Gestión de Riesgos de Seguridad en Negocios Digitales

Clase 11 de 25 • Curso de DLP: Prevención de Pérdida de Datos

Resumen

La gestión de riesgos de seguridad es más que un cumplimiento legal, es un valor estratégico. Te permite conocer cómo es el modelo de negocio e identificar los activos de información. Posibles amenazas o vulnerabilidades que te pueden afectar, para luego identificar cuáles son los controles que te ayudarán a gestionar dichas amenazas y vulnerabilidades.

La implementación del GDPR obliga a incorporar técnicas de prevención de Pérdida de Datos, que permiten:

Clasificar que tipo de información se tiene e identificar dónde y bajo qué condiciones se tienen almacenados datos personales
Monitorear el flujo de los datos y establecer controles de acceso y/o intercambio
Borrar o suprimir aquella información que no se requiera o no se necesite
Restringir y controlar de forma automática el acceso a datos personales por parte de terceros no autorizados
Generar alertas automáticas y controles de seguridad que protejan los datos
Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico

Platzi Team

student•

Siempre que realicemos un backup, de datos he informacion probar si el backup generado Funciona correctamente. Personalmente tuve 2 grandes dolores de cabeza con un problema similar.

Respalde informacion de un sitio Web, pero nunca lo probe al final se fueron años de trabajo
Backup de SQL, los respaldos se generaban en el mismo servidor, al que hubo una inundación en el lugar, chao servidor. jjjjjjjjj

Grandes lecciones aprendí, ahora realizo backup en la nube y con un servidor de pruebas.

Andrés Felipe Carreño

student•

Muchas gracias por tu aporte, lo voy a tener en cuenta.

Juan Pablo Perez

student•

Interesante antes de este curso nunca pensaba que cosas así podrían pasar pero ahora lo tengo en cuenta, gracias.

Jorge Francisco Onasis Ramos Nava

student•

Mis apuntes - La DLP como favor de crecimiento y cumplimiento regulatorio

La implementación del GDPR permite: 1.- Clasificar que tipo de información se tiene e identifica donde y bajo que condiciones se tienen almacenados los datos personales. 2.- Monitorear el flujo de los datos y establece controles de acceso y/o intercambio. 3.- Borrar o suprimir aquella información que no se requiera o no se necesite. 4.- Restringir y controlar de forma automática el acceso a datos personales por parte de terceros no autorizados. 5.- Generar alertas automáticas y controles de seguridad que protejan los datos. 6.- Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico.

Es un valor estratégico agregado.
Te ayuda a tener una mayor organización.
Tener controlado que hacer y quien lo hará cuando haya una vulnerabilidad explotada.
Es necesario tener esta prevención si se desea internacionalizar la empresa a la Unión Europea.

Juan Pablo Perez

student•

Gracias Jorge por el resumen.

Dante Castillo Z.

student•

Gracias por las notas.

Enrique Montes Trejo

student•

Tendriamos que llenar algun formato para pedirle a la empresa que borre nuestros datos?

Cristian Antonio García González

student•

Hola @enriquemontestrejo.

Eso depende de las políticas de la empresa ya que algunas tienen la opción de elegir en tu perfil eliminar tu cuenta permanentemente pero como digo depende de las políticas de la empresa y como se ajusta a la jurisdicción del país o del lugar en que se encuentren, lo mejor es contactar a la empresa y preguntar cual es el proceso para borrar los datos.

Espero que mi comentario te sea de utilidad y suerte en tus estudios.

Enrique Montes Trejo

student•

Enriquecedor el comentario, gracias por tu apreciable atención a mi pregunta. Saludos

Eyner Jorge Eduar Córdova Plasencia

student•

La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio

Cualquiera que quiera hacer negocio con la Union Europea, tendrá que implementar la GDPR para que podamos realizarlo.

El líder es parte fundamental dentro de este proceso.

Debemos clasificar la información y monitorear el flujo de los datos y establecer controles de acceso y/o intercambio. Adicionalmente, es necesario que eliminemos la información que no sea requerida por nuestra empresa.

Además también debemos restringir y controlar de forma automática el acceso a datos personales por parte de terceros no autorizados. Generar alertas automaticas y controles de seguridad de los datos y restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico.

David Orlando Toloza Gómez

student•

Si una persona solicita que sus datos sean borrados de la empresa, ¿Cómo se borrarían de los backup que se tienen?

jason alejandro martinez jimenez

student•

Supongo que nunca se eliminan esos datos, por ejemplo: tu vas a tu banco y pides que borren tus datos, ellos borran tus datos de la base de esa fecha en adelante pero sigue habiendo un registro de tu primer día de ingreso a la base de datos del banco y las transacciones ejecutadas ya que si en algún momento llegas a tener una vinculación ya sea de lavado de dinero o algo por el estilo ilegal, y los investigadores verifican que tu usabas ese banco! el banco tiene que entregar todos los retiros, procesos o transacciones que ejecutadas en el tiempo en que tu adquiriste sus servicios.

(bueno... yo lo veo desde esa perspectiva, no se si estaré en lo correcto) si llegas a saber la verdadera respuesta compartemela para poder saber mas :D

Juan Pablo Perez

student•

Normalmente las empresas tienen distintas políticas de tratamiento de datos dependiendo de en donde se encuentren pueden estar obligadas a borrar tus datos o no normalmente todo esto se puede observar en la política de privacidad de las paginas.

Santiago Restrepo

student•

Pasa en cualquier situación de la vida; la mayoría de veces no nos daremos cuenta de nuestros errores, nuestra mente suele hacernos creer que todo lo que hacemos está bien, es importante es diferenciación de roles en cada ámbito de nuestras vidas, y en especial en la gentión de riesgos.

Enrique Montes Trejo

student•

En el caso que yo pudiera detectar y comprobar que mis datos fueron vendidos o que hicieron uso indebidos de ellos, cual seria el proceso para poder entablar una queja o querella en contra de la empresa involucrada en ello.

Cristian Antonio García González

student•

Hola @enriquemontestrejo.

En ese caso tendrías que acudir con un abogado que sea de esa área ya que es seria un problema legal o al menos eso creo en mi opinión.

Espero que te sea de utilidad mi comentario.

Pedro Richard Barzola Mucha

student•

Otros valores que se deben añadir al tratamiento de datos: Sinceridad, confianza, discreción, lealtad, respeto, compromiso, entre otros; esto es básicamente un conjunto de principios que deben acompañar al talento humano que acompaña al equipo de implementación, obviamente sin ellos, no hay nada que se pueda construir, particularmente esto es fundamental en la etapa de reclutamiento, de ahí que el factor humano juega un papel o pilar preponderante para la función que deberá cumplir.

Carlos Nassif Trejo Garcia

student•

Cumplimiento y Crecimiento El reglamento Europeo de Protección de datos incorpora un modelo de protección, un estándar

Técnicas de prevención: - Clasificar que tipo de información se tiene e identificar dónde y bajo qué condiciones se tiene almacenados datos personales ○ Lider - Monitorear el flujo de los datos y establecer controles de acceso y/o intercambio ○ Confidencialidad - Borrar o suprimir aquella información que no se requiera o no se necesita ○ Derecho - Restringir y controlar de forma automatica el acceso a datos personales por parte de terceros no autorizados - Generar alertas automaticas y controles de seguridad que protejan los datos - Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico Copias de seguridad

Miguel Angel Ramirez

student•

muy bien, a poner en practica lo aprendido!

Sebastian Camilo Herrera Lopez

student•

Poner en practica dicha informacion.

ALVARO RODRIGUEZ TAMEZ

student•

Excelente clase.

Enrique Montes Trejo

student•

Como puedo esta seguro que mis datos verdaderamente fueron borrados de las base de datos de la empresa?

Cristian Antonio García González

student•

Hola @enriquemontrestrejo.

Creo que eso no es posible al menos que vayas a sus servidores y revise que no tienen tus datos guardados aun pero es según mi punto de vista.

Saludos.

José Antonio Ruiz Cruz

student•

No es posible. Pero sí la empresa está apegada a alguna regulación, deberían garantizarte que ya no poseen ningún dato personal.

Jean Nuñez

student•

El oficial que implementa la norma tiene que ser distintoa la que la audita o sigue el cumplimiento de las misma

Jose Luis Yachas Carbajal

student•

Excelente clase, aplicar todo lo aprendido desde ahora !

Luis Carlos Gomez Rivera

student•

Lo mas recomendable es realizar almacenamiento en la nube pero mi pregunta es... ¿Cuál servicio de almacenamiento en la nube debo utilizar y que sea mas seguro?

Diego Forero

Team Platzi•

No hay una verdad absoluta, debes buscar el servicio que mejor se ajuste a tus necesidades y requerimientos de uso, por ejemplo AWS tiene un servicio llamado glacier que es para almacenar información que no requieras estar consultando frecuentemente esto hace que el costo sea mucho menor por GB almacenado, si necesitas tener alta disponibilidad de los archivos puedes usar por ejemplo AWS S3 que tiene un costo más alto que glacier, también dependiendo de lo que se necesite puedes usar dropbox con una carpeta privada compartida entre los integrantes, pero como lo digo, todo depende de las necesidades.

Luis Carlos Gomez Rivera

student•

Oye enserio muchas gracias, me sirvió tu respuesta, en tu opinión personal, ¿Qué piensas sobre OneDrive? es bueno y profesional?

Mauricio Osorio Reyes

student•

++Resumen: La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio++

El Reglamento Europeo de Protección de datos incorpora un modelo de protección basado en la Gestión de Riesgos, que se está convirtiendo en un estándar internacional Por lo tanto la prevención de perdida de datos dentro de cualquier organización puede darse en los términos de dicha norma.

La gestión de riesgos de seguridad es más que un cumplimiento legal, es un valor estratégico. Te permite conocer cómo es el modelo de negocio e identificar los activos de información. Posibles amenazas o vulnerabilidades que te pueden afectar, para luego identificar cuáles son los controles que te ayudarán a gestionar dichas amenazas y vulnerabilidades.

La implementación del GDPR obliga a incorporar técnicas de prevención de Pérdida de Datos, que permiten:

1-Clasificar que tipo de información se tiene e identificar dónde y bajo qué condiciones se tienen almacenados datos personales 2-Monitorear el flujo de los datos y establecer controles de acceso y/o intercambio 3-Borrar o suprimir aquella información que no se requiera o no se necesite 4-Restringir y controlar de forma automática el acceso a datos personales por parte de terceros no autorizados 5-Generar alertas automáticas y controles de seguridad que protejan los datos Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico