Podcast
Questions and Answers
La edad de los datos es un criterio utilizado para determinar su sensibilidad.
La edad de los datos es un criterio utilizado para determinar su sensibilidad.
True
Las aplicaciones no necesitan ser clasificadas si contienen información sensible.
Las aplicaciones no necesitan ser clasificadas si contienen información sensible.
False
El valor de los datos no afecta su nivel de protección requerido.
El valor de los datos no afecta su nivel de protección requerido.
False
La clasificación de un activo debe ser tan alta como la clasificación de los datos más valiosos en él.
La clasificación de un activo debe ser tan alta como la clasificación de los datos más valiosos en él.
Signup and view all the answers
Los costos de oportunidad perdidos no son un factor a considerar al clasificar datos.
Los costos de oportunidad perdidos no son un factor a considerar al clasificar datos.
Signup and view all the answers
La responsabilidad legal no influye en la sensibilidad de los datos.
La responsabilidad legal no influye en la sensibilidad de los datos.
Signup and view all the answers
Los datos pueden ser clasificados independientemente de su formato.
Los datos pueden ser clasificados independientemente de su formato.
Signup and view all the answers
Un programa con vulnerabilidades de seguridad puede ser adecuado para proteger información sensible.
Un programa con vulnerabilidades de seguridad puede ser adecuado para proteger información sensible.
Signup and view all the answers
Un dispositivo de hardware es visible, tangible y puede ser escaneado con un código de barras.
Un dispositivo de hardware es visible, tangible y puede ser escaneado con un código de barras.
Signup and view all the answers
La publicación de la norma ISO 28000:2007 busca simplificar el proceso de compra de hardware.
La publicación de la norma ISO 28000:2007 busca simplificar el proceso de compra de hardware.
Signup and view all the answers
Los dispositivos desconocidos pueden aparecer en las redes de una organización sin que se detecten.
Los dispositivos desconocidos pueden aparecer en las redes de una organización sin que se detecten.
Signup and view all the answers
Rogue wireless access points son una forma de amenaza que puede presentarse en una red.
Rogue wireless access points son una forma de amenaza que puede presentarse en una red.
Signup and view all the answers
El seguimiento de hardware legítimo es siempre suficiente para garantizar la seguridad de una red.
El seguimiento de hardware legítimo es siempre suficiente para garantizar la seguridad de una red.
Signup and view all the answers
El monitoreo de dispositivos puede realizarse simplemente caminando aleatoriamente por las instalaciones de la organización.
El monitoreo de dispositivos puede realizarse simplemente caminando aleatoriamente por las instalaciones de la organización.
Signup and view all the answers
La seguridad de la cadena de suministro solo importa al momento de la compra del hardware.
La seguridad de la cadena de suministro solo importa al momento de la compra del hardware.
Signup and view all the answers
Los dispositivos de hardware solo pueden ser comprometidos por fabricantes corruptos.
Los dispositivos de hardware solo pueden ser comprometidos por fabricantes corruptos.
Signup and view all the answers
La provisión de activos IaaS solo puede ser realizada por el departamento de IT.
La provisión de activos IaaS solo puede ser realizada por el departamento de IT.
Signup and view all the answers
El aprovisionamiento de PaaS siempre es manejado por personal ajeno al departamento de IT.
El aprovisionamiento de PaaS siempre es manejado por personal ajeno al departamento de IT.
Signup and view all the answers
El aprovisionamiento de SaaS permite a un grupo más amplio de usuarios gestionar aplicaciones autorizadas.
El aprovisionamiento de SaaS permite a un grupo más amplio de usuarios gestionar aplicaciones autorizadas.
Signup and view all the answers
Los activos de nube deben ser aprovisionados sin considerar su impacto organizativo.
Los activos de nube deben ser aprovisionados sin considerar su impacto organizativo.
Signup and view all the answers
El equipo de IT está siempre involucrado en la provisión de servicios de desarrollo web internos.
El equipo de IT está siempre involucrado en la provisión de servicios de desarrollo web internos.
Signup and view all the answers
La provisión de nuevos servidores requiere la aprobación de la alta dirección.
La provisión de nuevos servidores requiere la aprobación de la alta dirección.
Signup and view all the answers
Las plataformas deben ser restringidas para que solo un equipo tenga acceso a ellas.
Las plataformas deben ser restringidas para que solo un equipo tenga acceso a ellas.
Signup and view all the answers
La disponibilidad inmediata de aplicaciones y plataformas no es importante para los usuarios autorizados.
La disponibilidad inmediata de aplicaciones y plataformas no es importante para los usuarios autorizados.
Signup and view all the answers
Las organizaciones que ofrecen servicios a sus clientes no necesitan preocuparse por la destrucción de datos durante una migración.
Las organizaciones que ofrecen servicios a sus clientes no necesitan preocuparse por la destrucción de datos durante una migración.
Signup and view all the answers
Los datos se destruyen completamente solo marcando la memoria como disponible para otros datos.
Los datos se destruyen completamente solo marcando la memoria como disponible para otros datos.
Signup and view all the answers
La destrucción de datos es más complicada cuando se trata de archivos individuales o registros de bases de datos.
La destrucción de datos es más complicada cuando se trata de archivos individuales o registros de bases de datos.
Signup and view all the answers
Existen prácticas recomendadas para combatir la remanencia de datos según la publicación NIST 800-88.
Existen prácticas recomendadas para combatir la remanencia de datos según la publicación NIST 800-88.
Signup and view all the answers
Es innecesario considerar los detalles técnicos de almacenamiento de datos para su destrucción adecuada.
Es innecesario considerar los detalles técnicos de almacenamiento de datos para su destrucción adecuada.
Signup and view all the answers
La desmagnetización es un método utilizado para destruir dispositivos físicos como discos duros.
La desmagnetización es un método utilizado para destruir dispositivos físicos como discos duros.
Signup and view all the answers
La venta de cuentas como hipotecas entre empresas no requiere la transferencia de datos.
La venta de cuentas como hipotecas entre empresas no requiere la transferencia de datos.
Signup and view all the answers
Los sistemas de correo electrónico suelen utilizar registros de base de datos para almacenar información de los buzones.
Los sistemas de correo electrónico suelen utilizar registros de base de datos para almacenar información de los buzones.
Signup and view all the answers
La información incorrecta de un ciudadano inocente fue ingresada como la de un asesino convicto.
La información incorrecta de un ciudadano inocente fue ingresada como la de un asesino convicto.
Signup and view all the answers
El mantenimiento de datos no es importante para evitar multas o demandas en organizaciones.
El mantenimiento de datos no es importante para evitar multas o demandas en organizaciones.
Signup and view all the answers
Las organizaciones modernas pueden operar de manera significativa sin compartir información.
Las organizaciones modernas pueden operar de manera significativa sin compartir información.
Signup and view all the answers
Los errores de datos pueden ser corregidos fácilmente una vez que son descubiertos.
Los errores de datos pueden ser corregidos fácilmente una vez que son descubiertos.
Signup and view all the answers
Los sistemas dinámicos a menudo tienen capacidades de retroceso para manejar inconsistencias.
Los sistemas dinámicos a menudo tienen capacidades de retroceso para manejar inconsistencias.
Signup and view all the answers
La replicación de datos es necesaria para mantener la integridad en múltiples almacenes de datos.
La replicación de datos es necesaria para mantener la integridad en múltiples almacenes de datos.
Signup and view all the answers
Las organizaciones que utilizan servicios de gestión de identidad de terceros no necesitan compartir información para acceder a sus sistemas.
Las organizaciones que utilizan servicios de gestión de identidad de terceros no necesitan compartir información para acceder a sus sistemas.
Signup and view all the answers
La falta de intercambio de información puede dificultar la venta de productos en línea.
La falta de intercambio de información puede dificultar la venta de productos en línea.
Signup and view all the answers
La ______ es un proceso continuo y no un esfuerzo único.
La ______ es un proceso continuo y no un esfuerzo único.
Signup and view all the answers
La información puede ser clasificada por ______, criticidad, o ambos.
La información puede ser clasificada por ______, criticidad, o ambos.
Signup and view all the answers
Un archivo personal pertenece a la clase denominada '______'.
Un archivo personal pertenece a la clase denominada '______'.
Signup and view all the answers
La ______ de los datos influye en el nivel de protección que se aplica a ellos.
La ______ de los datos influye en el nivel de protección que se aplica a ellos.
Signup and view all the answers
Las organizaciones buscan ______ su información sensible para evitar pérdidas o fugas.
Las organizaciones buscan ______ su información sensible para evitar pérdidas o fugas.
Signup and view all the answers
El nivel de ______ de un activo ayuda a las organizaciones a determinar los recursos necesarios para su protección.
El nivel de ______ de un activo ayuda a las organizaciones a determinar los recursos necesarios para su protección.
Signup and view all the answers
Los datos deben ser ______ adecuadamente después de ser identificados como importantes.
Los datos deben ser ______ adecuadamente después de ser identificados como importantes.
Signup and view all the answers
Los registros y archivos sensibles deben ser protegidos para evitar ser publicados en el ______.
Los registros y archivos sensibles deben ser protegidos para evitar ser publicados en el ______.
Signup and view all the answers
Una ______ está incrustada en la pared y se puede esconder fácilmente.
Una ______ está incrustada en la pared y se puede esconder fácilmente.
Signup and view all the answers
La ______ permite el acceso a los objetos de valor, ya que es lo suficientemente grande como para entrar.
La ______ permite el acceso a los objetos de valor, ya que es lo suficientemente grande como para entrar.
Signup and view all the answers
Un ______ permite deslizar fácilmente objetos de valor dentro de su ranura.
Un ______ permite deslizar fácilmente objetos de valor dentro de su ranura.
Signup and view all the answers
Es recomendable cambiar la ______ de la caja fuerte periódicamente.
Es recomendable cambiar la ______ de la caja fuerte periódicamente.
Signup and view all the answers
Las cajas fuertes con función de ______ pueden detectar intentos de manipulación.
Las cajas fuertes con función de ______ pueden detectar intentos de manipulación.
Signup and view all the answers
La ______ es un modelo que describe los cambios que experimenta un activo durante su vida.
La ______ es un modelo que describe los cambios que experimenta un activo durante su vida.
Signup and view all the answers
Una ______ se encuentra normalmente en un área visible para disuadir accesos no autorizados.
Una ______ se encuentra normalmente en un área visible para disuadir accesos no autorizados.
Signup and view all the answers
Las cajas fuertes con bloqueo ______ implementan un bloqueo adicional al alcanzar una temperatura crítica.
Las cajas fuertes con bloqueo ______ implementan un bloqueo adicional al alcanzar una temperatura crítica.
Signup and view all the answers
El software ______ es aquel que no tiene licencia o que se ha copiado ilegalmente.
El software ______ es aquel que no tiene licencia o que se ha copiado ilegalmente.
Signup and view all the answers
Los ______ ayudan a gestionar y escanear automáticamente los dispositivos para asegurar que solo software aprobado esté instalado.
Los ______ ayudan a gestionar y escanear automáticamente los dispositivos para asegurar que solo software aprobado esté instalado.
Signup and view all the answers
Una ______ es una lista de software que está permitido ejecutar en un conjunto de dispositivos.
Una ______ es una lista de software que está permitido ejecutar en un conjunto de dispositivos.
Signup and view all the answers
El principio de ______ ayuda a restringir las capacidades de instalación de software por parte de los usuarios típicos.
El principio de ______ ayuda a restringir las capacidades de instalación de software por parte de los usuarios típicos.
Signup and view all the answers
El uso de ______ simplifica el aprovisionamiento y configuración de nuevos dispositivos en la organización.
El uso de ______ simplifica el aprovisionamiento y configuración de nuevos dispositivos en la organización.
Signup and view all the answers
La falta de seguimiento de cuántas copias de software existen puede resultar en ______ prolongadas de vulnerabilidad.
La falta de seguimiento de cuántas copias de software existen puede resultar en ______ prolongadas de vulnerabilidad.
Signup and view all the answers
Los escáneres de ______ son herramientas que permiten identificar vulnerabilidades en el software instalado.
Los escáneres de ______ son herramientas que permiten identificar vulnerabilidades en el software instalado.
Signup and view all the answers
Las organizaciones deben tener un ______ que evalúe los requisitos de aplicaciones legítimas para un manejo adecuado del software.
Las organizaciones deben tener un ______ que evalúe los requisitos de aplicaciones legítimas para un manejo adecuado del software.
Signup and view all the answers
Es importante ______ todos los datos en dispositivos móviles en un repositorio controlado por la organización.
Es importante ______ todos los datos en dispositivos móviles en un repositorio controlado por la organización.
Signup and view all the answers
La función de ______ remoto permite eliminar información de un dispositivo si se pierde o es robado.
La función de ______ remoto permite eliminar información de un dispositivo si se pierde o es robado.
Signup and view all the answers
El uso de ______ puede ayudar a rastrear un dispositivo robado si se instala correctamente.
El uso de ______ puede ayudar a rastrear un dispositivo robado si se instala correctamente.
Signup and view all the answers
Es esencial educar al personal sobre el manejo adecuado de ______ para prevenir pérdidas de información.
Es esencial educar al personal sobre el manejo adecuado de ______ para prevenir pérdidas de información.
Signup and view all the answers
Todas las ______ sensibles deben ser guardadas en un lugar seguro tan pronto como se termine de usarlas.
Todas las ______ sensibles deben ser guardadas en un lugar seguro tan pronto como se termine de usarlas.
Signup and view all the answers
Es recomendable ______ la información sensible en papel con su nivel de clasificación.
Es recomendable ______ la información sensible en papel con su nivel de clasificación.
Signup and view all the answers
Se recomienda ______ aleatoriamente las bolsas de los empleados al salir para asegurar que no se lleven documentos sensibles.
Se recomienda ______ aleatoriamente las bolsas de los empleados al salir para asegurar que no se lleven documentos sensibles.
Signup and view all the answers
Un ______ se usa comúnmente para almacenar cintas de respaldo de datos y otros objetos de valor.
Un ______ se usa comúnmente para almacenar cintas de respaldo de datos y otros objetos de valor.
Signup and view all the answers
Los profesionales de seguridad deben retener datos de manera que sean fáciles de ______ y ______.
Los profesionales de seguridad deben retener datos de manera que sean fáciles de ______ y ______.
Signup and view all the answers
Un motivo común para retener datos es el análisis de ______.
Un motivo común para retener datos es el análisis de ______.
Signup and view all the answers
Es importante que la decisión de retener datos sea ______, específica y ______.
Es importante que la decisión de retener datos sea ______, específica y ______.
Signup and view all the answers
Legalmente, es esencial que el asesoramiento legal esté involucrado en el proceso de ______ de datos.
Legalmente, es esencial que el asesoramiento legal esté involucrado en el proceso de ______ de datos.
Signup and view all the answers
Los datos deben ser desechados de manera adecuada y oportuna si no deben ser ______.
Los datos deben ser desechados de manera adecuada y oportuna si no deben ser ______.
Signup and view all the answers
Las organizaciones deben considerar qué información es ______ en función de los acuerdos comerciales.
Las organizaciones deben considerar qué información es ______ en función de los acuerdos comerciales.
Signup and view all the answers
Los registros de una conversación telefónica, un correo electrónico o las actas de una reunión son ejemplos de ______ que pueden requerirse.
Los registros de una conversación telefónica, un correo electrónico o las actas de una reunión son ejemplos de ______ que pueden requerirse.
Signup and view all the answers
Las organizaciones deben asegurarse de que pueden ______ y proporcionar datos relevantes a solicitud.
Las organizaciones deben asegurarse de que pueden ______ y proporcionar datos relevantes a solicitud.
Signup and view all the answers
¿Cuál es el nivel de sensibilidad más alto en el ámbito militar?
¿Cuál es el nivel de sensibilidad más alto en el ámbito militar?
Signup and view all the answers
¿Qué tipo de información se clasifica como 'sensible' en el contexto comercial?
¿Qué tipo de información se clasifica como 'sensible' en el contexto comercial?
Signup and view all the answers
¿Qué tipo de información se considera 'pública' en una organización comercial?
¿Qué tipo de información se considera 'pública' en una organización comercial?
Signup and view all the answers
¿Qué implica clasificar información como 'confidencial' en el ámbito comercial?
¿Qué implica clasificar información como 'confidencial' en el ámbito comercial?
Signup and view all the answers
¿Cómo se clasifica la información que podría causar un daño adverso a la empresa si se divulga?
¿Cómo se clasifica la información que podría causar un daño adverso a la empresa si se divulga?
Signup and view all the answers
En la clasificación militar, ¿qué nivel de información se encuentra justo por encima de 'confidencial'?
En la clasificación militar, ¿qué nivel de información se encuentra justo por encima de 'confidencial'?
Signup and view all the answers
¿Cuál es la diferencia entre 'controlado no clasificado' y 'no clasificado' en el contexto militar?
¿Cuál es la diferencia entre 'controlado no clasificado' y 'no clasificado' en el contexto militar?
Signup and view all the answers
¿Qué se entiende por 'privado' en el ámbito comercial?
¿Qué se entiende por 'privado' en el ámbito comercial?
Signup and view all the answers
¿Qué medidas deben tomarse para asegurar la protección de dispositivos móviles que contienen datos sensibles?
¿Qué medidas deben tomarse para asegurar la protección de dispositivos móviles que contienen datos sensibles?
Signup and view all the answers
¿Por qué es importante educar al personal sobre el manejo de documentos en papel?
¿Por qué es importante educar al personal sobre el manejo de documentos en papel?
Signup and view all the answers
Menciona dos principios clave para la protección de documentos sensibles en papel.
Menciona dos principios clave para la protección de documentos sensibles en papel.
Signup and view all the answers
¿Cuál es el propósito de etiquetar los documentos con su nivel de clasificación?
¿Cuál es el propósito de etiquetar los documentos con su nivel de clasificación?
Signup and view all the answers
¿Qué características deben tener las cajas fuertes utilizadas por las organizaciones?
¿Qué características deben tener las cajas fuertes utilizadas por las organizaciones?
Signup and view all the answers
¿Qué se recomienda hacer con los documentos sensibles que ya no son necesarios?
¿Qué se recomienda hacer con los documentos sensibles que ya no son necesarios?
Signup and view all the answers
¿Por qué es crucial realizar auditorías rutinarias en los espacios de trabajo?
¿Por qué es crucial realizar auditorías rutinarias en los espacios de trabajo?
Signup and view all the answers
¿Qué papel juega el software de rastreo en la protección de dispositivos móviles?
¿Qué papel juega el software de rastreo en la protección de dispositivos móviles?
Signup and view all the answers
¿Por qué es importante tener un sistema eficaz para localizar datos retenidos?
¿Por qué es importante tener un sistema eficaz para localizar datos retenidos?
Signup and view all the answers
¿Cuáles son algunas razones comunes para retener datos en una organización?
¿Cuáles son algunas razones comunes para retener datos en una organización?
Signup and view all the answers
¿Qué rol desempeña el asesor legal en la retención de datos?
¿Qué rol desempeña el asesor legal en la retención de datos?
Signup and view all the answers
¿Qué debe considerar una organización al decidir qué datos retener?
¿Qué debe considerar una organización al decidir qué datos retener?
Signup and view all the answers
¿Cómo se puede garantizar que los datos no deseados sean eliminados adecuadamente?
¿Cómo se puede garantizar que los datos no deseados sean eliminados adecuadamente?
Signup and view all the answers
¿Qué desafíos podría enfrentar una organización al intentar localizar datos antiguos?
¿Qué desafíos podría enfrentar una organización al intentar localizar datos antiguos?
Signup and view all the answers
¿Qué implicaciones podría tener la falta de un sistema de retención de datos en una empresa?
¿Qué implicaciones podría tener la falta de un sistema de retención de datos en una empresa?
Signup and view all the answers
¿Por qué podría ser costoso localizar y proporcionar datos a solicitud judicial?
¿Por qué podría ser costoso localizar y proporcionar datos a solicitud judicial?
Signup and view all the answers
¿Cuál es el propósito del sistema de archivos FAT en la creación de un archivo de texto?
¿Cuál es el propósito del sistema de archivos FAT en la creación de un archivo de texto?
Signup and view all the answers
¿Qué información se incluye en la tabla de metadatos de un archivo en un sistema FAT?
¿Qué información se incluye en la tabla de metadatos de un archivo en un sistema FAT?
Signup and view all the answers
Explica brevemente qué es el 'EOF' en un sistema FAT.
Explica brevemente qué es el 'EOF' en un sistema FAT.
Signup and view all the answers
¿Cómo ayuda el sistema FAT a entender otros sistemas de archivos modernos?
¿Cómo ayuda el sistema FAT a entender otros sistemas de archivos modernos?
Signup and view all the answers
¿Qué representan los 'bloques de disco' en el contexto de FAT?
¿Qué representan los 'bloques de disco' en el contexto de FAT?
Signup and view all the answers
¿Por qué se considera que FAT es una herramienta educativa eficaz?
¿Por qué se considera que FAT es una herramienta educativa eficaz?
Signup and view all the answers
Describe cómo se gestiona el espacio libre en el sistema FAT.
Describe cómo se gestiona el espacio libre en el sistema FAT.
Signup and view all the answers
¿Cuál es una limitación del sistema de archivos FAT en la actualidad?
¿Cuál es una limitación del sistema de archivos FAT en la actualidad?
Signup and view all the answers
¿Cuál es la importancia de tener una política de retención de datos documentada en una organización?
¿Cuál es la importancia de tener una política de retención de datos documentada en una organización?
Signup and view all the answers
¿Qué se debe considerar al externalizar el almacenamiento de datos?
¿Qué se debe considerar al externalizar el almacenamiento de datos?
Signup and view all the answers
¿Por qué es problemático aplicar el período de retención más largo a todos los datasets de una organización?
¿Por qué es problemático aplicar el período de retención más largo a todos los datasets de una organización?
Signup and view all the answers
¿Qué enfoque es más eficaz para gestionar la retención de datos dentro de una organización?
¿Qué enfoque es más eficaz para gestionar la retención de datos dentro de una organización?
Signup and view all the answers
¿Por qué es importante involucrar al asesor legal al desarrollar políticas de retención de datos?
¿Por qué es importante involucrar al asesor legal al desarrollar políticas de retención de datos?
Signup and view all the answers
¿Qué desafíos puede representar el manejar grandes volúmenes de datos en procesos de e-discovery?
¿Qué desafíos puede representar el manejar grandes volúmenes de datos en procesos de e-discovery?
Signup and view all the answers
¿Cómo puede una organización determinar qué datos mantener por más tiempo?
¿Cómo puede una organización determinar qué datos mantener por más tiempo?
Signup and view all the answers
¿Cuáles son las tres preguntas fundamentales que una política de retención de datos debe responder?
¿Cuáles son las tres preguntas fundamentales que una política de retención de datos debe responder?
Signup and view all the answers
Study Notes
Parámetros para determinar la sensibilidad de los datos
- La utilidad de los datos
- El valor de los datos
- La antigüedad de los datos
- El nivel de daño que podría causar si los datos se divulgaran
- El nivel de daño que podría causar si los datos se modificaran o dañaran
- La responsabilidad legal, reglamentaria o contractual de proteger los datos
- Efectos que los datos tienen en la seguridad
- Quién debe poder acceder a los datos
- Quién debe mantener los datos
- Quién debe poder reproducir los datos
- Costos de oportunidad perdidos que podrían incurrirse si los datos no estuvieran disponibles o estuvieran dañados
Clasificación de activos
- La información no es lo único que debemos clasificar
- Los dispositivos que almacenan información confidencial deben clasificarse en función de los datos que contienen
- La clasificación de un activo debe ser tan alta como la clasificación de los datos más valiosos que contiene
Hardware and its security
- ISO 28000:2007 establece un enfoque para asegurar las cadenas de suministro
- La supervisión de los activos incluye rastrear dispositivos conocidos y identificar dispositivos desconocidos que puedan aparecer en las redes
- El monitoreo se puede lograr con procesos que busquen activamente dispositivos y aseguren el cumplimiento de las políticas de seguridad
Activación de activos de nube
- La activación de activos de nube debe estar controlada en función del impacto organizacional y el perfil de riesgo
- La activación se debe hacer disponible de manera rápida y segura para usuarios autorizados
- La configuración de la nube debe ser correcta para que las aplicaciones y la infraestructura estén disponibles para los usuarios autorizados
Mantenimiento de datos
- Las organizaciones deben mantener la precisión de los datos que utilizan y pueden ser críticos para los procesos comerciales
- Es importante tener un plan para el manejo de datos incorrectos
- Las organizaciones deben tener mecanismos para resolver inconsistencias en los datos, como por ejemplo cuando hay múltiples almacenes de datos
Compartir datos
- Las organizaciones modernas comparten información con sus clientes y proveedores
- La destrucción de datos debe ser segura y garantizar que los adversarios no puedan recuperar los datos
- Los métodos de destrucción de datos pueden ser físicos, como la eliminación de discos duros, o digitales, como la eliminación de archivos
Permanencia de datos
- La mayoría de las operaciones de eliminación de datos no eliminan realmente los datos, solo marcan la memoria como disponible para otros datos
- La permanencia de los datos es un problema porque los datos aún pueden ser recuperados después de la eliminación
- NIST Special Publication 800-88 describe las mejores prácticas para contrarrestar la permanencia de los datos
Clasificación de activos
- La clasificación es esencial para determinar el valor y los recursos necesarios para proteger diferentes tipos de datos.
- Asignar valores a diferentes activos y datos permite a las organizaciones decidir la cantidad de fondos y recursos que deben destinarse a la protección de cada clase.
- La clasificación es un proceso continuo y no un esfuerzo único, ya que las organizaciones generan y mantienen una gran cantidad de datos.
- La clasificación de datos proporciona un nivel de sensibilidad o criticidad a la información.
Protección de datos en dispositivos móviles
- Grabar el dispositivo con un símbolo o número para su identificación adecuada.
- Realizar copias de seguridad de todos los datos en dispositivos móviles a un repositorio controlado por la organización.
- Cifrar todos los datos en un dispositivo móvil.
- Habilitar el borrado remoto de datos en el dispositivo.
- Instalar software de rastreo para permitir el seguimiento del dispositivo en caso de robo.
Protección de registros en papel
- Educar al personal sobre el manejo adecuado de los registros en papel.
- Minimizar el uso de registros en papel.
- Asegurarse de que las áreas de trabajo se mantengan ordenadas para identificar fácilmente papeles sensibles expuestos.
- Realizar auditorías periódicas a las áreas de trabajo para garantizar que los documentos confidenciales no estén expuestos.
- Guardar bajo llave todo el papeleo confidencial tan pronto como se haya terminado de usarlo.
- Prohibir llevarse a casa papeleo confidencial.
- Etiquetar todo el papeleo con su nivel de clasificación.
- Idealmente, incluir el nombre del propietario y las instrucciones de disposición (por ejemplo, retención).
- Realizar inspecciones aleatorias de las bolsas de los empleados al salir de la oficina para garantizar que no se lleven a casa materiales confidenciales.
- Destruir los papeles confidenciales innecesarios mediante una trituradora de papel de corte transversal o considerar la posibilidad de contratar una empresa de destrucción de documentos.
Tipos de cajas fuertes
- Caja fuerte de pared: Incorporada a la pared y fácilmente oculta.
- Caja fuerte de suelo: Incorporada al suelo y fácilmente oculta.
- Cofres: Cajas fuertes independientes.
- Depósitos: Cajas fuertes con ranuras para introducir fácilmente objetos de valor.
- Bóvedas: Cajas fuertes lo suficientemente grandes como para permitir el acceso a pie.
Gestión del ciclo de vida de los activos
- Un modelo de ciclo de vida describe los cambios que experimenta una entidad durante su vida útil.
- La vida útil de un activo dentro de una organización se refiere al tiempo que permanece en uso dentro de la misma, incluso si se rehabilita y se utiliza en otro lugar.
- El ciclo de vida de un activo comienza con la identificación de una nueva necesidad.
Gestión de software
- La solución al problema de seguimiento del software es multifacética y comienza con una evaluación de los requisitos legítimos de aplicaciones de la organización.
- Lista blanca de aplicaciones: Una lista de software que puede ejecutarse en un dispositivo o conjunto de dispositivos.
- Uso de Gold Masters: Una imagen estándar de estación de trabajo o servidor que incluye software configurado y autorizado adecuadamente.
- Aplicación del principio de menor privilegio: Los usuarios típicos no deben poder instalar software en sus dispositivos para impedir la instalación de aplicaciones no autorizadas.
- Software de gestión de dispositivos: Los sistemas de gestión unificada de puntos finales (UEM) permiten gestionar completamente y de forma remota la mayoría de los dispositivos, como teléfonos inteligentes, tablets, portátiles, impresoras e incluso dispositivos de Internet de las cosas (IoT).
- Análisis automatizado: Todos los dispositivos de la red deben ser analizados periódicamente para asegurar que solo ejecutan software aprobado con las configuraciones apropiadas.
Retención de datos
- ¿Qué datos conservamos? La mayoría de los profesionales de la seguridad entienden la importancia de conservar información para fines de auditoría o cumplimiento legal, por ejemplo, durante tres años.
- ¿Cuánto tiempo los conservamos? Es importante definir cuánto tiempo se debe conservar la información, si es que se requiere.
- ¿Dónde conservamos los datos? La pregunta no se centra en la ubicación, sino en la forma en la que se conservan los datos en esa ubicación. La información retenida debe ser fácil de localizar y recuperar.
- ¿Por qué conservamos datos? Se conservan datos por diversas razones, como análisis de datos (para trazar tendencias y realizar predicciones), conocimiento histórico (¿cómo tratamos esto en el pasado?) y requisitos regulatorios.
- Consideraciones adicionales: Es importante considerar la información que podría ser valiosa en el contexto de acuerdos comerciales, asociaciones o tratos con terceros.
- Disposición de datos: La decisión de conservar datos debe ser deliberada, específica y ejecutable. Es necesario deshacerse de los datos que no se deben conservar, de forma rápida y adecuada.
Niveles de Sensibilidad
- Para el sector comercial los niveles de sensibilidad de la información de mayor a menor: Confidencial, Privado, Sensible, Público.
- Para fines militares, los niveles de sensibilidad de la información de mayor a menor: Top Secret, Secret, Confidential, Controlled Unclassified Information, Unclassified.
Tipos de Información
- La información pública, aunque no es bienvenida su divulgación, no tiene un impacto negativo para la empresa o el personal.
- La información sensible requiere precauciones adicionales para garantizar la integridad y confidencialidad de los datos. La información debe protegerse de modificaciones o eliminaciones no autorizadas.
- La información privada se usa internamente dentro de una empresa. La divulgación no autorizada podría afectar negativamente al personal o a la empresa.
- La información confidencial se usa solo dentro de la empresa.
Seguridad de Dispositivos Móviles
- Se deben tomar medidas para garantizar la seguridad de los dispositivos móviles, incluyendo grabado con un símbolo o número de identificación, copia de seguridad de datos en un repositorio controlado por la organización, cifrado de todos los datos en el dispositivo móvil.
- Es importante la posibilidad de borrar datos remotamente y utilizar software de rastreo.
Seguridad de Registros en Papel
- Es importante educar al personal sobre el manejo adecuado de los registros en papel para minimizar su uso y asegurar que los espacios de trabajo se mantengan ordenados.
- Se deben bloquear y guardar bajo llave todos los documentos confidenciales.
- Los documentos confidenciales no deben llevarse a casa.
- Deben etiquetarse los documentos con el nivel de clasificación, el nombre del propietario y las instrucciones pertinentes.
- Es necesario realizar búsquedas aleatorias en las bolsas de los empleados al salir de la oficina para verificar que no se estén llevando a casa materiales confidenciales.
- Los documentos confidenciales deben destruirse utilizando una trituradora de papel, o considerando contratar una empresa de destrucción de documentos.
Cajas Fuertes
- Las cajas fuertes se utilizan comúnmente para almacenar cintas de respaldo de datos, contratos originales u otros objetos de valor.
- Deben ser resistentes a la penetración y proporcionar protección contra incendios.
Políticas de Retención de Datos
- Es importante tener una política documentada de retención de datos para evitar posibles desastres.
- La política debe ser seguida y documentada a través de auditorías periódicas.
- Al externalizar el almacenamiento de datos, es importante especificar en el contrato cuánto tiempo debe conservar el proveedor de almacenamiento los datos después de que la empresa deje de hacer negocios con él.
Desarrollando una Política de Retención
- La política de retención de datos debe responder a tres preguntas fundamentales:
- ¿Qué datos conservamos?
- ¿Cuánto tiempo conservamos estos datos?
- ¿Dónde conservamos estos datos?
- Los datos retenidos deben ser fáciles de localizar y recuperar.
- Hay muchas razones para retener datos: análisis de datos, conocimiento histórico y requisitos reglamentarios.
- La decisión de conservar datos debe ser deliberada, específica y ejecutable.
Gestión de Datos
- La gestión de datos debe asegurar que se conserven solo los datos que se deciden conscientemente y que la disposición de los datos debe ser oportuna y adecuada.
- El sistema de archivos FAT se utiliza como un recurso de aprendizaje para comprender la creación y eliminación de archivos.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.
Related Documents
Description
Este cuestionario explora los parámetros clave para determinar la sensibilidad de los datos y la importancia de clasificar activos de información. También se abordan aspectos de seguridad del hardware y regulaciones ISO. Prepárate para evaluar tu comprensión sobre la protección de datos sensibles y la gestión de información crítica.