Data Protection Flashcards
¿Qué es la Data Classification?
🔶DATA CLASSIFICATIONS
Es el proceso de organizar y categorizar los datos en función de su valor y sensibilidad.
Esto permite a las organizaciones proteger adecuadamente la información y asignar recursos a los datos más críticos.
El Data Owner es el responsable de decidir el nivel de clasificación de los datos.
¿Qué es el Sensitive Data?
🔶DATA CLASSIFICATIONS
Se considera Sensitive Data cualquier dato que, si es accedido por personas no autorizadas, pueda comprometer la seguridad o causar una pérdida de ventaja competitiva para la organización. Básicamente, son datos que necesitan protección.
¿Qué problemas puede causar la overclassification de datos?
🔶DATA CLASSIFICATIONS
La overclassification puede llevar a un uso excesivo de recursos, tiempo y dinero para proteger datos que no lo requieren, lo que puede resultar en gastos innecesarios.
¿Cuáles son los niveles de clasificación de datos en una empresa comercial?
🔶DATA CLASSIFICATIONS
Public: No tendría ningún impacto en tu empresa si se divulga.
Usualmente, esta es la información que ya está disponible públicamente, como la que se encuentra en tu sitio web. Un ejemplo sería un curso publicado en tu plataforma.
Sensitive: Podría tener un impacto mínimo si se divulga, como los datos financieros de la organización o un próximo lanzamiento de producto.
- Estos son datos que no querrías que tu competencia viera antes de tiempo.
Private: Incluiría cosas como registros personales, información salarial y cualquier otro dato utilizado dentro de la organización. Es información interna que solo debe ser accesible para personas dentro de la organización.
- Por ejemplo, no necesitas saber los ingresos de la empresa o el salario de los empleados.
Confidential: Contiene elementos como secretos comerciales, propiedad intelectual (IP), código fuente y otros tipos de datos que afectarían gravemente al negocio si se divulgan.
- Solo debe ser accesible por personal autorizado y posiblemente terceros bajo un NDA (confidencialidad)
Critical data: Información que es tan valiosa que no se permite ningún riesgo si se captura o se compromete. El acceso a estos datos está severamente restringido a un número muy limitado de personas de confianza.
- Ejemplos comunes incluyen números de tarjetas de crédito o información de identificación personal muy sensible. El acceso a este tipo de datos debe estar extremadamente controlado, ya que una violación podría tener consecuencias catastróficas.
¿Cuáles son los niveles de clasificación de datos en una organización gubernamental?
🔶DATA CLASSIFICATIONS
- Unclassified: Información que puede ser liberada al público en general, como bajo la Ley de Libertad de Información en los EE. UU. (FOIA).
-
Sensitive but unclassified (SBU): Informacion que no afectaría a la seguridad nacional si se divulga, pero sí afectaría a la persona involucrada.
- El expediente médico de un soldado que contiene su historial de enfermedades y tratamientos. Si se divulga, no afectaría la seguridad nacional, pero sí invadiría su privacidad y podría tener consecuencias personales o profesionales para el individuo.
-
Confidential: Información que podría afectar gravemente al gobierno si se divulga.
- Un contrato gubernamental con una empresa privada que incluye secretos comerciales o especificaciones técnicas que, si se divulgan, podrían afectar gravemente la posición competitiva de esa empresa o las relaciones comerciales del gobierno.
-
Secret: Información que podría dañar gravemente la seguridad nacional si se divulga.
- Un plan de despliegue militar para una misión en el extranjero. Si esta información se revela a enemigos o al público, podría dañar gravemente la seguridad de las tropas y comprometer la misión, además de poner en riesgo la vida de los soldados.
-
Top secret: Información que podría dañar muy gravemente la seguridad nacional
- Los planos de un sistema de misiles o un programa nuclear avanzado que, si se filtraran, podrían dañar gravemente la seguridad nacional al proporcionar a adversarios estratégicos información crítica para desarrollar contraataques o contramedidas.
¿Qué es el Data Lifecycle?
🔶DATA CLASSIFICATIONS
El Data Lifecycle abarca todas las etapas de la vida de los datos, su recolección, almacenamiento, retención y eliminación.
Tu organización necesita políticas claras que dicten cómo y por cuánto tiempo deben almacenarse los datos, y cómo deben destruirse cuando ya no son necesarios.
Además, debes asegurarte de seguir las leyes y regulaciones locales, estatales y gubernamentales sobre los requisitos de tiempo de retención de datos, ya que, dependiendo del tipo de organización que seas, podrías tener requisitos legales que te obliguen a mantener ciertos tipos de datos durante períodos de tiempo específicos.
¿Qué es el data ownership?
🔶DATA OWNERSHIP
El data ownership se refiere al proceso de identificar a la persona responsable de la confidencialidad, integridad, disponibilidad y privacidad de los activos de información dentro de una organización.
¿Cuál es la función principal de un Data Owner?
🔶DATA OWNERSHIP
El Data Owner es un rol ejecutivo senior que tiene la responsabilidad final de mantener la confidencialidad, integridad y disponibilidad de los activos de información.
Es quien decide la clasificación de los datos y asegura que los controles de seguridad adecuados se implementen.
- Ejemplo: El data owner decide que la información financiera debe etiquetarse como tal y establece controles específicos para protegerla.
¿Qué es un Data Controller y cuál es su función?
🔶DATA OWNERSHIP
El Data Controller es la entidad responsable de definir los propósitos y métodos de recolección, almacenamiento y uso de los datos. También debe garantizar que estos procesos se realicen de manera legal.
El Data Controller no puede delegar esta responsabilidad.
¿Cuál es la diferencia entre un Data Processor y un Data Controller?
🔶DATA OWNERSHIP
El Data Processor es una entidad contratada por el Data Controller para ayudar en la recolección, almacenamiento o procesamiento de los datos bajo las instrucciones del Data Controller.
Mientras que el Data Controller toma las decisiones sobre el uso de los datos, el Data Processor simplemente ejecuta esas instrucciones.
¿Cuál es la responsabilidad de un Data Steward?
🔶DATA OWNERSHIP
El Data Steward se encarga de la calidad y etiquetado de los datos, asegurándose de que estos estén correctamente clasificados de acuerdo con las directrices del Data Owner.
- Ejemplo: El data steward se asegura de que toda la información financiera esté etiquetada correctamente como información financiera, según las instrucciones del data owner.
¿Qué rol desempeña el Data Custodian en la gestión de los datos?
🔶DATA OWNERSHIP
Es responsable de la gestión del sistema donde se almacenan los datos, asegurándose de que se cumplan los controles de acceso, encriptación y medidas de respaldo y recuperacion.
A menudo son administradores de sistemas.
¿Qué hace un Privacy Officer dentro de una organización?
🔶DATA OWNERSHIP
El Privacy Officer es responsable de supervisar los datos relacionados con la privacidad, como PII o PHI, y asegurar que la organización cumpla con las regulaciones de privacidad.
También se encarga de minimizar riesgos durante una data breach y garantizar la retención y soberanía adecuadas de los datos.
Tiene que asegurarse de que la empresa esté cumpliendo con los marcos legales y regulatorios y garantizar que tengamos el propósito adecuado, limitaciones y consentimiento.
¿Quién debería ser el Data Owner?
🔶DATA OWNERSHIP
El Data Owner debería ser alguien del área de negocio que tenga un profundo conocimiento de los datos dentro del contexto de la organización, como un CFO en el caso de información financiera.
No debe ser el departamento de TI, ya que este conoce los sistemas, pero no necesariamente comprende el valor o el uso de los datos.
Data at Rest
Métodos de cifrado para Data at Rest
🔶Data States
- Cualquier dato almacenado en bases de datos, sistemas de archivos u otros sistemas de almacenamiento.
- Estos datos NO se están moviendo activamente a través de la red o procesos, como la información almacenada en el disco duro de una computadora o en los servidores de una empresa.
Métodos de cifrado para Data at Rest
- Full Disc Encryption: Este método cifra todo el disco duro. Cuando el sistema está apagado, los datos están cifrados. Cuando el sistema está encendido y el usuario ha iniciado sesión, los datos están descifrados. Puede lograrse a través del sistema operativo, software de terceros o el propio dispositivo de disco.
- Partition Encryption: Cifra particiones específicas del disco duro, dejando otras particiones sin cifrar.
- File Encryption: Cifra archivos individuales, ideal cuando se necesitan asegurar archivos específicos.
- Volume Encryption: Cifra un conjunto seleccionado de archivos o directorios.
- Database Encryption: Cifra datos almacenados en bases de datos a nivel de columna, fila o tabla.
- Record Encryption: Cifra campos específicos dentro de un registro de la base de datos. Es útil cuando varios usuarios acceden a la misma base de datos, pero no todos tienen los mismos permisos.
Data in Transit
Métodos para proteger Data in Transit
🔶Data States
Data in transit, también conocido como data in motion, se refiere a los datos que se están moviendo activamente de un lugar a otro, como a través de Internet o una red privada. Estos datos son vulnerables a la interceptación durante su recorrido.
Métodos para proteger Data in Transit
- SSL (Secure Socket Layer) y TLS (Transport Layer Security): Protocolos criptográficos diseñados para proporcionar comunicaciones seguras sobre una red. Son ampliamente utilizados en la navegación web, correo electrónico y otras transferencias de datos.
- VPNs (Virtual Private Networks): Crean conexiones seguras sobre redes no seguras, como Internet, asegurando que los datos enviados y recibidos estén cifrados y protegidos.
- IPSec (Internet Protocol Security): Un conjunto de protocolos utilizado para asegurar las comunicaciones IP autenticando y cifrando cada paquete en el flujo de datos.
Data in Use
Técnicas para proteger Data in Use
🔶Data States
Datos que están siendo creados, recuperados, actualizados o eliminados. En otras palabras, son datos que están siendo procesados activamente.
Técnicas para proteger Data in Use
- Encryption at the Application Level: Cifrado a nivel de aplicación para proteger los datos mientras se procesan.
- Access Controls: Controles de acceso que restringen quién puede acceder a los datos.
- Secure Enclaves: Entornos aislados y protegidos donde los datos pueden ser procesados de forma segura.
- Intel Software Guard Extensions: Mecanismos que permiten cifrar datos mientras están en memoria, evitando que procesos no confiables descifren la información.
Regulated Data
🔶Data Types
Datos controlados por leyes, regulaciones o estándares de la industria. Esto incluye información como:
- PII (Personal Identification Information): Información que puede ser utilizada para identificar a un individuo.
- Ejemplos: nombres, números de seguridad social y direcciones. La protección del PII está regulada por varias leyes de privacidad.
- PHI (Personal Health Information): Información sobre el estado de salud, la provisión de atención médica o el pago de servicios de salud que puede vincularse a una persona. Esto incluye cualquier parte del historial médico o los registros de pago de un paciente y está protegido bajo HIPAA en los Estados Unidos.
Trade Secrets
🔶Data Types
Información comercial confidencial que proporciona a una empresa una ventaja competitiva.
Pueden incluir procesos de fabricación, estrategias de marketing, software propietario y listas de clientes.
Los trade secrets están protegidos por la ley, y la divulgación no autorizada puede tener graves consecuencias legales.
Intellectual Property (IP)
🔶Data Types
La intellectual property se refiere a creaciones de la mente, como invenciones, obras literarias y artísticas, diseños y símbolos.
Estos datos están protegidos por leyes como patentes, derechos de autor y marcas comerciales para fomentar la innovación y la creatividad.
El uso no autorizado de IP puede dar lugar a acciones legales.
Legal Information
🔶Data Types
Cualquier dato relacionado con procedimientos legales, contratos o cumplimiento regulatorio.
Este tipo de datos es muy sensible y requiere altos niveles de protección para mantener la confidencialidad del cliente y cumplir con el privilegio profesional legal.
Financial Information
🔶Data Types
Datos relacionados con transacciones financieras de una organización, como registros de ventas, facturas, documentos fiscales y extractos bancarios.
Este tipo de información suele ser objetivo de los ciberdelincuentes para el fraude o el robo de identidad.
Esta información está sujeta a regulaciones como PCI DSS (Payment Card Industry Data Security Standard).
Human-Readable Data vs Non-Human Readable Data
🔶Data Types
-
Human-readable data: Datos que pueden ser entendidos directamente por los humanos sin la necesidad de una máquina o software.
- Ejemplos: incluyen documentos de texto y hojas de cálculo.
-
Non-human readable data: Datos que requieren de una máquina o software para ser interpretados.
- ejemplos: código binario o el lenguaje de máquina.
¿Qué es la data sovereignty?
Consideraciones
🔶Data Sovereignty
La data sovereignty se refiere al concepto de que la información digital está sujeta a las leyes del país en el que se encuentra, se recopila o se procesa, lo que implica que las empresas deben gestionar, almacenar y procesar los datos de acuerdo con las leyes de ese país.
Diferentes países tienen distintas leyes y regulaciones en cuanto a la protección de datos, la privacidad y las transferencias transfronterizas de datos.
- GDPR: Unión Europea, impone reglas estrictas para la protección de datos y otorga a los individuos derechos sólidos sobre sus datos personales. Cualquier organización que maneje los datos de ciudadanos de la UE, sin importar su ubicación, debe cumplir con estas regulaciones. La no conformidad puede resultar en multas severas.
- China y Rusia: Tienen leyes estrictas de data sovereignty que requieren que las empresas almacenen y procesen los datos dentro de sus fronteras nacionales. Estas leyes pueden plantear desafíos para las empresas multinacionales que operan en varias jurisdicciones y utilizan servicios en la nube para el almacenamiento y procesamiento de datos.