Que é a seguridade de datos?

por Nirmal Ranganathan, Jared Jacobson – 2 de outubro de 2020

Holding teléfono intelixente con imaxe de seguridade amosada

A seguridade de datos refírese ás súas políticas e estándares para protexer os seus datos: na súa rede, na súa infraestrutura e as súas aplicacións e en varias capas. Os métodos de seguridade de datos inclúen ambientes nas instalacións e en nube e inclúen codificación, enmascaramento, táctil, eliminación, autenticación, control de acceso, copia de seguridade e recuperación e resiliência de datos. A seguridade dos datos tamén supón as demandas relacionadas co cumprimento, motivado por normas gobernamentais ou normas industriais, como PCI ou HIPAA.

A importancia da seguridade de datos

segundo un recente O informe de Verizon, un de cada oito violacións de seguridade ten razóns económicas e todos crean turbulencias financeiras para as vítimas. Unha violación de datos pode causar tanto interrupción como a que ocorre debido á falta de cumprimento. Sen unha sólida estratexia de seguridade de datos, podería arriscarse que hai consecuencias nas relacións públicas, que as sancións son impostas por falta de cumprimento e que se producen perdas de produtividade. Algunhas das consecuencias comúns dunha violación de datos son as seguintes:

Consecuencias nas relacións públicas

As expectativas dos consumidores en liña están crecendo. Polo tanto, cando os clientes potenciais ou investimentos descobren que a súa organización foi obxecto dunha violación, considérase imprudente e pouco fiable, aínda que fixeches todo o que debía facer. Esta percepción podería causar a perda de participación no mercado e ata que teña un impacto sobre o prezo das túas accións. O esforzo e custo de corrixir a violación inicial, xestionar os medios, comunicarse cos clientes e reconstruír a súa marca tomará recursos desde a súa principal misión.

As sancións por falta de cumprimento

facer Non cumprir os requisitos reguladores e xurídicos sobre a retención, os permisos e o almacenamento poden causar multas importantes por falta de cumprimento. Primeiro de todo, estas multas son sancións do Consello Regulador. Ademais, é posible que hai cargos asociados, como os pagamentos directos ás vítimas de violacións, a prestación de servizos de resolución (seguimento de crédito ou protección da identidade) ou demandas por danos.

PERDIENCIAS DE PRODUCTORIA

Despois dunha violación de datos, os equipos deben abandonar o que están a facer para responder e resolver a ameaza. Se a perda de datos ocorre, o tempo pretende restaurar as copias de seguridade. Unha violación de seguridade probablemente afectará a capacidade dalgúns empregados para acceder e utilizar os datos que necesitan para completar o seu traballo. Nun estudo recente realizado por Cisco, o 48% das empresas con máis de 10.000 empregados experimentaron, polo menos catro horas de tempo de inactividade para unha violación de datos e un terzo experimentado ata 16 horas de tempo de inactividade.

Tipos de tecnoloxía de seguridade de datos

Protexer datos na nube ou nas instalacións implicará a utilización dunha ou máis das seguintes tecnoloxías:

  • datos cifrado
  • Masking de datos
  • Tokenization
  • Difusión de datos
  • autenticación
  • Control de acceso
  • BackRests e recuperación
  • Resiliência de datos

Cifrado de datos

A codificación de datos impide que os usuarios non autorizados accedan aos datos. Esta técnica require un certo tipo de autorización ou clave para decodificar e ver ou editar os datos. A codificación aplícase principalmente ao nivel da rede e da infraestrutura; Non obstante, os activos físicos, os recordos flash ou os discos duros tamén poden empregar este método de seguridade de datos. Ademais, a codificación pódese aplicar dentro das aplicacións. Por exemplo:

Datos orixinais: John Smith

codificado: 393938383838

Decodificado: John Smith

Estado de bloqueo: bloqueado, pode Desbloquear

Acceso: os usuarios finais poden acceder a todo o conxunto de datos

Masking de datos

Cando os datos están enmascarados, o conxunto é substituído ou parte dos datos. Frecuentemente, vemos este caso ao mostrar o número dunha tarxeta de crédito ou números de seguridade social. Os datos están aí, pero non pode acceder a eles. Esta técnica utilízase para situacións onde se gardan datos no sistema, pero, debido a problemas de cumprimento, como PCI ou HIPAA, os usuarios non poden ver os datos reais. Non podes revertir o enmascaramento.Unha vez que os datos están enmascarados, perden o seu valor e non están dispoñibles para o seu uso en calquera outra función. Por exemplo:

Datos orixinais: John Smith

Enmascarado: 393938383838

Non enmascarado: n / c

Estado de bloqueo: bloqueado, non pode ser desbloqueado

Acceso: os usuarios finais non poden acceder aos datos e os datos non se poden empregar para a análise

tokenization

Aínda que é importante aproveitar o valor de todos os datos, certos elementos dos datos, como a información de identificación persoal (PII), os datos médicos e a información financeira, deben ser tratados con especial atención. A tokenization permite ás organizacións ocultar información confidencial pero preservar a súa importancia. A diferenza da codificación, onde se poden desbloquear os datos, ou enmascarar e, ademais, perden o seu valor, a tokenización non pode ser desbloqueada, pero as súas características seguen sendo valiosas. É posible que non saiba o nome e enderezo de cada cliente, pero pode extraer datos para determinar, por exemplo, cando os clientes dunha rexión determinada gastan máis nun determinado artigo.

Datos orixinais: John Smith

Tokenized: 838383838

Non eliminado: N / C

Estado de bloqueo: Bloqueado, non se pode desbloquear

Acceso: final Os usuarios poden acceder a información sobre datos, pero non ao conxunto de datos de datos

Disposición de datos

Debido ao aumento da normativa sobre protección de privacidade, como a GDPR e a CCPA, as empresas necesitan Para protexer os datos que reciben e, ademais, deben ter un proceso que elimine os datos. A limpeza de datos desorganizada e a adherencia descoidada ao control de datos poden facer que, para algunhas organizacións, é imposible cumprir plenamente as solicitudes de eliminación de datos, xa que non teñen unha boa xestión en todos os lugares onde os puntos de datos poderían ser acomodados. Cando se faga correctamente, a eliminación de datos funciona do seguinte xeito:

Datos orixinais: John Smith

Eliminado:

Non eliminado: N / C

Acceso: os datos non existen. O usuario final nunca soubo que os datos existían.

autenticación

A autenticación é o proceso polo cal os usuarios identifican e poden acceder á información. Para algúns sistemas, é un contrasinal; Para outros, pode ser un indicador biométrico, como as impresións dixitais ou a exploración facial. A autenticación desbloquea os datos bloqueados para que as pezas autorizadas usen. Isto aplícase no nivel de rede, a aplicación ou o ficheiro.

Control de acceso

Ao establecer grupos de usuario e métodos de acceso a base de roles, as organizacións poden controlar os que os usuarios ven os datos. Isto garante que os empregados que precisen ver os datos confidenciais están debidamente autorizados a facelo. O control de acceso establécese na maioría dos estándares de cumprimento de datos para evitar, por exemplo, que unha recepcionista nunha oficina médica vexa a historia médica completa dun paciente, en vez de ver só a información do seguro que se necesita para rexistrar e programar os pacientes.

copias de seguridade e recuperación

As costas e recuperacións refírense á forma de almacenar os datos e como vai restauralos en caso de que se produza un incidente. Do mesmo xeito que os servizos de nivel de consumo que o protexen se se equivocan ou perde o seu teléfono, a copia de seguridade de nivel de negocio significa separar datos en lugares diferentes e seguros para proporcionar redundancia. Se falla unha localización, a outra localización está activada cunha imaxe precisa dos datos. As organizacións utilizan as métricas do punto de destino de recuperación (RPO) e o tempo de destino de recuperación (RTO) para determinar cales son os datos que se recuperan e canto tempo leva a recuperarse.

Resiliência de datos

Resiliência de datos Refírese á rapidez con que pode recuperar e restaurar as operacións no caso de que se produza unha violación de datos. No pasado, isto conseguiuse desplegando varios servidores en diferentes lugares. Despois da recente crise mundial, moitas organizacións enfrontan centros de datos aos que non poden acceder. Por este motivo, consideran alternativas baseadas na nube, que poden ser administradas de forma remota, teñen facultade de copia de seguridade automática e non requiren grandes investimentos de capital inicial.

As mellores prácticas de seguridade de datos

As mellores prácticas de seguridade de datos están divididas en tres categorías principais:

  • Xestión de risco de datos
  • Control de datos
  • Compliance de datos

Xestión de riscos de datos

Xestión de risco dos datos é onde. Ofrece un mapa de ruta para as prioridades de seguridade de datos. Aquí é onde unha organización determina que a normativa debe seguir, cal debe ser a súa postura en torno á seguridade e aos KPIs que son necesarios para demostrar o cumprimento. Por exemplo, mesmo se non almacena a información da tarxeta de crédito, pode optar por cumprir co PCI porque establece un estándar máis alto en termos de seguridade de datos.

Outro elemento de xestión de riscos é a clasificación de os datos. Se se solicita a documentación legal e os datos non están etiquetados ou están etiquetados incorrectamente, as organizacións poderían afrontar sancións ou horas de traballo tedioso buscando datos, algo que se pode comparar a buscar unha agulla nun Virtual Hayloft.

Control de datos

O control de datos é o que. Dependendo das obrigas de xestión de riscos, o control de datos abarca políticas e prácticas que serven de base para a xestión de datos. Tamén determina a responsabilidade e define como se poden almacenar os datos, como se transfiren, como se poden acceder, como se conservan e como son destruídos. Ademais das regras e técnicas, tamén debe ofrecer orientacións e perspectivas para que os usuarios manteñan datos seguros e limpos.

Compliance de datos

O cumprimento de datos é o. Aquí é onde se realiza todo o traballo real para cumprir as regras de control. Por exemplo, aquí é onde se establece o acceso baseado en papel en función do estándar PCI que escolleu para adoptar. O cumprimento representa o nivel de execución da selección de ferramentas, tecnoloxías e procesos para proporcionar soporte a codificación, firewalls, antivirus, seguimento e resposta.

A diferenza de control e administración de riscos, o cumprimento de datos está a evolucionar constantemente .. Aínda que o obxectivo de manter o cumprimento do PCI ou HIPAA pode permanecer consistente a partir dunha perspectiva de risco e control, as axencias de auditoría adaptan e repasan constantemente o que significa cumprir cos estándares.

Os beneficios de seguridade de datos

Manter unha estratexia de seguridade definida de datos protexe toda a organización. Moitas veces, as pequenas empresas que padecen violacións deixan a actividade nun ano e terminan gastando unha media de US $ 200.000. E para aqueles que pasan polas consecuencias dunha violación de datos, haberá un enorme buraco financeiro en torno a tantos recursos e traballo que se necesitaban para recuperarse dunha perspectiva tecnolóxica e desde unha perspectiva empresarial.

cun Política de seguridade de datos sólida, as organizacións fomentan a confianza, aforran recursos e evitan alterar ás empresas ao ter que manexar unha violación ou interrupción.

RackSpace Tecnoloxía de seguridade Solucións de seguridade

con máis de dúas décadas de seguridade A experiencia e a xestión de datos para algunhas das maiores empresas do mundo, a tecnoloxía RackSpace ofrece solucións de seguridade de datos comprobadas e verificadas. A nosa metodoloxía abarca persoas, procesos e tecnoloxía para proporcionar as solucións que precisa para implementar a seguridade a nivel empresarial, manter o cumprimento e obter confianza do cliente. As solucións inclúen servizos de seguridade xestionados, asistencia para o cumprimento, privacidade e protección de datos, ferramentas de seguridade e política de seguridade, así como a nosa solución rápida que a pon rapidamente.

Nota do editor: O mes de outubro é o mes de concienciación nacional no ordenador Seguridade (NCSAM)! Asegúrese de revisar toda a nosa serie de recursos orientados á seguridade para NCSAM 2020, que inclúe o seguinte:

  • Web Seminar: o novo escenario da Cibersegurity (Live o 7 de outubro ou a baixa demanda)
  • Seminario web: busca as ameazas da seguridade cibernética hoxe (en directo o 22 de outubro ou a demanda)
  • Artigo: ¿Que causa a falta de competencias na ciberseguridade? ¿?
  • Artigo: The Covid-19 e a “nova normalidade” para a empresa Cibersegurity
  • Podcast con Cloudflare: expectativas do consumidor en liña despois do covid-19

Leave a Comment

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *