 |
Hi every.
My name is Jarlinzon. I’m from Colombia and living in Colombia. I liking listen to music, draw and pint. But now want learning this language for expand my learning and communication in English. I hope learning and understanding much with all you. See you!
My routine for learning be introduction in is language, look my series favorite and do readings in English and speaking or pronounce that words . I will also be using applications to boost my learning to the maximum.
Curso de DLP: Prevención de Pérdida de Datos
¿Qué es Seguridad de la Información y por qué hablamos de prevención de pérdida de datos?
Tiene como objetivo acercar y sensibilizar a emprendedores digitales técnicas y mecanismos de prevención de pérdida de datos que puedan implementar en sus negocios para potenciarlos, mejorar su experiencia de usuario y gestionar aquellos riesgos de seguridad que potencialmente pueden afectarlos.
Seguridad de la información: Es un valor estratégico, un generador de confianza. Son una serie de principios, guías y pasos que te permitirán custodiar la información y datos que tienes en tu empresa o negocio.
No es solo infraestructura, va más allá de los sistemas de información, no es solo contratar un software antivirus o un firewall. Es un proceso iterativo y resiliente. No solo se busca preservar la información sino también potenciar tu negocio.
La seguridad de la información busca garantizar tres atributos:
• Confidencialidad: La información debe ser accesible solo a aquellas personas autorizadas
• Integridad: La información debe ser completa, exacta e inalterada
• Disponibilidad: La información debe poder ser consultada, localizada o recuperada cuando se le requiera
¿Por qué hablamos de prevención de pérdida de datos?
Porque estas técnicas nos garantiza los tres atributos señalados anteriormente, debemos establecer e incorporar medidas de técnicas y tecnológicas de protección que eviten la pérdida o filtración de nuestra información y garanticen la continuidad de nuestro negocio.
Lecciones:
Ningún sistema es 100% seguro.
La seguridad de la Información debe tratarse con un enfoque estratégico, transversal y preventivo.
Es necesario siempre considerar el contexto y los comportamientos humanos.
El liderazgo y la generación de competencias es fundamental para hacer una adecuada gestión de riesgos.
La planeación y el compromiso interno es algo fundamental a la hora de nuestro proceso de gestión de riesgos de seguridad. Luego de eso pasaremos a identificar cuáles son los activos de información, los datos que estas administrando y cómo fluyen dentro de la información.
Después pasamos a identificar los riesgos, amenazas o vulnerabilidades. Qué deberías hacer cuando se presenta una eventualidad. Después identificamos qué controles o medidas puedes usar para garantizar la no pérdida de la información.
Por último vas a tener que monitorear y evaluar esos controles. De nada sirve tener copias de seguridad sin poder restaurarlas correctamente y el riesgo de pérdida de información será muy menor.
Planeación e Iniciación
• Análisis de contexto
• Identificación de Actores Internos y Externos
• Compromiso de la Alta Dirección
Los activos de información
son todos los recursos que apoyan el modelo de negocios: bases de datos, archivos, manuales, aplicaciones, hardware y software que se tiene en una organización para desarrollar su objetivo.
¿Cómo identificar Activos de Información?
0. Hacer un inventario de activos
0. Identificar el responsable
0. Determinar su nivel de importancia
0. Clasificar los activos identificados
Se debe identificar:
Tipos de Activos
Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
Riesgos inherentes a la seguridad digital
El riesgo puede ser de dos tipos:
Inherente: Es aquel propio del negocio
Residual: Es el que tú tienes la capacidad de soportar
Gestión de Riesgos de Seguridad:
Valoración de los riesgos inherentes a la seguridad
Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
Identificación de la Zona de Riesgo
Definición de controles
5.1 Definición de Controles específicos para prevenir la pérdida de datos
Calificación y Evaluación de Controles
Gestión y Tratamiento del Riesgo
Seguimiento
VISION
Prevención de pérdida de datos, una visión estratégica y proactiva, no solo técnica y reactiva
La prevención de datos es una estrategia. Debemos intentar anticiparnos a los acontecimientos.
No nos diferenciaremos si es que no realizamos una gestión adecuada de los datos de nuestros usuarios.
Debemos mantener una visión estratégica sobre la protección de los datos.
Dentro del GDPR se establecen ciertos roles y responsabilidades a implementar.
Roles y Responsabilidades
Líder: Es el responsable y encargado de asegurarse que dentro de la entidad se están implementando los controles de prevención de pérdida de datos.
– Debe saber cuál es la política de gestión de riesgos de seguridad
– Debe definir el para qué se tratan los datos.
Oficiales de Cumplimiento: Es esa persona independiente, fuera o dentro de la organización, encargada de evaluar y dar seguimiento a los controles de seguridad y privacidad.
Responsables y encargados
Definición y tipologías de Riesgos y Gestión de incidentes de seguridad de la informaciónClase 10 / 25
Los riesgos de seguridad de la información se deben identificar basados en las vulnerabilidades y amenazas y afectar al activo de información sobre el cual se está haciendo la identificación.
Por Vulnerabilidad entendemos; aquellas debilidades, condiciones o factores que tenemos o qué no tenemos, o que No controlamos y cuya explotación puede implicar una amenaza.
Por Amenaza entendemos que es una causa potencial de un incidente no deseado, la cual que puede ocasionar daño a un sistema u organización, es decir, la posible causa de la materialización de un riesgo (ISO 270001:2018).
Por riesgo entendemos lo que le puede ocurrir, el daño que se puede causar si se explota una amenaza.
En este punto es importante considerar que la sola presencia de una vulnerabilidad no causa daños por sí misma, dado que es necesario que exista una amenaza presente para explotarla. En ese sentido, en la definición de riesgos se debe considerar que cada tipo de activo puede llegar a verse afectado por diferentes tipos de riesgos, todos los cuales la organización debe identificar y gestionar.
A continuación, se relacionan ejemplos de riesgos con sus respectivas amenazas y vulnerabilidades de acuerdo al tipo de activos.
Fuente: Modelo de Gestión de Riesgos de Seguridad MGRS – MINTIC Colombia
De acuerdo con el MGRS de Colombia, para la identificación de riesgos se pueden utilizar diferentes metodologías como lluvia de ideas, análisis de escenarios y contexto histórico, entrevistas, encuestas, y listas de chequeo, así mismo se puede tener en cuenta la siguiente clasificación definida por el Departamento Administrativo de la Función pública:
Gestión de incidentes de seguridad de la información
Una vez realizada la Identificación de riesgos debe procederse a su valoración, para definir los tipos de control y la forma como se deben gestionar los incidentes de seguridad.
Para ello se debe valorar del riesgo inherente (riesgo propio del negocio) de todos los activos e identificarse la probabilidad de ocurrencia y el impacto asociado a las variables Confidencialidad, Integridad y Disponibilidad.
Conforme a lo anterior, por cada riesgo inherente identificado, se deben establecer los controles asociados para su gestión o mitigación, determinando las acciones y actividades a ejecutar y características deseadas del mismo, es decir, se debe establecer si el control disminuye el nivel de riesgo, o lo desplaza en el mapa de calor.
Respecto de las metodologías que se pueden implementar para hacer una adecuada gestión de incidentes de seguridad ver:
• Guía Seguridad Informática Mintic,
• OWASP
La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio
La gestión de riesgos de seguridad es más que un cumplimiento legal, es un valor estratégico. Te permite conocer cómo es el modelo de negocio e identificar los activos de información. Posibles amenazas o vulnerabilidades que te pueden afectar, para luego identificar cuáles son los controles que te ayudarán a gestionar dichas amenazas y vulnerabilidades.
La implementación del GDPR obliga a incorporar técnicas de prevención de Pérdida de Datos, que permiten:
Clasificar que tipo de información se tiene e identificar dónde y bajo qué condiciones se tienen almacenados datos personales.
Monitorear el flujo de los datos y establecer controles de acceso y/o intercambio.
Borrar o suprimir aquella información que no se requiera o no se necesite.
Restringir y controlar de forma automática el acceso a datos personales por parte de terceros no autorizados.
Generar alertas automáticas y controles de seguridad que protejan los datos.
Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico.
Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad
Actualmente en el panorama internacional tenemos dos referentes normativos que debemos considerar para cualquier despliegue o modelo de negocios que queramos desarrollar en un entorno digital. Estos son GDPR y CCPA, en esta clase estaremos revisando las características más relevantes de estos dos modelos.
https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations_es
Protege los datos personales de los Residentes en la Unión Europea.
Aplica a todas las personas y empresas que traten datos residentes en la UE.
Art. 15. Acceso (30 días)
Art. 16. Rectificación
Art. 17. Eliminación (olvido)
Art. 18. Restricción de Procesamiento
Art. 19. Portabilidad
Art. 21. Objeción
Art. 22. No ser objeto de decisiones automatizadas.
10 Para el tratamiento de datos las empresas deben demostrar que cuentan con el consentimiento inequívoco de los titulares de los datos
11. Obliga a realizar Evaluaciones de Impacto de Privacidad
Quienes traten datos deben tener la capacidad de garantizar:
Confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
La capacidad de restaurar la disponibilidad y él acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
Las Autoridades de Protección de Datos de los Países de la Unión Europea pueden imponer multas según el tipo de infracción:
Las menos graves se sancionarán con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos).
Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos)
Protege la Privacidad de los Consumidores en el Estado de California.
Aplica a grandes empresas que recopilen y/o controlen información personas residentes de California y además deben cumplir alguna de estas tres condiciones:
Estas dos Normas, que si bien no tienen aplicación directa en Latinoamérica, ya que la mayoría de nuestros países cuentan con su propia regulación de seguridad y protección de datos personales, se están convirtiendo en estándares internacionales a tener en cuenta para el uso y aprovechamiento de información personal en los Negocios Digitales, toda vez que definen una serie de derechos, prácticas, exigencias, buenas prácticas y controles que cualquier negocio digital con vocación de internacionalización debe incorporar.
Conforme a todo lo anterior, para dar cumplimiento al Reglamento Europeo de Protección de datos y a la Ley de Privacidad del Consumidor de California, los emprendimientos digitales deben identificar sus activos de información, analizar cómo los están gestionando e incorporar las medidas técnicas de prevención de pérdida de datos, que sean necesarias acorde con la información que se maneje.
Para ello es importante implementar dentro de la organización un modelo de Gestión de Riesgos de seguridad, como él que estamos estudiando en este curso.
Para mayor información ver:
ISO 31000
MAGERIT
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process
Y si deseas profundizar más sobre el GDPR y la CCPA en estos enlaces encuentras mucha información muy valiosa.
Identificación de información sensible dentro de los activos de información e infraestructuras cibernéticas críticas asociadas a su negocio
Fase 1: Planeación e identificación
0. Ten claro tu negocio y los flujos de información
0. Analiza el contexto interno y externo
0. Caracteriza tus procesos de procedimientos
Fase 2: Preparación
0. El documento debe identificar cuáles son las políticas de gestión y tratamiento que tienes definidas en tu organización.
0. Define Roles y establece responsabilidades, desde la alta dirección y personal técnico deben estar involucrados.
0. Asigna los recursos técnicos, administrativos y económicos necesarios para la implementación.
Fase 3: Construcción
0. Identificar tus activos de información
0. Clasifica tus activos e identifica tus infraestructuras críticas
0. Elabora el listado de activos
Lecturas recomendadas
•
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
•
Matriz de Prueba DLP.xlsx - Google Drive
Realiza una evaluación de impacto de privacidad
https://www.aepd.es/documento/guia-evaluaciones-de-impacto-rgpd.pdf
Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad
Fase 3: Construcción
0. Identifica tus potenciales amenazas y vulnerabilidades. Vulnerabilidades son ciertos componentes internos que pueden llegar a afectar la seguridad de la información y Amenaza es lo externo que puede venir a impactar en nuestro negocio.
2 Define y valora los riesgos inherentes a la seguridad digital. Son esos propios del negocios.
0. Identifica y evalúa los controles de seguridad que vas a implementar
Lecturas recomendadas
•
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
Técnicas de tratamiento de datos, minimización, anonimización, seudonimización, disociación y agregación de datos
TÉCNICAS PREVENTIVAS
Minimización (Control de Recolección): Solo debes pedirle los datos única y exclusivamente necesarios para tu modelo de negocio. Nos garantiza que el impacto de privacidad no sea tan alto.
Define roles (Control de Flujo): Incorpora reglas de negocios que te permitan controlar los flujos internos a la información, para interrumpir automáticamente cualquier flujo o intercambio no autorizado.
Alertas de Detección (Control de Flujo): Incorpora reglas de negocio que te permiten generar alertas para prevenir el acceso o intercambio de información no autorizada
Cifrado de Información (Control de Tratamiento): Es clave para garantizar la seguridad, integridad y confidencialidad de la información.
Anonimización, Disociación y Agregación (Control de Tratamiento): Separa los datos del individuo, conviértelos en estadísticas, refínalos y aprovecha esta información
Realiza Copias de Seguridad (Control de Disposición): Define un plan de recuperación y continuidad, realiza copias de seguridad periódicas y prueba tus mecanismos de recuperación de datos.
Lecturas recomendadas
•
Inicio - Gestión de datos de investigación - Biblioguias at Biblioteca CEPAL, Naciones Unidas
Evaluación y retroalimentación de los controles asociados a tu actividad
Fase 4: Seguimiento y Evaluación
0. Elabora un plan de auditoria que te permita controlar la efectividad de tu política. Cada cuánto debes implementar ese control.
0. Asegúrate que la alta Dirección participe en el seguimiento y evalúe el desempeño
0. Ten consolidado y actualizado tu reporte de incidentes.
Política de prevención de pérdida de datos
Mis apuntes - Política de prevención de pérdida de datos
• Documenta y actualiza tu política.
• Pasar todo a un documento.
• Para ser leído por los nuevos trabajadores.
• Para ser leído al momento de las auditorias.
En el documento podemos encontrar las siguientes fases: 1. Planificacion de la GRSD 2. Ejecucion de la GRSD 3. Monitoreo y revision 4. Mejoramiento continuo de la gestion de riesgo de seguridad digital
Construyamos una política de prevención de pérdida de datos 1)Siempre mantener al día la documentación. 2) Identificar, planear, gestionar con resiliencia. 3) Realizar auditorias constantes, deacuerdo al nivel de riesgo.
¿Qué hacer en caso de materialización de un riesgo de seguridad o de pérdida o filtración de datos?
Ningún sistema es 100% seguro y se pueden materializar riesgos.
0. Lo más importante es identificar la causa, qué está ocurriendo y por qué se están infiltrando los datos.
0. Implementar el control lo más pronto posible para evitar que el daño mayor.
0. Evaluar por qué ocurrió, quién accedió y por qué.
Siempre debes
• Garantizar la cadena de custodia
• Analizar el flujo de información para identificar las causas
• Activar el equipo de gestión de incidentes
• Informar al usuario y las autoridades
• Levantar un reporte de incidentes (Evalúa los controles )
RECUERDA: LA RESPONSABILIDAD ES INSTITUCIONAL
Lecturas recomendadas
Cadena de custodia de evidencias digitales y contacto con autoridades
Cadena de Custodia: Es un concepto jurídico que busca generar condiciones para garantizar que la prueba no ha sido alterada. Busca “evitar que lo elementos materiales de prueba sean alterados, ocultados o destruidos”.
• ISO 27037: Establece que tus controles deben garantizar como mínimo: la identificación, recolección, guarda y preservación de las potenciales evidencias, para que sean valoradas por los jueces y las autoridades.
Lecturas recomendadas
•
Análisis Forense. Cadena de Custodia de la evidencia digital - Security Art Work
•
https://www.ambitojuridico.com/noticias/tecnologia/tic/la-cadena-de-custodia-en-evidencias-digitales
ESTADOS DE LA EVIDENCIA DIGITAL Almacenada estáticamente. Información que se encuentra almacenada de manera persistente en un dispositivo a la espera de ser recuperada o utilizada. Almacenada dinámicamente o en procesamiento. Información que se encuentra almacenada de manera temporal en un dispositivo volátil y que se perderá en el momento que el dispositivo deje de recibir corriente eléctrica. En tránsito o desplazamiento. Información que se encuentra en movimiento por la red en forma de paquete de información que puede ser capturado y/o almacenado.
Lecciones aprendidas de la gestión de incidentes
◦ Analiza el contexto: Conoce tu negocio y el entorno, la transformación digital exige innovación y agilidad en todos los contextos.
◦ Se preventivo y no reactivo: Anticipate a los hechos, mantente al día con la evolución del sector y optimiza.
◦ Gestiona con resiliencia: No ocultes, identifica las fallas, implementa los controles y evalúa.
◦ Planifica tu Control: Establece un plan de auditoría que te permita probar la efectividad de tus controles de manera continua e independiente.
◦ Documenta los incidentes: Identifica correctamente las causas y ten presenta la información recolectada para formular acciones correctivas o preventivas.
◦ Control Estratégico: Involucra a la Alta Dirección, recuerda que la gestión de riesgos debe ser un tema estratégico, no netamente operativo.
Métodos para la recuperación de datos
Debes tener un plan de recuperación y continuidad: Esto te ayudará a garantizar la recuperación de tu información y la continuidad de tu negocio. No dependas únicamente de una sola fuente o infraestructura.
Revisa tus copias de seguridad: Recuerda que debes estar realizando continuamente copias de seguridad y respaldo. Pruébalas.
Ejecuta los protocolos de Recuperación: Restaura las copias de seguridad a su estado anterior.
Lecturas recomendadas
•
https://www.mitre.org/sites/default/files/publications/13-4047.pdf
Creación y restauración de copias de seguridad
Para garantizar la continuidad y seguridad de tu negocio debes incorporar controles de disposición, como la creación, custodia y restauración de copias de seguridad de acuerdo con lo que establezcas en tu Plan de Recuperación y Continuidad del Negocio.
Este Plan debe establecer entre otras:
• La periodicidad con la cual debes realizar copias de seguridad,
• Qué tipo de información debes respaldar,
• Si debe usar encriptación o no
• Que tipo de copias debemos hacer; y cómo las debes gestionar,
• La periodicidad con la que debes probar tus mecanismos de recuperación de datos, y;
• Si necesario implementar otros controles de seguridad de la información, como por ejemplo realizar ejercicios de hackeo ético, que te permitan identificar y corregir vulnerabilidades.
Para mayor información puedes ir al sitio del Instituto Nacional de Ciberseguridad de España, S.A.
Tipos de soluciones que se pueden implementar para prevenir la pérdida de datos
En el mercado existen múltiples soluciones de Prevención de Pérdida de Datos DLP que pueden ser implementadas para prevenir la pérdida de datos, estas soluciones varían desde soluciones independientes a soluciones empresariales que establecen mecanismos integrales de protección dentro de todos los canales de la organización, incluidos la recolección, el tratamiento, el alojamiento y la disposición final de la información.
La generalidad de las soluciones empresariales de DLP permite la visualización del uso de datos en una organización y la aplicación dinámica de políticas basadas en gestión de riesgos; para ello a partir de controles parametrizables permiten monitorear el flujo de información, filtrar datos, generar alertas o establecer bloqueos que permitan gestionar los riesgos de pérdida involuntaria o accidental de datos, así como la exposición o filtración de datos personales o confidenciales.
De acuerdo con estudios realizados TECHRADAR.pro las mejores soluciones disponibles en el mercado para prevenir la pérdida de datos son:
0. Symantec Data Loss Prevention
0. SecureTrust Data Loss Prevention
0. McAfee Total Protection for DLP
0. Check Point Data Loss Prevention
0. Digital Guardian Endpoint DLP
Esta clasificación es muy similar a la realizada por GARTNER en 2018.
Esta clasificación es muy similar a la realizada por GARTNER en 2018. Ver:
Sin embargo GARTNER adicionalmente nos presenta otros dos productos completos de DLP como son: SearchInform DLP, y Terramind DLP los cuales cuentan con una clasificación de 5 a pesar de no ser los utilizados en el mercado.
Para mayor información puedes dar clic aquí.
Aprendiste a gestionar los riesgos de seguridad e identificar la importancia de la privacidad y los controles de protección de datos personales para generar confianza y diferenciarte de los demás negocios.
Hola, en el siguiente codigo podrás apreciar la opción de crear un archivo CSV e ingresar 'x' cantidad de datos a registar por país,...
