Clasificación y protección de la Información. Un caso práctico

Transcripción

1 Clasificación y protección de la Información. Un caso práctico

2 Presentada por: Daniel Marino Gerente Gestión de Riesgos y Cumplimiento, Sancor Seguros Claudio Tana Gerente de Consultoría, NeoSecure Leonardo Granda Ingeniero de Ventas, Symantec

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Desafíos y oportunidades Objetivos Etapas de protección Estrategia adoptada Resultados obtenidos

5 Desafíos y oportunidades Lograr concientizar a los empleados de la importancia del resguardo de la información. Evitar el robo y el mal manejo de la información impidiendo de esta manera pérdidas económicas. Identificar la información confidencial en distintos repositorios y su manejo Reducir la propagación de datos confidenciales Aumentar el control relacionado con la privacidad de los Datos

6 Objetivos Proteger la información confidencial de la Organización a través de la implementación de reglas, procedimientos y sistemas, sin importar dónde se encuentre almacenada o cómo se utilice, brindando cobertura completa de los datos en sistemas de almacenamiento, equipos y redes.

7 Etapas de la protección Dónde están los datos confidenciales? Cómo se utilizan? Cómo prevenir mejor su pérdida? DESCUBRIR MONITOREAR PROTEGER DATA LOSS PREVENTION (DLP) y CIFRADO

8 IMPORTANCIA DEL PROYECTO ESTRATEGIA Lograr apoyo de la alta dirección Definir al proyecto como estratégico. Proyecto del Grupo no de un área Armado de equipo de trabajo Reunión con Gerencias para comunicar el proyecto Reunión con Referentes de las distintas áreas para avanzar con la planificación Inicio de la Fase I del Proyecto

9 ETAPAS DEL PROYECTO ETAPA I DIFUSION Sectores Involucrados Seguridad Informática Gerencia de Recursos Humanos Acciones Generales Desarrollar los contenidos de la capacitación y cronograma de ejecución ETAPA II - Encriptación De La Información Sectores Involucrados Seguridad Informática Mesa de Ayuda y Operaciones Arquitectura Tecnológica Infraestructura Tecnológica Procesos Acciones Generales Capacitación operadores de mesa de ayuda Instalación y configuración de hardware y software en los servidores Inventario e identificación de equipos de computación Identificación de equipos con USB habilitados. Encriptación de la información residente Notebooks y dispositivos USB (pen drive). Definición de políticas de uso de dispositivos de almacenamiento USB (pen drive)

10 ETAPAS DEL PROYECTO ETAPA III Identificación, Selección Y Protección De La Información Sectores Involucrados Seguridad Informática Arquitectura Tecnológica Infraestructura Tecnológica Procesos Acciones Generales Instalación de software de control de fuga de información en todos los equipos de la red corporativa. Búsqueda de información sensible en las Pc s de los usuarios Definición de patrones de Datos Identificación del dueño de la información Reuniones con los distintos dueños de datos Control y monitoreo de acceso a la información sensible Disparar acciones de acuerdo a políticas definidas

11 ETAPAS DEL PROYECTO ETAPA IV - Protección De La Información Sensible En Tránsito Sectores Involucrados Seguridad Informática Arquitectura Tecnológica Infraestructura Tecnológica Procesos Acciones Generales Monitoreo de la información sensible en tránsito en la red corporativa Definición y configuración de políticas Proceso de gestión de incidentes Ejecución de acciones para prevenir fuga de información a través del correo corporativo y/o uso de sitios web.

12 IMPORTANCIA DEL PROYECTO ALGUNOS RESULTADOS (CORTO PLAZO) Políticas generadas => Siniestros: 5 (NeoSecure + Procesos) Siniestros Daños Materiales: 6 (Neo + Negocio) Genéricas: 3 (Herramienta, ej Tarjeta de crédito) Protocolos monitoreados: 18 de 27 Protocolos con eventos: pen drive, discos) Puntos de monitoreo: 9 (CD/DVD, IM, Clipboard, , HTTP, Printer/fax, Endpoint, Proxy Web y Mail

13 BENEFICIOS OBTENIDOS Detección de datos donde quiera que se encuentren almacenados Inventario de Datos Sensibles Entendimiento de cómo son utilizados los datos Monitoreo en la red Monitoreo del equipo del Usuario Segurización proactivamente los datos almacenados Prevención de pérdida de Datos Confidenciales Refuerzo de la política de confidencialidad de los Datos Concientizar a los empleados de la importancia del resguardo de la información. Evitar el robo y el mal manejo de la información impidiendo de esta manera pérdidas económicas. Identificar información confidencial en distintos repositorios y su manejo. Reducir la propagación de datos confidenciales Y COMO SEGUIMOS

14 Gracias por asistir a esta sesión

15 Para mayor información: Daniel Marino (Gerente Gestión de Riesgos y Cumplimiento de Sancor Seguros) Contacto: dmarino@sancorseguros.com Claudio Tana (Gerente de Consultoria de NeoSecure) Contacto: ctana@neosecure.com Leonardo Granda (Ingeniero de Ventas de Symantec) Contacto: leonardo_granda@symantec.com Los invitamos a sumarse al grupo Segurinfo en