Los Tipos de datos confidenciales
Los datos confidenciales son información cuyo acceso está restringido de acuerdo con las leyes del estado y las reglas que las empresas establecen de forma independiente, por ejemplo :
Datos personales confidenciales: datos personales de los ciudadanos, derecho a la intimidad, correspondencia, ocultación de identidad.
La única excepción es la información que se distribuye en los medios de comunicación.
Datos oficiales confidenciales: información cuyo acceso sólo puede ser restringido por el estado.
Confidencialidad judicial : secreto de la investigación y de las actuaciones judiciales.
Datos comerciales confidenciales: todo tipo de información que esté relacionada con el comercio (lucro) y cuyo acceso esté restringido por la ley o la empresa (desarrollos secretos, tecnologías de producción, etc.).
Datos profesionales confidenciales: datos relacionados con las actividades de los ciudadanos, por ejemplo, secretos médicos, notariales o de abogados, cuya divulgación está penada por la ley.
Amenazas a la confidencialidad de los recursos de información
Una amenaza es un intento posible o real de tomar posesión de los recursos de información protegidos
Las fuentes de amenazas a la seguridad de los datos confidenciales son empresas competidoras, intrusos y autoridades gubernamentales. El propósito de cualquier amenaza es afectar la integridad, integridad y disponibilidad de los datos.
Las amenazas son internas o externas. Las amenazas externas son intentos de obtener acceso a datos desde el exterior y van acompañadas de piratería de servidores, redes, cuentas de empleados y lectura de información de canales técnicos de fuga (lectura acústica mediante errores, cámaras, captación en hardware, recepción de información vibroacústica de ventanas y estructuras arquitectónicas). ).
Las amenazas internas implican acciones ilegales del personal, del departamento de trabajo o de la dirección de la empresa. Como resultado, un usuario del sistema que trabaja con información confidencial puede dar información a personas ajenas. En la práctica, esta amenaza es más común que otras. Un empleado puede "filtrar" datos secretos a los competidores durante años. Esto se implementa fácilmente, porque el administrador de seguridad no califica las acciones de un usuario autorizado como una amenaza.
Dado que las amenazas internas a la seguridad de la información están relacionadas con los seres humanos, son más difíciles de rastrear y administrar. Puede prevenir incidentes dividiendo a los empleados en grupos de riesgo.
Un intento de acceso no autorizado puede ocurrir de varias maneras:
- a través de empleados que pueden transferir datos confidenciales a personas ajenas, sustraer medios físicos o acceder a información protegida a través de documentos impresos;
- Mediante el uso de software, los atacantes llevan a cabo ataques que tienen como objetivo robar pares de inicio de sesión y contraseña, interceptar claves criptográficas para descifrar datos y copiar información sin autorización.
- utilizando los componentes de hardware de un sistema automatizado, por ejemplo, la introducción de dispositivos de escucha o el uso de tecnologías de hardware para leer información a distancia (fuera del área controlada).
Seguridad de la información de hardware y software
Todos los sistemas operativos modernos están equipados con módulos de protección de datos incorporados a nivel de software. MAC OS, Windows, Linux, iOS hacen un excelente trabajo de encriptación de datos en el disco y en tránsito a otros dispositivos. Sin embargo, para crear un trabajo eficaz con información confidencial, es importante utilizar módulos de protección adicionales.
Los sistemas operativos de los usuarios no protegen los datos en el momento de la transmisión por la red, y los sistemas de protección permiten controlar los flujos de información que circulan por la red corporativa y el almacenamiento de datos en los servidores.
El módulo de protección de hardware y software generalmente se divide en grupos, cada uno de los cuales realiza la función de proteger la información confidencial:
- El nivel de identificación es un sistema complejo de reconocimiento de usuarios que puede usar autenticación estándar o multinivel, biometría (reconocimiento facial, escaneo de huellas dactilares, grabación de voz y otras técnicas).
- La capa de cifrado proporciona el intercambio de claves entre el remitente y el receptor y cifra/descifra todos los datos del sistema.
Protección jurídica de la información
El estado proporciona la base legal para la seguridad de la información. La protección de la información está regulada por convenciones internacionales, la Constitución, las leyes federales y los estatutos.
El Estado también determinará la medida de responsabilidad por la violación de las disposiciones de la legislación en materia de seguridad de la información. Por ejemplo, La ley 19.223 de Chile dice: "El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. ... Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado"
Solicita más información en nuestro programa de MAGÍSTER EN CIBERSEGURIDAD en Ceupe Chile
Comentarios