01 - Introducción a la Seguridad de la Información.pdf

Full Transcript

INTRODUCCIÓN A LA
SEGURIDAD DE LA
INFORMACIÓN
Curso Analista SOC

DIRECCIÓN DE CIBERDEFENSA
01 - Introducción a la seguridad de la información

La seguridad de la información se define como un conjunto de medidas de las organizaciones
tecnológicas que permite proteger la información buscando mantener su confidencialidad,
disponibilidad e integridad de los datos. Ok. Veamos qué hay tras esta parrafada. Lo primero que
debemos tener en cuenta del concepto de seguridad de la información es que se preocupa de
asegurar los datos estén donde estén. Esto hace que la seguridad de la información sea un
concepto más amplio que la tradicional seguridad informática. Con seguridad informática,
buscamos proteger los medios informáticos, mientras que, en seguridad de la información, el bien
a proteger no son los medios informáticos, sino los datos que pueden estar almacenados en ellos,
o bien en cualquier otro lugar. Un ejemplo muy gráfico sería pensar que la seguridad de la
información busca proteger, por ejemplo, todos los contratos impresos que están guardados en el
almacén de tu empresa, mientras que esta situación escapa totalmente de la seguridad
informática, ya que, simplemente, los documentos impresos no son un recurso informático.
Aunque, obviamente, cuando tratamos con medios informáticos, los conceptos de seguridad de la
información y seguridad informática coinciden. Aunque en un mundo ideal podríamos dedicarnos
a proteger al máximo nivel toda la información de nuestra empresa, la realidad es que nunca
tendremos presupuesto ni capacidad para hacerlo. Así que una de las primeras fases de todo
programa de seguridad de la información es clasificar los datos en función de su criticidad.
Además, no toda la información tiene por qué ser protegida. Hay información que debe ser
pública, como por ejemplo, el teléfono del departamento de atención al cliente de tu empresa,
mientras que otra no conviene que sea conocida por el público general, como puede ser el
teléfono directo del presidente de la compañía. Dentro de la información privada, que es la que
queremos proteger, podemos definir distintas categorías de datos para seleccionar la mejor
manera de protegerlos. Pero, en general, se suele usar el concepto de valor crítico de la
información. Aquellos datos que son imprescindibles para el funcionamiento de la empresa se
consideran críticos, mientras que otros no tan importantes pueden obtener otros niveles de
criticidad. El número de niveles de criticidad y su definición dependerá de cada empresa. Pero se
recomienda tener un mínimo de tres y un total no excesivamente grande. Tener 15 niveles de
seguridad te dará una gran granularidad y podrás trabajar con distintas estrategias, pero es un
gran trabajo de gestión. Por lo que, antes de lanzarte a definir clasificaciones, piensa si podrás
gestionarlas de forma correcta. En la gran mayoría de casos, es preferible usar solo tres o cinco
niveles de seguridad. Al final, te tocará trabajar y gestionarlo, así que procura que sea asumible
por tu organización. Tampoco es plan de gastar más recursos en la mera clasificación de los datos
que en vender o fabricar el producto que hace viable la empresa. La mera clasificación de
criticidad de la información corporativa llevaría para un curso de horas de duración, pero espero
que hayas cogido una idea a grandes trazos.

02 - CIA: Los tres elementos de la seguridad de la información

La seguridad de la información trabaja, básicamente, sobre tres aspectos claves que se suelen

1
agrupar en las siglas CIA. Veamos pues, qué significan dentro del mundo de la seguridad de la
información, las siglas de una de las más famosas agencias de información. La verdad es que es
una buena regla nemotécnica. El acrónimo CIA no significa Central Intelligence Agency, sino que se
trata de las tres iniciales de los tres aspectos a proteger de la información. La letra C, derivada de
«Confidentiality» es decir, confidencialidad. La seguridad de la información busca asegurarse de
que únicamente aquellas personas que necesitan un dato concreto, tengan acceso. Las distintas
técnicas de gestión de accesos, buscan precisamente eso, que todo aquel que necesite una
información, pueda verla; mientras que el resto no tenga esa posibilidad. Pongamos un ejemplo,
los trabajadores del equipo de Recursos Humanos no necesitan para su trabajo el listado de
presupuestos presentados o aprobados por parte del equipo comercial. Mientras que estos, no
tienen por qué saber a qué dedica el dinero el departamento de Sistemas. Como ves, la
confidencialidad no diferencia únicamente entre agentes internos o externos, sino que también,
busca asegurarse de que los usuarios internos tengan acceso a toda la información que necesitan
para su función, pero solo a esa información que necesiten. La segunda letra, la I, viene de
«Integrity», es decir, integridad. Los sistemas de seguridad de la información deben asegurarse de
que la información es correcta y válida. Sobre los datos de la empresa, se tomarán decisiones
operativas, así que debemos estar seguros de que los datos son correctos. Podemos proteger una
base de datos con los mejores Firewalls o copias de seguridad, o hacer un trabajo de fortificación
impresionante, pero si dejamos que cualquier usuario pueda modificar los datos, y no tenemos un
registro de versiones, al final, toda esa protección no nos ayudará a casi nada. Así pues, el segundo
aspecto que analiza la seguridad de la información, es la integridad de los datos a proteger. Por
último, vemos que la letra A deriva de «Availability», es decir, disponibilidad. La información tiene
valor en tanto en cuanto pueda ser utilizada. De nada nos sirve tener una información totalmente
confidencial e íntegra si luego no puede ser utilizada por quien la necesita en el momento que la
requiere. Así pues, en el apartado de disponibilidad, los sistemas de seguridad de la información
deben asegurar el acceso a los datos cuando sean necesarios. Como ves, estas tres letras resumen
el alcance de una política de seguridad de la información, y los objetivos que debemos asegurar
sobre nuestros datos; que estos sean fiables y que estén disponibles para los roles autorizados
cuando lo deseen.

03 - Conceptos de la gestión de seguridad de la información

Una teoría de cualquier sistema de gestión es que solo se puede estudiar aquello que se ha
definido de forma clara y concisa, así que la definición de aquello que queremos gestionar, así
como todos los eventos y circunstancias, es la base de toda metodología de gestión, lo cual incluye
la gestión de la seguridad de la información. Veamos pues los conceptos y definiciones que son
base de la gestión de la seguridad de la información. Aunque puedes encontrar muchos cursos y
libros con teorías desarrolladas de la gestión de la seguridad de la información, en este vídeo,
daremos un repaso general de los conceptos más utilizados por parte de los gestores de la
seguridad de la información, aquellos que deben explicar al resto de gestores de proyectos o a los
departamentos económicos de una empresa, para poder así conseguir el apoyo técnico y

2
presupuestario necesario para cumplir su misión. Así que vamos allá. Definiremos «recurso» como
aquello que queremos proteger. En un sistema de la seguridad de la información serían los datos.
También es posible utilizar «recurso» para indicar los bienes, ya sean tangibles o intangibles, con
los que contamos para cumplir la misión de proteger los datos. Una vulnerabilidad es un fallo en
nuestro sistema que puede provocar un problema de seguridad de la información. Estos fallos
pueden ser provocados intencionadamente, o bien por simple descuido. Por ejemplo, nuestro
equipo de desarrollo puede tener un fallo en la programación de la web que haga que la
información corporativa sea accesible desde el exterior. El problema de las vulnerabilidades es
que, simplemente, no siempre son conocidas, y por lo tanto, es difícil corregirlas. Las amenazas
son los sucesos que pueden provocar un daño a nuestra seguridad de la información. El riesgo se
define como la probabilidad de que una amenaza concreta aproveche una determinada
vulnerabilidad para ejercer un daño. Los sistemas de seguridad de la información modernos
buscan trabajar en la disminución del riesgo. El cálculo del riesgo se realiza mediante una sencilla
fórmula. Riesgo es igual al impacto de un hecho por su probabilidad de aparición. El impacto es,
simplemente, un valor numérico que representa el daño que puede ocasionar a la empresa que
suceda a ese hecho. Los daños más críticos tendrán un valor mayor que los menos dolosos. La
probabilidad es, como su propio nombre indica, qué tan posible es que aparezca dicho evento en
un momento dado. Por ejemplo, es más probable que un ladrón fuerce la puerta de nuestro
negocio a que caiga un meteorito justo en nuestra oficina. Obviamente, si vas a profundizar en
sistemas de gestión de seguridad de la información, te encontrarás con definiciones y
descripciones más detalladas y precisas, pero no se separarán demasiado de las ideas que hemos
visto en este vídeo.

04 - Regulaciones, normas y legislación

La ley de privacidad y seguridad más estricta del mundo es el Reglamento General de Protección
de Datos (GDPR). Independientemente de que fue redactado y aprobado por la Unión Europea,
impone obligaciones a las organizaciones en cualquier lugar siempre que apunten o recopilen
datos relacionados con personas en la Unión Europea. Cabe señalar que dicho reglamento entró
en vigor el 25 de mayo de 2018. A través del mismo, el Reglamento europeo de protección de
datos impondrá duras multas a quienes violen sus estándares de privacidad y seguridad con
sanciones que ascienden a decenas de millones de euros. Europa, mediante el RGPD, está
señalando su postura firme sobre la privacidad y seguridad de los datos en un momento en que
más personas confían sus informaciones personales en servicios en la nube, donde las infracciones
son algo cotidiano. En realidad, la regulación en sí es grande, de gran alcance y bastante ligera en
detalles. Esto hace que el cumplimiento del RGPD sea una perspectiva desalentadora
particularmente para las pequeñas y medianas empresas. Cuando nos referimos a los datos
personales, estos son cualquier información que se relacionen con una persona que pueda ser
identificada directa o indirectamente. Los nombres y las direcciones de correo electrónico son,
obviamente, datos personales. También la información sobre ubicación, etnia, género, datos
biométricos, creencias religiosas, cookies web y opiniones políticas también pueden ser datos

3
personales. Cualquier acción realizaba sobre los datos, ya sea automatizada o manual, se
denomina "procesamiento de datos". Por eso, los ejemplos citados en el texto incluyen recopilar,
grabar, organizar, estructurar, almacenar, usar, borrar en sentido general cualquier cosa. Un
sujeto de datos es la persona cuyos datos se procesan, sus clientes o visitantes del sitio.
Igualmente, el controlador de datos es la persona que decide por qué y cómo se procesarán los
datos personales. En el caso hipotético de que sea un propietario o empleado de su organización
que maneja datos, este eres tú. Finalmente tenemos el procesador de datos, un tercer individuo
que procesa datos personales en nombre de un controlador de datos. Es conveniente señalar que
el GDPR tiene reglas especiales para estas personas y organizaciones.

05 - Ejemplos de marcos de seguridad

El uso de un marco permite a una organización hacer una declaración objetiva de sus capacidades
actuales de ciberseguridad, identificar un nivel objetivo de capacidad y priorizar inversiones. El
framework de ciberseguridad CSF es una lista de actividades y objetivos emprendidos para mitigar
los riesgos que enfrentan las empresas en el manejo cotidiano de sus datos. La importancia de
este marco radica en que da una estructura a los procedimientos internos de gestión de riesgos y
proporciona una declaración de cumplimiento normativo verificable externamente. Estos marcos
también son importantes porque evitan que una organización construya su programa de seguridad
en el vacío o construya el programa sobre una base que no tenga en cuenta los conceptos de
seguridad importantes. Existen diferentes marcos, cada uno de los cuales clasifica las actividades y
los controles de ciberseguridad de forma ligeramente diferentes, y en realidad no son regulatorios
en el sentido de que no intentan abordar aseguraciones específicas de una industria específica,
sino que representan las mejores prácticas en el gobierno de la seguridad de TI en general. La
Organización Internacional de Normalización (ISO) ha elaborado un marco de ciberseguridad junto
con la Comisión Electrónica Internacional. Dicho marco se estableció en 2005 y se revisó en 2013.
A diferencia del NIST, se debe adquirir el estándar de gestión de seguridad de la información ISO
27001, que es parte de una serie general 27000 estándares de seguridad de la información,
también conocida como 27K. De estos, 27002 clasifica los controles de seguridad, 27017 y 27018
hacen referencia a la seguridad en la nube y 27701 se centra en los datos personales y la
privacidad. Donde ISO 21000 es un marco de seguridad, ISO es un marco general para la gestión de
riesgos empresariales. Este marco considera riesgos y oportunidades más allá de la ciberseguridad,
al incluir factores financieros de servicio al cliente, competencia y responsabilidad legal. No
obstante, ISO 31000 establece las mejores prácticas para realizar evaluaciones de riesgos. "Cloud
Security Alliance" es una organización sin fines de lucro que produce varios recursos para ayudar a
los proveedores de servicios en la nube (CSP) a configurar y entregar plataformas de nube seguras,
sirviendo además estos recursos para que los consumidores evalúen y seleccionen los servicios en
la nube. La guía de seguridad 'cloudsecurityalliance.org' Research y Guidance es un resumen de las
mejores prácticas y analiza los desafíos únicos de los entornos de nube y cómo los controles
locales se pueden adaptar a ellos. La arquitectura de referencia de la empresa 'ea.cloudsecurity
alliance.org' es una metodología y herramientas para CSP utilizada en la arquitectura de soluciones

4
de nube práctica. Las soluciones se dividen en varios dominios, como la gestión de riesgo y la
infraestructura, aplicaciones y servicios de presentación. El control de organización de servicios
SOC2 evalúa los controles internos implementados por el proveedor de servicios para garantizar el
cumplimiento de los criterios de servicios de confianza TCS al almacenar y procesar los datos del
cliente. El TSC se refiere las propiedades de seguridad, confidencialidad, integridad, disponibilidad
y privacidad. Un informe SOC2 Tipo I evalúa el diseño del sistema, mientras que un informe Tipo II
evalúa la efectividad continua de la arquitectura de seguridad durante un periodo de 6 a 12
meses. Por supuesto, los informes SOC2 son muy detallados y están diseñados para ser
restringidos. Además, solo deben compartirse con el auditor y los reguladores y con socios
importantes bajo los términos del acuerdo de confidencialidad NDA. Aunque el SOC3 es un
informe menos detallado, certifica el cumplimiento de SOC 2. No obstante, estos informes SOC3 se
pueden distribuir libremente. Evidentemente que las actividades, el conocimiento y la amplia red
de la organización benefician a toda la comunidad de la nube, incluidos los proveedores de
servicios, los clientes, los empresarios y los gobiernos. La CSA ofrece un foro a través del cual todas
las partes pueden trabajar juntas para crear y mantener un ecosistema de nube confiable. El grupo
de la industria también brinda educación y orientación sobre seguridad a empresas en diferentes
etapas de adopción de la nube y ayuda a los proveedores de servicios en la nube a abordar la
seguridad de sus modelos de entrega de software. La membresía de CSA está disponible para
cualquier parte interesada con la experiencia necesaria para contribuir a la seguridad de la
computación en la nube. El "Center of Internet Securities" es una organización sin fines de lucro
fundada en parte por el Instituto SANS. Esta organización publica el conocido proyecto "Los 20
controles CIS". El CIS-RAM o método de evaluación de riesgos se puede utilizar para realizar una
evaluación general de la postura de seguridad. Finalmente, el CIS también produce puntos de
referencia para diferentes aspectos de la ciberseguridad. Por ejemplo, existen puntos de
referencia para el cumplimiento de los marcos de TI y los programas de cumplimiento como PCI,
DSS, NIST 800-53, SOX e ISO 27000. Existen también referencias centradas en el producto, como
Windows Desktop, Windows Server, macOS, Linux, Cisco, navegadores web, servidores web,
servidores de correo electrónico, base de datos y VMware ESXi.

06 - Tipos de políticas de seguridad

Es muy importante hacer cumplir una política de uso aceptable para proteger a la organización de
las implicaciones legales de seguridad y del uso indebido de sus equipos por parte de los
empleados. Por lo general, la política prohibirá el uso de equipo para defraudar, difamar u obtener
material ilegal, la instalación de hardware o software no autorizado e impedirá explícitamente el
espionaje real o intentado de datos confidenciales a los que el empleado no está autorizado a
acceder. Como es por todos conocido, un código de conducta o reglas de conducta establece los
estándares profesionales esperados. Por ejemplo, el uso de los empleados de las redes sociales y
el intercambio de archivos plantea riesgos sustanciales para la organización, incluida la amenaza
de infección por virus o intrusión de sistemas, tiempo de trabajo perdido, infracción de derechos
de autor y difamación. Los usuarios deben tener en cuenta que cualquier comunicación de datos

5
como el correo electrónico realizada a través del sistema informático de una organización
probablemente se almacene dentro del sistema en servidores, dispositivos de respaldo, etc.
También es posible que estas comunicaciones se registren y supervisen. Se deben tomar en cuenta
también las reglas de comportamiento al considerar a los empleados con acceso privilegiado a los
sistemas informáticos. En tal sentido, los técnicos y gerentes deben estar sujetos a cláusulas que
les prohíban abusar de los privilegios para espiar a otros empleados o desactivar un mecanismo de
seguridad. Teléfonos inteligentes, memorias USB, reproductores multimedia y demás dispositivos
portátiles representan una amenaza considerable para la seguridad de los datos, ya que facilitan la
copia de archivos. Las funciones de cámara y grabación de voz son otros problemas de seguridad
obvios. No obstante, las soluciones de control de acceso a la red, gestión de puntos finales y
prevención de pérdida de datos pueden ser de alguna utilidad para prevenir la conexión de dichos
dispositivos a las redes corporativas. Algunas empresas intentan evitar que el personal lleve estos
dispositivos al sitio. Sin embargo, es bastante difícil de hacer cumplir. Para que exista una política
de escritorio limpio, el área de trabajo de cada empleado debe de estar libre de documentos
dejados allí. El objetivo de dicha política es evitar que personal o invitados no autorizados
obtengan información confidencial en el lugar de trabajo. Esto incluye la política de privacidad, la
cual cubre todos los aspectos del uso de sus datos, desde la obtención del consentimiento, la
recopilación de los datos y hasta su eliminación. En la política de privacidad, una cláusula de
seguridad les dice a los usuarios y reguladores que la misma es una prioridad para su organización.
Al igual que el resto de su política de privacidad, la cláusula debe coincidir con sus prácticas de
seguridad reales en lugar de ser demasiado minimalista o demasiado ambiciosa. De igual forma,
una política de auditoría define los límites de la cuenta para un conjunto de usuarios de uno o más
recursos y comprende reglas que definen los límites de dicha política y flujos de trabajo para
procesar violaciones después de que ocurran. Los análisis de auditoría utilizan los criterios
definidos en la política para estos fines al momento de evaluar si se han producido violaciones en
su organización. Evidentemente, las reglas de política de auditoría definen violaciones específicas.
Estas pueden contener funciones escritas en los lenguajes XPRESS, XML Object o JavaScript.
Cuando un análisis de auditoría identifica una infracción de las reglas de la política, inicia el flujo
de trabajo de corrección. Cabe destacar que los remediadores son usuarios designados que están
autorizados a responder a la infracción de dicha política. Estos pueden ser usuarios individuales o
estar unidos en grupos.

07 - Políticas de contraseña

Una cuenta compartida es aquella en la que más de una persona conoce las contraseñas u otras
credenciales de autenticación. Por lo general, los dispositivos de red SOHO simples no permiten la
creación de varias cuentas y se utiliza una sola de administrador para supervisar el dispositivo.
Normalmente estas cuentas se configuran con una contraseña predeterminada. Otros ejemplos
incluyen las cuentas de sistema operativo predeterminadas o genéricas, como administrador e
invitado en Windows o "root" en Linux. También, cuentas agregadas o grupos de seguridad
predeterminados, de igual forma se pueden configurar cuentas compartidas para el personal

6
temporal. Al crear una cuenta compartida, rompemos el principio de no repudio y dificultamos el
establecimiento de una pista de auditoría precisa, ya que esta hace que sea más probable que la
contraseña de la cuenta se vea comprometida. El otro riesgo importante implica los cambios de
contraseña de una cuenta. Teniendo en consideración que el cambio frecuente de contraseña es
una política común, las organizaciones deberán asegurarse de que todos los que tengan acceso a
una cuenta sepan cuándo cambiará la contraseña y cuál será la nueva. En esa parte se requiere
distribuir contraseñas a un gran grupo de personas, lo que en sí mismo representa un desafío
significativo para la seguridad. En tal sentido, las cuentas compartidas solo deben utilizarse cuando
se comprendan y acepten estos riesgos. No es muy probable que los dispositivos de red diseñados
para uso empresarial estén restringidos a una sola cuenta predeterminada y utilicen TACACS+ para
admitir cuentas individuales y permisos basados en roles. En este caso, si un dispositivo solo se
puede operar con una contraseña compartida, asegúrate de separar las tareas para que el
dispositivo permanezca en una configuración autorizada. A pesar de los permisos basados en roles
más cuidadosamente diseñados, es casi imposible eliminar por completo el uso de contraseñas
compartidas del dispositivo o de la raíz. Los productos de administración de acceso de privilegios
empresariales brindan una solución para almacenar estas credenciales de alto riesgo en otro lugar
que no sea una hoja de cálculo y para evitar privilegios elevados en general. El "Secure Shell" (SSH)
es un protocolo de acceso remoto ampliamente utilizado y posiblemente se utiliza para
administrar dispositivos y servicios. Este protocolo utiliza dos tipos de pares de llaves. Un par de
llaves de host identifica un servidor SSH, el servidor libera la parte pública cuando un cliente se
conecta a él. El cliente debe utilizar algún medio para determinar la validez de esta llave pública. Si
se acepta, el par de llaves se utiliza para cifrar la conexión de red e iniciar una sesión. Como
sabemos, un par de llaves de usuario es un medio para que un cliente inicie sesión en un servidor
SSH. Aquí el servidor almacena una copia de la llave pública del cliente. Dicho cliente utiliza la llave
privada vinculada para generar una solicitud de autenticación y envía la solicitud, no la llave
privada, al servidor. Este servidor solo puede validar esta solicitud si se mantiene la llave pública
correcta para ese cliente. A menudo las llaves SSH no se han administrado muy bien, lo que ha
provocado numerosas infracciones de seguridad. Sin embargo, existen soluciones de proveedores
para la administración de llaves SSH o se puede configurar servidores y clientes para que utilicen la
infraestructura de llave pública PKI y las autoridades de certificación sea para validar las
identidades. Las cuentas de servicio son utilizadas por procesos programados y software de
servidor de aplicaciones como base de datos. Por ejemplo, Windows tiene varios tipos de cuentas
de servicio predeterminadas. Estas no aceptan inicios de sesión interactivos del usuario, pero se
pueden utilizar para ejecutar procesos y servicios en segundo plano. En realidad, sistema tiene la
mayor cantidad de privilegios de cualquier cuenta de Windows. La cuenta del sistema local crea
los procesos de host que inician Windows antes de que el usuario inicia sesión. Cualquier proceso
creado con la cuenta del sistema tendrá todos los privilegios sobre la computadora local. Servicio
local tiene los mismos privilegios que la cuenta de usuario estándar, aunque solo puede acceder a
los recursos de la red como usuario anónimo. Finalmente, el servidor de red tiene los mismos
privilegios que la cuenta de usuario estándar, pero puede presentar las credenciales de la cuenta
de la computadora al acceder a los recursos de la red.

7
08 - Gestión de riesgos de terceros

TPRM se centra en identificar reducir los riesgos relacionados con el uso de terceros, a veces
denominados proveedores de servicios, socios, contratistas, etc., identificada también como
gestión de riesgos de terceros. Con relación a este proceso, la disciplina está diseñada para brindar
a las organizaciones una comprensión sobre qué usan, cómo lo usan y qué salvaguardas tienen sus
terceros. El alcance y los requisitos de un programa de gestión de riesgos de terceros depende de
la organización y puede variar ampliamente según la industria, la orientación regulatoria y otros
factores. No obstante, muchas de las mejores prácticas de TPRM son universales y aplicables a
todas las empresas u organizaciones. Si un fabricante interrumpe las ventas de un producto, este
entra en una fase de fin de vida útil en la que el soporte y la disponibilidad de repuestos y
actualizaciones se vuelven más limitados. Por ejemplo, un sistema de fin de vida útil es aquel que
ya no es compatible con su desarrollador o proveedor o, mejor dicho, los productos de fin de vida
útil ya no reciben actualizaciones de seguridad y por lo tanto representan una vulnerabilidad
crítica si alguna permanece en uso activo. En esta parte sería de utilidad distinguir dos tipos de
relación. El proveedor, que es un suministrador de bienes y servicios básicos, posiblemente con
algún nivel de personalización y soporte directo. El socio comercial, con una relación más estrecha,
en la que dos empresas comparten objetivos y oportunidades de marketing muy estrechamente
alineados. Microsoft es un importante proveedor de software, pero no es factible que establezca
relaciones directas con todos sus clientes potenciales. Por eso, para expandir sus mercados
desarrolla relaciones de socios con fabricantes de equipos originales y proveedores de soluciones.
Microsoft opera un programa de certificación y capacitación para sus socios que mejora el soporte
del producto y el conocimiento de la seguridad. Existen convenios entre las partes que son
comunes, como el Memorando de entendimiento (MOU), un acuerdo preliminar o exploratorio
para expresar la intención de trabajar juntos. Así pues, estos documentos generalmente están
destinados a ser relativamente informales y a no actuar como contratos vinculantes. Sin embargo,
casi siempre tiene cláusulas que establecen que las partes respetarán la confidencialidad. El
Acuerdo de asociación comercial (BPA) se refiere a que, si bien hay muchas formas de establecer
asociaciones comerciales, el modelo más común en TI son los acuerdos de socios que las grandes
empresas como Microsoft y Cisco establecen con revendedores y proveedores de soluciones. La
base legal para proteger los activos de información es el acuerdo de no divulgación (NDA),
utilizado entre empresas y empleados, entre empresas y contratistas y entre dos empresas. Si el
empleado o contratista incumple este acuerdo y comparte dicha información, pueden enfrentar
consecuencias legales. Los NDA son útiles porque disuaden a los empleados y contratistas de
violar la confianza que un empleador deposita en ellos. El acuerdo de nivel de servicio (SLA) es un
acuerdo contractual que establece los términos detallados bajo los cuales se proporciona un
servicio. El análisis de sistemas de medición (MSA), en este caso, los procesos de gestión de
calidad como Six Sigma utilizan métodos de análisis cuantificados para determinar la eficacia de un
sistema. Esto se puede aplicar a los procedimientos de ciberseguridad como la detección y
respuesta a vulnerabilidades y amenazas. Un análisis de sistemas de medición (MSA) es un medio
para evaluar la recopilación de datos y los métodos estadísticos utilizados por un proceso de
gestión de la calidad para garantizar que sean sólidos. Este podría ser un requisito de

8
incorporación al asociarse con empresas empresariales o agencias gubernamentales. En definitiva,
un acuerdo legal es correcto, pero aún depende de ti asegurarte de que tus proveedores,
vendedores y contratistas puedan cumplirlo. En caso que no lo hagan, puedes demandarlos con
éxito. Pero si cierran, todavía eres responsable de sus acciones o fallas.

09 - Violaciones de privacidad

En el instante en el que se lee o modifica información sin autorización se produce una violación de
datos. Leer puede significar que lo haya visto una persona o que se haya transferido a una red o un
medio de almacenamiento. Una violación de datos es la pérdida de cualquier tipo de información,
y una violación de la privacidad es la pérdida o divulgación de datos personales y confidenciales.
Cuando ocurre una intromisión de esta índole, puede derivar en graves consecuencias
organizativas. Por ejemplo, daño a la reputación. Usualmente, estos incidentes se provocan una
publicidad negativa generalizada y es menos probable que los clientes confíen en una empresa
que no puede proteger sus activos de información. Se produce un robo de identidad cuando los
datos violados se explotan con este fin. En ese caso, el afectado puede demandar por daños y
perjuicios. Multas. La legislación podría facultar a un regulador para imponer multas. Estas pueden
ser una suma de dinero o, en los casos más graves, un porcentaje del volumen de negocios. En el
robo de IP, la pérdida de datos de la empresa puede provocar una pérdida de ingresos.
Usualmente, esto ocurre cuando se infringe material protegido por derechos de autor como
películas o pistas de música inéditas. La pérdida de patentes, diseños, secretos comerciales, etc.,
para competidores o actores estatales también puede causar pérdidas comerciales, especialmente
en mercados extranjeros donde el robo de propiedad intelectual puede ser difícil de remediar
mediante acciones legales. Es en la ley o reglamentos donde se establecen los requisitos para los
diferentes tipos de incumplimientos. Dichos requisitos indican a quién se debe notificar. Una
violación de datos puede significar el robo, la divulgación accidental o la pérdida y daño de
información. Es importante tener en cuenta que existen riesgos sustanciales de infracciones
accidentales si no se implementan procedimientos efectivos. Si un administrador de base de datos
puede ejecutar una consulta que muestre el número de tarjetas de crédito no [redactados], se
trata de una filtración de información, independientemente si la consulta sale del servidor de la
base de datos. Es posible que el personal técnico detecte una infracción y si el evento se considera
menor, puede existir la tentación de remediar el sistema y no realizar ninguna otra acción de
notificación. Esto podría poner a la empresa en peligro legal. Sin importar el tamaño de la
infracción de datos personales y la mayoría de las infracciones de la propiedad intelectual, deben
elevarse a los principales responsables de la toma de decisiones. También cualquier impacto de la
legislación y la regulación debe considerarse adecuadamente. Además de regulador, es posible
que deba notificarse a las fuerzas del orden, a las personas y a las empresas de terceros afectados
por la infracción y públicamente a través de la prensa o los canales de las redes sociales. La Ley de
Portabilidad y Responsabilidad de Seguros de Salud HIPAA establece requisitos de informes en la
legislación, requiriendo notificación de incumplimiento a las personas afectadas al secretario del
Departamento de Salud y Servicios Humanos de Estados Unidos. Además, si más de 500 personas

9
se ven afectadas, también hay que informar a los medios de comunicación. Según los plazos que
establecen los requisitos, se debe notificar a las partes mencionadas dentro de las 72 horas
posteriores a tener el conocimiento de una violación de datos. Las regulaciones también
establecerán los requisitos de divulgación o la información que se debe proporcionar a cada uno
de los afectados. Es probable que la divulgación incluya una descripción de la información que se
infringió, los detalles del punto de contacto principal, las posibles consecuencias derivadas de la
infracción y las medidas tomadas para mitigar la misma. En realidad, GDPR ofrece protecciones
más sólidas que la mayoría de las leyes federales y estatales de los Estados Unidos. Estas últimas
tienden a centrarse en regulaciones específicas de la industria, definiciones más limitadas de datos
personales y menos derechos y protecciones para los interesados. Sin embargo, la aprobación de
la Ley de Privacidad del Consumidor de California ha cambiado el panorama de la legislación
nacional de Estados Unidos.

10 - Clasificación de la información

Para que puedan administrarse a lo largo del ciclo de vida de la información, los esquemas de
clasificación y tipificación etiquetan los activos de datos y funcionan como un árbol de decisiones
para aplicar una o más etiquetas a cada activo de datos. Además, muchos de estos se basan en el
grado de confidencialidad requerido. Entre estos esquemas y etiquetas tenemos el público sin
clasificar, en el que no hay restricciones para ver los datos. La información pública no presenta
ningún riesgo para una organización si se divulga, pero supone un riesgo si se modifica o no está
disponible. La etiqueta "confidencial" o "secreto" contiene información muy sensible, así que solo
personas aprobadas dentro de la organización propietaria pueden verlas y posiblemente terceros
en virtud de un acuerdo de confidencialidad. Para el crítico, llamado también "alto secreto", la
información es muy valiosa para permitir el riesgo de su captura. En este caso, la visualización está
muy restringida. En el caso del llamado "propietario", la información patentada o propiedad
intelectual es información creada por la empresa generalmente sobre los productos o servicios
que fabrica o realiza. La propiedad intelectual es un objetivo obvio para los competidores de una
empresa. En algunas industrias, como la defensa o la energía, es de interés para los gobiernos
extranjeros. También puede representar una oportunidad de falsificación de películas, música y
libros, etc. El "sensible" es una etiqueta usada generalmente en el contexto de datos personales,
que son información sensible a la privacidad sobre un tema que podría dañarlos si se hace público,
perjudicando las decisiones que se tomen sobre ellos al hacerse referencia mediante
procedimientos internos. La información de identificación personal son datos que se pueden
utilizar para identificar, contactar o localizar a una persona. Por ejemplo, un número de Seguro
Social es un buen ejemplo de la información de identificación personal. Estas identificaciones
pueden incluir nombre, fecha de nacimiento, dirección de correo electrónico, número de teléfono,
dirección postal, datos biométricos, etc. Como podemos ver, los datos del cliente puede ser
información institucional o información personal sobre los empleados de dicho cliente, como
contactos de ventas y soporte técnico. Los datos personales del cliente deben tratarse como la
información de identificación personal, o sea, la información institucional puede compartirse bajo

10
un acuerdo de no divulgación (NDA), lo que impone obligaciones contractuales para almacenarla y
procesarla de forma segura. Cuando hablamos de la "información médica personal" (PHI) o
"información médica protegida" nos referimos a los registros médicos y de seguros, además de los
resultados de las pruebas de laboratorio y del hospital asociados. La PHI puede asociarse con una
persona específica o usarse con un conjunto de datos anonimizados o no identificados para
análisis e investigación. Un conjunto de datos anonimizados es aquel en el que los datos de
identificación se eliminan por completo, mientras que un conjunto no identificado contiene
códigos que permiten que el proveedor de datos reconstruya la información del sujeto. En cuanto
a la información financiera, esta se refiere a los datos que se mantienen sobre las cuentas
bancarias y de inversión, incluyen información como la nómina y las declaraciones de impuestos.
En el caso de la información de la tarjeta de pago, esta contiene el número de la tarjeta, la fecha
de vencimiento y el valor de verificación de la tarjeta de tres dígitos (CVV). Además, también
puede estar asociada con un pin y este nunca debe ser transmitido o manejado por el
comerciante. Las agencias gubernamentales tienen internamente requisitos complejos de
recopilación y procesamiento de datos. En los Estados Unidos, las leyes federales imponen ciertos
requisitos a las instituciones que recopilan y procesan datos sobre ciudadanos y contribuyentes.
Estos datos pueden compartirse con empresas para su análisis bajo acuerdos estrictos, en interés
de preservar la seguridad y privacidad.

11 - Tecnologías de mejoramiento de la privacidad

Al hablar de la minimización de datos nos referimos al principio de que los datos solo deben
procesarse y almacenarse si es necesario con el fin de cumplir con el propósito para el que se
recopilan. Para demostrar el cumplimiento de ese principio se debe documentar cada proceso que
utiliza datos personales. El flujo de trabajo puede proporcionar evidencia de por qué se requiere el
procesamiento y almacenamiento de un campo o punto de datos en particular. La minimización de
datos afecta a la política de retención, por lo que se hace necesario realizar un seguimiento de
cuánto tiempo se ha almacenado un punto de datos desde que se recopiló y si la retención
continua respalda una función de procesamiento legítima. Un impacto diferente se produce en los
entornos de prueba, donde el principio de minimización prohíbe el uso de registro de datos reales.
Un conjunto de datos completamente anonimizado es aquel en el cual ya no se identifican sujetos
individuales, incluso si dicho conjunto se combina con otras fuentes y la información de
identificación se elimina de forma permanente. Sin embargo, garantizar el anonimato total y
preservar la utilidad de los datos para el análisis suele ser muy difícil. Por eso se suelen utilizar
métodos de pseudoanonimización. Esta modifica o reemplaza la información de identificación
para que la reidentificación dependa de una fuente de datos alterna, que debe mantenerse
separada. Siempre que haya acceso a los datos [alternos], los métodos pseudoanonimización son
reversibles. Es importante destacar que el enmascaramiento de datos puede significar que todo o
parte del contenido de un campo se redacta sustituyendo todas las cadenas de caracteres con X.
Por ejemplo, un campo puede estar parcialmente redactado para conservar los metadatos con
fines de análisis. En un número de teléfono, el prefijo de marcación se puede retener, pero el

11
número de abonado se redacta. El enmascaramiento de datos también puede utilizar técnicas
para preservar el formato original del campo, siendo un proceso de desidentificación irreversible.
Veamos, en síntesis, la tokenización. En ella, todos o parte de los datos de un campo se
reemplazan con un token generado aleatoriamente. Ese token se almacena con el valor original en
un servidor o bóveda de tokens separado de la base de datos de producción. Una consulta o
aplicación autorizada puede recuperar el valor original de la bóveda si es necesario, por lo que la
tokenización es una técnica reversible. Además, se utiliza como sustituto del cifrado, porque desde
una perspectiva regulatoria un campo cifrado tiene el mismo valor que los datos originales.

12 - Funciones y responsabilidades sobre los datos

Al estudiar la política de gobierno de datos vemos que esta describe los controles de seguridad
que se aplicarán para proteger los datos en cada etapa. Existen importantes funciones de
gobernanza institucional para la supervisión y gestión de los activos de información dentro del
ciclo de vida. Por ejemplo, el propietario de los datos es un rol sénior o ejecutivo, con la
responsabilidad final de mantener la confidencialidad, integridad y disponibilidad del activo de
información. Es responsable de etiquetar el activo, determinar quién debe tener acceso y
establecer la criticidad y sensibilidad de dicho activo. Además, debe asegurarse que esté protegido
con los controles adecuados, como el de acceso, respaldo, retención, etc. El propietario también
suele seleccionar un administrador y un custodio, encargándose de dirigir sus acciones además de
establecer el presupuesto y la asignación de recursos para los controles suficientes. En el caso de
los datos "steward", su papel principal es la responsabilidad de la calidad de los datos. Esto implica
tareas como garantizar que los datos estén etiquetados o identificados con los metadatos
apropiados y que sean recopilados y almacenados en un formato con valores que cumplan con las
leyes y regulaciones aplicables. El custodio de datos se responsabiliza de la gestión del sistema en
el que se almacenan los datos activos. Esto incluye hacer cumplir el control de acceso, el cifrado y
las medidas de respaldo o recuperación. La privacidad de datos oficial (DPO) es responsable de la
supervisión de los activos e información de identificación personal gestionados por la empresa. En
este caso, el oficial de privacidad se asegura de que el procesamiento, la divulgación y la retención
de la información de identificación personal cumplen con los marcos legales regulatorios. A través
del contexto de la legislación y los reglamentos que protegen la privacidad personal, tenemos dos
roles institucionales que son muy importantes, el responsable del tratamiento de identidad y el
controlador de datos. El responsable del tratamiento de identidad se encarga de determinar qué y
cómo se almacenan los datos recogidos y utilizados además de asegurar que estos fines y los
medios son legales. El controlador de datos es sobre quien recae la responsabilidad última de las
violaciones a la privacidad y no se le permite transferir dicha responsabilidad. Para el caso del
procesador de datos podemos decir que es una entidad acoplada por el controlador de datos para
ayudar en la colección técnica, almacenamiento o tareas de análisis. Un procesador de datos sigue
las instrucciones de un controlador con respecto a la recopilación o el procesamiento. En todo
caso, tanto el controlador como el procesador tiende a ser roles organizacionales más que
individuales. Veamos si Widget.foo recopila datos personales para operar en una tienda web en su

12
propia nube es un recolector y procesador de datos. Pero si Widget.foo pasa datos agregados a
Grommet.foo pidiéndoles que ejecuten análisis de rentabilidad para diferentes segmentos de
clientes en su nube respaldada por inteligencia artificial, en ese caso Grommet.foo es un
procesador de datos que actúa bajo las instrucciones de Widget.foo. En Grommet.foo y
Widget.foo, el propietario de los datos puede asumir la responsabilidad personal del desempeño
legal de las funciones del controlador y procesador de datos.

13 - Avisos de privacidad y retención de datos

Es de suma importancia que los propietarios de los datos estén al tanto de cualquier problema
legal o reglamentario que afecte la recopilación y procesamiento de informaciones personales. El
derecho a la privacidad, según lo promulga regulaciones como el Reglamento General de
Protección de Datos de la Unión Europea, significa que los asuntos personales no se pueden
recopilar, procesar o conservar sin el consentimiento informado de la persona. Consentimiento
informado significa que los datos deben recopilarse y procesarse solo para el propósito indicado y
este debe describirse claramente al usuario en un lenguaje sencillo, no en jerga legal. Esta
declaración o consentimiento se conoce como "aviso de privacidad", es decir, los datos
recopilados en virtud de esta declaración no se pueden utilizar para ningún otro fin. Veamos un
ejemplo. Se recopila una dirección de correo electrónico para usarla como identificación de
cuenta. No puede enviar mensajes de marketing a esa dirección sin obtener un consentimiento
por separado para ese propósito específico. Además, la limitación de la intención también
restringirá su capacidad para transferir datos a terceros. Será una tarea de gestión bastante
importante el seguimiento de las declaraciones de consentimiento y el mantenimiento del uso de
datos de conformidad con el permiso otorgado. En las organizaciones que procesan grandes
cantidades de datos personales, se requerirán herramientas técnicas que realicen el etiquetado y
la referencia cruzada de registro de datos personales. Eventualmente, una evaluación del impacto
de la protección de datos es un proceso diseñado para identificar los riesgos de recopilar y
procesar informaciones personales en el contexto de un flujo de trabajo o proyecto empresarial y
para identificar los mecanismos que mitigan esos riesgos. Cuando nos referimos a la retención de
datos estamos hablando de realizar copias de seguridad y archivar los activos de información para
cumplir con las políticas comerciales, así como también las leyes y regulaciones aplicables. Para
cumplir con los requisitos de cumplimiento y descubrimiento electrónico, las organizaciones
pueden estar legalmente obligadas a retener ciertos tipos de datos durante un periodo específico.
Está claro que este requisito afectará especialmente a los datos financieros y de registro de
seguridad. Los principios de limitación de almacenamiento en la legislación de privacidad pueden
impedirle retener datos personales durante más tiempo del necesario. Esto puede complicar la
inclusión de la información de identificación personal en copias de seguridad y archivos.

13