Please enable JavaScript.
Coggle requires JavaScript to display documents.
Semana 3 - Unidad 2, Nombre: Carlos Esteban Freire Yánez, Fecha:…
Semana 3 - Unidad 2
Requisitos de manejo de datos
Sector industrial
Velar por la confidencialidad de los procesos y procedimientos que aporten una mejora de productividad sobre la competencia.
Sector financiero
La difusión de información confidencial de clientes, operaciones financieras de compras y ventas de activos puede suponer una importante pérdida económica o un perjuicio para los clientes.
Sector sanitario
Llevar un registro de los accesos y modificaciones de la información personal de pacientes y aplicar las medidas de seguridad para evitar que se pierda o acceder sin autorización.
Sector de hostelería
Se maneja información personal significativo como reservas, cuya pérdida puede caer en una situación muy complicada con los clientes.
Propiedad de la información
Pertinencia
Oportunidad
Veracidad
Claridad y validez
Características y propiedades de la identidad digital
Indirecta
Solo se conoce las referencias publicadas de esa persona.
Compuesta
Aportaciones de la misma persona y por otras personas sin el consentimiento del mismo.
Valiosa
Investigar la identidad digital de un candidato y tomar decisiones mediante las redes sociales.
Real
Información de identidad digital puede producir efectos positivos y negativos en el mundo real.
Subjetiva
Cómo perciben a esa persona por la información que genera.
Contextual
La divulgación de información en un contexto erróneo puede tener un impacto negativo en la identidad digital.
Social
Navegando por las redes sociales a partir del reconocimiento de los demás sin comprobar esa identidad.
Dinámica
La identidad digital no es una foto instantánea sino que está en constante cambio.
Protección de la privacidad de la información
Se ocupa de la capacidad que una organización o individuo tiene para determinar qué datos en un sistema informático pueden ser compartidos con terceros.
¿Por qué proteger la información de una empresa?
Porque es información crítica para el trabajo.
Porque puede haber otras empresas interesadas en la información.
Porque está protegida por la legislación.
Porque el compromiso con un tercero.
¿Cómo gestionar la información crítica de una empresa?
Evitar el acceso a la información a personas no autorizadas y no dejarla a la vista donde la puedan encontrar.
Aplicar medidas de cifrado cuando la información sea sensible.
Firmar un acuerdo de confidencialidad a quien se le da acceso a la información.
Problemas en una empresa
Carpetas de red compartidas sin control de acceso. Usuarios que no saben donde está la última versión del documento. O que tras un cambio siguen con acceso a información que ya no necesitan.
solución
Implementar un control de accesos a la información.
Uso del correo personal para almacenamiento en la nube en actividades profesionales. Ignorancia en herramientas tecnológicas. Presencia discos duros externos sin autorización.
solución
Limitar el uso de aplicaciones no corporativas y tener un control en el uso de los dispositivos externos.
No se realiza copia de seguridad de información importante.
solución
Asegurarse de contar con una copia de seguridad y comprobar que se puede recuperar la información.
Tirar los ordenadores y discos a la basura sin ningún control previo de su contenido.
solución
Asegurarse de que toda la información haya sido borrada antes de tirarlos.
Retención de la información
¿Hay que comprobar las copias y poder restaurarse?
Sí, para comprobar que esté bien hecho, hay que planificar pruebas de restauración periódicas.
¿Cifrado o sin cifrar?
Si, cifrar información confidencial y en el origen si el backup está en la nube.
¿Cuánto tiempo se deben conservar las copias?
Cuando sean reemplazadas por las nuevas con la duración del soporte. A veces se querrá conservar backups del pasado.
¿Dónde se van a hacer las copias?
En soportes que no estén obsoletos o dañados, para ello hay que ver su vida útil y controlar quien accede a los soportes. Destruirlos al final de su vida útil. Valorar los costes.
¿Qué tipos de copias de seguridad se puede hacer?
Completo:
Todos los ficheros a un soporte.
Incremental:
Sólo lo que cambió desde el último backup.
Diferencial:
Lo que cambió desde el último backup completo.
¿Dónde guardar las copias?
Contratar servicios de guarda y custodia. No guardar datos personales en casa. Al menos una copia fuera de la organización.
¿Cada cuánto tiempo hay que realizar las copias?
Depende del compromiso entre la frecuencia de los backups, variación de los datos y coste de almacenamiento.
¿Qué precauciones hay que tomar para backup en nube?
Cifrar la información antes del backup. Firmar acuerdos de integridad, control y confidencialidad. Considerar el ancho de banda necesario para subir y bajar backups.
¿De qué se debe hacer copia de seguridad?
Información crítica corporativa, que obliga la ley, contratos, todo lo necesario para reanudar el negocio en el peor de los casos.
¿Hay que documentar el proceso?
Documentar todo el proceso, así se puede agilizar la recuperación en caso de desastre.
Controles de seguridad de datos
Organizativa
Medidas de seguridad tomando en cuenta a las personas. Ejemplos: Formación en seguridad e identificación de responsables.
Física
Medidas para proteger la organización como acondicionar la sala de servidores, establecer un control de acceso a las oficinas. Poner cerraduras y guardar backups en una caja ignífuga.
Técnica
Medidas de seguridad de carácter tecnológico como antivirus, cortafuegos o backups.
Controles ISO 27001
Enfocada al aseguramiento, confidencialidad e integridad de los datos. Hay un total de 114 controles en 14 secciones, la organización debe elegir cuáles aplicar.
Secciones
Políticas de seguridad de la información.
Organización de la seguridad de la información.
Seguridad de los recursos humanos.
Gestión de activos.
Controles de acceso.
Criptografía, cifrado y gestión de claves.
Seguridad física y ambiental.
Seguridad operacional.
Seguridad de las comunicaciones.
Adquisición, desarrollo y mantenimiento del sistema.
Gestión de incidentes de seguridad de la información.
Cumplimiento.
¿Qué hay que tomar en cuenta para implementar los controles?
Los encargados en seguridad de información son quienes definen que controles aplicar. Capacitar al personal sobre la norma. Medir y monitorear la efectividad de los controles e implementar acciones correctivas cuando se detecten fallos.
Nombre:
Carlos Esteban Freire Yánez
Fecha:
17/04/2021
ID Banner:
A00053508
Paralelo:
ITIZ 3301 - 03