Què és la seguretat de dades?

By Nirmal Ranganathan, Jared Jacobson – 2 octubre 2020

hands grup d'empreses smart phone with security image displayed

La seguretat de dades es refereix a les seves polítiques i normes per protegir les seves dades: en la seva xarxa, si infraestructura i les seves aplicacions, i en múltiples capes. Els mètodes de seguretat de dades abasten els ambients en les instal·lacions i en el núvol, i inclouen codificació, emmascarament, tokenització, eliminació, autenticació, control d’accés, respatllers i recuperació, i resiliència de dades. La seguretat de dades també suposa les demandes relacionades amb el compliance, motivades per les regulacions governamentals o les normes de la indústria, com la PCI o la HIPAA.

La importància de la seguretat de dades

Segons un informe recent de Verizon, una de cada vuit violacions de seguretat té motius econòmics, i totes creen turbulència financera per a les víctimes. Una violació de dades pot provocar tanta disrupció com la que es produeix per la falta de compliance. Sense una estratègia de seguretat de dades sòlida, podria córrer el risc que hi hagi conseqüències en les relacions públiques, que s’imposin sancions per falta de compliance i que es produeixin pèrdues de productivitat. Algunes de les conseqüències comuns d’una violació de dades són les següents:

Conseqüències en les relacions públiques

Les expectatives dels consumidors en línia estan en auge. Per tant, quan els possibles clients o inversors s’assabenten que la seva organització ha estat objecte d’una violació, vostè és considerat imprudent i poc fiable, fins i tot, si va fer tot el que se suposava que havia de fer. Aquesta percepció podria ocasionar la pèrdua de la participació en el mercat i fins repercutir en el preu de les seves accions. L’esforç i el cost de subsanar la violació inicial, manejar els mitjans, comunicar-se amb els clients i reconstruir la seva marca li lleven recursos a la seva missió principal.

Sancions per falta de compliance

no complir amb els requisits regulatoris i legals al voltant de la retenció, els permisos i l’emmagatzematge pot fer que s’imposin importants multes per falta de compliance. Abans de res, aquestes multes són sancions de la junta reguladora. A més d’això, és possible que hi hagi càrrecs associats, com els pagaments directes a les víctimes de les violacions, la prestació de serveis de resolució (monitorització de l’crèdit o protecció d’identitat) o demandes per danys i perjudicis.

Pèrdues de productivitat

Després d’una violació de dades, els equips de TI han d’abandonar el que estiguin fent per respondre i resoldre l’amenaça. Si es produeix la pèrdua de dades, es destina temps a restaurar els respatllers. Una violació de seguretat probablement afectarà la capacitat d’alguns empleats d’accedir i utilitzar les dades que necessiten per completar els seus treballs. En un estudi recent que va realitzar CISCO, el 48% de les empreses amb més de 10,000 empleats van experimentar, a el menys, quatre hores de temps d’inactivitat per una violació de dades, i un terç va experimentar fins a 16 hores de temps d’inactivitat.

Tipus de tecnologia de seguretat de dades

Protegir les dades en el núvol o en les instal·lacions implicarà fer servir una o més de les següents tecnologies:

  • Encriptació de dades
  • Emmascarament de dades
  • tokenització
  • Eliminació de dades
  • Autenticació
  • Control d’accés
  • Suports i recuperació
  • Resiliència de dades

Encriptació de dades

La codificació de dades evita que usuaris no autoritzats accedeixin a les dades. Aquesta tècnica requereix cert tipus d’autorització o clau per descodificar i veure o editar les dades. La codificació principalment s’aplica a el nivell de la xarxa i la infraestructura; però, els actius físics, les memòries flash o els discs durs també poden emprar aquest mètode de seguretat de dades. A més, la codificació es pot aplicar dins de les aplicacions. Per exemple:

Dades originals: John Smith

Codificat: 393938383838

descodificat: John Smith

Estat de bloqueig: bloquejat, es pot desbloquejar

Accés: els usuaris finals poden accedir a tot el conjunt de dades

Emmascarament de dades

Quan es emmascaren les dades, es reemplaça la totalitat o part de les dades. Sovint, veiem aquest cas quan es mostren els números d’una targeta de crèdit o els números de l’assegurança social. Les dades hi són, però no es pot accedir-hi. Aquesta tècnica es fa servir per a situacions on les dades es guarden en el sistema, però, a causa de problemes de compliance, com la PCI o la HIPAA, els usuaris no poden veure les dades reals. No es pot revertir l’emmascarament.Una vegada que les dades es emmascaren, perden el seu valor i no estan disponibles per al seu ús en cap altra funció. Per exemple: a

Dades originals: John Smith

Emmascarat: 393938383838

No emmascarat: n / c

Estat de bloqueig: bloquejat, no es pot desbloquejar

Accés: els usuaris finals no poden accedir a les dades, i les dades no es poden usar per a anàlisis

tokenització

Si bé és important aprofitar el valor de totes les dades, certs elements de les dades, com la informació personal d’identificació (PII), els detalls metges i la informació financera, han de manejar amb particular cura. La tokenització els permet a les organitzacions amagar la informació confidencial però conservar la seva importància. A diferència de la codificació, on les dades es poden desbloquejar, o emmascarar, i, a més, perden el seu valor, la tokenització no es pot desbloquejar, però les seves característiques segueixen sent valuoses. És possible que no conegui el nom i la direcció de cada client, però pot extreure dades per determinar, per exemple, quan els clients d’una regió particular gasten més en un article determinat.

Dades originals : John Smith

Tokenizado: 838383838

no eliminat: n / c

Estat de bloqueig: bloquejat, no es pot desbloquejar

accés: els usuaris finals poden accedir a la informació sobre les dades, però no a el conjunt real de dades

Eliminació de dades

a causa de l’augment en les reglamentacions sobre la protecció de la privacitat , com el GDPR i la CCPA, les empreses necessiten protegir les dades que reben i, a més, han de tenir un procés que elimini les dades. Una neteja de dades desorganitzada i una adherència descurada a el control de les dades poden fer que, per a algunes organitzacions, sigui impossible complir plenament amb les sol·licituds d’eliminació de dades, ja que no tenen un bon maneig en tots els llocs on els punts de dades es podrien allotjar. Quan es fa de forma correcta, l’eliminació de dades funciona així: a

Dades originals: John Smith

Eliminat:

No eliminat: n / c

Accés: les dades són inexistents. L’usuari final mai va saber que existien les dades.

Autenticació

L’autenticació és el procés pel qual els usuaris s’identifiquen i poden accedir a la informació. Per a alguns sistemes, és una contrasenya; per a altres, pot ser un indicador biomètric, com empremtes dactilars o escaneig facial. L’autenticació desbloqueja les dades bloquejats perquè les parts autoritzades els utilitzin. Això s’aplica a nivell de la xarxa, l’aplicació o l’arxiu.

Control d’accés

A l’establir grups d’usuaris i mètodes d’accés basats en rols, les organitzacions poden controlar què usuaris veuen quines dades. Això garanteix que els empleats que necessiten veure les dades confidencials estiguin degudament autoritzats per fer-ho. El control d’accés s’estableix en la majoria de les normes de compliance de dades per evitar, per exemple, que una recepcionista en un consultori mèdic vegi l’historial mèdic complet d’un pacient, en lloc de veure només la informació de l’assegurança que es necessita per registrar i agendar als pacients.

suports i recuperació

els respatllers i les recuperacions fan referència a la manera en què vostè emmagatzema les dades i com va a restaurar-los en cas de que es produeixi un incident. A l’igual que els serveis a nivell de consumidor que el protegeixen si esborra per error un arxiu o perd el seu telèfon, el suport a nivell empresarial significa separar dades en llocs diferents i segurs per proporcionar redundància. Si falla una ubicació, l’altra ubicació s’activa amb una imatge exacta de les dades. Les organitzacions fan servir les mètriques de Punt objectiu de recuperació (RPO) i Temps objectiu de recuperació (RTO) per determinar quines dades es recuperen i quant triguen a recuperar-se.

Resiliència de dades

la resiliència de dades fa referència a la rapidesa amb què vostè pot recuperar i restaurar les operacions en cas que es produeixi una violació de dades. En el passat, això s’aconseguia a l’desplegar diversos servidors en diferents ubicacions. Després de la recent crisi mundial, moltes organitzacions s’enfronten a centres de dades als quals no poden accedir. Per aquest motiu, consideren alternatives basades en el núvol, que es poden administrar de forma remota, tenen un suport automàtic davant falles i no requereixen de grans inversions inicials de capital.

Millors pràctiques de la seguretat de dades

Les millors pràctiques de la seguretat de dades es divideixen en tres categories principals:

  • Administració de el risc de les dades
  • Control de dades
  • Compliance de dades

Administració de el risc de les dades

l’administració de el risc de les dades és l’on. Proveeix un full de ruta per a les prioritats de la seguretat de dades. Aquí és on una organització determina quins regulacions ha de seguir, quin hauria de ser la seva postura al voltant de la seguretat i els KPI que es necessiten per demostrar compliment. Per exemple, encara que no emmagatzemi la informació de la targeta de crèdit, pot optar per complir amb la PCI perquè estableix un estàndard més alt pel que fa a la seguretat de dades.

Un altre element de l’administració de risc és la classificació de les dades. Si se sol·licita documentació legal i les dades no estan etiquetats, o estan etiquetats de forma incorrecta, les organitzacions podrien enfrontar-se a sancions o hores de treball tediós buscant dades, cosa que es pot comparar amb buscar una agulla en un paller virtual.

control de dades

el control de dades és el què. En funció de les obligacions de l’administració de el risc, el control de dades abasta les polítiques i les pràctiques que serveixen de base per a l’administració de dades. També determina la responsabilitat i defineix com es poden emmagatzemar les dades, com es transfereixen, com es pot accedir-hi, com es conserven i com es destrueixen. A més de les regles i tècniques, també hauria d’oferir orientació i perspectives perquè els usuaris mantinguin les dades segures i nets. A

Compliance de dades

El compliance de dades és el com. Aquí és on es realitza tot el treball real que es necessita per complir amb les normes de control. Per exemple, aquí és on s’estableix l’accés basat en rols en funció de la norma de la PCI que ha triat adoptar. El compliance representa el nivell d’execució de la selecció d’eines, tecnologies i processos per brindar support a la codificació, els tallafocs, els antivirus, el monitoratge i la resposta.

A diferència de l’control i l’administració de riscos, el compliance de les dades està en constant evolució. Encara que l’objectiu de mantenir el compliment amb la PCI o la HIPAA pot seguir sent coherent des d’una perspectiva de el risc i el control, els organismes d’auditoria s’adapten i revisen constantment el que significa complir amb les normes.

Els beneficis de la seguretat de dades

Mantenir una estratègia de seguretat de dades definida protegeix a tota l’organització. Sovint, les petites empreses que pateixen violacions deixen l’activitat en un any i acaben gastant una mitjana d’US $ 200,000. I per a aquells que travessen les conseqüències d’una violació de dades, hi haurà un enorme forat financer al voltant de la major quantitat de recursos i mà d’obra que es van necessitar per recuperar-se des d’una perspectiva tecnològica i des d’una perspectiva empresarial.

Amb una política de seguretat de dades sòlida, les organitzacions fomenten la confiança, estalvien recursos i eviten alterar les empreses a l’haver de gestionar una violació o una interrupció.

Solucions de seguretat de dades de Rackspace Technology

Amb més de dues dècades d’experiència en la seguretat i l’administració de dades per a algunes de les empreses més grans de món, Rackspace Technology ofereix solucions integrals i comprovades de seguretat de dades. La nostra metodologia abasta a les persones, els processos i la tecnologia per proveir les solucions que necessita per implementar la seguretat a nivell empresarial, mantenir el compliance i guanyar la confiança dels clients. Les solucions inclouen serveis de seguretat administrats, assistència per al compliance, privacitat i protecció de dades, eines de seguretat i política de seguretat, com també la nostra solució Quickstart que el posa en marxa ràpidament.

Nota de l’editor: ¡octubre és el Mes Nacional de Conscienciació sobre la Seguretat Informàtica (NCSAM)! Assegureu-vos de revisar tota la nostra sèrie de recursos orientats a la seguretat per al NCSAM 2020, que inclouen el següent:

  • Seminari web: El nou escenari de la ciberseguretat (en viu el 7 d’octubre o sota demanda)
  • Seminari web: Navegar per les amenaces de la ciberseguretat avui (en viu el 22 d’octubre o sota demanda)
  • Article: Què provoca la manca de competències en la ciberseguretat ?
  • Article: L’COVID-19 i la “nova normalitat” per a la ciberseguretat empresarial
  • Podcast amb Cloudflare: Expectatives de l’consumidor en línia després de l’COVID-19

Leave a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *