El valor de la Información

En este día hablaremos de el valor de la información, como clasificar los datos, acerca de los requerimientos de retención, y acceso a la información.

La información personal, o secreta tiene valor. Por eso los criminales quieren robartela.

Información Confidencial o Secreta (password, api keys)

Tipos de Datos

• Datos Publicos: Información al público general y solo puede ser compartida por los empleados.

• Datos Internos: Utilizada por las actividades diaria del negocio

• Información Confidencial: Información detallada de las estrategia, las finanzas y las ventajas operacionales que deben ser protegida, incluyendo la información personal de los clientes.

• Información Restringida: Información que conyeva repercuciones legales o de mercado si es revelada a personas no autorizadas.

Al guardar los password siempre utilizar Hashing Code y Salt (un palabra o conjunto de caracteres aleatorio)

Al momento de necesitar guardar un password por un lapso de tiempo de prueba, utilice un Heap, ya que sería dificil scanear gigabytes de información para encontrar el password. Una vez terminado borre la información de la memoria RAM

Clasificación de la información

¿Qué podemos hacer para asegurar la información privada y que no sea utilizadad mal intencionalmente?

1. Restringido y Confidencial: La más importante información que pueda tener una organización y debe ser protegida, algun ejemplo de información restringida son los registro médicos, número de identidad personal, información financiera, contratos con terceros, propiedad intelectual o especificaciones de productos.

2. Uso Interno: toda la información compartida con los individuos de una organización por ejemplo: graficos de rendimientos, directorios, beneficios o politicas y procesimientos.

3. Público: Información con cero riesgo para las organizaciones y casi siempre es para el beneficio de la organización, siempre y cuando se escrutine la data para que nunca sea modificada o destruida, excepto por los individuos encargados de la información. Algunos ejemplos de información pública son: noticias, teléfonos de servicio al cliente, emails, direcciones y reportes financieros publicados.

4. Información desclasificada (CUI Controlled Unclassifed Information): toda información relevante con cualquiera operación con una entidad guvernamental.

¿Cómo prevenir fuga de datos masiva?

Una fuga de datos masiva es cualquiera entrega o robo de información de uso interno o confidencial. Tenemos varios tipos de intentos y la manera de prevenir el hurto de información:

1. Phishing: Revisa los urls o lings antes de hacerle click, busca por las banderas rojas mas comunes, como mala ortografia o pronunciación, amenaza urgente o promesas falsas acerca de un premio ganador. Siempre trata todos los links como sensitivos.

2. Acceso: Nunca compartas tu acceso o password con nadie. Los miembros administrativos de una organización nunca te pediran tu password.

3. Atención: Siempre revisa tus hombros o quien esta al rededor tuyo al introducir contraseña o abrir algun documento confidencial, si estas en un lugar con red inalámbrica o WiFi utiliza siempre un VPN que encrypte tu connexión.

4. Reportes: Reporta los incidente a tu administrador una vez sucedido el incidente para tener un reporte de incidente y poder tomar la mejor acción para prevenir el daño y futuros ataques.

5. Política: Siempre aplica las políticas a todo lo que vayas abrir o clickear aunque se vea seguro.

Políticas Comunes de Contraseña en los sistemas de información

Las políticas de contraseñas son un conjunto de reglas que los administradores de sistemas aplican para mejorar la seguridad de las cuentas de usuario. Aquí tienes las 10 políticas más comunes:

1. Longitud Mínima: Requiere que la contraseña tenga un número mínimo de caracteres, usualmente entre 8 y 12.

2. Complejidad de Caracteres: Exige el uso de una combinación de mayúsculas, minúsculas, números y símbolos especiales (!, @, #, $, etc.).

3. No Reutilización (Historial de Contraseñas): Impide a los usuarios volver a utilizar contraseñas que hayan usado recientemente. El sistema guarda un historial de las últimas 5 o 10 contraseñas para evitar la repetición.

4. Caducidad (Expiración): Obliga a los usuarios a cambiar su contraseña cada cierto tiempo, por ejemplo, cada 90 días.

5. Bloqueo de Cuenta por Intentos Fallidos: Bloquea temporalmente una cuenta después de un número predefinido de intentos de inicio de sesión fallidos, como 3 o 5.

6. Uso de Frases de Contraseña (Passphrases): Promueve el uso de frases más largas y memorables en lugar de contraseñas cortas y complejas.

7. No Uso de Información Personal: Prohíbe el uso de datos fácilmente adivinables como nombres, fechas de nacimiento o números de teléfono.

8. Requerimiento de Caracteres Únicos: Asegura que la contraseña contenga un cierto número de caracteres que no se repitan, evitando contraseñas como aaaa1234.

9. No Contener la Cuenta de Usuario o Nombre Real: Evita que la contraseña incluya el nombre de usuario o el nombre completo del titular de la cuenta.

10. Notificación de Compromiso: Informa a los usuarios si sus contraseñas han sido expuestas en una brecha de seguridad conocida, motivándolos a cambiarla.