RBP - Copyright 2009 by EN!

AC - Derechos reservados - prohibida su reproduccin

Proteccin de los Datos
Cuan expuesta esta su informacin a accesos no autorizados




Todos los dias estamos expuestos al riesgo de que la informacin de nuestro negocio llegue a
manos de personas no autorizadas. En el pasado, las empresas realizaron inversiones
importantes para la proteccin y control de sus redes y centros de cmputos. En esa poca, la
informacin sensible estaba contenida en los centros de datos.

La movilidad" ha cambiado el manejo de la informacin, las organizaciones tratan de
mantener su competitividad aumentando la comunicacin y la agilidad, al mismo tiempo
procuran que estos cambios sean compatibles con la proteccin de la informacin. La
informacin ya no slo se almacena en los centros de datos, sino que se distribuye mediante
el uso de correos electrnicos y dispositivos portatiles (computadores portatiles, PDA,
telfonos celulares, dispositivos de almacenamiento USB, etc.).

cSe ha preguntado Usted, cual es el impacto para el negocio si ocurre la prdida de un
computador portatil, un dispositivo de mano o un medio de almacenamiento USB? No es un
secreto para muchas personas (y mucho menos para los expertos en robo de informacin) que
las estrategias de negocios, los planes de accin, la interaccin con socios y el seguimiento de
grandes cuentas de las empresas estan almacenados en dispositivos portatiles. Si esta
informacin llega a manos de personas no autorizadas, se expone a la empresa a una
situacin de riesgo operacional, financiero y hasta reputacional que puede ser muy grave.

cCmo cubrimos la prdida de un equipo portatil, si no poseemos mecanismos de control para
la proteccin de la informacin que contiene? Tambin cabe preguntar: cDe quin es la
responsabilidad al momento de presentarse un evento de prdida de informacin bajo una
situacin no controlada? cEs suficiente el establecimiento de politicas de proteccin sin contar
con un mecanismo de control?
Page 1
RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin

Preteccln de les bates
El estudio realizado en el 2007 por Forrester Research, Data Loss Prevention and Endpoint
Security - Survey Findings," arroj que el 52 de las organizaciones han perdido datos
confidenciales por medio de dispositivos de almacenamiento removible (ejemplo: Unidades
flash USB). Estos eventos no ocurren de forma fortuita. Existe un alto grado de premeditacin
detras de ellos. La propiedad intelectual y la informacin de sus clientes estan en juego con
estas prdidas.

Por otra parte, los organismos reguladores del sector financiero conocen estos riesgos, razn
por la cual impulsan y establecen normativas en el ambito tecnolgico, con miras no slo a
minimizar los riesgos de prdida de la informacin o fraude, sino tambin a responsabilizar a
las instituciones por estas prdidas.

En el caso especifico de la legislacin venezolana en la Normativa de Tecnologa de la
Informacin, Servicios Financieros Desmaterializados, Banca Electrnica, Virtual y
en Lnea para los Entes Sometidos al Control, Regulacin y Supervisin de la
Superintendencia de Bancos y Otras Instituciones Financieras", se destacan los
siguientes articulos, relacionados a Seguridad de la !nformacin" y Administracin y
Controles de las Redes":

Articulo 39: La creacin de un area de seguridad de datos con responsabilidad directa en la
definicin, mantenimiento, aplicacin y aseguramiento en el cumplimiento de politicas de
seguridad de la informacin.
Articulo +0: Los empleados del Ente supervisado deben firmar un acuerdo de
confidencialidad y la no divulgacin de la informacin, como parte de sus trminos y
condiciones iniciales de empleo.
Articulo 103: Establecer procedimientos de proteccin de los datos que se transmiten por
la red de telecomunicaciones, mediante tcnicas adecuadas de encriptacin a travs de
equipos o aplicaciones definidas para tal fin.

Para implementar estas directrices en trminos de resultados efectivos, deben aplicarse
mecanismos directos de proteccin y control sobre los datos como son la encriptacin o cifrado
que separa los dos aspectos: Llegar a los datos y entenderlos. Desde la perspectiva de la
encriptacin, no importa que se logre llegar a los datos, lo importante es que no se puedan
entender.

Recordemos que en la mayoria de los casos de fraude estan envueltos empleados de la misma
organizacin que logran llegar a los datos por deficiencias en el control interno de complejos
procesos de negocios. Es mucho mas facil y econmico implementar la encriptacin de datos
que resolver las deficiencias de control interno cuya deteccin es lenta, costosa y dificil.
Ademas, la encriptacin se aplica por igual a los datos almacenados y a los datos en
movimiento yfo transmitidos.

Ademas, las asociaciones internacionales como la PC! Security Standards Council, publican y
mantienen normas de seguridad en medios de pagos con tarjetas, que incluyen la
obligatoriedad de encriptar para proteger los datos y transacciones.

Page 2
RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin

Preteccln de les bates
cCmo garantizamos las transacciones comerciales a travs de las redes?, cCmo mantenemos
la confidencialidad de las comunicaciones por correo electrnico? cCmo protegemos los datos
de clientes almacenados en dispositivos portatiles?

La Plataforma de Cifrado PGP de PGP Corporation responde a estas preguntas. Es la solucin
para la proteccin de datos empresariales, permite a las organizaciones desplegar y gestionar
multiples aplicaciones de cifrado de manera rentable a partir de una unica consola de gestin,
ademas provee:
Disminucin importante de casos de fraude y de fuga de informacin critica para el
negocio. Este ultimo delito es dificil de evitar y de conocer. En ambos casos hay impactos
econmicos importantes, prdida de clientes y mercados potenciales, acompanado ademas
del dano reputacional.
Cumplimiento a las exigencias gubernamentales sobre proteccin de la informacin.
Proteccin de los datos centrales, en movimiento y en transito, en cualquier momento y
lugar, permitiendo que las politicas de la organizacin sean aplicadas cuando los datos
pasan por las redes o stos son almacenados localmente en computadores portatiles yfo
dispositivos de almacenamientos externos.
Automatizacin y centralizacin en la gestin de claves, aplicacin de politicas de seguridad
y provisin a travs de multiples aplicaciones de cifrado integrado y absolutamente
controlado.
!ntegracin con soluciones de encriptacin de terceros lo que permite a las organizaciones
desplegar aplicaciones de cifrado automatico, segun sea necesario.

Encriptacin o Cifrado: Tcnica usada para transformar los datos y deformar su contenido mediante
la aplicacin de un cdigo secreto con el objeto de evitar que sean conocidos por personas no
autorizadas durante su transmisin por canales de comunicaciones o en su almacenamiento en soportes
de acceso publico.

Robo: es la apropiacin de una cosa ajena, con animo de lucro, mediante fuerza en las cosas o
violencia o intimidacin en las personas.

Normativa de Tecnologa de la Informacin, Servicios Financieros Desmaterializados, Banca
Electrnica, Virtual y en Lnea para los Entes Sometidos al Control, Regulacin y
Supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras: Esta
normativa fue publicada en Enero de 2008 y establece obligaciones que deben comenzar a cumplirse en
la mayoria de los casos en el 2009.
Page 3
Finalmente, las organizaciones deben considerar el uso de cifrado de datos
como herramienta para proteger la informacin sensible confidencial y
propietaria de carcter legal, regulatorio y de debida diligencia de su negocio.
RBP - Copyright 2009 by EN!AC - Derechos reservados - prohibida su reproduccin

Preteccln de les bates
PCI DSS: Payment Card !ndustry Data Security Standard. Normas de Seguridad de Datos de la
!ndustria de Tarjetas de Pago. El estandar PC! fue escrito en conjunto por visa y NasterCard, anunciado
en Enero de 2005 y aprobado por las principales empresas de cuentas de pago. En la actualidad, el PC!
Security Standard Council es responsable del mantenimiento y mejoramiento de la norma.

The PCI Security Standards Council: es un foro global abierto para el desarrollo continuo,
mejoramiento, resguardo, difusin y aplicacin de las normas de seguridad PC! DSS para la proteccin
de datos del titular de la tarjeta.

PGP Corporation: Lider global en tecnologias de proteccin de datos basadas en encriptacin.
Desarrolla y proporciona productos de software y servicios globales de administracin y control de
claves publicas y otras tcnicas de cifrado.




El Grupo Eniac y la Proteccin de Datos
Desde hace varios anos el Grupo Eniac se especializa en la distribucin de herramientas y
sistemas de Tecnologias de !nformacin; nuestra oferta de servicios va desde soluciones de
aplicacin general como Nicrosoft, hasta herramientas especializadas de Proteccin de Datos,
Control de Proyectos o CAATT entre otros. El Grupo Eniac, ademas de proveer las licencias del
software, ofrece servicios de capacitacin, servicios tcnicos de implementacin y soporte
continuo.
Actualmente, el Grupo Eniac distribuye y soporta integralmente en Latinoamrica y el Caribe
los productos de PGP Corporation.
Entre nuestros principales socios tecnolgicos se encuentran: ACL Services, Help Systems,
Lawson Software, Nicrosoft, Paisley Consulting, PGP Corporation, Pertmaster, Primavera
Systems, Sterling Commerce, Trillium Software y vision Solution.

Por Ramss Tovar - Grupo Eniac

Page 4
Eniac, C.A.
Caracas - Venezuela
www.eniac.com
The Eniac Corp
San Juan - Puerto Rico
www.eniac-corp.com
XopanTech, S.A. de C.V.
Mxico, D.F.
www.xopan.com