Prevención de fuga de datos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Prevención de fuga de datos"

Transcripción

1 Documento ISACA Prevención de fuga de datos Resumen La Prevención de fuga de datos (DLP) consiste en un conjunto de tecnologías dirigidas a detener la pérdida de información sensitiva que ocurre en empresas de todo el mundo. Al concentrarse en la ubicación, clasificación y monitoreo de información en reposo, en uso y en movimiento, esta solución puede ser una herramienta sumamente útil para ayudar a las empresas a manejar la información que poseen y a detener las numerosas fugas de información que ocurren día a día. La DLP no es una solución tipo plug and play, es decir que se conecta y se puede usar de inmediato. La aplicación exitosa de esta tecnología supone un alto grado de preparación y el debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberían prepararse para un esfuerzo significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organización. Quienes ponen en práctica esta solución deben asumir un enfoque estratégico que aborde los riesgos, impactos y pasos de mitigación, junto con las medidas de garantía y gobierno adecuadas.

2 ISACA Con miembros en 160 países, ISACA (www.isaca.org) es uno de los principales proveedores del mundo en el área de conocimiento, certificaciones, comunidad, apoyo y educación en aseguramiento y seguridad de sistemas de información (SI), gobierno empresarial y gerencia de TI, así como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA, como ente independiente sin fines de lucro, organiza conferencias internacionales, publica el ISACA Journal y desarrolla normas internacionales para el control y la auditoría de sistemas de información, que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de información. Asimismo, promueve y certifica destrezas y conocimientos en el área de TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems Auditor TM (Auditor Certificado en Sistemas de Información) (CISA ), Certified Information Security Manager (Gerente Certificado de Seguridad de la Información) (CISM ), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologías de la Información Empresariales) (CGEIT ) y Certified in Risk and Information Systems Control TM (Certificado en Riesgo y Control de Sistemas de Información) (CRISC TM ). ISACA actualiza continuamente COBIT, lo que permite a los profesionales y líderes empresariales en TI cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio. Descargo de responsabilidad ISACA ha diseñado y creado Prevención de fuga de datos (el Producto ), ante todo como un recurso educativo para profesionales en el área de seguridad, gobierno y aseguramiento. ISACA no asume ninguna responsabilidad en el sentido de que el uso del Producto garantizará un resultado exitoso. No se debe entender que el Producto incluye toda la información, procedimientos o pruebas adecuadas o que excluye cualquier otra información, procedimientos y pruebas que estén razonablemente dirigidos a obtener los mismos resultados. Al determinar la propiedad de cualquier información, procedimiento o prueba específica, los profesionales en seguridad, gobierno y aseguramiento deberían aplicar su propio criterio a las circunstancias de control específicas que presenten los sistemas o el ambiente de tecnología de información en particular. Reserva de derechos 2010 ISACA. Derechos reservados. Ninguna parte de la presente publicación se podrá utilizar, copiar, reproducir, modificar, distribuir, exhibir, almacenar en un sistema de recuperación de datos o transmitida de cualquier manera por cualquier medio (electrónico, mecánico, fotocopia, grabación o cualquier otro), sin el consentimiento escrito previo de ISACA. La reproducción y el uso de la totalidad o de partes de esta publicación están permitidos exclusivamente con fines académicos, internos y no comerciales y para tareas de consultoría/asesoría, y deben incluir el crédito completo de la fuente del material. No se autoriza ningún otro derecho o permiso con respecto a este producto. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL EE.UU. Teléfono: Fax: Correo electrónico: Página Internet: Prevención de fuga de datos CRISC es marca registrada/de servicio de ISACA. La marca ha sido solicitada o registrada en países de todo el mundo. 2

3 ISACA desea agradecer a: Equipo de desarrollo del proyecto Anthony P. Noble, CISA, CCP, Viacom Inc., USA, Presidente Reza Kopaee, CISA, CISSP, CSLP, Deloitte & Touche LLP, Canadá Adel Melek, CISM, CISSP, CPA, Deloitte & Touche LLP, Canadá Nirvik Nandy, Ernst & Young, USA Equipo de expertos de revisión Gil Chilton, Capital One Financial, USA Terry Griffith, CISM, CCE, CISSP, Capital One Financial, USA Patrick Hanrion, CISM, CISSP-ISSAP, Microsoft, USA Keith Lukes, TheBTO, USA George Llano, CISM, CISSP, GCFA, GPEN, Viacom Inc., USA Junta Directiva de ISACA Emil D Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., USA, Presidente Internacional Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT S.A., Grecia, Vicepresidente Ria Lucas, CISA, CGEIT, Telstra Corp. Ltd., Australia, Vicepresidente Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vicepresidente Jose Angel Pena Ibarra, CGEIT, Alintec S.A., México, Vicepresidente Robert E. Stroud, CGEIT, CA Technologies, USA, Vicepresidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Vicepresidente Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vicepresidente Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación Rusa, antiguo Presidente Internacional Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), USA, antiguo Presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Director Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director Howard Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director Jeff Spivey, CPP, PSP, Gerencia de Seguridad de Riesgos, USA, ITGI Fideicomisario Comité de Prácticas y Orientación Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Presidente Kamal N. Dave, CISA, CISM, CGEIT, Hewlett-Packard, USA Urs Fischer, CISA, CRISC, CIA, CPA (suizo), Suiza Ramses Gallego, CISM, CGEIT, CISSP, Entel IT Consulting, España Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt. Ltd., India Anthony P. Noble, CISA, CCP, Viacom Inc., USA Salomon Rico, CISA, CISM, CGEIT, Deloitte, México Frank Van Der Zwaag, CISA, Westpac New Zealand, Nueva Zelanda 3

4 Afiliados y patrocinantes de ISACA y del IT Governance Institute (ITGI) Instituto Americano de Contadores Públicos Certificados ASIS International Centro de Seguridad en Internet Commonwealth Association for Corporate Governance Inc. FIDA Inform Foro de Seguridad de la Información Asociación de Seguridad de Sistemas de Información Institut de la Gouvernance des Systèmes d Information Institute of Management Accountants Inc. Capítulos de ISACA ITGI Japón Universidad de Norwich Escuela de Economía y Gerencia de Solvay, Bruselas Escuela de Gerencia de la Universidad de Antwerp Analytix Holdings Pty. Ltd. BWise B.V. Hewlett-Packard IBM Project Rx Inc. SOAProjects Inc. Symantec Corp. TruArx Inc. 4

5 Introducción Durante la última década, las empresas se han hecho cada vez más dependientes de la información digital para alcanzar sus objetivos de negocio. En cualquier día normal de trabajo, volúmenes significativos de información impulsan los procesos comerciales que involucran la participación de partes tanto dentro como fuera de los límites de las redes de las empresas. Estos datos pueden viajar por numerosas vías y de muchas maneras; mensajes de correo electrónico, documentos de procesamiento de texto, hojas de cálculo, archivos de bases de datos y mensajería instantánea son apenas unos pocos ejemplos. Gran parte de esta información es inocua, pero en muchos casos, una buena parte se clasifica como sensitiva o registrada, lo que indica que la misma tiene que ser protegida de acceso o exposición no autorizados. Esta necesidad puede ser resultado de factores externos, por ejemplo privacidad, así como de otros tipos de reglamentaciones o internos, tales como objetivos empresariales para proteger información financiera, estratégica u otros tipos de información competitiva. La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales. En un estudio publicado por la compañía de investigación en TI, TheInfoPro, la DLP se clasificó como de máxima prioridad para los presupuestos de seguridad de las empresas. La preocupación por esta necesidad de tener un mejor control y proteger información sensitiva ha dado lugar a un nuevo conjunto de soluciones dirigidas a mejorar la capacidad de una empresa para proteger sus activos de información. Estas soluciones son variadas en cuanto a sus capacidades y metodologías, pero, en conjunto, se han ubicado dentro de una categoría conocida como prevención de fuga de datos (DLP). Si bien todavía es una tecnología joven, la DLP se está adoptando cada vez más y un número creciente de productos está siendo lanzado al mercado. En un estudio publicado a principios de este año por la empresa de investigación en TI TheInfoPro, la DLP se calificó como una primera prioridad para los presupuestos de seguridad de las empresas. 1 El presente documento ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en funcionamiento de una solución de DLP. Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los usuarios y 12 por ciento se debió a intentos maliciosos. 2 No obstante, este bajo porcentaje puede ser algo engañoso, pues normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones adversas. 1 SC Magazine; Security Spending, DLP Projects to Increase, 2 Trend Micro; Data-stealing Malware on the Rise Solutions to Keep Businesses and Consumers Safe, Focus Report Series, June 2009, USA, imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf 5

6 Definición de la Prevención de fuga de datos La mayoría de las soluciones de DLP incluye un conjunto de tecnologías que facilitan tres objetivos clave: Ubicar y catalogar información sensitiva almacenada en la empresa Monitorear y controlar el movimiento de información sensitiva a través de las redes de la empresa Monitorear y controlar el movimiento de información sensitiva en sistemas de usuarios finales Estos objetivos están asociados con tres estados de información básicos: datos en reposo, datos en movimiento y datos en uso. Cada uno de estos estados de datos es atendido por un conjunto específico de tecnologías que ofrecen las soluciones de DLP: Datos en reposo Una función básica de las soluciones de DLP es la capacidad de identificar y registrar dónde se almacenan tipos específicos de información a lo largo y ancho de la empresa. Esto significa que la solución de DLP debe tener la capacidad de buscar e identificar tipos de archivo específicos, tales como hojas de cálculo y documentos de procesamiento de texto, ya sea que estén en servidores de archivos, redes de área de almacenamiento (SAN) o incluso puestos de trabajo de usuarios finales. Una vez encontrados, la solución de DLP debe poder abrir estos archivos y leer su contenido para determinar si están presentes datos específicos, tales como números de tarjetas de crédito o de la seguridad social. Para realizar estas tareas, la mayoría de los sistemas de DLP utilizan rastreadores, que son aplicaciones que se despliegan en forma remota para que entren en cada sistema final y rastreen a través de los almacenes de datos, buscando y registrando conjuntos de información específicos con base en una serie de normas que han sido introducidas en la consola de administración de la DLP. La recopilación de esta información es un paso muy valioso que permitirá a la empresa determinar dónde se encuentra la información clave, si su ubicación está permitida dentro de las políticas existentes y qué trayectos podrían recorrer estos datos que violarían políticas de información. Datos en movimiento (red) Para monitorear el movimiento de datos en las redes de una empresa, las soluciones de DLP utilizan dispositivos de red específicos o tecnología incrustada 3 para capturar en forma selectiva y analizar el tráfico en la red. Cuando se envían archivos a través de una red, por lo general se fragmentan en paquetes. Para inspeccionar la información que se envía por la red, la solución de DLP debe tener la capacidad de: monitorear de manera pasiva el tráfico en la red, reconocer las secuencias de datos correctas que se van a capturar, ensamblar los paquetes recolectados, reconstruir los archivos transportados en el sistema de datos y luego realizar el mismo análisis que se efectúa a los datos en reposo para determinar si alguna parte del contenido del archivo está restringida por su conjunto de reglas. El núcleo de esta capacidad es un proceso conocido como inspección profunda de paquetes (DPI), que permite al componente de datos en movimiento de la DLP ejecutar estas tareas. La DPI va más allá de la información básica de encabezamiento de un paquete (la cual es similar a la información de destinatario y remitente que se encuentra en un sobre postal) para leer el contenido dentro de la carga del paquete (como la carta dentro del sobre postal). Si bien esta tecnología ha evolucionado a lo largo de los años, todavía es imperfecta; no obstante, ha aumentado su poder de procesamiento y nuevas formas de identificación de paquetes han contribuido considerablemente a su desarrollo. Esta capacidad de DPI permite al sistema de DLP inspeccionar datos en tránsito y determinar contenido, fuente y destino. Si se detecta que datos sensitivos están fluyendo hacia un destino no autorizado, la solución de DLP tiene la capacidad de alertar y opcionalmente bloquear los flujos de datos en tiempo real o casi real, nuevamente con base en el conjunto de reglas definidas dentro de su componente de administración central. Basándose en el conjunto de reglas, la solución también puede poner en cuarentena o encriptar los datos en cuestión. Una consideración importante para la DLP de una red es que se deben desencriptar los datos antes de que la solución de DLP los pueda inspeccionar. La solución de DLP debe tener la capacidad de hacer esto por sí misma (al contar con esta función y las claves de encriptación necesarias) o debe haber un dispositivo que desencripte el tráfico antes de la inspección por el módulo de DLP, y lo encripte nuevamente luego de que hayan sido inspeccionados los datos y se les haya permitido pasar. 3 Algunas capacidades de DLP están embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrónico, en lugar de funcionar como equipos dedicados. 6

7 Datos en uso (puesto de trabajo) Los datos en uso tal vez sean el aspecto más desafiante de la DLP. Estos datos se refieren principalmente al monitoreo del movimiento de datos que se deriva de acciones que ejecutan los usuarios finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar información a una impresora o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecutan estas funciones usando un programa de software conocido como agente, el cual en el caso ideal está controlado por las mismas capacidades de administración central de la solución de DLP general. La ejecución de conjuntos de reglas en un sistema de usuario final tiene limitaciones inherentes a ella, siendo la más importante que el sistema de usuario final debe tener la capacidad de procesar el conjunto de reglas aplicadas. Dependiendo del número y la complejidad de las reglas que se están ejecutando, podría ser necesario ejecutar solo una parte de ellas, lo que puede dejar brechas significativas en la solución en general. Para ser considerada una solución de DLP completa, debe contar con la capacidad de atender los tres estados de información y estar integrada por una función de administración centralizada. La gama de servicios disponibles en la consola de administración varía de un producto a otro, pero muchos, si acaso no la mayoría de ellos, comparten las siguientes funciones: Creación y administración de políticas Las políticas (conjuntos de reglas) dictan las acciones que toman los diferentes componentes de la DLP. La mayoría de las soluciones de DLP vienen con políticas (reglas) previamente configuradas que hacen referencia a reglamentaciones comunes, por ejemplo a las dos siguientes leyes estadounidenses: la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA). Es igualmente importante poder personalizar estas políticas o desarrollar políticas que estén totalmente adaptadas a las necesidades específicas. Integración de servicios de directorio La integración con servicios de directorio permite a la consola de DLP mapear una dirección de red a un usuario final específico. Administración del flujo de trabajo La mayoría de las soluciones de DLP completas ofrecen la capacidad de configurar el manejo de incidentes, lo que permite al sistema de administración central enrutar incidentes específicos a las partes adecuadas con base en el tipo de violación, gravedad, usuario y otros criterios similares. Respaldo y restitución Las funciones de respaldo y restitución permiten la preservación de políticas y otros valores de configuración. Elaboración de informes Una función de elaboración de informes puede ser interna o utilizar herramientas externas para el mismo propósito. Enfoque del programa de DLP La puesta en funcionamiento de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias. La aplicación de una solución de DLP es una tarea compleja que requiere considerables actividades preparatorias, tales como desarrollo de políticas, análisis de procesos comerciales e inventarios detallados y análisis de los tipos de información que utiliza la empresa. Estas actividades requieren la participación de una amplia base de actores tanto de las unidades de negocio como de TI que la solución apoya. Las secciones siguientes describen las consideraciones clave para cada etapa del proceso de ejecución. 7

8 Clasificación, ubicación y trayectos de los datos de la organización A menudo las empresas no están conscientes de todos los tipos y ubicaciones de la información que poseen. Es importante, antes de adquirir una solución de DLP, identificar y clasificar los tipos de datos sensitivos y su flujo de un sistema a otro y a los usuarios. Este proceso debería producir una taxonomía de datos o un sistema de clasificación que aprovecharán diversos módulos de DLP mientras buscan y toman acciones con respecto a la información que corresponde a las diversas clasificaciones dentro de la taxonomía. El análisis de procesos de negocio críticos debería producir la información requerida. Las clasificaciones pueden incluir categorías tales como datos privados de clientes o empleados, datos financieros y propiedad intelectual. Una vez que los datos han sido identificados y clasificados debidamente, el análisis ulterior de los procesos debería facilitar la ubicación de almacenes de datos primarios y trayectos de datos clave. Con frecuencia, se dispersan múltiples copias y variaciones de los mismos datos a través de toda la empresa en servidores, estaciones de trabajo, cintas y otros medios. Usualmente se hacen copias para facilitar probar la aplicación sin limpiar antes los datos de contenido sensitivo. Tener una buena idea de las clasificaciones de datos y la ubicación de los almacenes de datos primarios es útil tanto para la selección como para la ubicación de la solución de DLP. Luego de que ha sido instalada la solución de DLP, podrá ayudar a encontrar otras ubicaciones y trayectos de datos. También es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminación de los datos, ayudará a descubrir repositorios de datos adicionales y vías de transmisión. Se debe recopilar información adicional a través de un inventario de todos los puntos de salida de datos, ya que no todos los procesos de negocios están documentados y no todo movimiento de datos es resultado de un proceso establecido. El análisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos. Establecimiento y socialización de procesos y políticas de alto nivel Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. Las políticas de clasificación de datos deberán mantenerse lo más sencillas posible. Luego de que se hayan establecido las políticas, se deberá desarrollar un plan de flujo de trabajo de alto nivel. Este plan deberá incluir las categorías de datos establecidas como objetivos, las acciones que se van a tomar (y por parte de quién) para atender las violaciones, los procesos de escalación y cualquier Una vez que se ha ubicado y clasificado la información, se deberán crear políticas o modificarlas para definir clasificaciones específicas y el manejo apropiado de cada categoría. proceso necesario para las solicitudes excepcionales. Además se deberán establecer procesos para casos fuera del horario de trabajo y días feriados, cuando tal vez no estén disponibles las personas clave. Es importante que los procesos fuera del horario de trabajo cuenten con procedimientos claros y bien documentados, que en ellos participen personas que puedan tomar decisiones apropiadas y bien fundamentadas y que los actores pertinentes documenten y revisen debidamente cualquier decisión que se tome para manejar casos excepcionales fuera del horario de trabajo. Deberá existir un proceso formal para el manejo de excepciones, el cual deberá documentar toda la información relevante relativa a la excepción en particular. Asimismo es importante asegurar que existan procesos adecuados para el manejo de incidentes y que los mismos sean funcionales para cada una de las categorías de reglas antes de iniciar las actividades reales. 8

9 Puesta en práctica Las empresas deberán considerar seriamente poner en práctica la DLP inicialmente en un modo solo de monitoreo. De esta manera, se podrá poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura de la organización. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de tráfico y correr el riesgo de desbaratar los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de datos sensitivos que se escapan por la puerta luego de activar el sistema, iniciar el bloqueo real demasiado pronto puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios críticos. Lo que se espera es que estos procesos se identifiquen durante la etapa de preparación, pero con frecuencia se pasan cosas por alto que rápidamente salen a la luz cuando se activa la solución de DLP. Resolución de violaciones Las soluciones de DLP, por lo general, proporcionan una buena cantidad de información útil con respecto a la ubicación y las vías de transmisión de la información sensitiva. Sin embargo, a veces esto puede convertirse en una caja de Pandora. Una empresa puede desconcertarse rápidamente ante el volumen y la extensión de sus datos sensitivos y la pérdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo tiempo, lo que seguro es una fórmula para el desastre. Es importante que una empresa esté preparada para emplear un enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma más expeditiva posible. Todos los actores clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema continúe por un tiempo mientras se atiende uno más serio. El análisis y las decisiones subsiguientes en relación con el proceso deberán estar bien documentados y mantenerse en anticipación a futuras auditorías o investigaciones reglamentarias. Programa DLP en curso Se debe monitorear de cerca la solución de DLP y entregar informes periódicos de riesgo, cumplimiento y privacidad a los actores pertinentes (por ejemplo, gestión de riesgo, gestión de cumplimiento, equipo de privacidad y recursos humanos [RR.HH.]). Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarán a los administradores si una regla es demasiado amplia y podría tener un impacto importante de desempeño en la infraestructura de DLP. Las empresas deberán asegurarse de que todos los actores sean diligentes en cuanto a informar cualquier nuevo formato o tipo de dato que tal vez no esté representado en el conjunto de reglas de DLP existente. Se debe disponer de un ambiente de prueba y evaluación que se utilizará para probar el impacto de los parches y actualizaciones de la solución de DLP. Finalmente, es importante dar continuidad a los programas de creación de conciencia y adiestramiento, los cuales podrían ser reforzados con las capacidades de alerta y generación de informes de la solución de DLP. 9

10 Beneficios de DLP para el negocio Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. Igual que con cualquier conjunto de controles de seguridad, la puesta en práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un beneficio tangible al negocio. La lista siguiente destaca algunos de los beneficios más directos de una solución de DLP que ha sido puesta en funcionamiento correctamente: Protege los datos críticos del negocio y la propiedad intelectual El principal beneficio de DLP es la protección de la información que es crítica para el negocio. Las empresas mantienen muchos tipos de información que deben proteger por razones legales, de reputación y de competencia. Por ejemplo, información sobre clientes, registros personales, información de salud, registros financieros confidenciales, documentos de diseño de productos, planes comerciales e investigación bajo patente son apenas unos cuantos casos. Mejora el cumplimiento La DLP puede ayudar a que las empresas cumplan los requerimientos legales relacionados con la protección y el monitoreo de datos que contienen información privada financiera y sobre los clientes. Las soluciones de DLP por lo general vienen con reglas previamente configuradas que abordan tipos de datos que han sido impactados por normativas legales importantes, tales como la industria de tarjetas de pago (PCI), GLBA y HIPAA. El uso de estos conjuntos de reglas puede simplificar los esfuerzos para proteger los datos afectados por estas normativas. Reduce el riesgo de violación de los datos Al reducir el riesgo de fugas de datos, disminuye el riesgo financiero para la empresa. En su informe para 2009, el Instituto Ponemon estimó que el costo promedio de la fuga de datos en Estados Unidos es de $20 por registro. 4 Incluso con violaciones relativamente pequeñas de los registros que podrían ascender a miles, cada incidente representa potencialmente un impacto financiero importante. Mejora el adiestramiento y la conciencia Aunque la mayoría de las empresas cuenta con políticas escritas, las mismas tal vez hayan sido olvidadas al pasar el tiempo. Las soluciones de DLP alertan, y a veces bloquean, el movimiento de datos que está violando la política y ofrece educación en línea para garantizar que los usuarios siempre estén conscientes de las políticas asociadas con datos sensitivos. Mejorar los procesos de negocios Uno de los principales intangibles de la DLP es el desarrollo de nuevas políticas, controles y pruebas que permiten identificar procesos de negocio interrumpidos. A menudo, el paso de simplemente evaluar y catalogar los procesos de negocio en preparación a la puesta en funcionamiento de la DLP puede ofrecer una excelente perspectiva a la empresa. Optimiza el espacio en disco y el ancho de banda de la red Un importante beneficio de las soluciones de DLP es la identificación de archivos estancados y videos que se están cargando, los cuales consumen una gran cantidad de recursos de TI, tales como almacenamiento en servidores de archivos y ancho de banda de la red. Depurar los archivos inactivos y evitar que se carguen videos no relacionados con el negocio puede reducir las necesidades de almacenamiento, respaldo y ancho de banda. Detecta software malicioso o ilegal Otro intangible clave de la DLP es su capacidad de identificar software malicioso que trata de transmitir información sensitiva a través del correo electrónico o una conexión de Internet. La DLP en la red puede ayudar a reducir el daño causado por software malicioso pues detecta la transmisión ilegal de información sensitiva fuera de la empresa, lo que tal vez no siempre sea así, pues las transmisiones pueden estar encriptadas. Pero incluso en ese caso, un sistema que cuente con un conjunto de reglas que alerten o bloqueen el flujo de datos que no puede desencriptar será una excelente ayuda para las defensas contra software malicioso. 4 Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, 10

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN 1. Toma de decisiones y sistemas de información. Sistemas e apoyo a la toma de decisiones. Sistemas de apoyo a ejecutivos y en grupos 2. Construcción

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

CA Email Control for the Enterprise

CA Email Control for the Enterprise HOJA DE SOLUCIONES CA Email Control for the Enterprise agility made possible CA Email Control for the Enterprise mitiga el riesgo de amenazas internas controlando el flujo y la distribución de información

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

5 criterios para seleccionar una solución de copias para equipos de usuario final

5 criterios para seleccionar una solución de copias para equipos de usuario final Informe Técnico solución de copias para equipos de usuario Conseguir una protección eficaz de los equipos corporativos de usuario entendiendo sus necesidades específicas. A medida que los trabajadores

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

Virtualización: Beneficios y desafíos

Virtualización: Beneficios y desafíos Un Artículo Técnico de ISACA sobre una Tecnología Emergente Virtualización: Beneficios y desafíos Resumen Virtualización es una palabra de moda de alta tecnología ampliamente utilizada, pero su importancia

Más detalles

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO

GESTIONAR EL FRAUDE ES UN ACTO DIRIGIDO AL EQUILIBRIO CyberSource Fraud Management DO PTA ACE IDO PED TADO ACEP UN ÚNICO PUNTO DE CONTACTO LE AYUDA A ACEPTAR MAYOR CANTIDAD DE PEDIDOS IDO PED PREVENCIÓN DE FRAUDE Fraud Management GESTIONAR EL FRAUDE ES UN

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Solucionar problemas para empresas de la industria del gas y el petróleo Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Lograr objetivos

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

ITIL V3 Por dónde empezar?

ITIL V3 Por dónde empezar? ITIL V3 Por dónde empezar? Autor: Norberto Figuerola Introducción La gestión de servicios de TI (ITSM) suministra los servicios que necesita una empresa para cumplir sus objetivos de negocio. ITSM respalda

Más detalles

Bosch Video Management System Asegure su futuro con IP

Bosch Video Management System Asegure su futuro con IP Bosch Video Management System Asegure su futuro con IP Seguridad por vídeo IP Integración total Bosch Video Management System (VMS) gestiona enteramente todos sus sistemas de audio y vídeo digitales e

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

González Consultores Diego León, CPA, CISA. González Consultores & Asociados

González Consultores Diego León, CPA, CISA. González Consultores & Asociados González Consultores Diego León, CPA, CISA La Gaceta 238-9 Diciembre 2008 DECRETOS Nº 34918-H EL PRESIDENTE DE LA REPÚBLICA EN EJERCICIO Y EL MINISTRO DE HACIENDA Objeto Artículo 1º Objeto: Adoptar e

Más detalles

IBM Software Documento informativo Liderazgo de ideas. Marzo 2013

IBM Software Documento informativo Liderazgo de ideas. Marzo 2013 IBM Software Documento informativo Liderazgo de ideas Marzo 2013 El valor de integrar el desarrollo de aplicaciones móviles y la gestión de dispositivos móviles Cierre la brecha de la seguridad en las

Más detalles

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones Sedes Corporativas:, Inc. Qué es su información confidencial? Dónde está almacenada? Quién utiliza su información confidencial? Cómo la utiliza? Está garantizada la seguridad de su información confidencial?

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores

REPORTE OFICIAL OCTUBRE DE 2014. CA Unified Infrastructure Management para servidores REPORTE OFICIAL OCTUBRE DE 2014 CA Unified Infrastructure Management para servidores 2 Reporte oficial: CA Unified Infrastructure Management para servidores Tabla de contenidos Descripción general de la

Más detalles

Cloud Email Firewall

Cloud Email Firewall Cloud Email Firewall Protección contra software malicioso y Antispam para el Correo Electrónico Si el correo de su empresa no es seguro entonces la información no está segura Cloud Email Firewall es una

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

COBIT 5 for Information Security. Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc

COBIT 5 for Information Security. Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc COBIT 5 for Information Security Presentado por: Cilliam Cuadra, CISA, CISM, CRISC, MSc El Marco COBIT 5 En pocas palabras, COBIT 5 ayuda a las empresas a crear valor óptimo de TI, manteniendo un equilibrio

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos

Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos TRITON AP-ENDPOINT Detenga las amenazas avanzadas y proteja la información confidencial de los usuarios remotos La fuga de datos puede tener consecuencias devastadoras, desde una reputación dañada hasta

Más detalles

Soluciones de EMC Documentum para seguros

Soluciones de EMC Documentum para seguros Capacidades para seguros de La familia de productos de ayuda a las empresas de seguros a gestionar cualquier tipo de contenido de la organización. Un repositorio unificado permite a todos los departamentos

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse?

Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey,

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

Clasificación y protección de la Información. Un caso práctico

Clasificación y protección de la Información. Un caso práctico Clasificación y protección de la Información. Un caso práctico Presentada por: Daniel Marino Gerente Gestión de Riesgos y Cumplimiento, Sancor Seguros Claudio Tana Gerente de Consultoría, NeoSecure Leonardo

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007

Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007 Oracle Database Vault INTRODUCCIÓN Fortalecer los controles internos para cumplir con las normas, imponer las mejores prácticas del sector

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Términos de licencia del software de Microsoft para:

Términos de licencia del software de Microsoft para: Términos de licencia del software de Microsoft para: Windows Embedded For Point of Service 1.0 Estos términos de licencia constituyen un contrato entre usted y [OEM]. Proceda a leerlos. Se aplican al software

Más detalles

Especificaciones de la oferta Monitoreo de infraestructuras remotas

Especificaciones de la oferta Monitoreo de infraestructuras remotas Especificaciones de la oferta Monitoreo de infraestructuras remotas Información general sobre el servicio Este servicio ofrece monitoreo remoto de infraestructura de Dell (RIM, el servicio o servicios

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

El estado de la seguridad de las aplicaciones

El estado de la seguridad de las aplicaciones El estado de la seguridad de las aplicaciones Los recientes ataques dirigidos a aplicaciones y siistemas operativos móviles, han puesto en riesgo una cantidad de datos corporativos móviles sin precedente.

Más detalles

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE

DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL DE LAS SOLUCIONES DE SEGURIDAD DE CORREO ELECTRÓNICO DE WEBSENSE DESCRIPCIÓN GENERAL Desafío Actualmente, muchos de los problemas más grandes de seguridad comienzan con un simple ataque

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Informe técnico de negocios. Las diez principales razones para automatizar sus procesos de TI

Informe técnico de negocios. Las diez principales razones para automatizar sus procesos de TI Informe técnico de negocios Las diez principales razones para automatizar sus procesos de TI Índice 4 Herramientas y tendencias de administración del centro de datos 4 El desafío actual 4 Lo que viene

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Política de Privacidad

Política de Privacidad Política de Privacidad KLENDAR LIFE S.A. (en adelante KLENDAR) es una sociedad con domicilio social en C/Batalla del Salado, 24 1ºA (Madrid), con número de C.I.F. A98384803, inscrita en el Registro Mercantil

Más detalles

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Integrar los procesos de Salud, Seguridad y Medio Ambiente con la gestión del trabajo y los activos Características

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE)

Actualizado: Enero de 2014. Política de Educación Profesional Continua (CPE) Actualizado: Enero de 2014 Política de Educación Profesional Continua (CPE) Tabla de Contenido Generalidades... 2 Requerimientos para la certificación... 2 Requerimientos Generales Período de Certificación

Más detalles

Escenario Uno. Escenario Dos

Escenario Uno. Escenario Dos Escenario Uno Un proveedor global de servicios de TI cuenta con tres service desks que dan soporte a usuarios internos y externos Recientes encuestas de satisfacción de clientes muestran que un creciente

Más detalles

MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO

MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO MANUAL DE MANEJO DE INFORMACIÓN DE INTERÉS PARA EL MERCADO SEGUROS DE VIDA SURA S.A. SEGUROS DE VIDA SURA S.A. 2 Línea N Documento SV 0202 Manual de Manejo de Información de Interés para el Mercado INTRODUCCIÓN

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Seguridad TIC en la PYME Semana sobre Seguridad Informática

Seguridad TIC en la PYME Semana sobre Seguridad Informática Seguridad TIC en la PYME Semana sobre Seguridad Informática Iñigo Tomé Bermejo Centro Demostrador de Seguridad para la PYME Versión 0.e Índice de la Jornada Parte 1 1. La PYME y el reto de la seguridad

Más detalles

diferencie sus servicios en nube con seguridad y transparencia

diferencie sus servicios en nube con seguridad y transparencia INFORME OFICIAL Proveedores de servicios en nube Agosto 2012 diferencie sus servicios en nube con seguridad y transparencia Russell Miller Tyson Whitten CA Technologies, Administración de Seguridad agility

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

Unicenter Asset Management versión 4.0

Unicenter Asset Management versión 4.0 D A T A S H E E T Unicenter Asset Management versión 4.0 Unicenter Asset Management es una completa solución para gestionar los activos TI de su entorno empresarial de forma activa. Proporciona funciones

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Soluciones para compañías del sector Aeroespacial y Defensa Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Múltiples proyectos, miles

Más detalles

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes

Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI: guía de la continuidad empresarial para pymes Cómo mantener activos sus sistemas de TI - guía de la continuidad empresarial para pymes. Copyright Acronis, Inc.,

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

CODIGO DE CONDUCTA INFORMATICA

CODIGO DE CONDUCTA INFORMATICA Sistemas Informáticos CODIGO DE CONDUCTA INFORMATICA I. OBJETO El Código de Conducta Informática del Grupo Cobra tiene por finalidad establecer las pautas generales de actuación de todos los empleados

Más detalles

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información Gobierno de la Seguridad y el Modelo del Negocio para la Seguridad de la Información Lucio Augusto Molina Focazzio, CISM, CRISC, CISA, ITIL CoBiT Accredited Trainer Consultor Bogotá, Junio 15 de 2011 Agenda

Más detalles

Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo

Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo Descripción general de la solución Más allá de BYOD hacia la experiencia óptima para cualquier espacio de trabajo Optimización de la experiencia de los diversos usuarios con múltiples dispositivos, en

Más detalles

Política 6:235 Exposición la autorización para el uso de las computadoras y las redes electrónicas

Política 6:235 Exposición la autorización para el uso de las computadoras y las redes electrónicas Política 6:235 Exposición la autorización para el uso de las computadoras y las El distrito 203 se ha comprometido a la excelencia educativa. Los estudiantes necesitan recopilar y sintetizar la información

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Solución IP Office de Avaya

Solución IP Office de Avaya Solución IP Office de Avaya La solución completa para las necesidades de su empresa Redes convergentes de voz y datos Gestión de relaciones con los clientes Comunicación unificada Con el soporte de: Laboratorios

Más detalles

Nueve consejos para realizar la implantación de proyectos de gestión de identidades y de accesos

Nueve consejos para realizar la implantación de proyectos de gestión de identidades y de accesos Nueve consejos para realizar la implantación de proyectos de gestión de identidades y de accesos Por Luis Ángel García Álvaro, Consultor, Beta Systems Libro blanco Introducción Cada vez con más frecuencia

Más detalles

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo

GUÍA DE AYUDA. Tecnologías de Información y Comunicación para un México más Competitivo GUÍA DE AYUDA Tecnologías de Información y Comunicación para un México más Competitivo Estimad@ usuari@, esta guía tiene como objetivo orientarle sobre cómo utilizar la Vitrina de Soluciones Tecnológicas.

Más detalles

escan Corporate 360 PyMes, Corporativos y Gobierno Rv.1

escan Corporate 360 PyMes, Corporativos y Gobierno Rv.1 escan Corporate 360 PyMes, Corporativos y Gobierno Rv.1 escan Corporate 360 - Descripción de Producto escan Corporate 360, con soporte para redes hibridas y administración de dispositivos Android, se posiciona

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes

Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes Symantec Protection Suite Enterprise Edition para Gateway Preguntas más frecuentes 1. Qué es? forma parte de la familia Enterprise de los paquetes Symantec Protection Suites. Protection Suite para Gateway

Más detalles

Bienvenido a la Familia de Negocios de Syngenta Corporativo y sitios en Internet.

Bienvenido a la Familia de Negocios de Syngenta Corporativo y sitios en Internet. POLÍTICAS DE PRIVACIDAD DE INFORMACIÓN EN LÍNEA: Bienvenido a la Familia de Negocios de Syngenta Corporativo y sitios en Internet. Su privacidad es importante para nosotros. Esta Política de Privacidad

Más detalles

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Jorge Villar (jorge_villar@symantec.com) Gerente de Ingeniería, Symantec México Junio 10, 2008 Agenda 1 2 3 Quién es Symantec?

Más detalles

Privacidad y Protección de la Información, Mito o Realidad

Privacidad y Protección de la Información, Mito o Realidad Privacidad y Protección de la Información, Mito o Realidad Eduardo Cocina, CISA, CGEIT, CRISC Socio Deloitte Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL Gerente Senior Deloitte Problemática Actual Mito

Más detalles

HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS

HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS HERRAMIENTAS PARA ASEGURAR LA INFORMACIÓN CONSERVANDO LA EFICIENCIA DE LOS PROCESOS Victor Mora Escobar ÍNDICE A que estamos expuestos Mecanismos para asegurar la información. Y como se hubiera podido

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles