Professional Documents
Culture Documents
A medida que las actitudes respecto al trabajo y la informacin evolucionan alejndose del pasado, las empresas son cada vez ms conscientes de la creciente necesidad de controlar la informacin que fluye hacia fuera, hacia adentro y a travs de sus redes. Este documento demuestra que es preciso contar con una poltica de alto perfil aceptable, que evite las fugas de datos, ofrezca una orientacin prctica de cmo utilizar las inversiones existentes en seguridad TI en el acceso y en las estaciones de trabajo, para apoyar esta poltica, y describe dnde deberan hacerse nuevas inversiones realistas.
Monogrficos de Sophos
Junio 2008
Un monogrfico de Sophos
Corporate email 56% Lost/stolen laptop 51% Web email or web posting 37% Instant messaging 33% Lost/stolen mobile device 33% Media devices 19% Other 12%
Un monogrfico de Sophos
Cost
Adems del coste legal, las organizaciones tienen que hacer frente a otros costes menos tangibles de recuperacin y reveses comerciales, tales como prdida de negocio, o retirada de la condicin de comerciante por tarjeta de crdito. Todos estos costes han ido aumentando de manera constante.
PCI DSS
Junto a la legislacin del gobierno se sita PCI DSS (Payment Card Industry Data Security Standard: Estndar de Seguridad de Datos de la Industria de Pago por Tarjeta). Creado por multinacionales, se exige a los comerciantes como parte de los trminos para ser autorizado a aceptar transacciones por medio de tarjeta de crdito. Las empresas que no puedan demostrar el cumplimiento con la Industria de Pago por Tarjeta por medio de una auditora estn sujetas a sancin aunque no se haya llegado a producir fuga de datos. La Industria de Pago por Tarjeta va ms all de las fronteras internacionales y su capacidad para responder rpidamente a los cambios hace que constituya un estndar de seguridad tan importante como cualquier legislacin local o nacional.
Un monogrfico de Sophos
El enfoque equivocado. Muchas de estas soluciones se centran en gran medida en la prdida intencionada de datos, cuando en realidad la fuga de datos es difcil de detener. Por ejemplo, alguien puede alterar deliberadamente los archivos para evitar la deteccin o existe el problema ms comn de las personas que simplemente intercambian informacin de forma inadecuada en el transcurso de una conversacin.
Un monogrfico de Sophos
Permitiendo DLP
Ejecucin de una poltica de uso aceptable
Crear y ejecutar una poltica de uso aceptable (PUA) debera utilizarse como base para cualquier intento de detener la fuga de datos de una organizacin. Debido a la naturaleza cambiante tanto de la infraestructura organizativa como de las expectativas de los empleados de que la informacin debera estar disponible libremente para acceder a ella y compartirla, el xito de una PUA depende en gran medida de la creacin de una conciencia por parte del empleado del hecho de que la amenaza es interna, accidental en una abrumadora mayora de los casos y est en sus manos el evitarla. Adems de hacer hincapi en la importancia del sentido comn, la PUA debera establecer exactamente cmo se espera que los empleados usen la informacin de la empresa, contener consejos a seguir sobre buenas prcticas y definir claramente los comportamientos prohibidos. Debera cubrir cuestiones como las siguientes: Qu informacin es aceptable enviar por email
La poltica de la empresa sobre el envo a foros o descargas de la web La poltica sobre el uso de llaves USB y CDs para el almacenamiento de informacin sensible de la empresa La poltica sobre alteracin de las configuraciones de seguridad
Muchas organizaciones ya han puesto en marcha un nmero de herramientas con caractersticas que pueden hacer frente a las necesidades DLP ms apremiantes sin una nueva e importante inversin.
Un monogrfico de Sophos
Proteccin en el acceso a Web Herramientas en soluciones web pueden aplicar polticas de empresa que: Eviten que los usuarios accedan a los tipos de sitio web y aplicaciones que se utilizan normalmente para eludir los controles corporativos y difundir informacin sensible de la empresa, incluyendo intercambio de archivos, sitios FTP, y sitios de correo web tales como Googlemail y Yahoo! Controlen y bloqueen el uso no autorizado de mensajera instantnea y trfico FTP Protejan contra descargas maliciosas que instalan spyware de manera secreta en el ordenador del usuario
proporcionar un importante grado de proteccin siempre y cuando se lleven a cabo actualizaciones y mantenimiento. Pero hay una solucin aadida que puede proporcionar un nivel adicional de proteccin crucial - el control de acceso a red (NAC). NAC garantiza que todos los ordenadores conectados a red - ya sea ubicados en la oficina o remotos, propiedad de la empresa o que pertenecen a usuarios invitados - cumplen la poltica de seguridad de la empresa. Con una buena solucin NAC, cualquier ordenador terminal que se conecte a la red es escaneado de forma automtica a fin de garantizar que: El cortafuegos y la proteccin anti software malicioso estn actualizados y activos Se han aplicado los parches ms recientes del sistema operativo No hay aplicaciones no autorizadas
Proteccin en estaciones de trabajo La proteccin en estaciones de trabajo va mucho ms all de la necesidad imperiosa de no dejar los ordenadores porttiles en los trenes: Bloquear la utilizacin de aplicaciones no esenciales, tales como intercambio de archivos, mensajera instantnea, clientes FTP, clientes de correo electrnico no autorizados, conexiones inalmbricas de red y herramientas de sincronizacin de smartphone y PDA Gestionar el acceso de escritura para dispositivos de almacenamiento porttiles tales como las llaves USB Cifrar los datos de almacenamiento porttiles para que no puedan leerse si caen en las manos equivocadas
Corrigiendo o bloqueando de inmediato cualquier ordenador que no cumpla con las polticas corporativas, NAC se asegura de que las caractersticas de DLP de otra soluciones se encuentran activas y actualizadas. Resumen La fuga de datos se ha convertido en uno de los ms apremiantes problemas a los que las empresas han de enfrentarse hoy en da. Sin embargo, la implementacin de una nueva estrategia compleja y global para detener la fuga de informacin no es en general una estrategia viable ni eficaz. Por el contrario, la mejor solucin de DLP es crear una PUA, hacerla cumplir mediante la aplicacin de los controles adecuados ya disponibles en el terminal, servidor, e infraestructura de seguridad de acceso existentes, e invertir en una solucin de NAC para garantizar que todos los ordenadores estn actualizados y en conformidad con las polticas
Solucin Sophos
Sophos Enterprise Security and Control proporciona una proteccin completa para los ordenadores de sobremesa, ordenadores porttiles, dispositivos mviles, servidores de archivos, acceso a correo electrnico e infraestructura de grupos, y todas las necesidades de navegacin web de la empresa. El motor unificado de Sophos defiende cada punto, controlando no slo el software maligno y las actividades maliciosas sino tambin evitando la fuga de datos y el uso indebido de aplicaciones de software, incluyendo telefona por Internet, mensajera instantnea, intercambio de archivos, buscadores de Internet, reproductores multimedia y juegos. Una licencia por usuario permite proteger todos los terminales Windows, Mac y Linux, posibilita la proteccin de software o dispositivos en el acceso a correo electrnico y web y proteje los servidores para grupos de Microsoft Exchange y Lotus Notes.
Fuentes
1. 2. 3. 4. 5. 6. 7. IDC, Information Protection and Control Survey: Data Loss Prevention and Encryption Trends, Doc # 211109, March 2008 www.ponemon.org/press/06-25-07-Ponemon_Consumer_Survey_FINAL.pdf www.sophos.com/pressoffice/news/articles/2008/03/hannaford.html edition.cnn.com/2008/WORLD/europe/06/11/alqaeda.documents.ap/index.html?iref=newssearch www.sophos.com/pressoffice/news/articles/2007/11/hmrc-id-theft.html www.columbusdispatch.com/live/content/local_news/stories/2008/05/06/wooster.html?sid=101 www.networkworld.com/news/2007/091107-data-leak-prevention.html