AC - Derechos reservados - prohibida su reproduccin
Proteccin de los Datos Cuan expuesta esta su informacin a accesos no autorizados
Todos los dias estamos expuestos al riesgo de que la informacin de nuestro negocio llegue a manos de personas no autorizadas. En el pasado, las empresas realizaron inversiones importantes para la proteccin y control de sus redes y centros de cmputos. En esa poca, la informacin sensible estaba contenida en los centros de datos.
La movilidad" ha cambiado el manejo de la informacin, las organizaciones tratan de mantener su competitividad aumentando la comunicacin y la agilidad, al mismo tiempo procuran que estos cambios sean compatibles con la proteccin de la informacin. La informacin ya no slo se almacena en los centros de datos, sino que se distribuye mediante el uso de correos electrnicos y dispositivos portatiles (computadores portatiles, PDA, telfonos celulares, dispositivos de almacenamiento USB, etc.).
cSe ha preguntado Usted, cual es el impacto para el negocio si ocurre la prdida de un computador portatil, un dispositivo de mano o un medio de almacenamiento USB? No es un secreto para muchas personas (y mucho menos para los expertos en robo de informacin) que las estrategias de negocios, los planes de accin, la interaccin con socios y el seguimiento de grandes cuentas de las empresas estan almacenados en dispositivos portatiles. Si esta informacin llega a manos de personas no autorizadas, se expone a la empresa a una situacin de riesgo operacional, financiero y hasta reputacional que puede ser muy grave.
cCmo cubrimos la prdida de un equipo portatil, si no poseemos mecanismos de control para la proteccin de la informacin que contiene? Tambin cabe preguntar: cDe quin es la responsabilidad al momento de presentarse un evento de prdida de informacin bajo una situacin no controlada? cEs suficiente el establecimiento de politicas de proteccin sin contar con un mecanismo de control? Page 1 RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin
Preteccln de les bates El estudio realizado en el 2007 por Forrester Research, Data Loss Prevention and Endpoint Security - Survey Findings," arroj que el 52 de las organizaciones han perdido datos confidenciales por medio de dispositivos de almacenamiento removible (ejemplo: Unidades flash USB). Estos eventos no ocurren de forma fortuita. Existe un alto grado de premeditacin detras de ellos. La propiedad intelectual y la informacin de sus clientes estan en juego con estas prdidas.
Por otra parte, los organismos reguladores del sector financiero conocen estos riesgos, razn por la cual impulsan y establecen normativas en el ambito tecnolgico, con miras no slo a minimizar los riesgos de prdida de la informacin o fraude, sino tambin a responsabilizar a las instituciones por estas prdidas.
En el caso especifico de la legislacin venezolana en la Normativa de Tecnologa de la Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y en Lnea para los Entes Sometidos al Control, Regulacin y Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras", se destacan los siguientes articulos, relacionados a Seguridad de la !nformacin" y Administracin y Controles de las Redes":
Articulo 39: La creacin de un area de seguridad de datos con responsabilidad directa en la definicin, mantenimiento, aplicacin y aseguramiento en el cumplimiento de politicas de seguridad de la informacin. Articulo +0: Los empleados del Ente supervisado deben firmar un acuerdo de confidencialidad y la no divulgacin de la informacin, como parte de sus trminos y condiciones iniciales de empleo. Articulo 103: Establecer procedimientos de proteccin de los datos que se transmiten por la red de telecomunicaciones, mediante tcnicas adecuadas de encriptacin a travs de equipos o aplicaciones definidas para tal fin.
Para implementar estas directrices en trminos de resultados efectivos, deben aplicarse mecanismos directos de proteccin y control sobre los datos como son la encriptacin o cifrado que separa los dos aspectos: Llegar a los datos y entenderlos. Desde la perspectiva de la encriptacin, no importa que se logre llegar a los datos, lo importante es que no se puedan entender.
Recordemos que en la mayoria de los casos de fraude estan envueltos empleados de la misma organizacin que logran llegar a los datos por deficiencias en el control interno de complejos procesos de negocios. Es mucho mas facil y econmico implementar la encriptacin de datos que resolver las deficiencias de control interno cuya deteccin es lenta, costosa y dificil. Ademas, la encriptacin se aplica por igual a los datos almacenados y a los datos en movimiento yfo transmitidos.
Ademas, las asociaciones internacionales como la PC! Security Standards Council, publican y mantienen normas de seguridad en medios de pagos con tarjetas, que incluyen la obligatoriedad de encriptar para proteger los datos y transacciones.
Page 2 RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin
Preteccln de les bates cCmo garantizamos las transacciones comerciales a travs de las redes?, cCmo mantenemos la confidencialidad de las comunicaciones por correo electrnico? cCmo protegemos los datos de clientes almacenados en dispositivos portatiles?
La Plataforma de Cifrado PGP de PGP Corporation responde a estas preguntas. Es la solucin para la proteccin de datos empresariales, permite a las organizaciones desplegar y gestionar multiples aplicaciones de cifrado de manera rentable a partir de una unica consola de gestin, ademas provee: Disminucin importante de casos de fraude y de fuga de informacin critica para el negocio. Este ultimo delito es dificil de evitar y de conocer. En ambos casos hay impactos econmicos importantes, prdida de clientes y mercados potenciales, acompanado ademas del dano reputacional. Cumplimiento a las exigencias gubernamentales sobre proteccin de la informacin. Proteccin de los datos centrales, en movimiento y en transito, en cualquier momento y lugar, permitiendo que las politicas de la organizacin sean aplicadas cuando los datos pasan por las redes o stos son almacenados localmente en computadores portatiles yfo dispositivos de almacenamientos externos. Automatizacin y centralizacin en la gestin de claves, aplicacin de politicas de seguridad y provisin a travs de multiples aplicaciones de cifrado integrado y absolutamente controlado. !ntegracin con soluciones de encriptacin de terceros lo que permite a las organizaciones desplegar aplicaciones de cifrado automatico, segun sea necesario.
Encriptacin o Cifrado: Tcnica usada para transformar los datos y deformar su contenido mediante la aplicacin de un cdigo secreto con el objeto de evitar que sean conocidos por personas no autorizadas durante su transmisin por canales de comunicaciones o en su almacenamiento en soportes de acceso publico.
Robo: es la apropiacin de una cosa ajena, con animo de lucro, mediante fuerza en las cosas o violencia o intimidacin en las personas.
Normativa de Tecnologa de la Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y en Lnea para los Entes Sometidos al Control, Regulacin y Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras: Esta normativa fue publicada en Enero de 2008 y establece obligaciones que deben comenzar a cumplirse en la mayoria de los casos en el 2009. Page 3 Finalmente, las organizaciones deben considerar el uso de cifrado de datos como herramienta para proteger la informacin sensible confidencial y propietaria de carcter legal, regulatorio y de debida diligencia de su negocio. RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin
Preteccln de les bates PCI DSS: Payment Card !ndustry Data Security Standard. Normas de Seguridad de Datos de la !ndustria de Tarjetas de Pago. El estandar PC! fue escrito en conjunto por visa y NasterCard, anunciado en Enero de 2005 y aprobado por las principales empresas de cuentas de pago. En la actualidad, el PC! Security Standard Council es responsable del mantenimiento y mejoramiento de la norma.
The PCI Security Standards Council: es un foro global abierto para el desarrollo continuo, mejoramiento, resguardo, difusin y aplicacin de las normas de seguridad PC! DSS para la proteccin de datos del titular de la tarjeta.
PGP Corporation: Lider global en tecnologias de proteccin de datos basadas en encriptacin. Desarrolla y proporciona productos de software y servicios globales de administracin y control de claves publicas y otras tcnicas de cifrado.
El Grupo Eniac y la Proteccin de Datos Desde hace varios anos el Grupo Eniac se especializa en la distribucin de herramientas y sistemas de Tecnologias de !nformacin; nuestra oferta de servicios va desde soluciones de aplicacin general como Nicrosoft, hasta herramientas especializadas de Proteccin de Datos, Control de Proyectos o CAATT entre otros. El Grupo Eniac, ademas de proveer las licencias del software, ofrece servicios de capacitacin, servicios tcnicos de implementacin y soporte continuo. Actualmente, el Grupo Eniac distribuye y soporta integralmente en Latinoamrica y el Caribe los productos de PGP Corporation. Entre nuestros principales socios tecnolgicos se encuentran: ACL Services, Help Systems, Lawson Software, Nicrosoft, Paisley Consulting, PGP Corporation, Pertmaster, Primavera Systems, Sterling Commerce, Trillium Software y vision Solution.
Por Ramss Tovar - Grupo Eniac
Page 4 Eniac, C.A. Caracas - Venezuela www.eniac.com The Eniac Corp San Juan - Puerto Rico www.eniac-corp.com XopanTech, S.A. de C.V. Mxico, D.F. www.xopan.com