Ir al contenido

Usuario:I72alcos/Taller

De Wikipedia, la enciclopedia libre

ISO/IEC 27038[editar]

ISO/IEC 27038 es un estándar para la especificación de las características de técnicas para realizar redacción digital en documentos digitales (Information technology - Security techniques - Specification for digital redaction) aprobado y publicado como estándar internacional en 2014 por International Organization for Standardization y por la comisión International Electrotechnical Commission. También especifica los requisitos para las herramientas de redacción de software y los métodos de prueba de que la redacción digital se ha completado de forma segura. Éste estándar pertenece a la serie 27000, la cual está destinada a la seguridad de la información.

Introducción[editar]

A menudo, los datos digitales tienen que ser expuestos a terceros, ocasionalmente incluso mostrados al público. En dichas publicaciones se encuentran datos sensibles y confidenciales, como podrían ser nombres, ubicaciones de personas u otros datos privados o personales. Estos datos al ser confidenciales se consideran inapropiados a la hora de ser publicados por lo que deben eliminarse de forma segura de los archivos antes de su publicación. A este proceso de eliminación de los datos privados en los archivos originales se le conoce con el término convencional “Redacción”.

Como hemos mencionado anteriormente, los datos privados no deben ser expuestos a terceros, por lo que resulta realmente importante la redacción para proteger la información altamente confidencial. Así mismo, el proceso de redacción no siempre se lleva a cabo satisfactoriamente, por lo que encontramos malas prácticas. Las fallas de redacción han provocado incidentes como el robo de identidad, la divulgación de asuntos de seguridad confidenciales, violaciones de la privacidad y el compromiso de las identidades de agentes encubiertos e informantes, mientras que la divulgación de secretos comerciales podría resultar extremadamente costosa en un contexto comercial.

Principales Riesgos de Información[editar]

  • Tomar malas decisiones sobre los datos que se van a redactar y los procesos que se van a utilizar.
  • No identificar correctamente todos los datos confidenciales que deben eliminarse.
  • No hacer que los datos eliminados sean totalmente irrecuperables
    • Usando métodos técnicos inapropiados o ineficaces para la redacción.
    • Dejando accidentalmente una o más copias de los datos confidenciales sin modificar en su totalidad o en parte.
    • Eliminando parcialmente los datos confidenciales, dejando restos de datos o información suficiente.
    • Confiando excesivamente en los métodos de edición como el desenfoque o pixelación de los datos sensibles, pudiéndose revertir el efecto.
    • Negándose a redactar métodos confidenciales.
  • No distinguir todos los datos redactados de los no redactados
  • Redacción excesiva o inapropiada, eliminando más que solo los elementos sensibles específicos.
  • Alterar de manera inapropiada el significado de los datos restantes como resultado de problemas contextuales o causar daños colaterales a la estructura del archivo durante la redacción.
  • Dejar suficientes datos en el archivo para permitir a los destinatarios inferir información confidencial, tal vez junto con otras fuentes de información disponibles.
  • Poner demasiada confianza en la redacción, creyendo que es suficiente para mantener los datos privados totalmente confidenciales en todas las circunstancias, mientras que las fallas técnicas son posibles en la práctica.
  • Problemas de seguridad de la información que son incidentales o periféricos al proceso de redacción.
    • Enviar los archivos originales, los archivos redactados, etc... a los destinatarios incorrectos.
    • No asegurar la información relacionada con el proceso de redacción mientras se encuentra en tránsito, durante el procesamiento y el almacenamiento.
    • Divulgar accidentalmente versiones no editadas del archivo
    • Divulgación deliberada de versiones no editadas del archivo sin permiso o de manera inapropiada (leaks).
    • Revelar accidental o deliberadamente la información redactada por algún medio que no sea mediante la publicación de los datos digitales.
    • Dañar la integridad y la disponibilidad de los archivos originales no editados.
  • El uso de la redacción para ocultar actividades ilegales o inapropiadas.
  • Otros riesgos.


Propósito y Alcance[editar]

El estándar define formalmente la redacción como “la eliminación permanente de información dentro de un documento” donde el documento se define como “información registrada que puede tratarse como una unidad”. Las definiciones son importantes porque, en otros contextos, estos términos a menudo significan otras cosas, y de hecho la norma se amplía para incluir para incluir no sólo la eliminación de contenido confidencial sino también, indicando dónde está la información removida.

La norma especifica las características de las técnicas para realizar la redacción digital, sin embargo queda específicamente excluida del alcance de dicha norma la redacción de bases de datos.

Aunque este estándar tiene un alcance restringido, los riesgos que cubre son significativos y muchos de los controles asociados con complejos desde el punto de vista técnico. Al igual que otras normas ISO 27XXX, no intenta cubrir todos los caprichos del proceso de redacción con gran detalle, sino que proporciona una guía sólida, aunque bastante genérica y de alto nivel.

Estructura y Contenido[editar]

El estándar ISO/IEC 27038 utiliza la palabra ‘especificación’, la cual en ISO, implica una definición formal contra la cual las organizaciones pueden ser independientemente auditadas y conformemente certificadas. En rasgos generales, la norma o estándar cubre los siguientes aspectos:

  • Una introducción a los principios generales de redacción digital y anonimato de datos.
  • Una descripción general del proceso de redacción.
  • Procesos de redacción como la impresión y la redacción física de contenido, la edición de documentos originales, el tratamiento de metadatos…
  • Mantener registros y notas para poder explicar o justificar las decisiones y acciones de redacción.
  • Herramientas de redacción de software.
  • Pruebas de redacción para verificar si la redacción ha sido exitosa o por el contrario hay que seguir mejorando alguno aspectos.
  • Un anexo informativo sobre la redacción de archivos PDF.

Véase también[editar]

Enlaces externos[editar]

Obtenido de «https://es.wikipedia.org/w/index.php?title=Usuario:I72alcos/Taller&oldid=125061906»