El problema de las fugas de Información y su
prevención
La Organizaciones son conscientes de que las amenazas de fugas de
...
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 5...
of 2

Prevencion de Fugas de Información

SIA aborda el asunto “Prevención de Fugas de Información” desde los puntos de vista de las personas, los procesos y la tecnología y sobre la información sensible de la organización en cualquiera que sea su estado: en uso, en transmisión o almacenada.
Published on: Mar 4, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - Prevencion de Fugas de Información

  • 1. El problema de las fugas de Información y su prevención La Organizaciones son conscientes de que las amenazas de fugas de información son reales y de que pueden provocar un coste muy alto. Estas amenazas pueden ser de distinta índole: intencionadas o no, maliciosas/dañinas o no, internas o externas. Algunos ejemplos de estas son: espionaje, robo, fraude, errores humanos, sabotaje, etc. El aumento de incidentes de robos de información, el mayor número de requisitos normativos y legislativos, la proliferación de tecnologías cada vez más potentes y que permiten el acceso a la información desde cualquier parte, etc., hacen que la adecuada protección de su información sea esencial. Las fugas de información implican el conocimiento y/o posesión de la misma por agentes externos a la Organización no autorizados a ello y que, dependiendo del uso que hagan de ella, podrían ocasionar importantes pérdidas. La “Prevención de Fugas de Información” se centra en la protección de la información sensible de una Organización, poniendo foco en analizar los puntos con riesgo de fugas y plantear las medidas de seguridad necesarias para proteger, muy especialmente, su confidencialidad y trazabilidad, y controlar el uso que se hace de la misma. En muchas ocasiones creemos que la información de nuestra organización está razonablemente segura, ya que disponemos de una serie de elementos técnicos de protección (antivirus, cifrado, cortafuegos, detectores de intrusos, etc.); sin embargo, es especialmente importante no olvidar a las personas, que somos los que en definitiva usamos la información, y los procesos que llevamos a cabo para ello. ¿Cómo abordar el problema? Enfoque Metodológico. SIA aborda el asunto “Prevención de Fugas de Información” desde los puntos de vista de las personas, los procesos y la tecnología y sobre la información sensible de la organización en cualquiera que sea su estado: en uso, en transmisión o almacenada. La metodología de SIA sigue un proceso cíclico de mejora continua y está enfocada a minimizar los esfuerzos necesarios para proteger la información y minimizar los riesgos de fugas, centralizándolos en aquella información que realmente es importante y en los puntos que son críticos. Para ello cuenta con un equipo de personas altamente cualificadas, que cuentan con diversas certificaciones (CISA, CISM, CGEIT, CISSP…). El equipo técnico de SIA posee un gran conocimiento adquirido de la legislación (LOPD, SOA, Ley 11/2007, ENS,…), normativas, metodologías y estándares de seguridad ampliamente reconocidos y utilizados (ISO 2700x, ITIL, COBIT v3, ISO22301, MAGERIT…); así como herramientas y procesos necesarios para conseguir los objetivos planteados: Metodología de Prevención de Fugas de Información. PREVENCIÓN DE FUGAS DE INFORMACIÓN “El problema de las fugas de información NO es un problema exclusivo de la tecnología y no se puede prevenir solamente con esta”. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830
  • 2. www.sia.es Avda. de Europa, 2 Alcor Plaza - Edificio B - Parque Oeste Alcorcón 28922 Alcorcón - Madrid Tel.: +34 902 480 580 Fax: +34 913 077 980 Pallars 99, planta 4, oficina 41 08018 Barcelona Tel.: +34 902 480 580 Fax: +34 934 675 830 1. Identificación y Análisis: Se lleva a cabo un análisis de los distintos procesos de negocio con el objetivo de determinar aspectos como: • La información que es tratada en cada uno de ellos y si está adecuadamente clasificada. • La identificación de los recursos que tratan y mantienen esta información sensible y los flujos que sigue a lo largo del proceso. Qué entradas y salidas de información se producen y qué métodos se usan para el intercambio de la misma, qué personas acceden a ella, desde dónde y de qué forma, cómo es tratada y almacenada, etc. Todo ello, teniendo en cuenta tanto los elementos internos como externos a la Organización. • La identificación de las protecciones de seguridad implantadas actualmente. Proceso: flujo de la información. 2. Evaluación: Se realiza una evaluación de los riesgos de fuga a los que está expuesta la Organización, y de la eficacia de las protecciones actuales, determinando los puntos críticos de fuga actuales. Puntos de riesgo de Fugas de Información. 3. Planteamiento de Estrategias: Se plantean las posibles estrategias que permitan vigilar, rastrear, y prevenir las fugas de información sensible de la Organización, reduciendo el riesgo al que está expuesta actualmente. Estas estrategias pueden ser de distinta índole: organizativas, normativas, procesos y tecnológicas. 4. Programa de Prevención: Se establece el de programa de “Prevención de Fugas de Información”. Se realiza la selección de estrategias y se define el plan de acción para la implantación, incluyendo los proyectos necesarios y la planificación y priorización de los mismos. Esta fase, así como la posterior implantación de los proyectos, puede ser llevada a cabo por la Organización o en colaboración con SIA (aportando sus conocimientos y experiencia en este tipo proyectos). 5. Medición, Revisión y Mejora continua: La “Prevención de Fugas de Información”, como la “Seguridad de la Información” en general, no es un proceso estático. La Organización debería llevar a cabo un Proceso de Gobernanza y de Gestión Continua mediante, monitorización y revisión de las medidas implantadas, la medición de los objetivos definidos y la aplicación de las correcciones y mejoras identificadas. Proceso de Gobernanza y Gestión de la Prevención de Fugas de Información.

Related Documents