Principio de seguridad: "menos datos"
En este post, Mark Nunnikhoven introduce un nuevo concepto al que denomina "Menos datos", cuya definición es:
Esto difiere del principio de privilegio mínimo (dar a los usuarios y procesos sólo los permisos necesarios para realizar sus tarea... y no más) y el principio del menor conocimiento o Ley de Demeter (que en desarrollo de software dice qe cada unidad debe tener un conocimiento limitado sobre otras unidades). Este "nuevo" principio de la menor cantidad de datos se relaciona estrechamente con el mínimo privilegio y habla directamente de la selección de los datos que se guardan, no de los permisos para acceder a ellos.
Un punto clave del fracaso de las organizaciones está en la evaluación del valor de los datos que se capturan durante un trabajo: la cuestión es qué datos recoger y almacenar y por qué hacerlo. No deberían recopilarse datos solo "porque podrían ser útil en algún momento".
Esto expone a las organizaciones a riesgos innecesarios. Si se utiliza la palabra "podría" en potencial en un argumento como apoyo para la recolección de datos, se está a punto de violar el principio de menos datos.
Sólo deben recopilar y almacenar datos para su uso bien entendido. Los datos deben ser evaluados para comprender el riesgo que puede representar para la organización. A menos que el costo de adquirir los datos en el futuro sea ridículamente alta, siempre se debe optar por recolectar y almacenar los datos cuando se tiene un uso concreto para los mismos.
Pero también hay un costo de seguridad para esos datos. Todo lo que se almacena plantea cierto nivel de riesgo y ese riesgo es mucho más difícil de calcular, haciendo aún más difícil la evaluación de riesgo para el negocio. Dirección de un usuario no puede parecer particularmente riesgoso para guardar pero si se combina con información sobre los menores que viven en esa dirección (estoy mirando que VTech) es aumentos del nivel de riesgo significativamente.
Tomemos un ejemplo común de datos de facturación para una tienda en línea. El perfil de un usuario contiene varias tipos de datos, nombre, dirección fiscal, dirección de correo electrónico, artículos recientemente consultados, información sobre experiencias de compras, etc. Si bien es importante mantener un registro de la dirección de facturación del usuario, el perfil en sí mismo no debe tener acceso a esa dirección. Sólo el proceso de pago debería tener acceso a esos datos. Ese es el principio de mínimo privilegio en acción.
Esos datos deben almacenarse en lugares separados para reducir el riesgo que representan para la empresa. Este punto secundario es el principio de "menos datos": una organización debe recoger y almacenar sólo los datos necesarios para completar su tarea... y si tiene que recogerlos y almacenarlos, se debe asegurar de que los datos estén aislados según su factor de riesgo.
Este método proporciona mayor seguridad ya que un atacante necesita violar defensas adicionales para obtener el conjunto completo de datos (aka: no poner todos los huevos en la misma canasta).
Una organización debe recoger y almacenar sólo los datos necesarios para completar su tarea.
Esto difiere del principio de privilegio mínimo (dar a los usuarios y procesos sólo los permisos necesarios para realizar sus tarea... y no más) y el principio del menor conocimiento o Ley de Demeter (que en desarrollo de software dice qe cada unidad debe tener un conocimiento limitado sobre otras unidades). Este "nuevo" principio de la menor cantidad de datos se relaciona estrechamente con el mínimo privilegio y habla directamente de la selección de los datos que se guardan, no de los permisos para acceder a ellos.Un punto clave del fracaso de las organizaciones está en la evaluación del valor de los datos que se capturan durante un trabajo: la cuestión es qué datos recoger y almacenar y por qué hacerlo. No deberían recopilarse datos solo "porque podrían ser útil en algún momento".
Esto expone a las organizaciones a riesgos innecesarios. Si se utiliza la palabra "podría" en potencial en un argumento como apoyo para la recolección de datos, se está a punto de violar el principio de menos datos.
Sólo deben recopilar y almacenar datos para su uso bien entendido. Los datos deben ser evaluados para comprender el riesgo que puede representar para la organización. A menos que el costo de adquirir los datos en el futuro sea ridículamente alta, siempre se debe optar por recolectar y almacenar los datos cuando se tiene un uso concreto para los mismos.
El "almacenar todo" es una trampa
Gracias a Dr. Moore, el costo computacional y de almacenamiento de datos es bajo. A precios de hoy cuesta alrededor de un dólar al día almacenar 1TB de datos. Con los avances en modelado, estadística, análisis de datos y máquina de aprendizaje (colectivamente "big data"), no sorprende que estemos almacenando más datos que nunca.Pero también hay un costo de seguridad para esos datos. Todo lo que se almacena plantea cierto nivel de riesgo y ese riesgo es mucho más difícil de calcular, haciendo aún más difícil la evaluación de riesgo para el negocio. Dirección de un usuario no puede parecer particularmente riesgoso para guardar pero si se combina con información sobre los menores que viven en esa dirección (estoy mirando que VTech) es aumentos del nivel de riesgo significativamente.
Aislar los datos según su riesgo
A pesar de que la mejor defensa es, en primer lugar, simplemente no recoger ni almacenar los datos siempre habrá situaciones de riesgo porque deben ser recogidos. En estos casos, se deben aislar los datos en almacenes separados y aplicar el principio de mínimo privilegio para garantizar que ningún usuario o proceso tiene acceso innecesario.Tomemos un ejemplo común de datos de facturación para una tienda en línea. El perfil de un usuario contiene varias tipos de datos, nombre, dirección fiscal, dirección de correo electrónico, artículos recientemente consultados, información sobre experiencias de compras, etc. Si bien es importante mantener un registro de la dirección de facturación del usuario, el perfil en sí mismo no debe tener acceso a esa dirección. Sólo el proceso de pago debería tener acceso a esos datos. Ese es el principio de mínimo privilegio en acción.
Esos datos deben almacenarse en lugares separados para reducir el riesgo que representan para la empresa. Este punto secundario es el principio de "menos datos": una organización debe recoger y almacenar sólo los datos necesarios para completar su tarea... y si tiene que recogerlos y almacenarlos, se debe asegurar de que los datos estén aislados según su factor de riesgo.
Este método proporciona mayor seguridad ya que un atacante necesita violar defensas adicionales para obtener el conjunto completo de datos (aka: no poner todos los huevos en la misma canasta).
Encontrar un equilibrio
Todas las organizaciones tienen que almacenar datos sensibles en algún momento. La clave es asegurarse de conservar sólo lo que realmente se necesita para completar las tareas del negocio. Cuanto menos datos se recogen y almacenan, menos preocupación. Entonces:- el principio de "menos datos" asegura que sólo se recoge y almacena lo que se necesita;
- el principio de "menor privilegio" asegura de que sólo el usuario o proceso que necesita el dato puede acceder al mismo.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!