKCS # 11, pueden ser más seguros debido al acceso físico requerido para verse comprometidos. El acceso está habilitado solo cuando el token está conectado y se ingresa el PIN correcto (ver autenticación de dos factores ). Sin embargo, los dongles pueden ser utilizados por cualquier persona que tenga acceso físico a ellos. Las tecnologías más nuevas en seguridad basada en hardware resuelven este problema ofreciendo una seguridad de prueba completa para los datos.
Trabajar fuera de la seguridad basada en hardware: un dispositivo de hardware permite a un usuario iniciar sesión, cerrar sesión y establecer diferentes niveles a través de acciones manuales. El dispositivo utiliza tecnología biométrica para evitar que usuarios malintencionados inicien sesión, cierren sesión y cambien los niveles de privilegios. Los controladores de dispositivos periféricos como discos duros leen el estado actual de un usuario del dispositivo . El acceso ilegal de un usuario malintencionado o un programa malintencionado se interrumpe en función del estado actual de un usuario mediante controladores de disco duro y DVD, lo que hace imposible el acceso ilegal a los datos. El control de acceso basado en hardware es más seguro que la protección proporcionada por los sistemas operativos, ya que los sistemas operativos son vulnerables a ataques maliciosos de virus y piratas informáticos. Los datos de los discos duros pueden dañarse después de obtener un acceso malintencionado. Con la protección basada en hardware, el software no puede manipular los niveles de privilegios del usuario. Es imposible para un pirata informático o un programa malicioso obtener acceso a datos seguros protegidos por hardware o realizar operaciones privilegiadas no autorizadas. Esta suposición se rompe solo si el hardware en sí es malicioso o contiene una puerta trasera. El hardware protege la imagen del sistema operativo y los privilegios del sistema de archivos para que no sean manipulados. Por lo tanto, se puede crear un sistema completamente seguro utilizando una combinación de seguridad basada en hardware y políticas de administración de sistemas seguros.
Copias de seguridad
Las copias de seguridad se utilizan para garantizar que los datos perdidos se puedan recuperar de otra fuente. Se considera esencial mantener una copia de seguridad de los datos en la mayoría de las industrias y el proceso se recomienda para cualquier archivo de importancia para un usuario.
Enmascaramiento de datos
El enmascaramiento de datos de datos estructurados es el proceso de ocultar (enmascarar) datos específicos dentro de una tabla o celda de la base de datos para garantizar que se mantenga la seguridad de los datos y que la información confidencial no esté expuesta a personal no autorizado. Esto puede incluir enmascarar los datos de los usuarios (por ejemplo, para que los representantes de los clientes bancarios solo puedan ver los últimos 4 dígitos del número de identidad nacional de un cliente), desarrolladores (que necesitan datos de producción reales para probar nuevas versiones de software, pero no deberían poder ver información confidencial). datos financieros), proveedores de subcontratación, etc.
Borrado de datos
El borrado de datos es un método de sobrescritura basado en software que borra por completo todos los datos electrónicos que residen en un disco duro u otros medios digitales para garantizar que no se pierdan datos confidenciales cuando un activo se retira o se reutiliza.
Leyes y normas internacionales
Leyes internacionales
En el Reino Unido , la Ley de Protección de Datos se utiliza para garantizar que los datos personales sean accesibles para aquellos a quienes concierne y proporciona reparación a las personas si hay inexactitudes. Esto es particularmente importante para garantizar que las personas sean tratadas de manera justa, por ejemplo, para fines de verificación de crédito. La Ley de Protección de Datos establece que solo las personas y empresas con razones legítimas y legales pueden procesar información personal y no se puede compartir. El Día de la privacidad de los datos es un feriado internacional iniciado por el Consejo de Europa que se celebra cada 28 de enero.
Desde que el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) se convirtió en ley el 25 de mayo de 2018, las organizaciones pueden enfrentar multas significativas de hasta 20 millones de euros o el 4% de sus ingresos anuales si no cumplen con el reglamento. . Se pretende que el RGPD obligue a las organizaciones a comprender los riesgos de privacidad de sus datos y a tomar las medidas adecuadas para reducir el riesgo de divulgación no autorizada de la información privada de los consumidores.
Estándares internacionales
Las normas internacionales ISO / IEC 27001: 2013 e ISO / IEC 27002: 2013 cubren la seguridad de los datos bajo el tema de la seguridad de la información , y uno de sus principios cardinales es que toda la información almacenada, es decir, los datos, deben ser propiedad para que quede claro de quién la responsabilidad es proteger y controlar el acceso a esos datos. Los siguientes son ejemplos de organizaciones que ayudan a fortalecer y estandarizar la seguridad informática:
El Trusted Computing Group es una organización que ayuda a estandarizar las tecnologías de seguridad informática.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información internacional patentado para organizaciones que manejan información de titulares de tarjetas para las principales tarjetas de débito , crédito , prepago, monedero electrónico , cajeros automáticos y puntos de venta.
El Reglamento General de Protección de Datos (GDPR) propuesto por la Comisión Europea fortalecerá y unificará la protección de datos para las personas dentro de la Unión Europea (UE), al tiempo que aborda la exportación de datos personales fuera de la UE.
Ver también
- Protección contra copia
- Regulaciones de seguridad cibernética
- Seguridad centrada en datos
- Borrado de datos
- Enmascaramiento de datos
- Recuperación de datos
- Herencia digital
- Cifrado de disco
- Seguridad basada en identidad
- Seguridad de información
- Aseguramiento de la red de TI
- Método Merritt
- Autenticación previa al arranque
- Ingeniería de privacidad
- Ley de Privacidad
- Leyes de notificación de violaciones de seguridad
- Inicio de sesión único
- Tarjeta electrónica
- Tokenización
- Cifrado de datos transparente
- Seguridad de la unidad flash USB