Cómo ganar dinero con los datos de tu empresa? Impacto de la falta de seguridad en el negocio Pablo Teijeira Kay Account Manager Sophos
Índice 1. Introducción 2. Robo de portátil 3. Pérdida de USB 4. Empleado descontento 5. Conclusiones 2
Robo de portátil: Escenario 3
Robo de portátil: Riesgos Los datos móviles cada vez más expuestos 150 portátiles perdidos o robados cada semana En el aeropuerto de Madrid/Barajas 3 300 portátiles perdidos o robados cada semana En los 8 mayores aeropuertos de Europa 12 000 portátiles perdidos o robados cada semana En los aeropuertos americanos 5 000 portátiles perdidos en un periodo de 6 meses En los taxis de Londres Juillet 2008 Ponemon Institute www.vnunet.com/vnunet/news/2223012/eu-travellers-losing-laptops-airports En el mundo, 7milliones de ordenadores portátiles se han pedido o han sido robados durante 2006 Computer Security Institute, 2007 4 4
Robo de portátil: Buenas prácticas Proteger la información sensible y confidencial Objetivo: La mejor póliza es el cifrado de datos Proteger donde los datos están más expuestos: Portátiles Dispositivos de almacenamiento Email Servidores de ficheros Plataforma de protección de datos: Consola centralizada de gestión Integrada con Directorios Activos Cifrado transparente de ficheros y carpetas 5
Pérdida de USB: Escenario 6
Pérdida de USB: Riesgos Los costes de incidentes son cada vez más elevados Ejemplo: Nationwide Building Society Multa de 980,000 a la FSA (Financial Services Authority) por la pérdida de un dispositivo que contenía detalles de 11 millones de clientes Total de costes directos identificables Impresión de 11 millones de cartas 150,000 11 milliones de copias de 2 brochures 300,000 Envío a 11 millones de clientes. 1.6 millions Multa de la FSA..... 980,000 Otros costes? Coste de gestión de la incidencia Atentado contra la buena reputación Source: Prsonal Computer World 14 Feb 2007 www.vnunet.com/vnunet/news/2183332/nationwide-fined-980-exposing 7
Pérdida de USB: Riesgos El impacto de las pérdidas de información Coste medio por registros comprometidos: Costes en Clientes Atentado a la reputación Costes adicionales $182 (2007) $197 (2008) Gastos legales, de auditoría y Pérdida de clientes existentes de contabilidad no presupuestados Reclutamiento de nuevos clientes 54% 30% Notificaciones a clientes Servicios gratuitos o rebajas concedidas a los Clientes 16% Costes de centros de llamada Costes de relaciones públicas y hacia los inversores 19% de los clientes afectados por la pérdida de información personal terminan su relación con la empresa puesta en entredicho 40% consideran hacerlo Source: Ponemon Institute 2006 Annual Study: Cost of a Data Breach Investigaciones internas Costes de productividad Pérdida de productividad de los empleados 8
Pérdida de USB: Buenas prácticas Prevenir la fuga de Información personal de interés (PII) Objetivo: Abordar con prioridad los riegos de infracción de la legislación o daño de imagen Cubrir los puntos críticos de fuga: Dispositivos de almacenamiento, web, email y mensajería instantánea Integrado en las soluciones endpoint y de pasarela Listas elaboradas y mantenidas por expertos: Más de 100 definiciones de información personal de interés Elegir la acción más apropiada: Auditoría Monitorizar en silencio Educación El copiado necesita autorización del usuario o administrador Obligación Cifrar o bloquear el copiado 9
Empleado descontento: Escenario 10
Empleado descontento: Riegos 11
Empleado descontento: Buenas práticas Clasificar y proteger documentos Restringir los puntos de salida de datos Objetivo: Proteger la propiedad intelectual y planes de negocio Reducir el riesgo gestionando el correcto uso de los datos por parte de los usuarios Educación a los usuarios: Definir los niveles de clasificación dentro de la política Permitir a los usuarios marcar y clasificar nuevos documentos Forzar políticas para documentos en el Endpoint y la pasarel Integrado con la solución de cifrado Control exhaustivo de: Dispositivos de almacenamiento y conexiones Aplicaciones Páginas web 12
Conclusiones Proteger los datos es ante todo tecnologías, personas y procesos - No productos Cumplimiento Personas Executives (CXO) IT Managers Auditors Users Tecnologías Technology Access control Data encryption Data Leakage Prevention (DLP) Data integrity Data availability Logging/reporting Procesos BS 7799-2 ISO 17799, 27001 COBIT ITIL V3 Internationally recognized set of best practices in IT security www.itpolicycompliance.com/ 13
Conclusiones Restringir los puntos de salida de datos Controlar dispositivos, aplicaciones, correo electrónico y web Asegurar el cumplimiento de políticas Proteger la información sensible y confidencial Cifrado de disco, dispositivos móviles y archivos Cifrado de correo electrónico Prevenir la fuga de información personal de interés (PII) Cobertura de toda la información personal de interés Contínua evaluación, auditoría e informes en el endpoint y la pasarela Clasificar y proteger documentos Permitir al usuario clasifiar los documentos como confidenciales Aplicar la clasificación a los documentos existentes 14
Fin de la presentación Muchas gracias 15