Procedimientos de Seguridad de Datos

Datos es uno de nuestros activos más valiosos. Casi todas las partes de nuestras vidas incluyan datos personales almacenados por nosotros, nuestros bancos, los proveedores de servicios de Internet, empresas e incluso las tiendas de venta al por menor. La protección de datos es un asunto serio, tanto para las empresas que lo necesitan y para nosotros, la gente que los datos representa.

La buena noticia es que los procedimientos de seguridad de datos se están expandiendo en su capacidad de proteger y su aceptación en todas las industrias.

La clasificación de datos

Clasificar los datos de acuerdo con su sensibilidad y restringir el acceso en consecuencia. Tres áreas comunes de clasificación basados ​​en el acceso no autorizado o la destrucción de datos son: pública, cuando los datos de poco riesgo; privado, cuando los datos plantea un riesgo moderado; y restringido, cuando los datos plantea un riesgo significativo.

protección de la red

Evitar el acceso no autorizado a las redes que transmiten datos mediante el uso de cortafuegos, servidores proxy y listas de control de acceso. Cada usuario debe tener un ID de usuario único y su acceso a la red deben ser segmentados basado en necesidad a través de los perfiles de usuario. perfiles de revisión con regularidad para asegurarse de que siguen siendo válidas.

autenticación de múltiples factores

De acuerdo con la Oficina de la Universidad Carnegie Mellon Seguridad de la Información (Referencia 1), autenticación de múltiples factores requiere más de una pieza de identificación antes de permitir el acceso a los datos. Tres factores comunes son: algo que sabes, como una contraseña o PIN; algo que se tiene, por ejemplo, una tarjeta inteligente o certificado digital; y algo que es, como una huella digital o escáner de retina. Utilizar la autenticación de múltiples factores para asegurar los datos sensibles o sistemas.

Privilegio

El concepto de "menor privilegio" requiere que el propietario de los datos de restringir el acceso de un usuario al nivel más bajo posible para que puedan hacer su trabajo. En algunos entornos de TI, el acceso puede ser especificada hasta el nivel de campo. En otros casos, los usuarios tienen acceso a las pantallas, carpetas o documentos.

'El acceso privilegiado' se concede acceso superior al de un usuario normal. El término es impreciso, ya que permite a los propietarios de datos para definir el acceso específico para el entorno de TI. En un entorno UNIX, los usuarios con acceso de root serían considerados privilegiados. En un entorno Windows,, administradores de dominio y locales tienen acceso privilegiado.

cifrado

Los datos transmitidos a través de una conexión de red, almacenados en medios extraíbles o en un dispositivo móvil deben estar cifrados. Seleccionar las claves de cifrado en base a la sensibilidad de los datos que están siendo protegidas. Utilice claves de 128 bits para claves de cifrado y 1028 bits de clave simétrica para el cifrado de claves asimétricas. Si su organización es un proveedor de servicios, contratos comprobar para asegurarse de que está utilizando el nivel apropiado de cifrado para los datos del cliente.

Cambiar periódicamente las claves de cifrado.

Recuperación de desastres

Los datos pueden ser perdidos o dañados durante un desastre. Copias de seguridad en un horario regular y almacenar en un lugar retirado físicamente de su lugar de trabajo, tal como en un centro de datos remoto o instalación de almacenamiento de terceros. Documento y poner a prueba un plan de recuperación de datos, incluyendo la recuperación y restauración de los datos de copia de seguridad.