La verdad es que los datos, del cliente o internos, deben tratarse de la misma manera que se tratar\u00c3\u00ada un desecho m\u00c3\u00a9dico. Deber\u00c3\u00adan:<\/p>\n
Tratarse con cuidado extremo<\/p>\n
Almacenarse y transportarse con precauci\u00c3\u00b3n No se f\u00c3\u00ade de las directivas ni de las personas La unidad flash USB (UFD) es un dispositivo muy apreciado por las masas inform\u00c3\u00a1ticas y muy temido por muchos en el mundo de la administraci\u00c3\u00b3n de TI. El riesgo del robo de datos con unidades UFD es considerable. Pero si le preocupa el hecho de que sus datos est\u00c3\u00a9n saliendo por la puerta cada vez que ve una unidad UFD, para empezar, sus datos no est\u00c3\u00a1n lo suficientemente seguros. Los medios CD-R, los CDs de arranque de Windows\u00c2\u00ae PE, los recursos compartidos de red y otros tipos de medios peque\u00c3\u00b1os son amenazas y la verdad es que, si lucha por partes contra una variedad de formatos de medios, probablemente estar\u00c3\u00a1 luchando por una causa perdida. No proteja los sistemas al final de la canalizaci\u00c3\u00b3n, donde las personas se conectan a su infraestructura. Prot\u00c3\u00a9jalos desde el principio. Por supuesto, no se puede proteger todo, pero la organizaci\u00c3\u00b3n media puede hacer mucho m\u00c3\u00a1s de lo que hace hoy en d\u00c3\u00ada.<\/p>\n Convierta la protecci\u00c3\u00b3n de datos en una parte importante de su entorno laboral. Implemente la idea de que todas las personas de su organizaci\u00c3\u00b3n deben tratar los datos con cuidado. S\u00c3\u00b3lo env\u00c3\u00ade los mensajes de correo electr\u00c3\u00b3nico y documentos compartidos que indiquen espec\u00c3\u00adficamente que se pueden reenviar y no divulgue nada que no deba ser divulgado. Como un profesional de TI, su trabajo consiste en ense\u00c3\u00b1ar e implementar ese comportamiento. A menudo, un mensaje de correo electr\u00c3\u00b3nico marcado como “confidencial” sale de la organizaci\u00c3\u00b3n porque alguien pens\u00c3\u00b3 que era lo bastante importante como para enviarlo a un colega, que, a su vez, hizo lo mismo. En la figura 1 se muestra el mensaje que avisa al usuario del contenido restringido en Microsoft Outlook\u00c2\u00ae, gracias a RMS.<\/p>\n Aunque RMS no haya eliminado el problema completamente, ha dificultado bastante la distribuci\u00c3\u00b3n de contenido restringido. Un usuario que realmente quiera “liberar” RMS u otros datos cifrados o protegidos todav\u00c3\u00ada puede hacerlo. Aunque haya cifrado sus datos de forma segura, no olvide nunca “el agujero anal\u00c3\u00b3gico”: la adquisici\u00c3\u00b3n de datos confidenciales a trav\u00c3\u00a9s de medios no digitales como, por ejemplo, la captura de la informaci\u00c3\u00b3n mostrada en un monitor simplemente con una c\u00c3\u00a1mara. Incluso en un mundo con la nueva ruta protegida de Windows Vista\u00e2\u201e\u00a2, que guarda los datos protegidos con Administraci\u00c3\u00b3n de derechos digitales (DRM) hasta su presentaci\u00c3\u00b3n en pantalla, todav\u00c3\u00ada hay un riesgo de p\u00c3\u00a9rdida de datos a trav\u00c3\u00a9s de medios anal\u00c3\u00b3gicos.<\/p>\n Preste atenci\u00c3\u00b3n a los equipos mismos donde se almacenan sus datos. \u00c2\u00bfRealmente deber\u00c3\u00ada tener una base de datos de clientes confidencial en un equipo port\u00c3\u00a1til o en la recepci\u00c3\u00b3n de su oficina? En realidad, esa informaci\u00c3\u00b3n s\u00c3\u00b3lo debe estar disponible en un servidor (o escritorio) protegido f\u00c3\u00adsicamente en un \u00c3\u00a1rea privada de la oficina, idealmente, en un centro de datos protegido con medidas de seguridad sin una conexi\u00c3\u00b3n directa a Internet. Aqu\u00c3\u00ad en Austin, Texas, se rob\u00c3\u00b3 hace poco un equipo port\u00c3\u00a1til de una compa\u00c3\u00b1\u00c3\u00ada local que conten\u00c3\u00ada datos de clientes. El equipo port\u00c3\u00a1til conten\u00c3\u00ada datos m\u00c3\u00a9dicos de pacientes, n\u00c3\u00bameros de la seguridad social y fechas de nacimiento; todos los datos clave que necesitar\u00c3\u00ada para robar la identidad de alguien. \u00c2\u00bfPor qu\u00c3\u00a9 raz\u00c3\u00b3n estaba esta informaci\u00c3\u00b3n tan importante almacenada en un equipo port\u00c3\u00a1til mal protegido? S\u00c3\u00b3lo deber\u00c3\u00ada haber estado disponible en un cliente inteligente o una aplicaci\u00c3\u00b3n web seguros, o en un servidor accesible a trav\u00c3\u00a9s de Servicios de Terminal Server o un cliente Citrix. En una organizaci\u00c3\u00b3n que deber\u00c3\u00ada seguir el estatuto de HIPAA, la p\u00c3\u00a9rdida de datos tan importantes es descomunal. Es muy importante que establezca medidas de integridad de contrase\u00c3\u00b1as, as\u00c3\u00ad como una autenticaci\u00c3\u00b3n de dos factores; medidas que requieran una combinaci\u00c3\u00b3n de contrase\u00c3\u00b1a y otro mecanismo, tal como una tarjeta inteligente, de manera que se consiga una integridad de autenticaci\u00c3\u00b3n aunque la contrase\u00c3\u00b1a se ponga en peligro.<\/p>\n Tanto si usa una autenticaci\u00c3\u00b3n de varios factores como si no, la integridad de la contrase\u00c3\u00b1a debe implementarse con las t\u00c3\u00a9cnicas siguientes:<\/p>\n Limite la duraci\u00c3\u00b3n m\u00c3\u00a1xima de todas las contrase\u00c3\u00b1as de usuario, use su propio juicio con respecto a esta duraci\u00c3\u00b3n. Si la duraci\u00c3\u00b3n es demasiado corta, los usuarios olvidar\u00c3\u00a1n las contrase\u00c3\u00b1as o eludir\u00c3\u00a1n la seguridad anot\u00c3\u00a1ndolas. Si es demasiado larga, el objetivo de cambiarlas ser\u00c3\u00a1 discutible. No use la opci\u00c3\u00b3n “La contrase\u00c3\u00b1a nunca caduca” para las cuentas interactivas. Reflexione sobre los sistemas que pueden estar en peligro. \u00c2\u00bfPuede protegerlos f\u00c3\u00adsicamente? \u00c2\u00bfPor qu\u00c3\u00a9 no los coloca en un centro de datos o en otra \u00c3\u00a1rea con acceso limitado? Si eso no es posible o si se trata de un sistema port\u00c3\u00a1til, \u00c2\u00bfemplea software de cifrado de volumen? Si no puede aplicar estos pasos, mueva los datos a un sistema que se pueda proteger o c\u00c3\u00adfrelos. En el caso del equipo port\u00c3\u00a1til robado que mencion\u00c3\u00a9 anteriormente, si el volumen se hubiese cifrado con una herramienta de cifrado de volumen seguro, los datos habr\u00c3\u00adan estado casi totalmente protegidos.<\/p>\n El hecho de que un sistema resida en un centro de datos no significa que est\u00c3\u00a9 seguro; si tiene muchas conexiones T1 hacia Internet, todav\u00c3\u00ada estar\u00c3\u00a1 en peligro. El acceso a Internet facilita a los atacantes el acceso f\u00c3\u00adsico, por lo que debe considerar escrupulosamente las amenazas a sus sistemas. Considere la posibilidad de mover los datos a un segmento separado de su red donde tenga, como m\u00c3\u00adnimo, otro nivel de protecci\u00c3\u00b3n de redes entre Internet y los sistemas analizados. Para estar preparado, use el cifrado de volumen que se incluye en Windows Vista. Hay muchas herramientas de terceros disponibles para la mayor\u00c3\u00ada de las otras versiones de Windows. La complejidad de uso de estas herramientas es variable, as\u00c3\u00ad como su capacidad para realizar un cifrado de volumen completo y\/o un cifrado de archivos o directorios individuales como permite el sistema de cifrado de archivos (EFS). Si el volumen est\u00c3\u00a1 cifrado, los datos estar\u00c3\u00a1n protegidos contra todo, excepto contra el ladr\u00c3\u00b3n m\u00c3\u00a1s avanzado. Pero si realiza copias de seguridad de sistemas y, sobre todo, si sigue esta recomendaci\u00c3\u00b3n de realizar las copias de seguridad fuera del sitio, debe proteger los datos que se incluyen en las copias de seguridad. Cifre los datos con EFS, si est\u00c3\u00a1 disponible, u otro software de cifrado de volumen (como la caracter\u00c3\u00adstica BitLocker de Windows Vista u otro software de terceros), o compre un software de copia de seguridad que incluya las capacidades de cifrado y funcione a un nivel aceptable. Simplemente porque los datos est\u00c3\u00a9n ofuscados en una cinta de copia de seguridad o divididos en una soluci\u00c3\u00b3n de copia de seguridad basada en disco, no significa que est\u00c3\u00a9n seguros. Debe suponer que el mecanismo de transporte tambi\u00c3\u00a9n puede ponerse en peligro. Si tiene unidades UFD en su organizaci\u00c3\u00b3n, considere la posibilidad de usar utilidades de cifrado obligatorio. Los discos que contienen datos de alto riesgo deben cifrarse. A pesar de la creencia popular, no estoy de acuerdo con que el simple cifrado de vol\u00c3\u00bamenes antes de su retirada sea una manera segura de deshacerse de los discos. \u00c2\u00bfRecuerda la met\u00c3\u00a1fora sobre deshechos m\u00c3\u00a9dicos que mencion\u00c3\u00a9 anteriormente? Trate los datos de estos sistemas como desechos peligrosos y emplee utilidades de eliminaci\u00c3\u00b3n segura de datos como tratamiento. Use una herramienta de eliminaci\u00c3\u00b3n de datos que implemente la especificaci\u00c3\u00b3n DoD 5220.22-M, como SDelete de Mari Russinovich, antes de devolver al mercado sus discos y sistemas para la reventa, o incluso antes de moverlos en la organizaci\u00c3\u00b3n. De lo contrario, el siguiente usuario podr\u00c3\u00a1 obtener acceso a los secretos de todos los datos del usuario anterior. La verdad es que los datos, del cliente o internos, deben tratarse de la misma manera que se tratar\u00c3\u00ada un desecho m\u00c3\u00a9dico. Deber\u00c3\u00adan: Tratarse con cuidado extremo Almacenarse y transportarse con precauci\u00c3\u00b3n No ponerse en peligro durante los pasos del proceso Eliminarse con mucho cuidado Si sigue todas las medidas de seguridad que resumo aqu\u00c3\u00ad, […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-215","post","type-post","status-publish","format-standard","hentry","category-profesional"],"yoast_head":"\n
\nNo ponerse en peligro durante los pasos del proceso
\nEliminarse con mucho cuidado
\nSi sigue todas las medidas de seguridad que resumo aqu\u00c3\u00ad, estar\u00c3\u00a1 en el buen camino para proteger sus datos durante todo su ciclo de vida.<\/strong><\/p>\n
\n<\/strong>Muchos se han referido a las personas como la Capa 8 del modelo OSI (Interconexi\u00c3\u00b3n de sistemas abiertos) y, en muchos sentidos, lo son. Lamentablemente, a menudo son el v\u00c3\u00adnculo m\u00c3\u00a1s deficiente. Los usuarios, tanto los m\u00c3\u00a1s fuertes t\u00c3\u00a9cnicamente como los menos expertos, son siempre los que estiran los l\u00c3\u00admites de cualquier directiva de infraestructura. Y lo mismo es cierto para la seguridad de los datos. Nunca deber\u00c3\u00ada confiar en una directiva como un aspecto clave para la seguridad de los datos. Las personas no respetar\u00c3\u00a1n la directiva, ya sea de manera intencionada o accidental. Debe tomar medidas de prevenci\u00c3\u00b3n para asegurarse de que, si se pone en peligro la directiva, la infracci\u00c3\u00b3n se registre adecuadamente o las contramedidas digitales garanticen que los datos no se vean afectados.<\/p>\n
\nLimite la divulgaci\u00c3\u00b3n de informaci\u00c3\u00b3n
\nCon el predominio de la inform\u00c3\u00a1tica m\u00c3\u00b3vil, los dispositivos m\u00c3\u00b3viles necesitan a\u00c3\u00ban m\u00c3\u00a1s seguridad de datos. Si su organizaci\u00c3\u00b3n trabaja principalmente con documentos de Microsoft\u00c2\u00ae Office, debe investigar Microsoft Office Information Rights Management (IRM) y Windows Rights Management Service (RMS) para las aplicaciones basadas en Windows habilitadas para RMS. Con estas tecnolog\u00c3\u00adas, los usuarios s\u00c3\u00b3lo pueden obtener acceso a los datos para los que tienen derechos predeterminados.<\/p>\n
\nIntegridad de contrase\u00c3\u00b1a
\nGeneralmente, la contrase\u00c3\u00b1a es la \u00c3\u00baltima barrera de seguridad. Lamentablemente, los usuarios que trabajan por su cuenta repiten las contrase\u00c3\u00b1as, vuelven a emplear las ra\u00c3\u00adces de contrase\u00c3\u00b1as que no son seguras, limitan su complejidad para poder recordarlas m\u00c3\u00a1s f\u00c3\u00a1cilmente e incluso las anotan en lugares visibles.<\/p>\n
\nImponga la longitud y la complejidad de la contrase\u00c3\u00b1a para que los usuarios no eviten la seguridad con contrase\u00c3\u00b1as no seguras como la que se muestra en la figura 2. No imponga medidas de integridad tan estrictas que los usuarios no puedan recordar las contrase\u00c3\u00b1as, a menos que use la autenticaci\u00c3\u00b3n de varios factores. Si lo hace, usar\u00c3\u00a1n el m\u00c3\u00a9todo de notas adhesivas para recordar las contrase\u00c3\u00b1as.
\nMantenga un historial de contrase\u00c3\u00b1as y no permita que los usuarios reciclen las contrase\u00c3\u00b1as que ya han memorizado y usado durante meses.
\nEvite los ataques a contrase\u00c3\u00b1as de fuerza bruta limitando el n\u00c3\u00bamero de intentos fallidos para que se bloquee la cuenta.
\nY, lo que es m\u00c3\u00a1s importante, informe a los usuarios de la importancia de sus credenciales.
\nLa integridad de la contrase\u00c3\u00b1a y la autenticaci\u00c3\u00b3n local son esenciales pero, por supuesto, los datos del sistema local no deber\u00c3\u00adan ser datos altamente confidenciales a menos que se hayan protegido f\u00c3\u00adsicamente o cifrado. Las contrase\u00c3\u00b1as solas no son la soluci\u00c3\u00b3n. Una contrase\u00c3\u00b1a de usuario no es m\u00c3\u00a1s que una herramienta para evitar que los atacantes que quieran poner en peligro el acceso interactivo directo al sistema pero que no est\u00c3\u00a9n dispuestos a emplear herramientas puedan hacerlo.
\nSeguridad f\u00c3\u00adsica<\/strong>
\nLos datos cr\u00c3\u00adticos no deber\u00c3\u00adan residir en un sistema que puede estar en peligro f\u00c3\u00adsicamente o que se puede sacar de la oficina. Si tiene sistemas que cree que pueden estar en peligro cuando alguien inicia Windows PE y recupera datos, tiene otros problemas; Windows PE no es el culpable. El motivo puede ser uno o m\u00c3\u00a1s de los siguientes. Sus sistemas no est\u00c3\u00a1n protegidos f\u00c3\u00adsicamente de manera adecuada. Est\u00c3\u00a1n protegidos, pero usted no conf\u00c3\u00ada en los usuarios que tienen acceso a ellos, los datos est\u00c3\u00a1n en un sistema que no est\u00c3\u00a1 protegido f\u00c3\u00adsicamente (o que no se puede proteger) o los sistemas no se pueden proteger f\u00c3\u00adsicamente y no ha usado herramientas de cifrado de volumen, como la caracter\u00c3\u00adstica BitLocker\u00e2\u201e\u00a2 de Windows Vista, para mitigar el peligro f\u00c3\u00adsico. (Para obtener m\u00c3\u00a1s informaci\u00c3\u00b3n acerca de BitLocker, consulte el art\u00c3\u00adculo de Byron Hynes en este n\u00c3\u00bamero de TechNet Magazine.)<\/p>\n
\nMitigaci\u00c3\u00b3n del riesgo de datos
\nOtra medida de seguridad disponible consiste en otorgar a los usuarios acceso a trav\u00c3\u00a9s de aplicaciones o herramientas de cliente ligero que a\u00c3\u00adslen los datos en un servidor f\u00c3\u00adsicamente seguro. Esto puede significar el acceso a trav\u00c3\u00a9s de un VPN para que los usuarios que no se encuentren en las instalaciones puedan obtener acceso. Nunca debe permitir que las restricciones f\u00c3\u00adsicas de un usuario determinen c\u00c3\u00b3mo deben tratarse los datos. Simplemente porque un usuario necesite acceso y se encuentre en una ubicaci\u00c3\u00b3n donde no est\u00c3\u00a1 disponible una conexi\u00c3\u00b3n de banda ancha u otro acceso de alta velocidad, no significa que deba mover los datos a una instancia local del equipo del usuario. Si no puede mover el sistema y debe tenerlo en una ubicaci\u00c3\u00b3n no segura, proteja los datos con el cifrado de volumen.
\nSeguridad en el sistema
\nDebe estar preparado para la posibilidad de que, a pesar de todos sus esfuerzos, alguien entre en su sistema, elimine el disco duro y lo coloque en otro sistema Windows donde se puedan restablecer las listas de control de acceso (ACL) de NTFS.<\/p>\n
\nSeguridad de archivado
\nLos datos de copia de seguridad tambi\u00c3\u00a9n deben protegerse. La mayor\u00c3\u00ada de las personas tienen dos razones para no realizar copias de seguridad de sus sistemas: el cifrado de copias de seguridad requiere demasiado tiempo o el software de copia de seguridad no lo permite.<\/p>\n
\nSeguridad de transmisi\u00c3\u00b3n
\nDebe proteger todos los datos que se transporten a trav\u00c3\u00a9s del cable. Use \u00c3\u00banicamente protocolos seguros para obtener acceso al sistema remoto. Use las versiones cifradas de los protocolos y suponga siempre que es posible un ataque de tipo “hombre intermedio” (MITM). No use protocolos mal cifrados o sin cifrar y, si usa cifrado, no use un algoritmo o una longitud de cifrado deficiente. Usted, o alguien de su organizaci\u00c3\u00b3n, debe conocer todos los protocolos de comunicaci\u00c3\u00b3n y los algoritmos de cifrado que se usan entre los sistemas de su infraestructura.
\nEliminaci\u00c3\u00b3n segura
\nTodos hemos o\u00c3\u00addo historias de discos duros u otros dispositivos de almacenamiento comprados en eBay o el mercadillo local que se sometieron a software forense o incluso a utilidades de recuperaci\u00c3\u00b3n todav\u00c3\u00ada m\u00c3\u00a1s ordinarias y revelaron oscuros secretos, datos que deber\u00c3\u00adan haberse borrado completamente antes de vender las unidades de disco.<\/p>\n
\nAuditor\u00c3\u00ada
\nPor \u00c3\u00baltimo, aunque no por eso menos importante, otro componente clave para la seguridad de los datos es la auditor\u00c3\u00ada, e incluso el modelado de amenazas, del ciclo de vida de los datos en su organizaci\u00c3\u00b3n. Conozca los puntos d\u00c3\u00a9biles por los que se pueden escapar los datos y vig\u00c3\u00adlelos con atenci\u00c3\u00b3n. Windows ofrece varias herramientas de auditor\u00c3\u00ada integradas. Sin embargo, la auditor\u00c3\u00ada puede derivar f\u00c3\u00a1cilmente en el desbordamiento de datos. Aseg\u00c3\u00barese de vigilar las \u00c3\u00a1reas correctas y de que no se satura de datos. Controle los puntos d\u00c3\u00a9biles y as\u00c3\u00adgneles un factor atenuante adecuado, no cubra la presa de datos con modificaciones. Aseg\u00c3\u00barese tambi\u00c3\u00a9n de que los usuarios tengan un entrenamiento adecuado sobre c\u00c3\u00b3mo tratar los datos. Ellos son el v\u00c3\u00adnculo cr\u00c3\u00adtico en muchos niveles de la organizaci\u00c3\u00b3n. Encontrar\u00c3\u00a1 m\u00c3\u00a1s informaci\u00c3\u00b3n en la barra lateral “Recursos adicionales”. No se olvide de seguir todas las sugerencias resumidas aqu\u00c3\u00ad; dormir\u00c3\u00a1 mejor por las noches si lo hace.<\/p>\n","protected":false},"excerpt":{"rendered":"