El Market Intelligence es toda la información que recopilamos, que se relacionan con el mercado, los clientes y la competencia. Conoce cómo lograrla. Descubre contenido nuevo todos los días para profundizar la transformación digital en tu organización. Datos sensibles: la importancia del control de acceso a terceros En este artículo te explicamos la importancia de establecer un control de acceso a terceros para proteger los datos sensibles de la empresa.

abr 30, Medidas de control para evitar filtraciones por parte de terceros Las medidas de control que se proponen son las siguientes: Establecer los canales de gestión que se consideren convenientes. El objetivo es conocer con antelación los datos que van a ser requeridos para realizar un trabajo.

A través de un formulario de solicitud se pediría el acceso, que quedaría de esta manera registrado. Garantizar el acceso sí, pero sólo si está autenticado y controlado. Una vez que se aprueba la solicitud de acceso se entrega un nombre de usuario y una contraseña , personal e intransferible, así se está obteniendo un acceso autenticado y controlado.

Esta solución es fácil de implementar con la elección de software adecuada. Implantar mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autorizados.

Se trata de proteger la transferencia de códigos de acceso , tanto de unos trabajadores en activo a otros, como por parte de empresas subcontratistas que han interactuado con la organización, requiriendo acceso a datos, de manera puntual.

Se basa en procesos de autenticación y autorización. Si hablamos de la autenticación, lo hacemos respecto al ingreso de credenciales o utilización de uno o varios métodos de autenticación. Por otro lado, la autorización es el paso consecuente de la autenticación que es la cesión de acceso a determinado grupo de recursos y datos.

En RedesZone se ha puesto a disposición una guía que detalla las diferencias entre autenticación y autorización. Incluso, podrás conocer los métodos más utilizados para cada caso. Este control de acceso por ejemplo es para entrar en el correo electrónico, en redes sociales como podrían ser Facebook o Twitter, así como directamente entrar en nuestros dispositivos.

Es un proceso que todos hacemos constantemente en nuestro día a día y sirve para garantizar que somos usuarios legítimos y que no somos un intruso que intenta entrar de forma ilegítima. Pero si nos centramos específicamente en sistemas y equipos informáticos de empresas y organizaciones, podemos encontrar diferentes opciones que pueden servir como control.

Hoy en día los controles de acceso, son una medida totalmente necesaria dentro de cualquier empresa. Esto ayuda a garantizar la seguridad y privacidad de la información de la misma.

Estos controles pueden restringir los accesos a los sistemas, y datos que pueden llegar a ser muy sensibles a aquellas personas que no estén autorizadas. Reduciendo de forma considerable el riesgo de que se produzca alguna brecha de seguridad o filtraciones.

Todas las empresas tienen algunos desafíos previos a implementar todo este sistema. Algunos de ellos son:. Citamos a continuación los tipos de control de acceso más comunes, es decir, los que más se han implementado hasta el momento.

De acuerdo a la necesidad de tu empresa o grupo de trabajo, puedes optar por una u otra opción. Se puede afirmar que este tipo de control de acceso es de los más utilizados. Se basa en la concesión de acceso a los usuarios en base a los roles asignados. Además, y para añadir capas extras de protección, se aplican políticas de seguridad que limitan la obtención de privilegios.

Estos privilegios pueden aplicarse tanto en el acceso a datos como recursos del sistema. Hoy en día, la escalada de privilegios es una amenaza interna a nivel empresarial que causa estragos.

El gran nivel de perjuicio, sobre todo a nivel económico que genera, debe ser un punto de atención para cualquier empresa que se vea susceptible a este tipo de amenazas de seguridad. Es un tipo de control de acceso que dicta que el dueño de los datos decide respecto a los accesos. Lo que significa que dichos accesos serán concedidos a los usuarios en base a las reglas que el propio dueño de los datos especifica.

Es uno de los mecanismos de control que tenemos. En este caso los sujetos son los usuarios, procesos o programas y van a conceder permiso a otros a través de un objeto.

El responsable de ese objeto es quien va a determinar quién puede o no entrar y con qué permisos. Es un modelo de control de acceso con el que la mayoría de las personas probablemente ya estará familiarizada, porque es uno de los que se usa en la gran mayoría de los sistemas operativos que usamos hoy en día.

Por ejemplo, si creamos una hoja de cálculo, nosotros, como los propietarios, podemos determinar quién más en nuestro entorno tiene acceso y qué tipo de acceso tiene a esa hoja de cálculo. Y nosotros, como propietarios de esa hoja de cálculo, podemos modificar ese acceso en cualquier momento que queramos.

Esto en parte lo convierte en un modelo de control de acceso muy flexible porque bajo el ejemplo expuesto anteriormente, nosotros, como propietarios de ese archivo, podemos determinar exactamente quién tiene el tipo de acceso y podemos determinarlo y cambiarlo en el momento que queramos.

A esta variante se la puede considerar como algo más arbitraria que las demás. Esto es así en el sentido de que a los usuarios se les concede el acceso en base a regulaciones establecidas por una autoridad central en una empresa o alguna que otra organización reguladora.

Esto significa que el sistema operativo va a proporcionar los límites sobre cuánto acceso tendrá cada usuario a cada recurso o conjunto de recursos.

Y estos generalmente se basan en ciertos niveles de autorización ya que a cada recurso al que alguien pueda necesitar acceder se le debe asignar una etiqueta. Este tipo de acceso debe ser confidencial, secreto, alto secreto, o algún otro tipo de etiqueta y esto quiere decir que a los usuarios entonces se les otorgan ciertos derechos para que justamente puedan acceder a dichos recursos que son confidenciales y a los que no puede acceder cualquiera, por ejemplo, algunos usuarios podrán acceder a recursos confidenciales y otros además podrán acceder a recursos que son de alto secreto a los que los anteriores no podrán acceder.

El administrador es el que determina qué acceso específico y que rol tiene cada usuario en particular y estos generalmente no pueden cambiar cualquiera de estos roles de acceso bajo un modelo de control de acceso obligatorio.

Cuenta con una capa más de seguridad para poder controlar el acceso y los privilegios. Se basa en etiquetar cualquier elemento del sistema y determinar las diferentes políticas de control de acceso.

La distinción de este tipo de control de acceso, es que al usuario y los recursos a los cuales le corresponde el acceso, se le agregan una serie de atributos.

Los mismos permiten que se realicen evaluaciones que indican respecto al día, la hora, la ubicación y otros datos. Todo esto se tiene en cuenta a la hora de conceder o limitar acceso a datos y recursos. Este es un tipo que aplica un método más dinámico que se adapta a la situación de usuarios para tener más o menos acceso.

Básicamente podemos decir que varía en función de los datos que hemos indicado. Se adapta a las circunstancias y a los usuarios, para otorgar o no permisos. De acuerdo al país en el cual te encuentres, es posible que necesites revisar en detalle normas como GDPR, que sería una política de protección de datos personales que es válido para toda Europa.

Otro ejemplo importante es la PCI-DSS que es una regulación que se encarga de asegurar y proteger tanto las transacciones como los datos de los titulares de tarjetas de crédito y débito.

De acuerdo a cada norma, regulación o estándares pueden aplicarse sanciones de todo tipo si es que se deja de lado su cumplimiento. Más que nada porque no existe un método que es estrictamente más conveniente que otro.

Cada entorno de trabajo cuenta con necesidades en específico. Igualmente, es bueno tener presente que, de los tipos de control de acceso citados, el más moderno y reciente es el basado en atributos. Es especialmente conveniente porque los permisos se conceden o limitan de acuerdo a la situación del momento del usuario.

Por ejemplo, si cambia de locación o de dispositivo. Sin embargo, algo que no debe negociarse es el cumplimiento. Te preguntarás cuál es la solución ideal para implementar el control de acceso.

No hay precisamente una solución única que lo hace todo y todopoderosa. Puede haber escenarios en los que necesites de una o más tecnologías de una sola vez para cumplir con las necesidades de control de acceso.

Una gran parte de los entornos de trabajo utilizan Microsoft y sus aplicaciones asociadas. Microsoft Azure Active Directory ofrece políticas de acceso inteligentes.

De esta manera, todos los recursos de trabajo estarán protegidos y serán accesibles únicamente por quienes lo necesiten. De acuerdo a los requerimientos, se puede contar con la solución Azure Active Directory por sí sola o bien, si ya utilizas servicios de Microsoft como Office se puede optar por la integración.

Esto último es mucho más rápido de implementar. Esta solución, que forma parte de la suite de Azure, es una de las más populares y funcionales en las empresas. Sobre todo, las que son muy grandes, como las multinacionales. Principalmente porque tiene la capacidad de tener el control y administrar no sólo decenas sino cientos, miles o millones de usuarios.

Permite la creación de credenciales únicas de administración para que cada colaborador de una empresa o grupo de trabajo pueda tener acceso a los diversos recursos en la nube ya implementados.

Esto incluso se aplica a aquellas personas que utilizan sistemas operativos diferentes de Windows. Uno de los desafíos de los entornos de trabajo compartidos es que personas externas tengan acceso indebido a datos o recursos de sistema que cuentan con contenido sensible o de carácter confidencial.

Por otro lado, si así lo prefieres, puedes adaptar la interfaz de usuario como más prefieras para que se pueda adaptar a la imagen de tu empresa o grupo de trabajo. Como lo prefieras. Hemos comentado que soporta dispositivos que pueden utilizar sistemas operativos distintos a Microsoft.

Los citamos a continuación:. En el caso de que desees comenzar a probar, ten en cuenta que tienes un plan gratuito con funcionalidades limitadas pero ideales para los comienzos. Posteriormente, puedes pasar a los planes de pago con modalidad de pago anual. Puedes ingresar al siguiente enlace para obtener más información.

La biometría podríamos definirla como la toma de medidas estandarizadas de los seres vivos para identificarlos. También, dentro de las tecnologías de la información TI tenemos la autentificación biométrica , que es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para su identificación.

En resumen, se trata de una forma de verificar la identidad de esa persona. En el proceso de identificación, los rasgos biométricos son comparados con los de un conjunto de patrones previamente guardados.

Hay que señalar que no implica tener que conocer la identidad del presunto individuo. Lo que se hace es tomar una nueva muestra de datos biométricos del nuevo usuario, y compararla con los patrones ya registrados.

En la actualidad, están aumentando las violaciones de datos de forma constante. Esto ha repercutido en que el sistema tradicional basado en contraseña no esté en su mejor momento. La razón principal por la que se están produciendo estas brechas de seguridad es, en gran medida, por la reutilización de las contraseñas.

La solución por la que han optado algunas empresas es sustituir esas contraseñas por la autenticación biométrica. Consecuencia de ello se ha elevado la biometría, como una solución de autenticación superior a las contraseñas.

No obstante, la biometría también tiene sus problemas. Los revisaremos a fondo, y a continuación, veremos que presenta un conjunto de desafíos importante. El gran inconveniente que tiene la biometría es que, una vez que un acceso biométrico está comprometido, no puede sustituirse.

Todo sistema de control de acceso debe permitir que un administrador gestione los puntos de acceso para realizar las actualizaciones que sean necesarias. Esto incluye el onboarding adición de nuevos usuarios , el offboarding la eliminación de usuarios que se retiran de la empresa definitivamente y la solución de problemas y vulnerabilidades informáticas.

Los cambios que se realizan durante la fase de gestión deben quedar registrados, incluyendo quién realizó el cambio y cuándo.

De esta forma, al realizar auditorías o controles rutinarios de seguridad, se puede verificar que todo esté correctamente configurado. Así mismo, si fuese necesario investigar algún comportamiento inusual, falla o acceso no autorizado, los miembros del departamento de tecnología de la información TI pueden aprovechar el registro para comparar el evento con datos históricos.

Adicionalmente, en los casos en que se maneja información personal y sensible, como en los registros de pacientes de un hospital o los registros de una tarjeta de crédito, llevar un historial fidedigno permite que las instituciones cumplan con los requisitos de leyes y normas relacionadas a la seguridad de la información.

Existen cuatro tipos de control de acceso, los cuales se definen según el criterio que utilizan para delimitar o restringir el acceso a la información de la empresa. El modelo de control de acceso discrecional o Discretionary Access Control DAC se caracteriza porque el propietario de un sistema informático establece las políticas que determinan los niveles de acceso que debe tener cada usuario con base en su rango dentro de la empresa.

Este es, usualmente, el mecanismo de control de acceso que poseen los sistemas operativos. Este tipo de control de acceso es bastante flexible en comparación a los demás, pero esto significa que ofrece un menor nivel de seguridad, pues personas que no necesariamente necesitan ciertos datos podrían tener acceso a ellos.

Por ejemplo, el gerente de marketing , por ser gerente, podría tener acceso a información que sólo debería estar disponible para el gerente de finanzas. El control de acceso obligatorio o Mandatory Access Control MAC es muy común en ambientes gubernamentales o militares, donde se requiere un control más estricto.

En este, una autoridad central determina y organiza los derechos de acceso según distintos niveles de seguridad que se aplican a todos los recursos de la institución. Estos niveles de seguridad dependen de dos elementos: el tipo de información general, confidencial, clasificada, etc.

y de qué departamento o nivel de gestión depende por ejemplo, si se trata de información del departamento de finanzas, o de la gerencia.

Es el modelo que ofrece mayor seguridad, pero requiere una planificación cuidadosa para ser implementado de manera correcta. El control de acceso basado en roles o Role Based Access Control RBAC funciona bajo la premisa de permitirle acceso a los usuarios dependiendo de la función que cumplen dentro de una organización o empresa.

En este modelo se le asignan permisos de acceso a un rol, y posteriormente se le asignan estos roles a los distintos empleados. Este modelo ofrece la ventaja de que los gerentes o administradores pueden administrar los roles como autoridades centrales, de manera que dentro de un mismo proyecto, el personal del área de contabilidad no puede acceder a la misma información que el personal de tecnología de la información.

En el caso del control de acceso basado en atributos o políticas, o Attribute-Based Access Control ABAC , el acceso se otorga de manera más flexible y dinámica, pues el acceso depende de una serie de factores o atributos, como el entorno, la ubicación y la hora.

Este modelo permite reducir la asignación de roles y provee un control de acceso individualizado. El control de acceso es sumamente importante en el contexto de la ciberseguridad.

Su principal objetivo es evitar que la información de la empresa caiga en manos de ciberdelincuentes, pues las acciones de estos pueden llevar a la exposición de datos personales de empleados y clientes, la pérdida de fondos monetarios, la disminución de la confianza de los clientes en la empresa, entre otros.

Por otra parte, no sólo es importante porque evita que usuarios no autorizados accedan a datos confidenciales, sino porque además permite auditar los accesos para saber exactamente quién consultó qué información, y en qué momento.

Este tipo de registro facilita la identificación de errores y la corrección de vulnerabilidades. Los sistemas de control de acceso tienen la bondad adicional de funcionar como excelentes herramientas organizativas, pues facilitan la distribución del trabajo.

Esto es especialmente cierto en el contexto del trabajo remoto, en el que se requiere de buenas estrategias de organización y seguridad en la nube. Tener un buen sistema de control de acceso es una de las bases fundamentales de la ciberseguridad actual.

Sin embargo, establecer las políticas y la estructura organizativa necesaria para que sean sistemas eficientes puede ser complejo. Por eso, en Delta Protect ofrecemos un servicio de CISO , que le permite a tu empresa tener asesorías de expertos en materia de ciberseguridad para crear u optimizar su políticas de control de acceso.

Contacta a nuestros expertos y descubre cómo podemos ayudarte a optimizar los controles de acceso de tu empresa para reforzar su ciberseguridad y prevenir ataques cibernéticos. Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura.

Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM. La plataforma que simplifica y automatiza tu ciberseguridad y cumplimiento. Designamos a especialistas para robustecer la ciberseguridad y cumplimiento de tu empresa. Habilitamos el módulo de Entrenamiento para incentivar la ciberseguridad en tus colaboradores.

Apolo Servicios. CISO as a Service Pruebas de Penetración Monitoreo en la Dark Web. CISO as a Service.

Ingresar Agendar demo. Nuestras soluciones están diseñadas específicamente para empresas. Número de Celular. Something went wrong while submitting the form.

Manuel Andere. Erick Pérez. Juan Leonardo Hinojosa. Juan José Santos Chavez. Tabla de Contenidos. Introducción La protección de los recursos de una empresa, físicos y digitales, debe ser una de las prioridades de quienes forman parte de ella.

Control de acceso físico vs. lógico El control de acceso puede entenderse desde dos puntos de vista: uno relacionado con el acceso físico a las instalaciones de una empresa, y otro relacionado con el acceso a bases de datos y sistemas informáticos con información confidencial.

Fases del control de accesos El control de acceso se basa en 3 principios: identificación, autorización y autenticación. Identificación Crear una identidad digital para el usuario es el primer paso a seguir. Autorización Con una identidad digital creada, el usuario es autorizado o no a acceder a los sistemas, redes y plataformas digitales de la empresa.

Autenticación Una vez identificado y autorizado, el usuario puede acceder a los sistemas de la empresa mediante un proceso de autenticación. Existen diferentes tipos de credenciales para realizar esta verificación: Nombre de usuario y contraseña.

Control de acceso biométrico huella digital, reconocimiento facial, reconocimiento de voz, escaneo de retina, etc. Firma digital. Acceso Los sistemas de control de acceso, una vez que han verificado la identidad del usuario, le otorgan acceso al contenido preciso y de forma rápida, como si se tratara de un desbloqueo o de una puerta que se abre.

Gestión Todo sistema de control de acceso debe permitir que un administrador gestione los puntos de acceso para realizar las actualizaciones que sean necesarias. Auditoría Los cambios que se realizan durante la fase de gestión deben quedar registrados, incluyendo quién realizó el cambio y cuándo. Tipos de control de acceso Existen cuatro tipos de control de acceso, los cuales se definen según el criterio que utilizan para delimitar o restringir el acceso a la información de la empresa.

Control de acceso discrecional DAC El modelo de control de acceso discrecional o Discretionary Access Control DAC se caracteriza porque el propietario de un sistema informático establece las políticas que determinan los niveles de acceso que debe tener cada usuario con base en su rango dentro de la empresa.

Control de acceso obligatorio o mandatorio MAC El control de acceso obligatorio o Mandatory Access Control MAC es muy común en ambientes gubernamentales o militares, donde se requiere un control más estricto.

Puedes ingresar al siguiente enlace para obtener más información. La biometría podríamos definirla como la toma de medidas estandarizadas de los seres vivos para identificarlos. También, dentro de las tecnologías de la información TI tenemos la autentificación biométrica , que es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para su identificación.

En resumen, se trata de una forma de verificar la identidad de esa persona. En el proceso de identificación, los rasgos biométricos son comparados con los de un conjunto de patrones previamente guardados. Hay que señalar que no implica tener que conocer la identidad del presunto individuo.

Lo que se hace es tomar una nueva muestra de datos biométricos del nuevo usuario, y compararla con los patrones ya registrados. En la actualidad, están aumentando las violaciones de datos de forma constante.

Esto ha repercutido en que el sistema tradicional basado en contraseña no esté en su mejor momento. La razón principal por la que se están produciendo estas brechas de seguridad es, en gran medida, por la reutilización de las contraseñas.

La solución por la que han optado algunas empresas es sustituir esas contraseñas por la autenticación biométrica. Consecuencia de ello se ha elevado la biometría, como una solución de autenticación superior a las contraseñas. No obstante, la biometría también tiene sus problemas.

Los revisaremos a fondo, y a continuación, veremos que presenta un conjunto de desafíos importante. El gran inconveniente que tiene la biometría es que, una vez que un acceso biométrico está comprometido, no puede sustituirse. Vamos a poner un ejemplo para que se vea claro: imaginemos por un momento que nuestros datos faciales de rostro, huella dactilar o iris se vieran expuestos.

En ese sentido, si se compromete la información biométrica de una persona, cualquier cuenta que utilice este método de autenticación está en riesgo, ya que no hay forma de revertir el daño porque no se puede cambiar.

Por lo tanto, como la biometría es para siempre, es muy importante que las empresas hagan lo más difícil posible a los ciberdelincuentes descifrar el algoritmo donde se guarda la información biométrica. Una forma de hacerlo sería mediante la utilización de un algoritmo hash sólido, y no almacenando ningún dato en texto sin formato.

Cada día estamos más expuestos en Internet, y a veces no nos damos cuenta de las consecuencias. Por ejemplo, la información facial podríamos obtenerla online mediante una foto que se haya publicado en una red social o en cualquier web.

Un dato a considerar, es que, si las comparamos con las contraseñas, éstas siempre serán privadas a menos que sean robadas. Gracias a esa foto, con la tecnología adecuada podríamos replicar los parámetros biométricos del rostro de una persona.

Además, no sólo podría afectar al reconocimiento facial, también podría afectar a la voz que se podría sacar de un vídeo , o a otros sistemas. El problema está en que, a pesar de que tenemos bastantes dispositivos con escáneres biométricos, muchos de los que utilizamos habitualmente no admiten la autenticación biométrica.

La biometría ahora mismo no es algo habitual en ordenadores de sobremesa o portátiles, ya que generalmente no incluyen lectores biométricos. También, otro factor que debemos tener en cuenta, es que a la hora iniciar sesión en una web con un navegador, la utilización de la biometría todavía es muy limitada.

En este sentido, hasta que los equipos y navegadores de Internet sean compatibles la autenticación biométrica, tiene muy pocas posibilidades. En cuanto a los dispositivos inteligentes como los smartphones con Android o iOS, tienen una autenticación biométrica en las que las credenciales de autenticación son almacenadas localmente.

Sin embargo, este enfoque en el que no se almacenan las firmas biométricas sensibles en los servidores, nos excluye de la posibilidad de utilizarlo en otros lugares. En el caso de querer implementarlo, tendríamos que volver a registrarnos con credenciales como un nombre de usuario y contraseña.

Además, antes de que se pueda volver a habilitar la autenticación biométrica, también el nuevo dispositivo debería tener esa tecnología. En resumen, para una autenticación biométrica vamos a necesitar un modelo diferente en donde el patrón biométrico se guarde en un servidor.

Otra cosa que se debe tener en cuenta es la posibilidad de cambios en la biometría. La posibilidad de cambios en la biometría es un hecho que puede afectar a los trabajadores. Una quemadura en un dedo puede afectar a nuestra huella digital, o una lesión que desfigure el rostro pueden ser algunos ejemplos.

Sin duda, se trata de un problema potencial importante. Nos referimos en el caso en que la autenticación biométrica fuese el único método de autenticación en uso y no existiese un respaldo disponible. También hay que hablar de las amenazas de suplantación de identidad.

Los ciberdelincuentes han conseguido que los escáneres validen las huellas dactilares mediante el uso de moldes o réplicas de huellas dactilares, o también de rostros de usuarios válidos.

A pesar de que esta tecnología ha mejorado mucho, todavía está lejos de ser perfecta. En el hipotético caso de que ocurriese una infracción relacionada con la autenticación biométrica, podríamos correr muchos peligros. En el momento que el atacante obtiene acceso puede cambiar los inicios de sesión para estas cuentas y bloquear al trabajador fuera de su propia cuenta.

Por este motivo, es muy importante la actuación de la empresa, que tiene la responsabilidad de alertar inmediatamente a los usuarios para que tomen medidas oportunas para minimizar el riesgo. En el momento en el que se produce una infracción, tanto las empresas como sus trabajadores deben apagar inmediatamente la biometría en sus dispositivos.

A continuación, deben volver a los valores predeterminados que generalmente es la utilización de un sistema de credenciales basado en usuario y contraseña. La mejor forma de que las organizaciones garanticen su seguridad es adoptar un enfoque de seguridad por capas. La facilidad de uso de la biometría hace que sea una opción atractiva, tanto para empresas como para usuarios.

No obstante, si dependemos sólo de la autenticación biométrica es una estrategia de alto riesgo ya que hay que tener en cuenta los inconvenientes y riesgos mencionados anteriormente.

En Internet no es difícil encontrarnos fotos falsas que simulan ser reales. A veces como diversión, como una simple broma que claramente sabemos que es falso, pero en otras en cambio puede hacernos dudar e incluso comprometer a las personas.

Si aplicamos Deepfake a las imágenes podemos tener como resultados fotografías prácticamente idénticas a una original. Por ejemplo, pueden utilizar la Inteligencia Artificial para que una persona famosa parezca estar en un determinado lugar, como podría ser comiendo en un restaurante.

Pero también pueden utilizar el mismo método para vídeos. Es más complejo, lógicamente, pero con resultados asombrosos. La tecnología cada vez permite más llegar a algo parecido a la realidad sin demasiados esfuerzos. Hay aplicaciones informáticas con las que podemos editar vídeos y, si lo unimos a la Inteligencia Artificial, los resultados son evidentes.

Podemos decir por tanto que es un problema que puede llegar a afectar a la privacidad y seguridad de las personas. Realmente pueden servir para manipular información, para hacer creer lo que en realidad no es.

Hay varias otras razones igualmente importantes por las que las organizaciones necesitan una estrategia sólida de gobierno de acceso a datos, como:. Los aspectos principales que se mantuvieron consistentes en los desafíos antes mencionados incluyeron la falta de información sobre los datos sensibles que residen en los activos de datos y una visión integral de los usuarios, los roles y las políticas de acceso en todo el entorno de múltiples nubes.

Por lo tanto, entre los muchos otros componentes, los principales componentes de una estrategia DAG efectiva y eficiente deben incluir lo siguiente:. El descubrimiento y la clasificación de datos sensibles son los componentes básicos de una estrategia DAG sólida y eficiente.

Esto permite a las organizaciones obtener una imagen completa de sus datos sensibles en todo el entorno de datos corporativos, mientras que la clasificación ayuda a determinar la sensibilidad de los datos y, por lo tanto, permite a los equipos colocar los controles de acceso y seguridad adecuados.

Obtener inteligencia sobre datos sensibles es fundamental para mejorar la gobernanza de acceso eficaz y respaldar las funciones de privacidad, seguridad y cumplimiento de una organización. Al aprovechar los conocimientos generados por el descubrimiento y la clasificación de datos sensibles, los análisis de acceso a datos brindan a los equipos una imagen clara de qué usuarios están accediendo a datos sensibles en su entorno y cuáles son sus roles y permisos.

Estos conocimientos analíticos son fundamentales para comprender la cantidad de datos sensibles a los que se accede y la frecuencia con la que se accede. Con esta información, los equipos de control de acceso pueden aislar a los usuarios inactivos y revocar su acceso.

El modelo de acceso con privilegios mínimos permite a las organizaciones restringir el acceso de permisos de los usuarios al nivel más bajo. Los usuarios pueden usar los detalles de acceso proporcionados por el análisis de acceso a datos para comprender la frecuencia del acceso a datos sensibles y la cantidad de usuarios y roles que acceden a ellos.

Al comprender el nivel de permiso otorgado frente a la frecuencia de acceso, los equipos pueden identificar usuarios y roles con privilegios excesivos para optimizar su nivel de acceso al mínimo. Las políticas de acceso a datos establecen protocolos sobre cómo un usuario autorizado puede usar los datos de manera adecuada en una organización.

Estas políticas cubren temas como el propósito del procesamiento, que es fundamental ya que puede determinar quién debe o no acceder a los datos sensibles. La definición de políticas de acceso adecuadas en torno a los datos sensibles ayuda a los equipos a garantizar el uso relevante de los datos y el cumplimiento de las normas de seguridad y los reglamentos de datos.

El intercambio de datos es una parte crítica de cualquier negocio. Sin embargo, también es imperativo garantizar que los datos sensibles se compartan de forma segura. Para compartir datos de forma segura, los equipos pueden colocar políticas de enmascaramiento en tablas y filas mientras tienen en cuenta los datos sensibles y enmascaran los datos sensibles para los usuarios y roles que no necesitan acceder a ellos.

De esta manera, las organizaciones no necesitarán bloquear todos sus datos por temor a la fuga de datos o riesgos regulatorios. La automatización debe ser una parte integral de cualquier estrategia sólida de gobierno de acceso a datos. Monitorear usuarios y permisos o otorgar y revocar derechos de acceso en múltiples sistemas de datos, grandes volúmenes de datos y múltiples servicios en la nube es una tarea ardua y propensa a errores humanos.

Con la automatización y la orquestación, los equipos pueden aplicar automáticamente reglas de políticas en múltiples sistemas de datos y conjuntos de datos para establecer un gobierno de acceso estricto de manera eficiente. DAIG brinda a las organizaciones de hiperescala una solución holística que les permite proteger los datos sensibles del acceso no autorizado o los posibles riesgos de seguridad relacionados con la exposición de los datos.

Al aprovechar la inteligencia de datos sensibles, DAIG le brinda información detallada sobre sus datos sensibles, dónde existen, quién accede a los datos, cuándo y desde qué geografías. Con esta información integral, puede establecer políticas y controles de acceso efectivos en torno a sus datos valiosos y, al mismo tiempo, habilitar el intercambio seguro de datos.

Consulte nuestro documento técnico para obtener más información sobre la gobernanza e inteligencia de acceso a datos. Recevez toutes les dernières informations, les mises à jour de la loi et plus encore dans votre boîte de réception.

Les 7 Meilleures Pratiques De Gouvernance Des Données Pour Commencer Si une organisation dispose d'informations détaillées sur l'emplacement de ses données, il est raisonnable Copyright © Securiti · Sitemap · XML Sitemap.

info securiti. ai Securiti, Inc. LISTEN NOW: Evolution of Data Controls in the Era of Generative AI View. Knowledge Center » Intelligence d'accès aux données et gouvernance. By Securiti Research Team Reviewed By Muhammad Faisal Sattar.

Published July 18, Table of contents. Información Insuficiente Sobre el Acceso a Datos Sensibles Uno de los desafíos principales que enfrentan las organizaciones al administrar controles de acceso efectivos en torno a sus sistemas de datos, aplicaciones y los datos mismos es la falta de conocimientos granulares.

Falta de Mapeo de Datos Sensibles con Regulaciones Globales El cumplimiento de las normas de privacidad y protección de datos es una de las principales responsabilidades de las organizaciones a nivel mundial.

Acceso con Privilegios Excesivos La naturaleza compleja de una infraestructura de múltiples nubes hace que sea un desafío para los equipos de gobierno de acceso administrar controles de acceso efectivos y garantizar que los usuarios tengan el nivel más bajo de acceso a datos o recursos para realizar sus tareas.

Oportunidades Perdidas Debido a La Falta de Intercambio De Datos Las organizaciones tienen diversas obligaciones en torno a los datos con respecto al cumplimiento, la seguridad, la privacidad y la gobernanza.

Gestión de Control de Acceso Manual La mayoría de las organizaciones tienen que pasar por el laborioso proceso de otorgar y revocar derechos de acceso a roles o usuarios específicos en una tabla, columna o nivel de fila en conjuntos de datos estructurados.

Datos sensibles: la importancia del control de acceso a terceros En este artículo te explicamos la importancia de establecer un control de acceso a terceros para proteger los datos sensibles de la empresa.

abr 30, Medidas de control para evitar filtraciones por parte de terceros Las medidas de control que se proponen son las siguientes: Establecer los canales de gestión que se consideren convenientes. El objetivo es conocer con antelación los datos que van a ser requeridos para realizar un trabajo.

A través de un formulario de solicitud se pediría el acceso, que quedaría de esta manera registrado. Garantizar el acceso sí, pero sólo si está autenticado y controlado. Una vez que se aprueba la solicitud de acceso se entrega un nombre de usuario y una contraseña , personal e intransferible, así se está obteniendo un acceso autenticado y controlado.

Esta solución es fácil de implementar con la elección de software adecuada. Implantar mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autorizados. Se trata de proteger la transferencia de códigos de acceso , tanto de unos trabajadores en activo a otros, como por parte de empresas subcontratistas que han interactuado con la organización, requiriendo acceso a datos, de manera puntual.

Para lograrlo es importante no sólo llevar un registro , sino también un control de las autorizaciones emitidas y de los sujetos sobre los que éstas recaen. Data Security. Artículos relacionados Data Quality Mejora tus ventas en retail: estrategias para calidad de datos La IA y el gobierno de datos transforman organizaciones.

En este, una autoridad central determina y organiza los derechos de acceso según distintos niveles de seguridad que se aplican a todos los recursos de la institución. Estos niveles de seguridad dependen de dos elementos: el tipo de información general, confidencial, clasificada, etc.

y de qué departamento o nivel de gestión depende por ejemplo, si se trata de información del departamento de finanzas, o de la gerencia.

Es el modelo que ofrece mayor seguridad, pero requiere una planificación cuidadosa para ser implementado de manera correcta. El control de acceso basado en roles o Role Based Access Control RBAC funciona bajo la premisa de permitirle acceso a los usuarios dependiendo de la función que cumplen dentro de una organización o empresa.

En este modelo se le asignan permisos de acceso a un rol, y posteriormente se le asignan estos roles a los distintos empleados. Este modelo ofrece la ventaja de que los gerentes o administradores pueden administrar los roles como autoridades centrales, de manera que dentro de un mismo proyecto, el personal del área de contabilidad no puede acceder a la misma información que el personal de tecnología de la información.

En el caso del control de acceso basado en atributos o políticas, o Attribute-Based Access Control ABAC , el acceso se otorga de manera más flexible y dinámica, pues el acceso depende de una serie de factores o atributos, como el entorno, la ubicación y la hora.

Este modelo permite reducir la asignación de roles y provee un control de acceso individualizado. El control de acceso es sumamente importante en el contexto de la ciberseguridad. Su principal objetivo es evitar que la información de la empresa caiga en manos de ciberdelincuentes, pues las acciones de estos pueden llevar a la exposición de datos personales de empleados y clientes, la pérdida de fondos monetarios, la disminución de la confianza de los clientes en la empresa, entre otros.

Por otra parte, no sólo es importante porque evita que usuarios no autorizados accedan a datos confidenciales, sino porque además permite auditar los accesos para saber exactamente quién consultó qué información, y en qué momento.

Este tipo de registro facilita la identificación de errores y la corrección de vulnerabilidades. Los sistemas de control de acceso tienen la bondad adicional de funcionar como excelentes herramientas organizativas, pues facilitan la distribución del trabajo.

Esto es especialmente cierto en el contexto del trabajo remoto, en el que se requiere de buenas estrategias de organización y seguridad en la nube. Tener un buen sistema de control de acceso es una de las bases fundamentales de la ciberseguridad actual.

Sin embargo, establecer las políticas y la estructura organizativa necesaria para que sean sistemas eficientes puede ser complejo. Por eso, en Delta Protect ofrecemos un servicio de CISO , que le permite a tu empresa tener asesorías de expertos en materia de ciberseguridad para crear u optimizar su políticas de control de acceso.

Contacta a nuestros expertos y descubre cómo podemos ayudarte a optimizar los controles de acceso de tu empresa para reforzar su ciberseguridad y prevenir ataques cibernéticos. Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey.

Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura.

Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM. La plataforma que simplifica y automatiza tu ciberseguridad y cumplimiento.

Designamos a especialistas para robustecer la ciberseguridad y cumplimiento de tu empresa. Habilitamos el módulo de Entrenamiento para incentivar la ciberseguridad en tus colaboradores.

Apolo Servicios. CISO as a Service Pruebas de Penetración Monitoreo en la Dark Web. CISO as a Service. Ingresar Agendar demo. Nuestras soluciones están diseñadas específicamente para empresas. Número de Celular. Something went wrong while submitting the form. Manuel Andere. Erick Pérez. Juan Leonardo Hinojosa.

Juan José Santos Chavez. Tabla de Contenidos. Introducción La protección de los recursos de una empresa, físicos y digitales, debe ser una de las prioridades de quienes forman parte de ella.

Control de acceso físico vs. lógico El control de acceso puede entenderse desde dos puntos de vista: uno relacionado con el acceso físico a las instalaciones de una empresa, y otro relacionado con el acceso a bases de datos y sistemas informáticos con información confidencial. Fases del control de accesos El control de acceso se basa en 3 principios: identificación, autorización y autenticación.

Identificación Crear una identidad digital para el usuario es el primer paso a seguir. Autorización Con una identidad digital creada, el usuario es autorizado o no a acceder a los sistemas, redes y plataformas digitales de la empresa. Autenticación Una vez identificado y autorizado, el usuario puede acceder a los sistemas de la empresa mediante un proceso de autenticación.

Existen diferentes tipos de credenciales para realizar esta verificación: Nombre de usuario y contraseña. Control de acceso biométrico huella digital, reconocimiento facial, reconocimiento de voz, escaneo de retina, etc. Firma digital. Acceso Los sistemas de control de acceso, una vez que han verificado la identidad del usuario, le otorgan acceso al contenido preciso y de forma rápida, como si se tratara de un desbloqueo o de una puerta que se abre.

Gestión Todo sistema de control de acceso debe permitir que un administrador gestione los puntos de acceso para realizar las actualizaciones que sean necesarias. Auditoría Los cambios que se realizan durante la fase de gestión deben quedar registrados, incluyendo quién realizó el cambio y cuándo.

Tipos de control de acceso Existen cuatro tipos de control de acceso, los cuales se definen según el criterio que utilizan para delimitar o restringir el acceso a la información de la empresa. Control de acceso discrecional DAC El modelo de control de acceso discrecional o Discretionary Access Control DAC se caracteriza porque el propietario de un sistema informático establece las políticas que determinan los niveles de acceso que debe tener cada usuario con base en su rango dentro de la empresa.

Control de acceso obligatorio o mandatorio MAC El control de acceso obligatorio o Mandatory Access Control MAC es muy común en ambientes gubernamentales o militares, donde se requiere un control más estricto. Control de acceso basado en roles RBAC El control de acceso basado en roles o Role Based Access Control RBAC funciona bajo la premisa de permitirle acceso a los usuarios dependiendo de la función que cumplen dentro de una organización o empresa.

Control de acceso basado en atributos ABAC En el caso del control de acceso basado en atributos o políticas, o Attribute-Based Access Control ABAC , el acceso se otorga de manera más flexible y dinámica, pues el acceso depende de una serie de factores o atributos, como el entorno, la ubicación y la hora.

Importancia del uso de controles de acceso El control de acceso es sumamente importante en el contexto de la ciberseguridad.

Te ayudamos a implementar y gestionar controles de acceso en tu empresa Tener un buen sistema de control de acceso es una de las bases fundamentales de la ciberseguridad actual.

Escrito por:. La plataforma que simplifica y automatiza tu ciberseguridad y cumplimiento Agendar una demo. Conoce la plataforma. Click aquí. En unos minutos nos pondremos en contacto contigo 🤝. Un especialista te atenderá. Click aqui para agendar una reunión con un especialista.

Un especialista te atenderá Agendar una reunión. CISO as a Service Designamos a especialistas para robustecer la ciberseguridad y cumplimiento de tu empresa. CISO as a Service Designa especialistas. CISO as a Service Designamos a especialistas para robustecer la ciberseguridad y cumplimiento de tu empresa Agendar una reunión.

Pentesting Detectamos vulnerabilidades críticas en todos tus sistemas y aplicaciones. Detectamos vulnerabilidades. Pentesting Detectamos vulnerabilidades críticas en todos tus sistemas y aplicaciones Agendar una reunión. Monitoreo en la Dark Web Detectamos vulnerabilidades críticas en todos tus sistemas y aplicaciones.

Ciberinteligencia Buscamos en la Dark Web. Ciberinteligencia Buscamos información expuesta en los rincones más profundos de la Dark Web Agendar una reunión. Obtén una guía completa y gratuita sobre ISO Descargar E-book. Obtén una guía completa y gratuita sobre ISO Descarga La Biblia del ISO Descargar E-book.

Sigue aprendiendo Ciberseguridad. Ciberseguridad en la industria 4. Estadísticas de ciberseguridad: pronóstico para el y panorama del Auditoría SOC 2: ¿Qué es y por qué debes realizarla en tu empresa? Criptografía: qué es, cuáles son sus usos y por qué es tan importante. Presentamos una nueva integración con Google Cloud Platform.

Sistema de seguridad EDR: qué es, cómo funciona y cuál es su importancia en las empresas. Si el E-Book no se descarga automaticamente, haz click 👉 aquí.

Costa Rica. El Salvador. Estados Unidos. Puerto Rico. República Dominicana. Servicios de Respaldo y Continuidad. Servicios de Seguridad Informática o Ciberseguridad. Test de Intrusión Informática. Servicios de Seguridad en la Nube. SIEM as a Service.

Servicio de Hackers Éticos para empresas. Servicio de Threat Intelligence. Servicio de Análisis Estático de Código.