¿Por qué es tan importante hablar de Data Loss Prevention?

noviembre 10, 2009 § Deja un comentario

Comoconcepto general, se sabe que hay que proteger la información de lacompañía. En este punto, lo importante es destacar que a la informaciónhay que protegerla SIEMPRE.

La información puede estar en tres estados: en uso, en transporte, oen almacenamiento. En los tres casos debemos asegurar su confiabilidad,su integridad y su disponibilidad.

El primer concepto implica que solamente las personas autorizadastengan acceso a la información. En tanto, el segundo término consisteen asegurar que cada vez que busco un dato, el mismo es fidedigno y noha sido modificado. Por último, la disponibilidad tiene que ver conasegurar que voy a poder acceder al dato siempre que lo necesite.

Ahora apliquemos estos conceptos los tres estados en que puede estar la información:

  • En uso: En general, esto se da cuando lo estoy usando dentro de mi PC.
  • En transporte: Este es un caso para tener encuenta, ya que el transporte es amplio. Consideramos aquí, cuando undato es enviado dentro de la red, por ejemplo desde una oficina a otrao hacia el Data Center. Pero no podemos olvidar que cuando llevamos unpendrive, estamos transportando información. Lo mismo ocurre cuandollevamos una notebook de un lado a otro. ¿Qué ocurre si la laptop esrobada?
  • En almacenamiento: es cuando el dato está guardadoen un lugar fijo, como por ejemplo un Data Center o en un Server dentrode la empresa.

De los tres casos, cada uno tiene su forma de proteger a la información.

Pero concentrémonos en los dispositivos móviles (notebooks,pendrives, smartphones, etc). En este punto es importante tener unapolítica definida sobre la protección de los datos ya que, si cuandoestán dentro de la empresa, en general están en mayor o menor medidaprotegidos, cuando los transportamos físicamente hay muy poco hecho.

Al respecto, a fin de garantizar la seguridad de los datostransportados se deben encriptar los discos rígidos de las notebookspara evitar que, ante una pérdida o robo, la información pueda serutilizada. Asimismo, existen en el mercado pendrives con password,donde toda la información contenida esta encriptada, llegando incluso apoder tener lectores de huellas digitales en los mismos.

Otro punto a tener en cuenta es qué ocurre con los puertos de lascomputadoras. En este sentido, tenemos que asegurar que cuando unarchivo es confidencial el mismo no pueda ser copiado, impreso, ogravado en un pendrive o similar. Hoy en día los celulares poseenmuchas capacidades, y tenemos que considerar si estos dispositivos nopueden ser un problema de seguridad para la empresa.

Por todo lo dicho, se aconseja implementar soluciones de protecciónde datos, que permitan encriptar toda la información de losdispositivos móviles, bloquear los puertos de computadoras solamentepara los archivos marcados como confidenciales, no permitir suimpresión o copia, etc.

Con respecto a la red, hay que encriptar los vínculos y segurizarlos accesos, entre otras medidas para prevenir la perdida deinformación.

Con todo esto lograremos estar mejor preparados para enfrentar laproblemática del robo de información, defendiendo los intereses denuestra compañía.

Autor: Débora Slotnisky
Fuente: Blog ExpandIT – Redusers

Cincuenta países acuerdan medidas comunes de protección de datos y privacidad

noviembre 9, 2009 § Deja un comentario

La 31ª Conferencia Internacional de Protección de Datos y Privacidad ha dado resultado. Los expertos reunidos han presentado la “Resolución de Madrid”, un documento que establece unos estándares internacionales para proteger los datos personales y la privacidad de los ciudadanos. Este documento será la base para el desarrollo de un instrumento vinculante.

La propuesta ha sido elaborada en el último año bajo la coordinación de la Agencia Española de Protección de Datos (AEPD). Artemi Rallo explica que “estos estándares son una propuesta de mínimos internacionales que recogen un conjunto de principios y derechos que permitan alcanzar el mayor grado de consenso internacional”. A pesar de la aprobación, el documento no tiene valor vinculante. “Tendrá un inmediato valor como referencia y sobre todo como punto de partida para aquellos países que aún no tienen una legislación sobre la materia”, asegura el director de la AEPD.

Entre los principios básicos que deben regir en la utilización de datos personales, están los de lealtad, legalidad, proporcionalidad, calidad, transparencia y responsabilidad. Además, contempla la necesidad de la existencia de autoridades de supervisión, y de que exista una cooperación y coordinación entre los diferentes estados. Además, conjunto de derechos, como el de acceso, rectificación, cancelación y oposición, y la forma de ejercitarlos.

También incluye deberes como el de seguridad de los datos personales -a través de las medidas que resulten idóneas en cada caso- o el de confidencialidad, que afecta tanto a la persona responsable como a quienes intervengan en cualquier fase en la que se manejen datos personales.

El documento se detiene a definir los datos sensibles como aquellos que afectan a la esfera más íntima de la persona o cuya utilización indebida pueda dar origen a una discriminación ilegal o arbitraria, o conllevar un riesgo grave para la misma.

Por otra parte, el texto recuerda que, como regla general, podrán realizarse transferencias internacionales de datos personales cuando el Estado al que se transfieran los datos ofrezca, al menos, el nivel de protección previsto en el documento; o cuando quién pretenda transferir los datos, garantice que el destinatario ofrecerá el nivel de protección requerido, por ejemplo, mediante las cláusulas contractuales apropiadas.

Uno de los capítulos más relevantes del documento es el referido a las medidas proactivas, por el cual se insta a los Estados a promover el mejor cumplimiento de la legislación aplicable en materia de protección de datos, a través de instrumentos como el establecimiento de procedimientos destinados a prevenir y detectar infracciones, o la realización periódica de programas de concienciación, educación y formación.

Apoyo empresarial

Un grupo de 10 grandes empresas (Oracle, Walt Disney, Accenture, Microsoft, Google, Intel, Procter & Gamble, General Electric, IBM y Hewlett-Packard) han firmado una declaración en la que acogen con satisfacción la iniciativa de la 31 Conferencia Internacional de explorar marcos para una mejor coordinación global de los distintos regímenes de privacidad

Fuente: Telecinco

¿Dónde estoy?

Actualmente estás explorando la categoría datos en Seguridad Informática.