Prevención de fuga de datos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Prevención de fuga de datos"

Transcripción

1 Documento ISACA Prevención de fuga de datos Resumen La Prevención de fuga de datos (DLP) consiste en un conjunto de tecnologías dirigidas a detener la pérdida de información sensitiva que ocurre en empresas de todo el mundo. Al concentrarse en la ubicación, clasificación y monitoreo de información en reposo, en uso y en movimiento, esta solución puede ser una herramienta sumamente útil para ayudar a las empresas a manejar la información que poseen y a detener las numerosas fugas de información que ocurren día a día. La DLP no es una solución tipo plug and play, es decir que se conecta y se puede usar de inmediato. La aplicación exitosa de esta tecnología supone un alto grado de preparación y el debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberían prepararse para un esfuerzo significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organización. Quienes ponen en práctica esta solución deben asumir un enfoque estratégico que aborde los riesgos, impactos y pasos de mitigación, junto con las medidas de garantía y gobierno adecuadas.

2 ISACA Con miembros en 160 países, ISACA (www.isaca.org) es uno de los principales proveedores del mundo en el área de conocimiento, certificaciones, comunidad, apoyo y educación en aseguramiento y seguridad de sistemas de información (SI), gobierno empresarial y gerencia de TI, así como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA, como ente independiente sin fines de lucro, organiza conferencias internacionales, publica el ISACA Journal y desarrolla normas internacionales para el control y la auditoría de sistemas de información, que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de información. Asimismo, promueve y certifica destrezas y conocimientos en el área de TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems Auditor TM (Auditor Certificado en Sistemas de Información) (CISA ), Certified Information Security Manager (Gerente Certificado de Seguridad de la Información) (CISM ), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologías de la Información Empresariales) (CGEIT ) y Certified in Risk and Information Systems Control TM (Certificado en Riesgo y Control de Sistemas de Información) (CRISC TM ). ISACA actualiza continuamente COBIT, lo que permite a los profesionales y líderes empresariales en TI cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Descargo de responsabilidad ISACA ha diseñado y creado Prevención de fuga de datos (el Producto ), ante todo como un recurso educativo para profesionales en el área de seguridad, gobierno y aseguramiento. ISACA no asume ninguna responsabilidad en el sentido de que el uso del Producto garantizará un resultado exitoso. No se debe entender que el Producto incluye toda la información, procedimientos o pruebas adecuadas o que excluye cualquier otra información, procedimientos y pruebas que estén razonablemente dirigidos a obtener los mismos resultados. Al determinar la propiedad de cualquier información, procedimiento o prueba específica, los profesionales en seguridad, gobierno y aseguramiento deberían aplicar su propio criterio a las circunstancias de control específicas que presenten los sistemas o el ambiente de tecnología de información en particular. Reserva de derechos 2010 ISACA. Derechos reservados. Ninguna parte de la presente publicación se podrá utilizar, copiar, reproducir, modificar, distribuir, exhibir, almacenar en un sistema de recuperación de datos o transmitida de cualquier manera por cualquier medio (electrónico, mecánico, fotocopia, grabación o cualquier otro), sin el consentimiento escrito previo de ISACA. La reproducción y el uso de la totalidad o de partes de esta publicación están permitidos exclusivamente con fines académicos, internos y no comerciales y para tareas de consultoría/asesoría, y deben incluir el crédito completo de la fuente del material. No se autoriza ningún otro derecho o permiso con respecto a este producto. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL EE.UU. Teléfono: Fax: Correo electrónico: Página Internet: Prevención de fuga de datos CRISC es marca registrada/de servicio de ISACA. La marca ha sido solicitada o registrada en países de todo el mundo. 2

3 ISACA desea agradecer a: Equipo de desarrollo del proyecto Anthony P. Noble, CISA, CCP, Viacom Inc., USA, Presidente Reza Kopaee, CISA, CISSP, CSLP, Deloitte & Touche LLP, Canadá Adel Melek, CISM, CISSP, CPA, Deloitte & Touche LLP, Canadá Nirvik Nandy, Ernst & Young, USA Equipo de expertos de revisión Gil Chilton, Capital One Financial, USA Terry Griffith, CISM, CCE, CISSP, Capital One Financial, USA Patrick Hanrion, CISM, CISSP-ISSAP, Microsoft, USA Keith Lukes, TheBTO, USA George Llano, CISM, CISSP, GCFA, GPEN, Viacom Inc., USA Junta Directiva de ISACA Emil D Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., USA, Presidente Internacional Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT S.A., Grecia, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp. Ltd., Australia, Vicepresidente Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec S.A., México, Vicepresidente Robert E. Stroud, CGEIT, CA Technologies, USA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Vicepresidente Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vicepresidente Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación Rusa, antiguo Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), USA, antiguo Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director Howard Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Gerencia de Seguridad de Riesgos, USA, ITGI Fideicomisario Comité de Prácticas y Orientación Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Presidente Kamal N. Dave, CISA, CISM, CGEIT, Hewlett-Packard, USA Urs Fischer, CISA, CRISC, CIA, CPA (suizo), Suiza Ramses Gallego, CISM, CGEIT, CISSP, Entel IT Consulting, España Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt. Ltd., India Anthony P. Noble, CISA, CCP, Viacom Inc., USA Salomon Rico, CISA, CISM, CGEIT, Deloitte, México Frank Van Der Zwaag, CISA, Westpac New Zealand, Nueva Zelanda 3

4 Afiliados y patrocinantes de ISACA y del IT Governance Institute (ITGI) Instituto Americano de Contadores Públicos Certificados ASIS International Centro de Seguridad en Internet Commonwealth Association for Corporate Governance Inc. FIDA Inform Foro de Seguridad de la Información Asociación de Seguridad de Sistemas de Información Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants Inc. Capítulos de ISACA ITGI Japón Universidad de Norwich Escuela de Economía y Gerencia de Solvay, Bruselas Escuela de Gerencia de la Universidad de Antwerp Analytix Holdings Pty. Ltd. BWise B.V. Hewlett-Packard IBM Project Rx Inc. SOAProjects Inc. Symantec Corp. TruArx Inc. 4

5 Introducción Durante la última década, las empresas se han hecho cada vez más dependientes de la información digital para alcanzar sus objetivos de negocio. En cualquier día normal de trabajo, volúmenes significativos de información impulsan los procesos comerciales que involucran la participación de partes tanto dentro como fuera de los límites de las redes de las empresas. Estos datos pueden viajar por numerosas vías y de muchas maneras; mensajes de correo electrónico, documentos de procesamiento de texto, hojas de cálculo, archivos de bases de datos y mensajería instantánea son apenas unos pocos ejemplos. Gran parte de esta información es inocua, pero en muchos casos, una buena parte se clasifica como sensitiva o registrada, lo que indica que la misma tiene que ser protegida de acceso o exposición no autorizados. Esta necesidad puede ser resultado de factores externos, por ejemplo privacidad, así como de otros tipos de reglamentaciones o internos, tales como objetivos empresariales para proteger información financiera, estratégica u otros tipos de información competitiva. La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales. En un estudio publicado por la compañía de investigación en TI, TheInfoPro, la DLP se clasificó como de máxima prioridad para los presupuestos de seguridad de las empresas. La preocupación por esta necesidad de tener un mejor control y proteger información sensitiva ha dado lugar a un nuevo conjunto de soluciones dirigidas a mejorar la capacidad de una empresa para proteger sus activos de información. Estas soluciones son variadas en cuanto a sus capacidades y metodologías, pero, en conjunto, se han ubicado dentro de una categoría conocida como prevención de fuga de datos (DLP). Si bien todavía es una tecnología joven, la DLP se está adoptando cada vez más y un número creciente de productos está siendo lanzado al mercado. En un estudio publicado a principios de este año por la empresa de investigación en TI TheInfoPro, la DLP se calificó como una primera prioridad para los presupuestos de seguridad de las empresas. 1 El presente documento ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en funcionamiento de una solución de DLP. Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los usuarios y 12 por ciento se debió a intentos maliciosos. 2 No obstante, este bajo porcentaje puede ser algo engañoso, pues normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones adversas. 1 SC Magazine; Security Spending, DLP Projects to Increase, 2 Trend Micro; Data-stealing Malware on the Rise Solutions to Keep Businesses and Consumers Safe, Focus Report Series, June 2009, USA, imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf 5

6 Definición de la Prevención de fuga de datos La mayoría de las soluciones de DLP incluye un conjunto de tecnologías que facilitan tres objetivos clave: Ubicar y catalogar información sensitiva almacenada en la empresa Monitorear y controlar el movimiento de información sensitiva a través de las redes de la empresa Monitorear y controlar el movimiento de información sensitiva en sistemas de usuarios finales Estos objetivos están asociados con tres estados de información básicos: datos en reposo, datos en movimiento y datos en uso. Cada uno de estos estados de datos es atendido por un conjunto específico de tecnologías que ofrecen las soluciones de DLP: Datos en reposo Una función básica de las soluciones de DLP es la capacidad de identificar y registrar dónde se almacenan tipos específicos de información a lo largo y ancho de la empresa. Esto significa que la solución de DLP debe tener la capacidad de buscar e identificar tipos de archivo específicos, tales como hojas de cálculo y documentos de procesamiento de texto, ya sea que estén en servidores de archivos, redes de área de almacenamiento (SAN) o incluso puestos de trabajo de usuarios finales. Una vez encontrados, la solución de DLP debe poder abrir estos archivos y leer su contenido para determinar si están presentes datos específicos, tales como números de tarjetas de crédito o de la seguridad social. Para realizar estas tareas, la mayoría de los sistemas de DLP utilizan rastreadores, que son aplicaciones que se despliegan en forma remota para que entren en cada sistema final y rastreen a través de los almacenes de datos, buscando y registrando conjuntos de información específicos con base en una serie de normas que han sido introducidas en la consola de administración de la DLP. La recopilación de esta información es un paso muy valioso que permitirá a la empresa determinar dónde se encuentra la información clave, si su ubicación está permitida dentro de las políticas existentes y qué trayectos podrían recorrer estos datos que violarían políticas de información. Datos en movimiento (red) Para monitorear el movimiento de datos en las redes de una empresa, las soluciones de DLP utilizan dispositivos de red específicos o tecnología incrustada 3 para capturar en forma selectiva y analizar el tráfico en la red. Cuando se envían archivos a través de una red, por lo general se fragmentan en paquetes. Para inspeccionar la información que se envía por la red, la solución de DLP debe tener la capacidad de: monitorear de manera pasiva el tráfico en la red, reconocer las secuencias de datos correctas que se van a capturar, ensamblar los paquetes recolectados, reconstruir los archivos transportados en el sistema de datos y luego realizar el mismo análisis que se efectúa a los datos en reposo para determinar si alguna parte del contenido del archivo está restringida por su conjunto de reglas. El núcleo de esta capacidad es un proceso conocido como inspección profunda de paquetes (DPI), que permite al componente de datos en movimiento de la DLP ejecutar estas tareas. La DPI va más allá de la información básica de encabezamiento de un paquete (la cual es similar a la información de destinatario y remitente que se encuentra en un sobre postal) para leer el contenido dentro de la carga del paquete (como la carta dentro del sobre postal). Si bien esta tecnología ha evolucionado a lo largo de los años, todavía es imperfecta; no obstante, ha aumentado su poder de procesamiento y nuevas formas de identificación de paquetes han contribuido considerablemente a su desarrollo. Esta capacidad de DPI permite al sistema de DLP inspeccionar datos en tránsito y determinar contenido, fuente y destino. Si se detecta que datos sensitivos están fluyendo hacia un destino no autorizado, la solución de DLP tiene la capacidad de alertar y opcionalmente bloquear los flujos de datos en tiempo real o casi real, nuevamente con base en el conjunto de reglas definidas dentro de su componente de administración central. Basándose en el conjunto de reglas, la solución también puede poner en cuarentena o encriptar los datos en cuestión. Una consideración importante para la DLP de una red es que se deben desencriptar los datos antes de que la solución de DLP los pueda inspeccionar. La solución de DLP debe tener la capacidad de hacer esto por sí misma (al contar con esta función y las claves de encriptación necesarias) o debe haber un dispositivo que desencripte el tráfico antes de la inspección por el módulo de DLP, y lo encripte nuevamente luego de que hayan sido inspeccionados los datos y se les haya permitido pasar. 3 Algunas capacidades de DLP están embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrónico, en lugar de funcionar como equipos dedicados. 6

7 Datos en uso (puesto de trabajo) Los datos en uso tal vez sean el aspecto más desafiante de la DLP. Estos datos se refieren principalmente al monitoreo del movimiento de datos que se deriva de acciones que ejecutan los usuarios finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar información a una impresora o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecutan estas funciones usando un programa de software conocido como agente, el cual en el caso ideal está controlado por las mismas capacidades de administración central de la solución de DLP general. La ejecución de conjuntos de reglas en un sistema de usuario final tiene limitaciones inherentes a ella, siendo la más importante que el sistema de usuario final debe tener la capacidad de procesar el conjunto de reglas aplicadas. Dependiendo del número y la complejidad de las reglas que se están ejecutando, podría ser necesario ejecutar solo una parte de ellas, lo que puede dejar brechas significativas en la solución en general. Para ser considerada una solución de DLP completa, debe contar con la capacidad de atender los tres estados de información y estar integrada por una función de administración centralizada. La gama de servicios disponibles en la consola de administración varía de un producto a otro, pero muchos, si acaso no la mayoría de ellos, comparten las siguientes funciones: Creación y administración de políticas Las políticas (conjuntos de reglas) dictan las acciones que toman los diferentes componentes de la DLP. La mayoría de las soluciones de DLP vienen con políticas (reglas) previamente configuradas que hacen referencia a reglamentaciones comunes, por ejemplo a las dos siguientes leyes estadounidenses: la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA). Es igualmente importante poder personalizar estas políticas o desarrollar políticas que estén totalmente adaptadas a las necesidades específicas. Integración de servicios de directorio La integración con servicios de directorio permite a la consola de DLP mapear una dirección de red a un usuario final específico. Administración del flujo de trabajo La mayoría de las soluciones de DLP completas ofrecen la capacidad de configurar el manejo de incidentes, lo que permite al sistema de administración central enrutar incidentes específicos a las partes adecuadas con base en el tipo de violación, gravedad, usuario y otros criterios similares. Respaldo y restitución Las funciones de respaldo y restitución permiten la preservación de políticas y otros valores de configuración. Elaboración de informes Una función de elaboración de informes puede ser interna o utilizar herramientas externas para el mismo propósito. Enfoque del programa de DLP La puesta en funcionamiento de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias. La aplicación de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias, tales como desarrollo de políticas, análisis de procesos comerciales e inventarios detallados y análisis de los tipos de información que utiliza la empresa. Estas actividades requieren la participación de una amplia base de actores tanto de las unidades de negocio como de TI que la solución apoya. Las secciones siguientes describen las consideraciones clave para cada etapa del proceso de ejecución. 7

8 Clasificación, ubicación y trayectos de los datos de la organización A menudo las empresas no están conscientes de todos los tipos y ubicaciones de la información que poseen. Es importante, antes de adquirir una solución de DLP, identificar y clasificar los tipos de datos sensitivos y su flujo de un sistema a otro y a los usuarios. Este proceso debería producir una taxonomía de datos o un sistema de clasificación que aprovecharán diversos módulos de DLP mientras buscan y toman acciones con respecto a la información que corresponde a las diversas clasificaciones dentro de la taxonomía. El análisis de procesos de negocio críticos debería producir la información requerida. Las clasificaciones pueden incluir categorías tales como datos privados de clientes o empleados, datos financieros y propiedad intelectual. Una vez que los datos han sido identificados y clasificados debidamente, el análisis ulterior de los procesos debería facilitar la ubicación de almacenes de datos primarios y trayectos de datos clave. Con frecuencia, se dispersan múltiples copias y variaciones de los mismos datos a través de toda la empresa en servidores, estaciones de trabajo, cintas y otros medios. Usualmente se hacen copias para facilitar probar la aplicación sin limpiar antes los datos de contenido sensitivo. Tener una buena idea de las clasificaciones de datos y la ubicación de los almacenes de datos primarios es útil tanto para la selección como para la ubicación de la solución de DLP. Luego de que ha sido instalada la solución de DLP, podrá ayudar a encontrar otras ubicaciones y trayectos de datos. También es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminación de los datos, ayudará a descubrir repositorios de datos adicionales y vías de transmisión. Se debe recopilar información adicional a través de un inventario de todos los puntos de salida de datos, ya que no todos los procesos de negocios están documentados y no todo movimiento de datos es resultado de un proceso establecido. El análisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos. Establecimiento y socialización de procesos y políticas de alto nivel Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. Las políticas de clasificación de datos deberán mantenerse lo más sencillas posible. Luego de que se hayan establecido las políticas, se deberá desarrollar un plan de flujo de trabajo de alto nivel. Este plan deberá incluir las categorías de datos establecidas como objetivos, las acciones que se van a tomar (y por parte de quién) para atender las violaciones, los procesos de escalación y cualquier Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. proceso necesario para las solicitudes excepcionales. Además se deberán establecer procesos para casos fuera del horario de trabajo y días feriados, cuando tal vez no estén disponibles las personas clave. Es importante que los procesos fuera del horario de trabajo cuenten con procedimientos claros y bien documentados, que en ellos participen personas que puedan tomar decisiones apropiadas y bien fundamentadas y que los actores pertinentes documenten y revisen debidamente cualquier decisión que se tome para manejar casos excepcionales fuera del horario de trabajo. Deberá existir un proceso formal para el manejo de excepciones, el cual deberá documentar toda la información relevante relativa a la excepción en particular. Asimismo es importante asegurar que existan procesos adecuados para el manejo de incidentes y que los mismos sean funcionales para cada una de las categorías de reglas antes de iniciar las actividades reales. 8

9 Puesta en práctica Las empresas deberán considerar seriamente poner en práctica la DLP inicialmente en un modo solo de monitoreo. De esta manera, se podrá poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura de la organización. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de tráfico y correr el riesgo de desbaratar los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de datos sensitivos que se escapan por la puerta luego de activar el sistema, iniciar el bloqueo real demasiado pronto puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios críticos. Lo que se espera es que estos procesos se identifiquen durante la etapa de preparación, pero con frecuencia se pasan cosas por alto que rápidamente salen a la luz cuando se activa la solución de DLP. Resolución de violaciones Las soluciones de DLP, por lo general, proporcionan una buena cantidad de información útil con respecto a la ubicación y las vías de transmisión de la información sensitiva. Sin embargo, a veces esto puede convertirse en una caja de Pandora. Una empresa puede desconcertarse rápidamente ante el volumen y la extensión de sus datos sensitivos y la pérdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo tiempo, lo que seguro es una fórmula para el desastre. Es importante que una empresa esté preparada para emplear un enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma más expeditiva posible. Todos los actores clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema continúe por un tiempo mientras se atiende uno más serio. El análisis y las decisiones subsiguientes en relación con el proceso deberán estar bien documentados y mantenerse en anticipación a futuras auditorías o investigaciones reglamentarias. Programa DLP en curso Se debe monitorear de cerca la solución de DLP y entregar informes periódicos de riesgo, cumplimiento y privacidad a los actores pertinentes (por ejemplo, gestión de riesgo, gestión de cumplimiento, equipo de privacidad y recursos humanos [RR.HH.]). Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarán a los administradores si una regla es demasiado amplia y podría tener un impacto importante de desempeño en la infraestructura de DLP. Las empresas deberán asegurarse de que todos los actores sean diligentes en cuanto a informar cualquier nuevo formato o tipo de dato que tal vez no esté representado en el conjunto de reglas de DLP existente. Se debe disponer de un ambiente de prueba y evaluación que se utilizará para probar el impacto de los parches y actualizaciones de la solución de DLP. Finalmente, es importante dar continuidad a los programas de creación de conciencia y adiestramiento, los cuales podrían ser reforzados con las capacidades de alerta y generación de informes de la solución de DLP. 9

10 Beneficios de DLP para el negocio Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. La lista siguiente destaca algunos de los beneficios más directos de una solución de DLP que ha sido puesta en funcionamiento correctamente: Protege los datos críticos del negocio y la propiedad intelectual El principal beneficio de DLP es la protección de la información que es crítica para el negocio. Las empresas mantienen muchos tipos de información que deben proteger por razones legales, de reputación y de competencia. Por ejemplo, información sobre clientes, registros personales, información de salud, registros financieros confidenciales, documentos de diseño de productos, planes comerciales e investigación bajo patente son apenas unos cuantos casos. Mejora el cumplimiento La DLP puede ayudar a que las empresas cumplan los requerimientos legales relacionados con la protección y el monitoreo de datos que contienen información privada financiera y sobre los clientes. Las soluciones de DLP por lo general vienen con reglas previamente configuradas que abordan tipos de datos que han sido impactados por normativas legales importantes, tales como la industria de tarjetas de pago (PCI), GLBA y HIPAA. El uso de estos conjuntos de reglas puede simplificar los esfuerzos para proteger los datos afectados por estas normativas. Reduce el riesgo de violación de los datos Al reducir el riesgo de fugas de datos, disminuye el riesgo financiero para la empresa. En su informe para 2009, el Instituto Ponemon estimó que el costo promedio de la fuga de datos en Estados Unidos es de $20 por registro. 4 Incluso con violaciones relativamente pequeñas de los registros que podrían ascender a miles, cada incidente representa potencialmente un impacto financiero importante. Mejora el adiestramiento y la conciencia Aunque la mayoría de las empresas cuenta con políticas escritas, las mismas tal vez hayan sido olvidadas al pasar el tiempo. Las soluciones de DLP alertan, y a veces bloquean, el movimiento de datos que está violando la política y ofrece educación en línea para garantizar que los usuarios siempre estén conscientes de las políticas asociadas con datos sensitivos. Mejorar los procesos de negocios Uno de los principales intangibles de la DLP es el desarrollo de nuevas políticas, controles y pruebas que permiten identificar procesos de negocio interrumpidos. A menudo, el paso de simplemente evaluar y catalogar los procesos de negocio en preparación a la puesta en funcionamiento de la DLP puede ofrecer una excelente perspectiva a la empresa. Optimiza el espacio en disco y el ancho de banda de la red Un importante beneficio de las soluciones de DLP es la identificación de archivos estancados y videos que se están cargando, los cuales consumen una gran cantidad de recursos de TI, tales como almacenamiento en servidores de archivos y ancho de banda de la red. Depurar los archivos inactivos y evitar que se carguen videos no relacionados con el negocio puede reducir las necesidades de almacenamiento, respaldo y ancho de banda. Detecta software malicioso o ilegal Otro intangible clave de la DLP es su capacidad de identificar software malicioso que trata de transmitir información sensitiva a través del correo electrónico o una conexión de Internet. La DLP en la red puede ayudar a reducir el daño causado por software malicioso pues detecta la transmisión ilegal de información sensitiva fuera de la empresa, lo que tal vez no siempre sea así, pues las transmisiones pueden estar encriptadas. Pero incluso en ese caso, un sistema que cuente con un conjunto de reglas que alerten o bloqueen el flujo de datos que no puede desencriptar será una excelente ayuda para las defensas contra software malicioso. 4 Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, 10

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN 1. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 2. Construcción

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Soluciones para compañías del sector Aeroespacial y Defensa Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Múltiples proyectos, miles

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos TRITON AP-ENDPOINT Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos La fuga de datos puede tener consecuencias devastadoras, desde una reputación dañada hasta

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

González Consultores Diego León, CPA, CISA. González Consultores & Asociados

González Consultores Diego León, CPA, CISA. González Consultores & Asociados González Consultores Diego León, CPA, CISA La Gaceta 238-9 Diciembre 2008 DECRETOS Nº 34918-H EL PRESIDENTE DE LA REPÚBLICA EN EJERCICIO Y EL MINISTRO DE HACIENDA Objeto Artículo 1º Objeto: Adoptar e

Más detalles

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Integrar los procesos de Salud, Seguridad y Medio Ambiente con la gestión del trabajo y los activos Características

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

Especificaciones de la oferta Monitoreo de infraestructuras remotas

Especificaciones de la oferta Monitoreo de infraestructuras remotas Especificaciones de la oferta Monitoreo de infraestructuras remotas Información general sobre el servicio Este servicio ofrece monitoreo remoto de infraestructura de Dell (RIM, el servicio o servicios

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

Términos de licencia del software de Microsoft para:

Términos de licencia del software de Microsoft para: Términos de licencia del software de Microsoft para: Windows Embedded For Point of Service 1.0 Estos términos de licencia constituyen un contrato entre usted y [OEM]. Proceda a leerlos. Se aplican al software

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Solucionar problemas para empresas de la industria del gas y el petróleo Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Lograr objetivos

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Cloud Email Firewall

Cloud Email Firewall Cloud Email Firewall Protección contra software malicioso y Antispam para el Correo Electrónico Si el correo de su empresa no es seguro entonces la información no está segura Cloud Email Firewall es una

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

SISTEMA DE GESTIÓN AMBIENTAL

SISTEMA DE GESTIÓN AMBIENTAL SISTEMA DE GESTIÓN AMBIENTAL ISO 14001:2004 Fundamentos e interpretación del Sistema de Gestión Ambiental ISO 14001:2004 Docente: Dip. Juan Bruno Calvay GESTIÓN AMBIENTAL EN LA EMPRESA Sistema de Gestión

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Clasificación y protección de la Información. Un caso práctico

Clasificación y protección de la Información. Un caso práctico Clasificación y protección de la Información. Un caso práctico Presentada por: Daniel Marino Gerente Gestión de Riesgos y Cumplimiento, Sancor Seguros Claudio Tana Gerente de Consultoría, NeoSecure Leonardo

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información Gobierno de la Seguridad y el Modelo del Negocio para la Seguridad de la Información Lucio Augusto Molina Focazzio, CISM, CRISC, CISA, ITIL CoBiT Accredited Trainer Consultor Bogotá, Junio 15 de 2011 Agenda

Más detalles

CODIGO DE CONDUCTA INFORMATICA

CODIGO DE CONDUCTA INFORMATICA Sistemas Informáticos CODIGO DE CONDUCTA INFORMATICA I. OBJETO El Código de Conducta Informática del Grupo Cobra tiene por finalidad establecer las pautas generales de actuación de todos los empleados

Más detalles

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse?

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey,

Más detalles

CA Email Control for the Enterprise

CA Email Control for the Enterprise HOJA DE SOLUCIONES CA Email Control for the Enterprise agility made possible CA Email Control for the Enterprise mitiga el riesgo de amenazas internas controlando el flujo y la distribución de información

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL Desafío Actualmente, muchos de los problemas más grandes de seguridad comienzan con un simple ataque

Más detalles

RETAIL CHAIN MANAGER Optimice sus operaciones minoristas y obtenga una sólida rentabilidad con Retail Chain Manager para Microsoft Dynamics AX

RETAIL CHAIN MANAGER Optimice sus operaciones minoristas y obtenga una sólida rentabilidad con Retail Chain Manager para Microsoft Dynamics AX RETAIL CHAIN MANAGER Optimice sus operaciones minoristas y obtenga una sólida rentabilidad con Retail Chain Manager para Microsoft Dynamics AX Genere ingresos para su negocio minorista Optimización de

Más detalles

BYOD - Retos de seguridad

BYOD - Retos de seguridad BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir

Más detalles

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO CyberSource Fraud Management DO PTA ACE IDO PED TADO ACEP UN ÚNICO PUNTO DE CONTACTO LE AYUDA A ACEPTAR MAYOR CANTIDAD DE PEDIDOS IDO PED PREVENCIÓN DE FRAUDE Fraud Management GESTIONAR EL FRAUDE ES UN

Más detalles

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault INTRODUCCIÓN Fortalecer los controles internos para cumplir con las normas, imponer las mejores prácticas del sector

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

El estado de la seguridad de las aplicaciones

El estado de la seguridad de las aplicaciones El estado de la seguridad de las aplicaciones Los recientes ataques dirigidos a aplicaciones y siistemas operativos móviles, han puesto en riesgo una cantidad de datos corporativos móviles sin precedente.

Más detalles

Microsoft Business Solutions Navision le ofrece una forma eficaz de optimizar su negocio y aumentar la productividad.

Microsoft Business Solutions Navision le ofrece una forma eficaz de optimizar su negocio y aumentar la productividad. MICROSOFT BUSINESS SOLUTIONS NAVISION MICROSOFT BUSINESS SOLUTIONS NAVISION Le ofrece la libertad para centrarse en su negocio. Beneficios principales: Aumente su productividad Marque su ventaja sobre

Más detalles

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image

WHITE PAPER. Proteger sus servidores virtuales con Acronis True Image Proteger sus servidores virtuales con Acronis True Image Copyright Acronis, Inc., 2000 2008 Las organizaciones dedicadas a la TI han descubierto que la tecnología de virtualización puede simplificar la

Más detalles

MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO

MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO SEGUROS DE VIDA SURA S.A. SEGUROS DE VIDA SURA S.A. 2 Línea N Documento SV 0202 Manual de Manejo de Información de Interés para el Mercado INTRODUCCIÓN

Más detalles

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE)

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE) Actualizado: Enero de 2014 Política de Educación Profesional Continua (CPE) Tabla de Contenido Generalidades... 2 Requerimientos para la certificación... 2 Requerimientos Generales Período de Certificación

Más detalles

Riesgo Operacional. BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión. Metodología

Riesgo Operacional. BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión. Metodología BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión Metodología Contenido Sección I Modelo Estratégico Visión organizacional Formas de gestión: ex-ante y ex-post Sección II

Más detalles

Symantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días

Symantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días PRINCIPALES VENTAJAS TANGIBLES Recuperación de sistemas Windows completos en cuestión de minutos, en lugar de en horas o días Symantec ha demostrado de manera pública y en reiteradas ocasiones que Backup

Más detalles

IBM Software Documento informativo Liderazgo de ideas. Marzo 2013

IBM Software Documento informativo Liderazgo de ideas. Marzo 2013 IBM Software Documento informativo Liderazgo de ideas Marzo 2013 El valor de integrar el desarrollo de aplicaciones móviles y la gestión de dispositivos móviles Cierre la brecha de la seguridad en las

Más detalles

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores REPORTE OFICIAL OCTUBRE DE 2014 CA Unified Infrastructure Management para servidores 2 Reporte oficial: CA Unified Infrastructure Management para servidores Tabla de contenidos Descripción general de la

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

Bosch Video Management System Asegure su futuro con IP

Bosch Video Management System Asegure su futuro con IP Bosch Video Management System Asegure su futuro con IP Seguridad por vídeo IP Integración total Bosch Video Management System (VMS) gestiona enteramente todos sus sistemas de audio y vídeo digitales e

Más detalles

1. Qué tipo de información personal reúne Nestlé a través de este sitio en Internet y cómo lo recaba? ( gris bold)

1. Qué tipo de información personal reúne Nestlé a través de este sitio en Internet y cómo lo recaba? ( gris bold) TÉRMINOS DE USO PREGUNTAS Y RESPUESTAS CLAVES Gracias por visitar este sitio en Internet. Esperamos que aprenda más sobre Nestlé y nuestros productos. Nestlé respeta su derecho a la privacidad en el mundo

Más detalles

DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA

DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA Introducción Los objetivos y alcance global de una auditoría no cambian cuando se conduce una auditoría en un ambiente de sistemas de información

Más detalles

5 criterios para seleccionar una solución de copias para equipos de usuario final

5 criterios para seleccionar una solución de copias para equipos de usuario final Informe Técnico solución de copias para equipos de usuario Conseguir una protección eficaz de los equipos corporativos de usuario entendiendo sus necesidades específicas. A medida que los trabajadores

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Aviso de privacidad de Johnson Controls

Aviso de privacidad de Johnson Controls Aviso de privacidad de Johnson Controls Johnson Controls, Inc. y sus filiales (en conjunto, Johnson Controls, nosotros o nuestro) se preocupan por su privacidad y se comprometen a proteger su información

Más detalles

Presentación de las soluciones: Protección de datos

Presentación de las soluciones: Protección de datos Archivado, copia de seguridad y recuperación para alcanzar la promesa de la virtualización Gestión unificada de la información para entornos empresariales Windows La explosión de la información no estructurada

Más detalles

10 formas de optimizar su red de forma segura

10 formas de optimizar su red de forma segura 10 formas de optimizar su red de forma segura Con la inteligencia y el control de aplicaciones de los cortafuegos SonicWALL de próxima generación y la serie de dispositivos de aceleración WAN (WXA) Tabla

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Enterprise Content Management Alineado a la evolución del negocio. Agosto 2013

Enterprise Content Management Alineado a la evolución del negocio. Agosto 2013 Agosto 2013 Enterprise Content Management Alineado a la evolución del negocio Contenido 3 Antecedentes 4 Una explosión de datos estructurados y no estructurados 5 Cómo podemos ayudar a las empresas 5 Beneficios

Más detalles

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización En esta nota Aprovechar la tecnología de la nube puede contribuir a disminuir los

Más detalles

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo GUÍA DE AYUDA Tecnologías de Información y Comunicación para un México más Competitivo Estimad@ usuari@, esta guía tiene como objetivo orientarle sobre cómo utilizar la Vitrina de Soluciones Tecnológicas.

Más detalles

protección completa para toda la empresa

protección completa para toda la empresa protección completa para toda la empresa Las amenazas online pueden dañar equipos informáticos, sustraer información y defraudar a empleados y clientes, y el ritmo al que crecen actualmente y su nivel

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

Seguridad TIC en la PYME Semana sobre Seguridad Informática

Seguridad TIC en la PYME Semana sobre Seguridad Informática Seguridad TIC en la PYME Semana sobre Seguridad Informática Iñigo Tomé Bermejo Centro Demostrador de Seguridad para la PYME Versión 0.e Índice de la Jornada Parte 1 1. La PYME y el reto de la seguridad

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE LA MEJOR FORMA DE GESTIONAR TODOS SUS PROYECTOS, PROGRAMAS, RECURSOS Y CARTERAS. BENEFICIOS Seleccione la correcta combinación estratégica

Más detalles

Perspectivas del CFO Sus sistemas de planificación de recursos empresariales están listos para IFRS?

Perspectivas del CFO Sus sistemas de planificación de recursos empresariales están listos para IFRS? Perspectivas del CFO Sus sistemas de planificación de recursos empresariales están listos para IFRS? 2 Perspectivas del CFO Sus sistemas de planificación de recursos empresariales están listos para IFRS?

Más detalles

Amway - Política de privacidad

Amway - Política de privacidad Amway - Política de privacidad Esta política de privacidad describe cómo Amway Venezuela y algunos afiliados de Amway, incluyendo Amway Latinoamérica (juntos "Amway") utilizan datos personales recogidos

Más detalles

Cómo construir un caso de negocios para un ERP?

Cómo construir un caso de negocios para un ERP? Cómo construir un caso de negocios para un ERP? Una guía paso a paso para aquellas personas encargas de la toma de decisiones en la industria de los plásticos Cómo construir un caso de negocios para un

Más detalles

Norma Internacional ISO 9001:2000

Norma Internacional ISO 9001:2000 Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes

Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes 1. Qué es? forma parte de la familia Enterprise de los paquetes Symantec Protection Suites. Protection Suite para Gateway

Más detalles

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá.

ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. ACUERDO No. 6 ( de 30 de enero de 1999) Por el cual se adopta el Reglamento de Administración de Archivos de la Autoridad del Canal de Panamá. LA JUNTA DIRECTIVA DE LA AUTORIDAD DEL CANAL DE PANAMA CONSIDERANDO:

Más detalles