Prevención de fuga de datos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Prevención de fuga de datos"

Transcripción

1 Documento ISACA Prevención de fuga de datos Resumen La Prevención de fuga de datos (DLP) consiste en un conjunto de tecnologías dirigidas a detener la pérdida de información sensitiva que ocurre en empresas de todo el mundo. Al concentrarse en la ubicación, clasificación y monitoreo de información en reposo, en uso y en movimiento, esta solución puede ser una herramienta sumamente útil para ayudar a las empresas a manejar la información que poseen y a detener las numerosas fugas de información que ocurren día a día. La DLP no es una solución tipo plug and play, es decir que se conecta y se puede usar de inmediato. La aplicación exitosa de esta tecnología supone un alto grado de preparación y el debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberían prepararse para un esfuerzo significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organización. Quienes ponen en práctica esta solución deben asumir un enfoque estratégico que aborde los riesgos, impactos y pasos de mitigación, junto con las medidas de garantía y gobierno adecuadas.

2 ISACA Con miembros en 160 países, ISACA (www.isaca.org) es uno de los principales proveedores del mundo en el área de conocimiento, certificaciones, comunidad, apoyo y educación en aseguramiento y seguridad de sistemas de información (SI), gobierno empresarial y gerencia de TI, así como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA, como ente independiente sin fines de lucro, organiza conferencias internacionales, publica el ISACA Journal y desarrolla normas internacionales para el control y la auditoría de sistemas de información, que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de información. Asimismo, promueve y certifica destrezas y conocimientos en el área de TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems Auditor TM (Auditor Certificado en Sistemas de Información) (CISA ), Certified Information Security Manager (Gerente Certificado de Seguridad de la Información) (CISM ), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologías de la Información Empresariales) (CGEIT ) y Certified in Risk and Information Systems Control TM (Certificado en Riesgo y Control de Sistemas de Información) (CRISC TM ). ISACA actualiza continuamente COBIT, lo que permite a los profesionales y líderes empresariales en TI cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Descargo de responsabilidad ISACA ha diseñado y creado Prevención de fuga de datos (el Producto ), ante todo como un recurso educativo para profesionales en el área de seguridad, gobierno y aseguramiento. ISACA no asume ninguna responsabilidad en el sentido de que el uso del Producto garantizará un resultado exitoso. No se debe entender que el Producto incluye toda la información, procedimientos o pruebas adecuadas o que excluye cualquier otra información, procedimientos y pruebas que estén razonablemente dirigidos a obtener los mismos resultados. Al determinar la propiedad de cualquier información, procedimiento o prueba específica, los profesionales en seguridad, gobierno y aseguramiento deberían aplicar su propio criterio a las circunstancias de control específicas que presenten los sistemas o el ambiente de tecnología de información en particular. Reserva de derechos 2010 ISACA. Derechos reservados. Ninguna parte de la presente publicación se podrá utilizar, copiar, reproducir, modificar, distribuir, exhibir, almacenar en un sistema de recuperación de datos o transmitida de cualquier manera por cualquier medio (electrónico, mecánico, fotocopia, grabación o cualquier otro), sin el consentimiento escrito previo de ISACA. La reproducción y el uso de la totalidad o de partes de esta publicación están permitidos exclusivamente con fines académicos, internos y no comerciales y para tareas de consultoría/asesoría, y deben incluir el crédito completo de la fuente del material. No se autoriza ningún otro derecho o permiso con respecto a este producto. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL EE.UU. Teléfono: Fax: Correo electrónico: Página Internet: Prevención de fuga de datos CRISC es marca registrada/de servicio de ISACA. La marca ha sido solicitada o registrada en países de todo el mundo. 2

3 ISACA desea agradecer a: Equipo de desarrollo del proyecto Anthony P. Noble, CISA, CCP, Viacom Inc., USA, Presidente Reza Kopaee, CISA, CISSP, CSLP, Deloitte & Touche LLP, Canadá Adel Melek, CISM, CISSP, CPA, Deloitte & Touche LLP, Canadá Nirvik Nandy, Ernst & Young, USA Equipo de expertos de revisión Gil Chilton, Capital One Financial, USA Terry Griffith, CISM, CCE, CISSP, Capital One Financial, USA Patrick Hanrion, CISM, CISSP-ISSAP, Microsoft, USA Keith Lukes, TheBTO, USA George Llano, CISM, CISSP, GCFA, GPEN, Viacom Inc., USA Junta Directiva de ISACA Emil D Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., USA, Presidente Internacional Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT S.A., Grecia, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp. Ltd., Australia, Vicepresidente Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec S.A., México, Vicepresidente Robert E. Stroud, CGEIT, CA Technologies, USA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Vicepresidente Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vicepresidente Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación Rusa, antiguo Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), USA, antiguo Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director Howard Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Gerencia de Seguridad de Riesgos, USA, ITGI Fideicomisario Comité de Prácticas y Orientación Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Presidente Kamal N. Dave, CISA, CISM, CGEIT, Hewlett-Packard, USA Urs Fischer, CISA, CRISC, CIA, CPA (suizo), Suiza Ramses Gallego, CISM, CGEIT, CISSP, Entel IT Consulting, España Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt. Ltd., India Anthony P. Noble, CISA, CCP, Viacom Inc., USA Salomon Rico, CISA, CISM, CGEIT, Deloitte, México Frank Van Der Zwaag, CISA, Westpac New Zealand, Nueva Zelanda 3

4 Afiliados y patrocinantes de ISACA y del IT Governance Institute (ITGI) Instituto Americano de Contadores Públicos Certificados ASIS International Centro de Seguridad en Internet Commonwealth Association for Corporate Governance Inc. FIDA Inform Foro de Seguridad de la Información Asociación de Seguridad de Sistemas de Información Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants Inc. Capítulos de ISACA ITGI Japón Universidad de Norwich Escuela de Economía y Gerencia de Solvay, Bruselas Escuela de Gerencia de la Universidad de Antwerp Analytix Holdings Pty. Ltd. BWise B.V. Hewlett-Packard IBM Project Rx Inc. SOAProjects Inc. Symantec Corp. TruArx Inc. 4

5 Introducción Durante la última década, las empresas se han hecho cada vez más dependientes de la información digital para alcanzar sus objetivos de negocio. En cualquier día normal de trabajo, volúmenes significativos de información impulsan los procesos comerciales que involucran la participación de partes tanto dentro como fuera de los límites de las redes de las empresas. Estos datos pueden viajar por numerosas vías y de muchas maneras; mensajes de correo electrónico, documentos de procesamiento de texto, hojas de cálculo, archivos de bases de datos y mensajería instantánea son apenas unos pocos ejemplos. Gran parte de esta información es inocua, pero en muchos casos, una buena parte se clasifica como sensitiva o registrada, lo que indica que la misma tiene que ser protegida de acceso o exposición no autorizados. Esta necesidad puede ser resultado de factores externos, por ejemplo privacidad, así como de otros tipos de reglamentaciones o internos, tales como objetivos empresariales para proteger información financiera, estratégica u otros tipos de información competitiva. La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales. En un estudio publicado por la compañía de investigación en TI, TheInfoPro, la DLP se clasificó como de máxima prioridad para los presupuestos de seguridad de las empresas. La preocupación por esta necesidad de tener un mejor control y proteger información sensitiva ha dado lugar a un nuevo conjunto de soluciones dirigidas a mejorar la capacidad de una empresa para proteger sus activos de información. Estas soluciones son variadas en cuanto a sus capacidades y metodologías, pero, en conjunto, se han ubicado dentro de una categoría conocida como prevención de fuga de datos (DLP). Si bien todavía es una tecnología joven, la DLP se está adoptando cada vez más y un número creciente de productos está siendo lanzado al mercado. En un estudio publicado a principios de este año por la empresa de investigación en TI TheInfoPro, la DLP se calificó como una primera prioridad para los presupuestos de seguridad de las empresas. 1 El presente documento ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en funcionamiento de una solución de DLP. Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los usuarios y 12 por ciento se debió a intentos maliciosos. 2 No obstante, este bajo porcentaje puede ser algo engañoso, pues normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones adversas. 1 SC Magazine; Security Spending, DLP Projects to Increase, 2 Trend Micro; Data-stealing Malware on the Rise Solutions to Keep Businesses and Consumers Safe, Focus Report Series, June 2009, USA, imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf 5

6 Definición de la Prevención de fuga de datos La mayoría de las soluciones de DLP incluye un conjunto de tecnologías que facilitan tres objetivos clave: Ubicar y catalogar información sensitiva almacenada en la empresa Monitorear y controlar el movimiento de información sensitiva a través de las redes de la empresa Monitorear y controlar el movimiento de información sensitiva en sistemas de usuarios finales Estos objetivos están asociados con tres estados de información básicos: datos en reposo, datos en movimiento y datos en uso. Cada uno de estos estados de datos es atendido por un conjunto específico de tecnologías que ofrecen las soluciones de DLP: Datos en reposo Una función básica de las soluciones de DLP es la capacidad de identificar y registrar dónde se almacenan tipos específicos de información a lo largo y ancho de la empresa. Esto significa que la solución de DLP debe tener la capacidad de buscar e identificar tipos de archivo específicos, tales como hojas de cálculo y documentos de procesamiento de texto, ya sea que estén en servidores de archivos, redes de área de almacenamiento (SAN) o incluso puestos de trabajo de usuarios finales. Una vez encontrados, la solución de DLP debe poder abrir estos archivos y leer su contenido para determinar si están presentes datos específicos, tales como números de tarjetas de crédito o de la seguridad social. Para realizar estas tareas, la mayoría de los sistemas de DLP utilizan rastreadores, que son aplicaciones que se despliegan en forma remota para que entren en cada sistema final y rastreen a través de los almacenes de datos, buscando y registrando conjuntos de información específicos con base en una serie de normas que han sido introducidas en la consola de administración de la DLP. La recopilación de esta información es un paso muy valioso que permitirá a la empresa determinar dónde se encuentra la información clave, si su ubicación está permitida dentro de las políticas existentes y qué trayectos podrían recorrer estos datos que violarían políticas de información. Datos en movimiento (red) Para monitorear el movimiento de datos en las redes de una empresa, las soluciones de DLP utilizan dispositivos de red específicos o tecnología incrustada 3 para capturar en forma selectiva y analizar el tráfico en la red. Cuando se envían archivos a través de una red, por lo general se fragmentan en paquetes. Para inspeccionar la información que se envía por la red, la solución de DLP debe tener la capacidad de: monitorear de manera pasiva el tráfico en la red, reconocer las secuencias de datos correctas que se van a capturar, ensamblar los paquetes recolectados, reconstruir los archivos transportados en el sistema de datos y luego realizar el mismo análisis que se efectúa a los datos en reposo para determinar si alguna parte del contenido del archivo está restringida por su conjunto de reglas. El núcleo de esta capacidad es un proceso conocido como inspección profunda de paquetes (DPI), que permite al componente de datos en movimiento de la DLP ejecutar estas tareas. La DPI va más allá de la información básica de encabezamiento de un paquete (la cual es similar a la información de destinatario y remitente que se encuentra en un sobre postal) para leer el contenido dentro de la carga del paquete (como la carta dentro del sobre postal). Si bien esta tecnología ha evolucionado a lo largo de los años, todavía es imperfecta; no obstante, ha aumentado su poder de procesamiento y nuevas formas de identificación de paquetes han contribuido considerablemente a su desarrollo. Esta capacidad de DPI permite al sistema de DLP inspeccionar datos en tránsito y determinar contenido, fuente y destino. Si se detecta que datos sensitivos están fluyendo hacia un destino no autorizado, la solución de DLP tiene la capacidad de alertar y opcionalmente bloquear los flujos de datos en tiempo real o casi real, nuevamente con base en el conjunto de reglas definidas dentro de su componente de administración central. Basándose en el conjunto de reglas, la solución también puede poner en cuarentena o encriptar los datos en cuestión. Una consideración importante para la DLP de una red es que se deben desencriptar los datos antes de que la solución de DLP los pueda inspeccionar. La solución de DLP debe tener la capacidad de hacer esto por sí misma (al contar con esta función y las claves de encriptación necesarias) o debe haber un dispositivo que desencripte el tráfico antes de la inspección por el módulo de DLP, y lo encripte nuevamente luego de que hayan sido inspeccionados los datos y se les haya permitido pasar. 3 Algunas capacidades de DLP están embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrónico, en lugar de funcionar como equipos dedicados. 6

7 Datos en uso (puesto de trabajo) Los datos en uso tal vez sean el aspecto más desafiante de la DLP. Estos datos se refieren principalmente al monitoreo del movimiento de datos que se deriva de acciones que ejecutan los usuarios finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar información a una impresora o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecutan estas funciones usando un programa de software conocido como agente, el cual en el caso ideal está controlado por las mismas capacidades de administración central de la solución de DLP general. La ejecución de conjuntos de reglas en un sistema de usuario final tiene limitaciones inherentes a ella, siendo la más importante que el sistema de usuario final debe tener la capacidad de procesar el conjunto de reglas aplicadas. Dependiendo del número y la complejidad de las reglas que se están ejecutando, podría ser necesario ejecutar solo una parte de ellas, lo que puede dejar brechas significativas en la solución en general. Para ser considerada una solución de DLP completa, debe contar con la capacidad de atender los tres estados de información y estar integrada por una función de administración centralizada. La gama de servicios disponibles en la consola de administración varía de un producto a otro, pero muchos, si acaso no la mayoría de ellos, comparten las siguientes funciones: Creación y administración de políticas Las políticas (conjuntos de reglas) dictan las acciones que toman los diferentes componentes de la DLP. La mayoría de las soluciones de DLP vienen con políticas (reglas) previamente configuradas que hacen referencia a reglamentaciones comunes, por ejemplo a las dos siguientes leyes estadounidenses: la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA). Es igualmente importante poder personalizar estas políticas o desarrollar políticas que estén totalmente adaptadas a las necesidades específicas. Integración de servicios de directorio La integración con servicios de directorio permite a la consola de DLP mapear una dirección de red a un usuario final específico. Administración del flujo de trabajo La mayoría de las soluciones de DLP completas ofrecen la capacidad de configurar el manejo de incidentes, lo que permite al sistema de administración central enrutar incidentes específicos a las partes adecuadas con base en el tipo de violación, gravedad, usuario y otros criterios similares. Respaldo y restitución Las funciones de respaldo y restitución permiten la preservación de políticas y otros valores de configuración. Elaboración de informes Una función de elaboración de informes puede ser interna o utilizar herramientas externas para el mismo propósito. Enfoque del programa de DLP La puesta en funcionamiento de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias. La aplicación de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias, tales como desarrollo de políticas, análisis de procesos comerciales e inventarios detallados y análisis de los tipos de información que utiliza la empresa. Estas actividades requieren la participación de una amplia base de actores tanto de las unidades de negocio como de TI que la solución apoya. Las secciones siguientes describen las consideraciones clave para cada etapa del proceso de ejecución. 7

8 Clasificación, ubicación y trayectos de los datos de la organización A menudo las empresas no están conscientes de todos los tipos y ubicaciones de la información que poseen. Es importante, antes de adquirir una solución de DLP, identificar y clasificar los tipos de datos sensitivos y su flujo de un sistema a otro y a los usuarios. Este proceso debería producir una taxonomía de datos o un sistema de clasificación que aprovecharán diversos módulos de DLP mientras buscan y toman acciones con respecto a la información que corresponde a las diversas clasificaciones dentro de la taxonomía. El análisis de procesos de negocio críticos debería producir la información requerida. Las clasificaciones pueden incluir categorías tales como datos privados de clientes o empleados, datos financieros y propiedad intelectual. Una vez que los datos han sido identificados y clasificados debidamente, el análisis ulterior de los procesos debería facilitar la ubicación de almacenes de datos primarios y trayectos de datos clave. Con frecuencia, se dispersan múltiples copias y variaciones de los mismos datos a través de toda la empresa en servidores, estaciones de trabajo, cintas y otros medios. Usualmente se hacen copias para facilitar probar la aplicación sin limpiar antes los datos de contenido sensitivo. Tener una buena idea de las clasificaciones de datos y la ubicación de los almacenes de datos primarios es útil tanto para la selección como para la ubicación de la solución de DLP. Luego de que ha sido instalada la solución de DLP, podrá ayudar a encontrar otras ubicaciones y trayectos de datos. También es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminación de los datos, ayudará a descubrir repositorios de datos adicionales y vías de transmisión. Se debe recopilar información adicional a través de un inventario de todos los puntos de salida de datos, ya que no todos los procesos de negocios están documentados y no todo movimiento de datos es resultado de un proceso establecido. El análisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos. Establecimiento y socialización de procesos y políticas de alto nivel Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. Las políticas de clasificación de datos deberán mantenerse lo más sencillas posible. Luego de que se hayan establecido las políticas, se deberá desarrollar un plan de flujo de trabajo de alto nivel. Este plan deberá incluir las categorías de datos establecidas como objetivos, las acciones que se van a tomar (y por parte de quién) para atender las violaciones, los procesos de escalación y cualquier Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. proceso necesario para las solicitudes excepcionales. Además se deberán establecer procesos para casos fuera del horario de trabajo y días feriados, cuando tal vez no estén disponibles las personas clave. Es importante que los procesos fuera del horario de trabajo cuenten con procedimientos claros y bien documentados, que en ellos participen personas que puedan tomar decisiones apropiadas y bien fundamentadas y que los actores pertinentes documenten y revisen debidamente cualquier decisión que se tome para manejar casos excepcionales fuera del horario de trabajo. Deberá existir un proceso formal para el manejo de excepciones, el cual deberá documentar toda la información relevante relativa a la excepción en particular. Asimismo es importante asegurar que existan procesos adecuados para el manejo de incidentes y que los mismos sean funcionales para cada una de las categorías de reglas antes de iniciar las actividades reales. 8

9 Puesta en práctica Las empresas deberán considerar seriamente poner en práctica la DLP inicialmente en un modo solo de monitoreo. De esta manera, se podrá poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura de la organización. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de tráfico y correr el riesgo de desbaratar los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de datos sensitivos que se escapan por la puerta luego de activar el sistema, iniciar el bloqueo real demasiado pronto puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios críticos. Lo que se espera es que estos procesos se identifiquen durante la etapa de preparación, pero con frecuencia se pasan cosas por alto que rápidamente salen a la luz cuando se activa la solución de DLP. Resolución de violaciones Las soluciones de DLP, por lo general, proporcionan una buena cantidad de información útil con respecto a la ubicación y las vías de transmisión de la información sensitiva. Sin embargo, a veces esto puede convertirse en una caja de Pandora. Una empresa puede desconcertarse rápidamente ante el volumen y la extensión de sus datos sensitivos y la pérdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo tiempo, lo que seguro es una fórmula para el desastre. Es importante que una empresa esté preparada para emplear un enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma más expeditiva posible. Todos los actores clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema continúe por un tiempo mientras se atiende uno más serio. El análisis y las decisiones subsiguientes en relación con el proceso deberán estar bien documentados y mantenerse en anticipación a futuras auditorías o investigaciones reglamentarias. Programa DLP en curso Se debe monitorear de cerca la solución de DLP y entregar informes periódicos de riesgo, cumplimiento y privacidad a los actores pertinentes (por ejemplo, gestión de riesgo, gestión de cumplimiento, equipo de privacidad y recursos humanos [RR.HH.]). Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarán a los administradores si una regla es demasiado amplia y podría tener un impacto importante de desempeño en la infraestructura de DLP. Las empresas deberán asegurarse de que todos los actores sean diligentes en cuanto a informar cualquier nuevo formato o tipo de dato que tal vez no esté representado en el conjunto de reglas de DLP existente. Se debe disponer de un ambiente de prueba y evaluación que se utilizará para probar el impacto de los parches y actualizaciones de la solución de DLP. Finalmente, es importante dar continuidad a los programas de creación de conciencia y adiestramiento, los cuales podrían ser reforzados con las capacidades de alerta y generación de informes de la solución de DLP. 9

10 Beneficios de DLP para el negocio Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. La lista siguiente destaca algunos de los beneficios más directos de una solución de DLP que ha sido puesta en funcionamiento correctamente: Protege los datos críticos del negocio y la propiedad intelectual El principal beneficio de DLP es la protección de la información que es crítica para el negocio. Las empresas mantienen muchos tipos de información que deben proteger por razones legales, de reputación y de competencia. Por ejemplo, información sobre clientes, registros personales, información de salud, registros financieros confidenciales, documentos de diseño de productos, planes comerciales e investigación bajo patente son apenas unos cuantos casos. Mejora el cumplimiento La DLP puede ayudar a que las empresas cumplan los requerimientos legales relacionados con la protección y el monitoreo de datos que contienen información privada financiera y sobre los clientes. Las soluciones de DLP por lo general vienen con reglas previamente configuradas que abordan tipos de datos que han sido impactados por normativas legales importantes, tales como la industria de tarjetas de pago (PCI), GLBA y HIPAA. El uso de estos conjuntos de reglas puede simplificar los esfuerzos para proteger los datos afectados por estas normativas. Reduce el riesgo de violación de los datos Al reducir el riesgo de fugas de datos, disminuye el riesgo financiero para la empresa. En su informe para 2009, el Instituto Ponemon estimó que el costo promedio de la fuga de datos en Estados Unidos es de $20 por registro. 4 Incluso con violaciones relativamente pequeñas de los registros que podrían ascender a miles, cada incidente representa potencialmente un impacto financiero importante. Mejora el adiestramiento y la conciencia Aunque la mayoría de las empresas cuenta con políticas escritas, las mismas tal vez hayan sido olvidadas al pasar el tiempo. Las soluciones de DLP alertan, y a veces bloquean, el movimiento de datos que está violando la política y ofrece educación en línea para garantizar que los usuarios siempre estén conscientes de las políticas asociadas con datos sensitivos. Mejorar los procesos de negocios Uno de los principales intangibles de la DLP es el desarrollo de nuevas políticas, controles y pruebas que permiten identificar procesos de negocio interrumpidos. A menudo, el paso de simplemente evaluar y catalogar los procesos de negocio en preparación a la puesta en funcionamiento de la DLP puede ofrecer una excelente perspectiva a la empresa. Optimiza el espacio en disco y el ancho de banda de la red Un importante beneficio de las soluciones de DLP es la identificación de archivos estancados y videos que se están cargando, los cuales consumen una gran cantidad de recursos de TI, tales como almacenamiento en servidores de archivos y ancho de banda de la red. Depurar los archivos inactivos y evitar que se carguen videos no relacionados con el negocio puede reducir las necesidades de almacenamiento, respaldo y ancho de banda. Detecta software malicioso o ilegal Otro intangible clave de la DLP es su capacidad de identificar software malicioso que trata de transmitir información sensitiva a través del correo electrónico o una conexión de Internet. La DLP en la red puede ayudar a reducir el daño causado por software malicioso pues detecta la transmisión ilegal de información sensitiva fuera de la empresa, lo que tal vez no siempre sea así, pues las transmisiones pueden estar encriptadas. Pero incluso en ese caso, un sistema que cuente con un conjunto de reglas que alerten o bloqueen el flujo de datos que no puede desencriptar será una excelente ayuda para las defensas contra software malicioso. 4 Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, 10

Virtualización: Beneficios y desafíos

Virtualización: Beneficios y desafíos Un Artículo Técnico de ISACA sobre una Tecnología Emergente Virtualización: Beneficios y desafíos Resumen Virtualización es una palabra de moda de alta tecnología ampliamente utilizada, pero su importancia

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN 1. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 2. Construcción

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Websense DLP enriquece su negocio. Websense TRITON AP-DATA

Websense DLP enriquece su negocio. Websense TRITON AP-DATA TRITON AP-DATA Termine con el robo y la pérdida de datos, demuestre que cumple con los requisitos reglamentarios y proteja su marca, su reputación y su propiedad intelectual. La fuga de datos puede tener

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

CA Email Control for the Enterprise

CA Email Control for the Enterprise HOJA DE SOLUCIONES CA Email Control for the Enterprise agility made possible CA Email Control for the Enterprise mitiga el riesgo de amenazas internas controlando el flujo y la distribución de información

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Sostenibilidad. Un Artículo Técnico de ISACA

Sostenibilidad. Un Artículo Técnico de ISACA Un Artículo Técnico de ISACA Sostenibilidad Resumen Ahora, más que nunca, las empresas buscan formas de reducir los costos para ayudar a mantener los beneficios. La TI constituye un objetivo propicio para

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones Sedes Corporativas:, Inc. Qué es su información confidencial? Dónde está almacenada? Quién utiliza su información confidencial? Cómo la utiliza? Está garantizada la seguridad de su información confidencial?

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

LA SEGURIDAD EN EL INTERNET DE LAS COSAS 1

LA SEGURIDAD EN EL INTERNET DE LAS COSAS 1 30/04/15 NOTA DE FUTURO 2015 Wind La seguriidad en el iinternet de las cosas Centro de Análiissiiss y Prosspectiiva Gabiinete Técniico de la Guardiia Ciiviil LA SEGURIDAD EN EL INTERNET DE LAS COSAS 1

Más detalles

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014 Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

Guía de Auditoría de SI (Sistemas de Información) Reportes Documento G20

Guía de Auditoría de SI (Sistemas de Información) Reportes Documento G20 Guía de Auditoría de SI (Sistemas de Información) Reportes Documento G20 Introducción La naturaleza especializada de la auditoría de los sistemas de Información (SI) y las habilidades necesarias para realizar

Más detalles

diferencie sus servicios en nube con seguridad y transparencia

diferencie sus servicios en nube con seguridad y transparencia INFORME OFICIAL Proveedores de servicios en nube Agosto 2012 diferencie sus servicios en nube con seguridad y transparencia Russell Miller Tyson Whitten CA Technologies, Administración de Seguridad agility

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

InteliCorps Liderer en Seguridad de la Información

InteliCorps Liderer en Seguridad de la Información RIF: J-29438122-7 RIF: J-29438122-7 PROTECCIÓN CONTRA AMENAZAS DE INTERNET? FUGA DE INFORMACIÓN? FRAUDE CORPORATIVO? HACKEOS? INTRUSOS? InteliCorps Liderer en Seguridad de la Información Quienes somos?

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores REPORTE OFICIAL OCTUBRE DE 2014 CA Unified Infrastructure Management para servidores 2 Reporte oficial: CA Unified Infrastructure Management para servidores Tabla de contenidos Descripción general de la

Más detalles

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO CyberSource Fraud Management DO PTA ACE IDO PED TADO ACEP UN ÚNICO PUNTO DE CONTACTO LE AYUDA A ACEPTAR MAYOR CANTIDAD DE PEDIDOS IDO PED PREVENCIÓN DE FRAUDE Fraud Management GESTIONAR EL FRAUDE ES UN

Más detalles

El problema de la fuga de datos. Pavel Orozco Websense Latino América

El problema de la fuga de datos. Pavel Orozco Websense Latino América El problema de la fuga de datos Pavel Orozco Websense Latino América Conjunto de soluciones Websense Sólida plataforma de seguridad Web Security WEBSENSE Web Security Suite Seguridad Express Web WEBSENSE

Más detalles

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos TRITON AP-ENDPOINT Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos La fuga de datos puede tener consecuencias devastadoras, desde una reputación dañada hasta

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse?

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey,

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Unicenter Asset Management versión 4.0

Unicenter Asset Management versión 4.0 D A T A S H E E T Unicenter Asset Management versión 4.0 Unicenter Asset Management es una completa solución para gestionar los activos TI de su entorno empresarial de forma activa. Proporciona funciones

Más detalles

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault INTRODUCCIÓN Fortalecer los controles internos para cumplir con las normas, imponer las mejores prácticas del sector

Más detalles

ENTORNO MÓVIL DE SEGURIDAD AME 2000

ENTORNO MÓVIL DE SEGURIDAD AME 2000 ENTORNO MÓVIL DE SEGURIDAD AME 2000 SEGURIDAD DE GRADO GUBERNAMENTAL PARA DISPOSITIVOS MÓVILES COMERCIALES Desde smartphones hasta tablets, los dispositivos móviles comerciales disponibles en el mercado

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Soluciones para compañías del sector Aeroespacial y Defensa Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Múltiples proyectos, miles

Más detalles

Política 6:235 Exposición la autorización para el uso de las computadoras y las redes electrónicas

Política 6:235 Exposición la autorización para el uso de las computadoras y las redes electrónicas Política 6:235 Exposición la autorización para el uso de las computadoras y las El distrito 203 se ha comprometido a la excelencia educativa. Los estudiantes necesitan recopilar y sintetizar la información

Más detalles

NOTA DE INVESTIGACIÓN

NOTA DE INVESTIGACIÓN Servicio en el lugar de trabajo NOTA DE INVESTIGACIÓN Autor: Jim Lundy La tormenta perfecta para el video empresarial: Actúe ahora o quédese rezagado Resumen: Los principales cambios en la tecnología,

Más detalles

Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo

Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo Descripción general de la solución Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo Optimización de la experiencia de los diversos usuarios con múltiples dispositivos, en

Más detalles

CA ARCserve Backup Patch Manager para Windows

CA ARCserve Backup Patch Manager para Windows CA ARCserve Backup Patch Manager para Windows Guía del usuario r16 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales.

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. Acerca de SERIT Nuestra compañía se dedica a proveer servicios integrales de infraestructura a empresas, con el objetivo de

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

5 criterios para seleccionar una solución de copias para equipos de usuario final

5 criterios para seleccionar una solución de copias para equipos de usuario final Informe Técnico solución de copias para equipos de usuario Conseguir una protección eficaz de los equipos corporativos de usuario entendiendo sus necesidades específicas. A medida que los trabajadores

Más detalles

Clasificación y protección de la Información. Un caso práctico

Clasificación y protección de la Información. Un caso práctico Clasificación y protección de la Información. Un caso práctico Presentada por: Daniel Marino Gerente Gestión de Riesgos y Cumplimiento, Sancor Seguros Claudio Tana Gerente de Consultoría, NeoSecure Leonardo

Más detalles

diferencie sus servicios en la nube con seguridad y transparencia

diferencie sus servicios en la nube con seguridad y transparencia LIBRO BLANCO Proveedores de servicios en la nube Agosto de 2012 diferencie sus servicios en la nube con seguridad y transparencia Russell Miller Tyson Whitten Gestión de la seguridad de CA Technologies

Más detalles

RESUMEN SOBRE LA SOLUCIÓN

RESUMEN SOBRE LA SOLUCIÓN RESUMEN SOBRE LA SOLUCIÓN CA IT Asset Manager Cómo se puede administrar el ciclo de vida de los activos, optimizar el valor de las inversiones de TI y obtener una vista de cartera de todos los activos?

Más detalles

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales?

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? RESUMEN DE LA SOLUCIÓN Service Operations Management puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? agility made possible (SOM) de CA Technologies es una solución

Más detalles

Servicios de Gobierno, Riesgo y Cumplimiento (GRC) Soluciones integrales a la medida de sus necesidades

Servicios de Gobierno, Riesgo y Cumplimiento (GRC) Soluciones integrales a la medida de sus necesidades Servicios de Gobierno, Riesgo y Cumplimiento (GRC) Soluciones integrales a la medida de sus necesidades Administración de riesgos Gobierno Corporativo Administración del desempeño Toma de decisiones Administración

Más detalles

Enfrente los desafíos de la "BYOD"

Enfrente los desafíos de la BYOD Folleto Enfrente los desafíos de la "BYOD" HP Intelligent Management Center para la "BYOD" Quién es usted? Su dispositivo cumple con los requisitos? Asignado a redes de aplicaciones virtuales de la identidad

Más detalles

cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint?

cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint? RESUMEN SOBRE LA SOLUCIÓN Sharepoint Security Solution de CA Technologies cómo puedo hacer posible un acceso cómodo y seguro a Microsoft SharePoint? agility made possible La solución de seguridad SharePoint

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY 1. Generalidades FAQs Qué tipo de amenazas ponen en peligro la infraestructura de mi PC? Cómo Aranda 360 protege la infraestructura de mi PC? Puedo usar Aranda 360 sin un antivirus? Puedo usar Aranda 360

Más detalles

Guía de Auditoría y Aseguramiento de SI 2202 Análisis de Riesgos en la Planificación

Guía de Auditoría y Aseguramiento de SI 2202 Análisis de Riesgos en la Planificación Guía de Auditoría y Aseguramiento de SI 2202 Análisis de Riesgos en la La naturaleza especializada de la auditoría y aseguramiento de los sistemas de la información (SI) y de las habilidades necesarias

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

McAfee Total Protection for Secure Business

McAfee Total Protection for Secure Business McAfee Total Protection for Secure Business Seguridad amplia en una suite fácil de administrar McAfee Total Protection for Secure Business Seguridad amplia en una suite fácil de administrar Todos los días,

Más detalles

Symantec Data Loss Prevention Detecte, supervise y proteja la información confidencial.

Symantec Data Loss Prevention Detecte, supervise y proteja la información confidencial. Symantec Data Loss Prevention Detecte, supervise y proteja la información confidencial. Es hora de reconsiderar la seguridad Hoy en día, prácticamente cualquiera puede compartir un volumen ilimitado de

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL Desafío Actualmente, muchos de los problemas más grandes de seguridad comienzan con un simple ataque

Más detalles

HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS

HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS Victor Mora Escobar ÍNDICE A que estamos expuestos Mecanismos para asegurar la información. Y como se hubiera podido

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales. de las Tecnologías de Información

GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales. de las Tecnologías de Información GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales de las Tecnologías de Información PATROCINA: GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Este Diploma está orientado a entregar los conocimientos,

Más detalles

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Jorge Villar (jorge_villar@symantec.com) Gerente de Ingeniería, Symantec México Junio 10, 2008 Agenda 1 2 3 Quién es Symantec?

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

McAfee Total Protection for Secure Business

McAfee Total Protection for Secure Business Completa seguridad en una sola suite fácil de administrar Las empresas medianas se ven asediadas por los mismos riesgos de seguridad a los que se enfrentan a diario las empresas grandes, pero normalmente

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestión de dispositivos integrada, segura y escalable Hoja de datos: Gestión y movilidad de puntos finales Descripción general La rápida proliferación

Más detalles

Introducción. La administración de datos de producto (PDM) es fácil para cualquier empresa 2

Introducción. La administración de datos de producto (PDM) es fácil para cualquier empresa 2 d o c u m e n t o t e m á t i c o La administración de datos de producto (PDM) es fácil para cualquier empresa Resumen SolidWorks Enterprise PDM ayuda a las empresas actuales de desarrollo de productos

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Solucionar problemas para empresas de la industria del gas y el petróleo Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Lograr objetivos

Más detalles

Seguridad TIC en la PYME Semana sobre Seguridad Informática

Seguridad TIC en la PYME Semana sobre Seguridad Informática Seguridad TIC en la PYME Semana sobre Seguridad Informática Iñigo Tomé Bermejo Centro Demostrador de Seguridad para la PYME Versión 0.e Índice de la Jornada Parte 1 1. La PYME y el reto de la seguridad

Más detalles

Appliance Symantec Backup Exec 3600

Appliance Symantec Backup Exec 3600 Activar, configurar y listo Hoja de datos: Protección de datos Descripción general El appliance Symantec Backup Exec 3600 es la única solución que proporciona el software Symantec Backup Exec en hardware

Más detalles

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS De acuerdo con el Código de Ética de The Institute of Internal Auditors (IIA), que establece los principios y las expectativas que rigen la conducta de los individuos y las organizaciones en la realización

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

Guía de Auditoría y Aseguramiento de SI 2203 Rendimiento y Supervisión

Guía de Auditoría y Aseguramiento de SI 2203 Rendimiento y Supervisión Guía de Auditoría y Aseguramiento de SI 2203 Rendimiento y Supervisión La naturaleza especializada de la auditoría y aseguramiento de los sistemas de la información (SI) y de las habilidades necesarias

Más detalles

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas

Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas TRITON AP-EMAIL Detenga los ataques avanzados dirigidos a su empresa, identifique a los usuarios de alto riesgo y controle las amenazas internas Desde señuelos diseñados para las redes sociales, hasta

Más detalles

RESUMEN DE SERVICIOS

RESUMEN DE SERVICIOS RESUMEN DE SERVICIOS Confidencial Enero 2014 Tabla de contenido Análisis de vulnerabilidades... 4 Por qué contratar el servicio?... 4 Características... 4 Plataformas... 5 Por qué confiar en GAIDEN?...

Más detalles

González Consultores Diego León, CPA, CISA. González Consultores & Asociados

González Consultores Diego León, CPA, CISA. González Consultores & Asociados González Consultores Diego León, CPA, CISA La Gaceta 238-9 Diciembre 2008 DECRETOS Nº 34918-H EL PRESIDENTE DE LA REPÚBLICA EN EJERCICIO Y EL MINISTRO DE HACIENDA Objeto Artículo 1º Objeto: Adoptar e

Más detalles

PRIMAVERA PORTFOLIO MANAGEMENT DE ORACLE

PRIMAVERA PORTFOLIO MANAGEMENT DE ORACLE PRIMAVERA PORTFOLIO MANAGEMENT DE ORACLE CARACTERÍSTICAS GESTIÓN DE CARTERA Crea valor a través de un enfoque centrado principalmente en la estrategia para seleccionar el grupo correcto de inversiones.

Más detalles

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Descripción general de la solución Cisco Advanced Malware Protection Prevención y detección de violaciones, respuesta y corrección para el mundo real El malware avanzado de la actualidad es sigiloso, persistente

Más detalles

La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura. Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos.

La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura. Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos. La Seguridad de la Web es un Problema? La Respuesta está en la Arquitectura Copyright 2015 Blue Coat Systems, Inc. Reservados todos los derechos. 1 Presentada por: Andrés García Director de Ingeniería

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Instantánea Estratégica

Instantánea Estratégica Instantánea Estratégica La Ventaja Corporativa de una Estrategia Unificada de Backup y Archiving Por Clay Ryder y Rob Kidd The Sageza Group, Inc. Marzo de 2005 The Sageza Group, Inc. 32108 Alvarado Blvd

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

Obtenga recolección de registros escalable hoy

Obtenga recolección de registros escalable hoy Hoja de datos Obtenga recolección de registros escalable hoy HP ArcSight Connectors Usted archiva y analiza datos de registros por una amplia gama de motivos que abarcan desde monitoreo de la seguridad

Más detalles

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE)

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE) Actualizado: Enero de 2014 Política de Educación Profesional Continua (CPE) Tabla de Contenido Generalidades... 2 Requerimientos para la certificación... 2 Requerimientos Generales Período de Certificación

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Especificaciones de la oferta Monitoreo de infraestructuras remotas

Especificaciones de la oferta Monitoreo de infraestructuras remotas Especificaciones de la oferta Monitoreo de infraestructuras remotas Información general sobre el servicio Este servicio ofrece monitoreo remoto de infraestructura de Dell (RIM, el servicio o servicios

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE LA MEJOR FORMA DE GESTIONAR TODOS SUS PROYECTOS, PROGRAMAS, RECURSOS Y CARTERAS. BENEFICIOS Seleccione la correcta combinación estratégica

Más detalles

Information Technologies Valor

Information Technologies Valor Information Technologies EMPRESA REFERENCIAS CONTACTO EMPRESA Ofrecemos servicios profesionales de consultoría y auditorias tecnológicas, enfocando nuestra labor desde los sistemas informáticos que gestionan

Más detalles