Tabernus Información General de la empresa

Transcripción

1

2 Tabernus Información General de la empresa Proveedor Líder en Soluciones de Eliminación Segura de Datos. Usadas por compañias de todos tamaños (Corporativos, Sector Público, Proveedores de Servicios, ITADS y ARS), para remover completamente y de manera segura todos los datos de sus dispositivos de almacenamiento (discos duros). Fundada en 2002 la empresa estaba especializada en realizar pruebas exhaustivas a discos duros. Oficinas Centrales en Asutin Texas EUA y Oficinas en Reino Unido. En 2005 desarrolló las más avanzadas soluciones de Software y Hardware para borrado Seguro de Datos Ha establecido relaciones de largo plazo con clientes de Primer Orden (HP Services Group, HP Financial Services, HGST, WDC, Toshiba, Capital One, Google, JP Morgan Chase, Travelers, ebay, LinkedIn, Dell) El Mecanismo Global de implementación del Software y las Centificaciones de diversos organismos de EUA y Europa permite a nuestros clientes y usuarios expanir su oferta en Borrado seguro de datos en sitio y en diversos paises

3 Certificaciones Communications Electronics Security Group Tabernus Enterprise Erase 5.3 Software is certified by the Communications Electronics Security Group (CESG). CESG protects the vital interests of the UK by providing policy and assistance on the security of communications and electronic data. Communications Electronics Security Group-Commercial Product Assurance Tabernus Enterprise Erase version v7.0 is certified by the Communications Electronics Security Group ( CESG) Commercial Product Assurance (CPA). Commercial Product Assurance CPA) certifies commercial security products for use by government, the wider public sector and industry. At present Tabernus is the only company within the commercial data erasure industry to hold this certification. North Atlantic Treaty Organization (NATO) Tabernus Enterprise Erase 5.3 Software is approved by the North Atlantic Treaty Organisation (NATO). NATO certifies products and services as being suitable for use specifically by the Military and Government organisations within its member countries. The Defense INFOSEC Product Co-Operation Group UK Tabernus Enterprise Erase 5.3 Software is approved by the Defence INFOSEC Product Co-Operation Group UK (DIPCOG). DIPCOG is a UK Ministry of Defence forum run by a committee composed by representatives primarily from the MoD and CESG. DIPCOG approves products and services as being suitable for use specifically by the MoD. Affiliate & Integration Partners USA Department of Defense Tabernus is approved by the USA Department of Defense (DOD). Tabernus received this approval from meeting and exceeding standards provided by the USA Department of Defense. Norwegian National Security Authority Tabernus Enterprise Erase v5.3 is approved by Norwegian National Security Authority. NSM is a cross-sectorial professional and supervisory authority within the protective security services in Norway. Affiliate & Integration Partners ADISA: ADISA is a group of experts on the risk manage met compliance and data protection within the area of IT Asset Disposal. IAITAM: IAITAM is a professional association for individuals and organizations involved in any aspect of IT Asset Management ( ITAM ), Software Asset Management ( SAM ), Hardware Asset Management, and the lifecycle processes supporting IT Asset Management in organizations of every size and industry across the globe. NAID: NAID is the international trade association for companies providing information destruction services. NAID s mission is to promote the information destruction industry and the standards and ethics of its

4 Portafolio de Soluciones PC s y Laptops - Estaciones de Trabajo Tabernus Enterprise Erase LAN Tabernus Enterprise Erase USB Borrado Selectivo de Archivos y Carpetas Tabernus File Eraser For Windows Servers y Storage Arrays Tabernus Enterprise Erase Array Tabernus 2U Unit Appliance for Data Servers Móviles y Tablets Tabernus Enterprise Erase Mobile Tabernus Mobile Rack for Massive Erasure Discos Duros Sueltos Tabernus Enterprise Erase Array Tabernus E800 & E2400 Lose Hard Drive Appliances Solid State Drives & Flash Memories Tabernus Certifiesd SSD Erasure Method (Integrado en todas las versiones de Software) Discos ó Volúmenes Virtuales Tabernus Enterprise Erase LUN Borrado Remoto PC s y Laptops Tabernus EEWAN-Global Otras Soluciones Tabernus Erasure Kit for Printers Otras soluciones disponibles a requerimiento del cliente

5 Portafolio de Soluciones SOFTWARE HARDWARE TabData Audit Database & Report Generator Mobile 2U UNIT Mobile Rack Mobile Complejidad Baja Media Alta

6 Porqué Usar Borrado Seguro? Qué ocurre con los datos almacenados en los equipos de cómputo? Al final del periodo útil o ciclo de vida de la información? Al finalizar un proyecto en el cual se almacenaron datos personales, información confidencial o sensible de sus clientes? O simplemente Al momento que los equipos cumplen con su periodo de vida útil? Formateo Vs. Borrado Seguro El formateo y/o borrado tradicional no es suficiente. Los datos siguen estando almacenados en los dispositivos y pueden ser recuperados mediante procedimientos relativamente sencillos. FORMATEO Un error común es subestimar el daño potencial que los datos que quedan en los dispositivos de almacenamiento pueden provocar al caer en manos equivocadas o mal intencionadas.

7 Toneladas de Datos y Millones de Dispositivos que los Almacenan Hoy en día Personas y Empresas manejamos en todos los ámbitos Toneladas de Datos Nombres, Teléfonos, Direcciones Datos Personales y Médicos Datos Financieros y Bancarios Datos Fiscales Datos Laborales Datos Sociales etc Almacenados y Distribuidos en Millones de Dispositivos Servidores PCs y Laptops Telefonos Móviles y Tablets Dispositivos USB Discos Duros Externos y de Respaldo E incluso en la nube

8 Existen incidencias de Robo de Datos por ataque a dispositivos de Almacenamiento? Los sectores con mayor % de incidencias son Gobierno y el Financiero Los medios de almacenamiento con mayores incidencias siguen siendo los discos duros Las incidencias por dispositivos Móviles y USB van a la alza. Fuente KPMG 2013 Data Loss Barometer

9 Los Datos son Nuestra Responsabilidad Hasta el momento en que son destruidos Ciclo de Vida de los Datos Reemplazo / Venta / Donación Replace/sell/donate En su control / In your Control Fuera de Su control /Out of your control Bien Protegidos / Well Protected No protegidos No eliminados Unprotected - Not Eliminated Notas Importantes: - Important Notes Constantemente hay intentos para Obtener Información Sensible a lo largo del ciclo de vida de los datos Attempts are made to gather sensitive information along the entire lifecycle of data Ud. Es responsable de proteger los datos contra estas amenazas durante todo su ciclo de vida You are responsible for protecting against this threat throughout entire lifecycle Esto incluye lo que se hace con Datos o dispositivos de Almacenamiento This includes what you do with old data or data storage devices

10 Regulaciones en Materia de Borrado de Datos ACUERDO de políticas y disposiciones para la Estrategia Digital Nacional, en Materia de Tecnologías de la Información y Comunicaciones, y en la de Seguridad de la Información (Mayo 2014) Art 14. Fracc III, La obligación del proveedor de entregar a la Institución la totalidad de los correos electrónicos y bitácoras, así como de no conservar información alguna mediante borrado seguro, al término del contrato. Art 16. Fracc III, Salvaguardar los derechos de la propiedad intelectual, portabilidad y recuperación de los datos generados y procesados de acuerdo al ciclo de vida de la información, incluyendo el borrado seguro. Art 27. Frac III, Mantener, evidencia auditable del proceso de borrado seguro; MAAGTICSI ASI6 Inciso e) El borrado seguro de dispositivos de almacenamiento que por algún motivo necesiten ser reparados, reemplazados o asignados a otro usuario; y mantener evidencia auditable del proceso. MAAGTICSI AOP4 Inciso d) El borrado seguro de la información de los dispositivos de almacenamiento fijos, removibles y externos, que sean retirados del ambiente operativo, por daño o reemplazo.

11 Regulaciones en Materia de Borrado de Datos Comisión Nacional Bancaria y de Valores (CNBV) - Artículo 52 de la Ley de Instituciones de Crédito, y Artículos 4, fracciones I, XXXVI y XXXVIII y 19 de la Ley de la Comisión Nacional Bancaria y de Valores. Art 316 Bis 11. Deberán contar con procedimientos seguros de destrucción de los medios de almacenamiento de las bases de datos y archivos que contengan Información Sensible de sus Usuarios, que prevengan su restauración a través de cualquier mecanismo o dispositivo Comisión Nacional de Seguros y Fianzas (CNSF) - Circular Seguros y Fianzas DOF. 19/Dic/ Facc III. Deberán contar con procedimientos seguros de destrucción de los medios de almacenamiento de las bases de datos y archivos que contengan Información Sensible de sus Usuarios, que prevengan su restauración a través de cualquier mecanismo o dispositivo Banco de México - Circular 18/2014 7/oct/2014 ANEXO 1 MEDIDAS DE SEGURIDAD A. MEDIDAS DE SEGURIDAD PARA LA TRANSMISIÓN, ALMACENAMIENTO Y PROCESAMIENTO DE LA INFORMACIÓN 3. Deberán contar con procedimientos seguros de destrucción de los medios de almacenamiento de las bases de datos y archivos que contengan información sensible de los tarjetahabientes, que prevengan su restauración a través de cualquier mecanismo o dispositivo.

12 Regulaciones en Materia de Borrado de Datos IFAI Ley Federal de Protección de Datos Personales en Posesión de Particulares Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado Reglamento LFPDPPP - Art 2. Fracc. VI inciso d (Definiciones ) Artículo 2. Además de las definiciones establecidas en el artículo 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, para los efectos del presente Reglamento se entenderá por: VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: d) Garantizar la eliminación de datos de forma segura;

13 Borrado Seguro: Proceso de Múltiples Pasos Con la nueva legislación en vigor, la eliminación de datos debe ser considerada seriamente. Requiere ser vista como un proceso de múltiples pasos With new legislation in place, data removal must be taken seriously and as multistep process Desarrollar Proceso para la eliminación Develop Process for Elimination Controlar la Información de los Activos Control Asset Information Eliminar Datos de los Discos Remove Data from Hard Drive Mantener Documentación Apropiada Maintain Accurate Documents Las empresas deben desarrollar procesos disciplinados, saber exactamente lo que necesitan borrar y mantener la documentación precisa que muestre lo que ha sido borrado. Companies must develop disciplined processes, know exactly what they need to erase, and maintain accurate documentation showing what has been erased.

14 Métodos que NO Funcionan : Papelera de Reciclaje Los Datos Se fueron? NO! Gone? NO! Borrar el Archivo / Delete the File Vaciar Papelera / Empty Recycle Bin Los datos de un disco duro no se "han ido" hasta que se sobrescriben con otros datos. La Eliminación de un archivo, simplemente particiona la información eliminada de una manera que permite que se sobrescriba cuando se necesita este espacio en el disco duro posteriormente. Pero no se han ido.

15 Métodos que NO Funcionan : Formateo Concepto erróneo: Misconception El formateo borra todos los datos de un disco duro. Reformatting erases all data from a hard drive. Realidad: Reality Sólo el 1% de una unidad se sobrescribe. Only 1% of a drive is overwritten. El formateo solamente hace lo siguiente: Formatting only does the following No sobrescribe los datos de la unidad. It does not overwrite the data on the drive Manipula el directorio raíz base, las tablas de asignación de archivos, los sectores de arranque. Manipulates the base root directory, file allocation tables, boot sectors Lee todo el disco duro para encontrar sectores dañados que no deberían ser utilizados almacenar de datos en el futuro. Reads entire hard drive to find damaged sectors that should not be used for data storage in the future. Estos datos todavía puede ser recuperados utilizando programas de software fácilmente disponibles This data can still be captured using readily available software programs.

16 Métodos que SI Funcionan : BORRADO SEGURO DE DATOS Cuando se debe utilizar when overwriting should be used Ventajas: Advantages Los Dispositivos deben ser conservados y reutilizados -Drives need to be salvaged and reused Los Dispositivos son parte de un contrato de arrendamiento -Drives are part of lease agreement Se Deben Mantener Registros Auditables y Usar métodos Certificados No es un proceso destructivo dispositivos reutilizables - Not a destructive process allows for reuse of drive Facilidadades de documentación y reporteo (Auditoría) - Ease of reporting and documentation Fácil y económico realizado de manera efectiva dentro de sus instalaciones - -Easily and cost effectively performed inside your walls Dispositivos no requieren ser extraidos de los equipos para sobreescribirlos Drives do not need to removed from system to overwrite them Desventajas: Disadvantages Consume más tiempo en comparación a otros métodos - Time intensive compared to other methods Confusión acerca de cual es algoritmo que se debe utilizar - Confusion over best methods to use

17 when should be used Métodos que SI Funcionan : Destrucción Física del Disco Duro Cuando debe Utilizarse?: Situations Dispositivos dañados y/o no es posible accesarlos- Drives are damaged and/or can not be communicated with Los Datos no pueden ser sobreescritos - Data can not be overwritten Ventajas: Advantages Rápido - Fast Hacerlo o presenciarlo Puede ser divertido - Can be really cool to watch and to do Infalible (?) - Foolproof (?) Desventajas: Disadvantages Generación de Basura - Waste generation Caro (sin posibilidad de reuso de los discos) - Expensive (no reuse of hard drives) Es Complicado de Documenar lo que se ha hecho - Difficult to document what has been done Durante el proceso generalmente los datos pasan por manos de terceros - Data is often in someone else s hands during process

18 Métodos que SI Funcionan : Desmagnetización - Degaussing En que situaciones debe usarse la desmagnetización: Situations when degaussing should be used: Dispositivos dañados y/o no es posible accesarlos - Drives are damaged and/or can not be communicated with Los datos se deben eliminar de inmediato (muy rápido) - Data needs to eliminated very quickly Discos viejos con poco valor - Old drives that have little value Ventajas: - Advantages Muy rápido (segundos) - Very fast drives can be degaussed in seconds Se adapta muy bien a Cintas y discos flexibles - Suited very well for tape and floppy disks Desventajas: - Disadvantages Generación de Basura - Waste generation La mayoría de los equipos de desmagnetización no registran la información del activo Most degaussing tools do not record asset information Conservar un dispositivo que ya no funciona - You ve still got them, and they don t work anymore

19 Borrado Certificado: Métodos y Estándares de Borrado Departamento de Defensa de EUA 5220M.22M - U.S. Department of Defense 5220M.22M Para la mayoría de los dispositivos Recomienda tres pasadas con verificación Recommends three pass with verify for most Recomienda siete pasadas y verificacion para algunos dispositivos Recommends seven pass with verify for some Estandar antiguo pero aun utilizado ampliamanete - Older standard, but still widely used Sobreescritura en 3-pasadas 3-pass overwrite HMG INFOSEC British Government Standards British HMG IS5 (Enhanced) IS5 is similar to DOD M HMG Infosec Standard 5 Lower Standard 1 IS1 does not apply to information which is not protectively marked HMG Infosec Standard 5 Higher Standard 3 S1 does apply to information which is not protectively marked NIST National Institute of standards & Technology Nueva Tecnología Borrado Seguro - New technology Secure Erase Borrado Seguro Se Define como purga - Secure Erase defined as purge Sobreescritura estándar se define como limpiar - Standard overwriting defined as clear Establece una sola pasada como aceptable - Establishes single pass as acceptable

20 Opciones Disponibles: Software y Hardware Borrado de laptops/desktops a través de LAN Hasta 200 de manera simultanea Borrado de Laptos/desktops a traves de USB Más de 100 en una sola sesión Borrado de Discos Sueltos utilizando un equipo especializado Hasta 48 Discos por proceso Borrado de Arreglos de Almacenamiento o Torres a Traves de Equipos Especializados Hasta 200 Discos en Storage Borrado remoto de Laptops/desktops WAN hasta 200 equipos Borrado de Dispositivos Móviles Hasta 48 dispositivos simultaneos Borrado de Unidades Lógicas Virtuales Todos los discos virtuales de una maquina virtual Borrado Selectivo de Archivos y Carpetas Ilimitado durante tiempo de la licencia Mobile 2U Unit LUN File Eraser

21 Reportes Automatizados, Proceso Auditable Tabernus emite en todos los casos un Certificado y Reporte Auditable de cada Dispositivo de almacenamiento borrado en forma segura que contiene: MÉTODOS Y ESTÁNDARES DE BORRADO Report ID Tipo de equipo, marca y modelo, Serie, Modelo de BIOS, numero de procesadores (CPU s), RAM, tipo de procesadores, Periféricos Disco Duro: Tipo de Dispositivo Marca Modelo Numero de Serie Capacidad Método de borrado Fecha del proceso Resultado HMG Infosec Standard 5 Lower Standard 1 HMG Infosec Standard 5 Higher Standard 3 US Department of Defense DoD US Department of Defense DoD M US Department of Defense DoD ECE NIST Clear/Purge Method II 1 /ATA Secure Erase Navy Staff Office Publication (NAVSO P ) Air Force System Security Instruction AFSSI 5020 ECE 7 NIST Clear/Purge Method 1 British HMG IS5 (Enhanced) NSA (Overwrite Standard of National Security Agency) US Army AR German Standard VSITR.

22 Recomendaciones para la Implementacion Exitosa de Borrado Seguro Desarrollo de una política corporativa Tener una política para todos los tipos de dispositivos de datos Ej. Computadoras, dispositivos móviles, Impresoras, etc. - Entrene a su equipo Educar al equipo sobre la importancia del control de datos, los equipos que los almacenan y las políticas relacionadas. Evalúe Periodicamente lo que necesita borrar. Que requiere ser borrado y asegúrese que su política lo considera Documente lo que hace Generar y controlar con precisión la documentación de todas los equipos o dispositivos de almacenamiento que están siendo sacados de la producción o reemplazados. Apoyese en los Expertos

23 Preguntas? Questions?

24 Gracias! Thank You! Por favor visitenos en el Stand #1510