Data Protection Flashcards
¿Qué es la Data Classification?
🔶DATA CLASSIFICATIONS
Es el proceso de organizar y categorizar los datos en función de su valor y sensibilidad.
Esto permite a las organizaciones proteger adecuadamente la información y asignar recursos a los datos más críticos.
El Data Owner es el responsable de decidir el nivel de clasificación de los datos.
¿Qué es el Sensitive Data?
🔶DATA CLASSIFICATIONS
Se considera Sensitive Data cualquier dato que, si es accedido por personas no autorizadas, pueda comprometer la seguridad o causar una pérdida de ventaja competitiva para la organización. Básicamente, son datos que necesitan protección.
¿Qué problemas puede causar la overclassification de datos?
🔶DATA CLASSIFICATIONS
La overclassification puede llevar a un uso excesivo de recursos, tiempo y dinero para proteger datos que no lo requieren, lo que puede resultar en gastos innecesarios.
¿Cuáles son los niveles de clasificación de datos en una empresa comercial?
🔶DATA CLASSIFICATIONS
Public: No tendría ningún impacto en tu empresa si se divulga.
Usualmente, esta es la información que ya está disponible públicamente, como la que se encuentra en tu sitio web. Un ejemplo sería un curso publicado en tu plataforma.
Sensitive: Podría tener un impacto mínimo si se divulga, como los datos financieros de la organización o un próximo lanzamiento de producto.
- Estos son datos que no querrías que tu competencia viera antes de tiempo.
Private: Incluiría cosas como registros personales, información salarial y cualquier otro dato utilizado dentro de la organización. Es información interna que solo debe ser accesible para personas dentro de la organización.
- Por ejemplo, no necesitas saber los ingresos de la empresa o el salario de los empleados.
Confidential: Contiene elementos como secretos comerciales, propiedad intelectual (IP), código fuente y otros tipos de datos que afectarían gravemente al negocio si se divulgan.
- Solo debe ser accesible por personal autorizado y posiblemente terceros bajo un NDA (confidencialidad)
Critical data: Información que es tan valiosa que no se permite ningún riesgo si se captura o se compromete. El acceso a estos datos está severamente restringido a un número muy limitado de personas de confianza.
- Ejemplos comunes incluyen números de tarjetas de crédito o información de identificación personal muy sensible. El acceso a este tipo de datos debe estar extremadamente controlado, ya que una violación podría tener consecuencias catastróficas.
¿Cuáles son los niveles de clasificación de datos en una organización gubernamental?
🔶DATA CLASSIFICATIONS
- Unclassified: Información que puede ser liberada al público en general, como bajo la Ley de Libertad de Información en los EE. UU. (FOIA).
-
Sensitive but unclassified (SBU): Informacion que no afectaría a la seguridad nacional si se divulga, pero sí afectaría a la persona involucrada.
- El expediente médico de un soldado que contiene su historial de enfermedades y tratamientos. Si se divulga, no afectaría la seguridad nacional, pero sí invadiría su privacidad y podría tener consecuencias personales o profesionales para el individuo.
-
Confidential: Información que podría afectar gravemente al gobierno si se divulga.
- Un contrato gubernamental con una empresa privada que incluye secretos comerciales o especificaciones técnicas que, si se divulgan, podrían afectar gravemente la posición competitiva de esa empresa o las relaciones comerciales del gobierno.
-
Secret: Información que podría dañar gravemente la seguridad nacional si se divulga.
- Un plan de despliegue militar para una misión en el extranjero. Si esta información se revela a enemigos o al público, podría dañar gravemente la seguridad de las tropas y comprometer la misión, además de poner en riesgo la vida de los soldados.
-
Top secret: Información que podría dañar muy gravemente la seguridad nacional
- Los planos de un sistema de misiles o un programa nuclear avanzado que, si se filtraran, podrían dañar gravemente la seguridad nacional al proporcionar a adversarios estratégicos información crítica para desarrollar contraataques o contramedidas.
¿Qué es el Data Lifecycle?
🔶DATA CLASSIFICATIONS
El Data Lifecycle abarca todas las etapas de la vida de los datos, su recolección, almacenamiento, retención y eliminación.
Tu organización necesita políticas claras que dicten cómo y por cuánto tiempo deben almacenarse los datos, y cómo deben destruirse cuando ya no son necesarios.
Además, debes asegurarte de seguir las leyes y regulaciones locales, estatales y gubernamentales sobre los requisitos de tiempo de retención de datos, ya que, dependiendo del tipo de organización que seas, podrías tener requisitos legales que te obliguen a mantener ciertos tipos de datos durante períodos de tiempo específicos.
¿Qué es el data ownership?
🔶DATA OWNERSHIP
El data ownership se refiere al proceso de identificar a la persona responsable de la confidencialidad, integridad, disponibilidad y privacidad de los activos de información dentro de una organización.
¿Cuál es la función principal de un Data Owner?
🔶DATA OWNERSHIP
El Data Owner es un rol ejecutivo senior que tiene la responsabilidad final de mantener la confidencialidad, integridad y disponibilidad de los activos de información.
Es quien decide la clasificación de los datos y asegura que los controles de seguridad adecuados se implementen.
- Ejemplo: El data owner decide que la información financiera debe etiquetarse como tal y establece controles específicos para protegerla.
¿Qué es un Data Controller y cuál es su función?
🔶DATA OWNERSHIP
El Data Controller es la entidad responsable de definir los propósitos y métodos de recolección, almacenamiento y uso de los datos. También debe garantizar que estos procesos se realicen de manera legal.
El Data Controller no puede delegar esta responsabilidad.
¿Cuál es la diferencia entre un Data Processor y un Data Controller?
🔶DATA OWNERSHIP
El Data Processor es una entidad contratada por el Data Controller para ayudar en la recolección, almacenamiento o procesamiento de los datos bajo las instrucciones del Data Controller.
Mientras que el Data Controller toma las decisiones sobre el uso de los datos, el Data Processor simplemente ejecuta esas instrucciones.
¿Cuál es la responsabilidad de un Data Steward?
🔶DATA OWNERSHIP
El Data Steward se encarga de la calidad y etiquetado de los datos, asegurándose de que estos estén correctamente clasificados de acuerdo con las directrices del Data Owner.
- Ejemplo: El data steward se asegura de que toda la información financiera esté etiquetada correctamente como información financiera, según las instrucciones del data owner.
¿Qué rol desempeña el Data Custodian en la gestión de los datos?
🔶DATA OWNERSHIP
Es responsable de la gestión del sistema donde se almacenan los datos, asegurándose de que se cumplan los controles de acceso, encriptación y medidas de respaldo y recuperacion.
A menudo son administradores de sistemas.
¿Qué hace un Privacy Officer dentro de una organización?
🔶DATA OWNERSHIP
El Privacy Officer es responsable de supervisar los datos relacionados con la privacidad, como PII o PHI, y asegurar que la organización cumpla con las regulaciones de privacidad.
También se encarga de minimizar riesgos durante una data breach y garantizar la retención y soberanía adecuadas de los datos.
Tiene que asegurarse de que la empresa esté cumpliendo con los marcos legales y regulatorios y garantizar que tengamos el propósito adecuado, limitaciones y consentimiento.
¿Quién debería ser el Data Owner?
🔶DATA OWNERSHIP
El Data Owner debería ser alguien del área de negocio que tenga un profundo conocimiento de los datos dentro del contexto de la organización, como un CFO en el caso de información financiera.
No debe ser el departamento de TI, ya que este conoce los sistemas, pero no necesariamente comprende el valor o el uso de los datos.
Data at Rest
Métodos de cifrado para Data at Rest
🔶Data States
- Cualquier dato almacenado en bases de datos, sistemas de archivos u otros sistemas de almacenamiento.
- Estos datos NO se están moviendo activamente a través de la red o procesos, como la información almacenada en el disco duro de una computadora o en los servidores de una empresa.
Métodos de cifrado para Data at Rest
- Full Disc Encryption: Este método cifra todo el disco duro. Cuando el sistema está apagado, los datos están cifrados. Cuando el sistema está encendido y el usuario ha iniciado sesión, los datos están descifrados. Puede lograrse a través del sistema operativo, software de terceros o el propio dispositivo de disco.
- Partition Encryption: Cifra particiones específicas del disco duro, dejando otras particiones sin cifrar.
- File Encryption: Cifra archivos individuales, ideal cuando se necesitan asegurar archivos específicos.
- Volume Encryption: Cifra un conjunto seleccionado de archivos o directorios.
- Database Encryption: Cifra datos almacenados en bases de datos a nivel de columna, fila o tabla.
- Record Encryption: Cifra campos específicos dentro de un registro de la base de datos. Es útil cuando varios usuarios acceden a la misma base de datos, pero no todos tienen los mismos permisos.
Data in Transit
Métodos para proteger Data in Transit
🔶Data States
Data in transit, también conocido como data in motion, se refiere a los datos que se están moviendo activamente de un lugar a otro, como a través de Internet o una red privada. Estos datos son vulnerables a la interceptación durante su recorrido.
Métodos para proteger Data in Transit
- SSL (Secure Socket Layer) y TLS (Transport Layer Security): Protocolos criptográficos diseñados para proporcionar comunicaciones seguras sobre una red. Son ampliamente utilizados en la navegación web, correo electrónico y otras transferencias de datos.
- VPNs (Virtual Private Networks): Crean conexiones seguras sobre redes no seguras, como Internet, asegurando que los datos enviados y recibidos estén cifrados y protegidos.
- IPSec (Internet Protocol Security): Un conjunto de protocolos utilizado para asegurar las comunicaciones IP autenticando y cifrando cada paquete en el flujo de datos.
Data in Use
Técnicas para proteger Data in Use
🔶Data States
Datos que están siendo creados, recuperados, actualizados o eliminados. En otras palabras, son datos que están siendo procesados activamente.
Técnicas para proteger Data in Use
- Encryption at the Application Level: Cifrado a nivel de aplicación para proteger los datos mientras se procesan.
- Access Controls: Controles de acceso que restringen quién puede acceder a los datos.
- Secure Enclaves: Entornos aislados y protegidos donde los datos pueden ser procesados de forma segura.
- Intel Software Guard Extensions: Mecanismos que permiten cifrar datos mientras están en memoria, evitando que procesos no confiables descifren la información.
Regulated Data
🔶Data Types
Datos controlados por leyes, regulaciones o estándares de la industria. Esto incluye información como:
- PII (Personal Identification Information): Información que puede ser utilizada para identificar a un individuo.
- Ejemplos: nombres, números de seguridad social y direcciones. La protección del PII está regulada por varias leyes de privacidad.
- PHI (Personal Health Information): Información sobre el estado de salud, la provisión de atención médica o el pago de servicios de salud que puede vincularse a una persona. Esto incluye cualquier parte del historial médico o los registros de pago de un paciente y está protegido bajo HIPAA en los Estados Unidos.
Trade Secrets
🔶Data Types
Información comercial confidencial que proporciona a una empresa una ventaja competitiva.
Pueden incluir procesos de fabricación, estrategias de marketing, software propietario y listas de clientes.
Los trade secrets están protegidos por la ley, y la divulgación no autorizada puede tener graves consecuencias legales.
Intellectual Property (IP)
🔶Data Types
La intellectual property se refiere a creaciones de la mente, como invenciones, obras literarias y artísticas, diseños y símbolos.
Estos datos están protegidos por leyes como patentes, derechos de autor y marcas comerciales para fomentar la innovación y la creatividad.
El uso no autorizado de IP puede dar lugar a acciones legales.
Legal Information
🔶Data Types
Cualquier dato relacionado con procedimientos legales, contratos o cumplimiento regulatorio.
Este tipo de datos es muy sensible y requiere altos niveles de protección para mantener la confidencialidad del cliente y cumplir con el privilegio profesional legal.
Financial Information
🔶Data Types
Datos relacionados con transacciones financieras de una organización, como registros de ventas, facturas, documentos fiscales y extractos bancarios.
Este tipo de información suele ser objetivo de los ciberdelincuentes para el fraude o el robo de identidad.
Esta información está sujeta a regulaciones como PCI DSS (Payment Card Industry Data Security Standard).
Human-Readable Data vs Non-Human Readable Data
🔶Data Types
-
Human-readable data: Datos que pueden ser entendidos directamente por los humanos sin la necesidad de una máquina o software.
- Ejemplos: incluyen documentos de texto y hojas de cálculo.
-
Non-human readable data: Datos que requieren de una máquina o software para ser interpretados.
- ejemplos: código binario o el lenguaje de máquina.
¿Qué es la data sovereignty?
Consideraciones
🔶Data Sovereignty
La data sovereignty se refiere al concepto de que la información digital está sujeta a las leyes del país en el que se encuentra, se recopila o se procesa, lo que implica que las empresas deben gestionar, almacenar y procesar los datos de acuerdo con las leyes de ese país.
Diferentes países tienen distintas leyes y regulaciones en cuanto a la protección de datos, la privacidad y las transferencias transfronterizas de datos.
- GDPR: Unión Europea, impone reglas estrictas para la protección de datos y otorga a los individuos derechos sólidos sobre sus datos personales. Cualquier organización que maneje los datos de ciudadanos de la UE, sin importar su ubicación, debe cumplir con estas regulaciones. La no conformidad puede resultar en multas severas.
- China y Rusia: Tienen leyes estrictas de data sovereignty que requieren que las empresas almacenen y procesen los datos dentro de sus fronteras nacionales. Estas leyes pueden plantear desafíos para las empresas multinacionales que operan en varias jurisdicciones y utilizan servicios en la nube para el almacenamiento y procesamiento de datos.
Geographic Restrictions - Geofencing
🔶Securing Data
Consiste en establecer límites virtuales para restringir el acceso a los datos según la ubicación geográfica.
- Ejemplo: si todos mis empleados están ubicados dentro de América, puedo prohibir cualquier solicitud de inicio de sesión proveniente de Asia o África, ya que mis usuarios no deberían estar iniciando sesión desde esas ubicaciones.
Encryption
🔶Securing Data
Transforma los datos legibles (plaintext) en datos ilegibles o ciphertext utilizando un algoritmo y una clave de cifrado.
Solo aquellos con la clave de descifrado correspondiente pueden devolver los datos a su forma original. El cifrado es crucial para proteger los data at rest y data in transit.
Hashing
🔶Securing Data
Técnica que convierte los datos en un tamaño fijo de caracteres numéricos o alfanuméricos, conocido como el valor de hash.
A diferencia del cifrado, el hash es un proceso unidireccional; una vez que los datos se han “hasheado”, no se pueden revertir ni descifrar.
- El hashing se usa a menudo para almacenar datos sensibles como contraseñas, y también se utiliza para verificar la integridad de los archivos.
Masking
🔶Securing Data
El masking implica reemplazar algunos o todos los datos con marcadores de posición, como “**”, para ocultar su contenido original. Se utiliza para proteger datos sensibles mientras se conserva el formato de los datos.
Tokenization
🔶Securing Data
La tokenización reemplaza datos sensibles con tokens no sensibles. Los datos originales se almacenan en una base de datos separada y el token sirve como referencia.
Es comúnmente utilizada en sistemas de procesamiento de pagos para proteger la información de tarjetas de crédito.
Obfuscation
🔶Securing Data
La obfuscation hace que los datos sean poco claros o ininteligibles para dificultar su comprensión por parte de usuarios no autorizados.
Puede incluir técnicas como cifrado, masking y seudónimos.
Segmentation
🔶Securing Data
Implica dividir una red en segmentos separados, cada uno con sus propios controles de seguridad.
Esto significa que, incluso si un cibercriminal obtiene acceso a un segmento, no puede moverse lateralmente a otras partes de la red, lo que limita el daño potencial de una violación de seguridad.
Permission Restrictions
🔶Securing Data
Las permission restrictions definen quién tiene acceso a los datos y qué puede hacer con ellos, gestionadas a través de ACLs o RBAC.
Reducen el riesgo de brechas internas limitando el acceso a los usuarios que lo necesitan.
¿Qué es un sistema de Data Loss Prevention (DLP)?
🔶Data Loss Prevention (DLP)
Un DLP es un sistema configurado para monitorear los datos mientras están en uso (data in use), en tránsito (data in transit) o en reposo (data at rest) con el objetivo de detectar y prevenir robos o fugas de información.
Tipos de sistemas de DLP
🔶Data Loss Prevention (DLP)
Endpoint DLP
Un Endpoint DLP es un sistema de software instalado en estaciones de trabajo o laptops que monitorea los datos en uso en esos dispositivos, detectando y bloqueando intentos de transferencias de datos no autorizadas.
- Modos de funcionamiento: Los DLP pueden configurarse en modo de detección o en modo de prevención.
Network DLP
Estos sistemas de software o hardware se colocan en el perímetro de la red y su única función es revisar todos los datos que entran y salen de la red, con un enfoque especial en lo que sale de ella.
- Están diseñados para detectar datos en tránsito que no deberían salir del edificio.
Storage DLP
Sistema instalado en servidores de centros de datos que revisa los datos almacenados en reposo, detectando actividades sospechosas como accesos no autorizados o la descarga de grandes cantidades de datos en horarios inusuales.
Cloud-based DLP
Es un sistema que se ofrece como SaaS (software como servicio) y está diseñado para proteger los datos almacenados en servicios en la nube, como Google Drive, monitoreando y controlando el acceso y la transferencia de datos.
