Controles de seguridad de datos

activos sensibles, incluyendo datos, deben estar debidamente protegidos durante todo su ciclo de vida. Como profesional de la seguridad, que es su trabajo. gestión de la información del ciclo de vida (ILM) cubre los datos a través de las cinco etapas siguientes:

  • Creación. Los datos se crea por un usuario final o aplicación. Los datos tienen que ser clasificados en este momento, sobre la base de la criticidad y sensibilidad de los datos, y el propietario de una de datos (por lo general, pero no siempre, el creador), debe ser asignado. Los datos pueden existir en muchas formas, tales como en documentos, hojas de cálculo, correo electrónico y mensajes de texto, registros de bases de datos, formularios, imágenes, presentaciones (incluyendo videoconferencias), y documentos impresos.
  • Distribución ( “datos en movimiento”). Los datos pueden ser distribuidos (o recuperar) internamente dentro de una organización o se transmiten a los receptores externos. La distribución puede ser manual (tal como a través de mensajería) o electrónico (típicamente en una red). Los datos en tránsito es vulnerable a un compromiso, por lo que las salvaguardas apropiadas deben ser implementadas en base a la clasificación de los datos. Por ejemplo, el cifrado puede ser requerido para enviar ciertos datos confidenciales a través de una red pública. En tales casos, se deben establecer los estándares de encriptación apropiadas. prevención de pérdida de datos (DLP) tecnologías también pueden ser usados ​​para prevenir la distribución no autorizada accidental o intencionada de los datos sensibles.
  • Utilizar ( “datos de uso”). Esta etapa se refiere a los datos que han sido accedidos por un usuario final o aplicación y se está utilizando de forma activa (por ejemplo, leer, analizados, modificados, actualizados, o duplicados) por ese usuario o aplicación. Los datos de uso se debe acceder sólo en sistemas que están autorizadas para el nivel de clasificación de los datos y sólo por los usuarios y las aplicaciones que tienen los permisos apropiados (despacho) y fin (necesidad-a-saber).
  • Mantenimiento ( “datos en reposo”). Cualquier tiempo entre la creación y la disposición de los datos que no es “en movimiento” o “en uso”, los datos se mantiene “en reposo”. El mantenimiento incluye el almacenamiento (en medios tales como un disco duro, unidad flash USB extraíble, cinta magnética de copia de seguridad, o papel) y presentación (por ejemplo, en una estructura de directorios y archivos) de datos. Los datos también puede ser respaldada, y la media de respaldo transportados a un lugar seguro fuera de sitio (referido como “los datos en tránsito”). los niveles de clasificación de datos también deben ser revisados ​​de forma rutinaria (por lo general por el titular de los datos) para determinar si un nivel de clasificación debe ser actualizado (no común) o puede ser rebajado. salvaguardias apropiadas deben ser implementadas y periódicamente auditados para garantizar
  • Confidencialidad (y privacidad). Por ejemplo, el uso del sistema, directorio y los permisos de archivos y cifrado.
  • Integridad. Por ejemplo, usando líneas de base, hashes criptográficos, verificación por redundancia cíclica (CRC), y el bloqueo de archivos (para evitar o modificación de control de datos de múltiples usuarios simultáneos).
  • Disponibilidad. Por ejemplo, el uso de la base de datos y la agrupación de archivos (para eliminar los puntos únicos de fallo), copias de seguridad y replicación en tiempo real (para evitar la pérdida de datos).

Video: Losytec - seguridad y control de datos

  • Disposición. Por último, cuando los datos ya no tiene ningún valor o ya no es útil para la organización, tiene que ser debidamente destruidos de conformidad con las políticas de retención y destrucción de empresas, así como las leyes y reglamentos aplicables. Ciertos datos sensibles pueden requerir una determinación final disposición por el propietario de los datos, y pueden requerir procedimientos de destrucción específicos (como testigos, registro y un magnético toallita seguido de la destrucción física).

    • Los datos que simplemente ha sido eliminado no están correctamente destruida. Se trata simplemente de “datos en reposo” a la espera de ser sobre-escrito - o inconvenientemente descubierto por un tercero no autorizado y potencialmente dañino!

    Video: SECAP CLASE DEMOSTRATIVA CONTROL DE ACCESO EN SEGURIDAD PRIVADA

    remanencia de datos se refiere a los datos que todavía existe en medios de almacenamiento o en la memoria después de que los datos han sido “eliminado”.

    Las líneas de base

    El establecimiento de una línea de base es un método de negocio estándar que se utiliza para comparar una organización a un punto de partida o el estándar mínimo, o para comparar el progreso dentro de una organización a través del tiempo. Con los controles de seguridad, estos métodos proporcionan información valiosa:

    • En comparación con otras organizaciones. Las organizaciones pueden comparar sus conjuntos de control con otras organizaciones, para ver si existen diferencias en los controles.
    • La comparación de los controles internos a través del tiempo. Una organización puede línea de base de su conjunto de controles, para ver qué cambios se producen en su control establecido durante un período de años.
    • Comparación de la efectividad control sobre el tiempo. Una organización puede comparar su registro de la efectividad del control, para ver dónde se está avanzando, y donde se necesita más esfuerzo para progresar.

    La determinación del alcance y la adaptación de

    Debido a las diferentes partes de una organización y su subyacente tienda de sistemas de TI y procesar diferentes conjuntos de datos, que no tiene sentido para una organización para establecer un único conjunto de controles e imponerlos a todos los sistemas. Al igual que un programa de clasificación de datos simplificada y su sobreprotección resultante y subprotección de datos, las organizaciones a menudo se dividen en zonas lógicas y especifique que controla y conjuntos de controles se aplican en estas zonas.

    Otro enfoque consiste en adaptar los controles y conjuntos de controles a diferentes sistemas de TI y partes de la organización. Por ejemplo, los controles de seguridad de la contraseña pueden tener categorías que se aplican a los sistemas con diferentes niveles de seguridad.

    Ambos enfoques para la aplicación de un entorno de control complejo en un entorno complejo de TI son válidas - en realidad son sólo diferentes formas de lograr el mismo objetivo: aplicar el nivel adecuado de control para diversos sistemas y entornos, con base en la información que almacenan y proceso o en otros criterios.

    normas de selección

    Varios marcos de control excelentes están disponibles para su uso profesionales de la seguridad. En ningún caso es necesario empezar de cero. En su lugar, el mejor enfoque es comenzar con uno de varios marcos de control líderes en la industria, y luego añadir o eliminar controles individuales para satisfacer las necesidades de la organización.

    Video: ¿Cómo este hombre logró burlar los controles de seguridad en un aeropuerto?

    normas marco de control incluyen

    • ISO27002, Código de prácticas para la gestión de seguridad de la información.
    • COBIT, Objetivos de control para tecnologías de la información y relacionadas.
    • NIST 800-53, Controles de seguridad recomendadas para los sistemas y organizaciones de Información Federal.

    Criptografía

    Crypto juega un papel fundamental en la protección de datos, ya que estamos hablando de datos en movimiento a través de una red, o en reposo en un servidor o estación de trabajo. La criptografía es todo acerca de ocultar datos a la vista, porque hay situaciones en las que las personas pueden ser capaces de acceder cripto Data- sensibles niega a las personas que tienen acceso a menos que estén en posesión de una clave de cifrado y el método para descifrarlo.

    Artículos Relacionados
    Opciones de protección de datos para grandes volúmenes de datos
    ¿Cuáles son las propiedades esenciales de un conjunto de datos?
    El papel de los datos operativos tradicionales en el entorno de datos grande
    Clasificar la información y los activos de apoyo para la seguridad de los activos
    Desarrollar e implementar políticas, normas de seguridad, procedimientos y directrices documentadas
    Vulnerabilidades de seguridad del sistema de gestión de base de datos
    Determinar y mantener la propiedad de seguridad de los activos
    Establecer requisitos de manipulación para asegurar los datos
    Marcos de control de seguridad
    Vulnerabilidades de seguridad basadas en servidor
    ¿Cómo controlar los datos en la nube
    ¿Cómo garantizar la seguridad de datos y privacidad en una nube híbrida
    Riesgos para la seguridad de los usuarios finales internos en un entorno de nube híbrida
    Los riesgos de seguridad específicos en el entorno de nube híbrida
    Definiciones básicas de bases de datos y casos en 12c oráculo
    El cifrado de datos en dispositivos móviles de la empresa
    Copias de seguridad de dispositivos móviles de la empresa
    El personal de control en sql
    El uso de bases de datos sql para conectarse
    Clasificar a su almacén de datos