SIA aborda el asunto “Prevención de Fugas de Información” desde los puntos de vista de las personas, los procesos y la tecnología y sobre la información sensible de la organización en cualquiera que sea su estado: en uso, en transmisión o almacenada.
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Prevencion de Fugas de Información
1. El problema de las fugas de Información y su
prevención
La Organizaciones son conscientes de que las amenazas de fugas de
información son reales y de que pueden provocar un coste muy alto.
Estas amenazas pueden ser de distinta índole: intencionadas o no,
maliciosas/dañinas o no, internas o externas. Algunos ejemplos de
estas son: espionaje, robo, fraude, errores humanos, sabotaje, etc.
El aumento de incidentes de robos de información, el mayor número
de requisitos normativos y legislativos, la proliferación de tecnologías
cada vez más potentes y que permiten el acceso a la información
desde cualquier parte, etc., hacen que la adecuada protección de su
información sea esencial.
Las fugas de información implican el conocimiento y/o posesión de la
misma por agentes externos a la Organización no autorizados a ello
y que, dependiendo del uso que hagan de ella, podrían ocasionar
importantes pérdidas.
La “Prevención de Fugas de Información” se centra en la protección de
la información sensible de una Organización, poniendo foco en analizar
los puntos con riesgo de fugas y plantear las medidas de seguridad
necesarias para proteger, muy especialmente, su confidencialidad y
trazabilidad, y controlar el uso que se hace de la misma.
En muchas ocasiones creemos que la información de nuestra
organización está razonablemente segura, ya que disponemos
de una serie de elementos técnicos de protección (antivirus,
cifrado, cortafuegos, detectores de intrusos, etc.); sin embargo, es
especialmente importante no olvidar a las personas, que somos los
que en definitiva usamos la información, y los procesos que llevamos a
cabo para ello.
¿Cómo abordar el problema? Enfoque
Metodológico.
SIA aborda el asunto “Prevención de Fugas de Información” desde los
puntos de vista de las personas, los procesos y la tecnología y sobre
la información sensible de la organización en cualquiera que sea su
estado: en uso, en transmisión o almacenada.
La metodología de SIA sigue un proceso cíclico de mejora continua
y está enfocada a minimizar los esfuerzos necesarios para proteger
la información y minimizar los riesgos de fugas, centralizándolos en
aquella información que realmente es importante y en los puntos que
son críticos.
Para ello cuenta con un equipo de personas altamente cualificadas,
que cuentan con diversas certificaciones (CISA, CISM, CGEIT, CISSP…).
El equipo técnico de SIA posee un gran conocimiento adquirido de la
legislación (LOPD, SOA, Ley 11/2007, ENS,…), normativas, metodologías
y estándares de seguridad ampliamente reconocidos y utilizados (ISO
2700x, ITIL, COBIT v3, ISO22301, MAGERIT…); así como herramientas y
procesos necesarios para conseguir los objetivos planteados:
Metodología de Prevención de Fugas de Información.
PREVENCIÓN DE FUGAS DE INFORMACIÓN
“El problema de las fugas
de información NO es un
problema exclusivo de la
tecnología y no se puede
prevenir solamente con esta”.
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
1. Identificación y Análisis: Se lleva a cabo un análisis de los distintos
procesos de negocio con el objetivo de determinar aspectos como:
• La información que es tratada en cada uno de ellos y si está
adecuadamente clasificada.
• La identificación de los recursos que tratan y mantienen esta
información sensible y los flujos que sigue a lo largo del proceso.
Qué entradas y salidas de información se producen y qué métodos
se usan para el intercambio de la misma, qué personas acceden a
ella, desde dónde y de qué forma, cómo es tratada y almacenada,
etc. Todo ello, teniendo en cuenta tanto los elementos internos
como externos a la Organización.
• La identificación de las protecciones de seguridad implantadas
actualmente.
Proceso: flujo de la información.
2. Evaluación: Se realiza una evaluación de los riesgos de fuga a los
que está expuesta la Organización, y de la eficacia de las protecciones
actuales, determinando los puntos críticos de fuga actuales.
Puntos de riesgo de Fugas de Información.
3. Planteamiento de Estrategias: Se plantean las posibles estrategias
que permitan vigilar, rastrear, y prevenir las fugas de información
sensible de la Organización, reduciendo el riesgo al que está
expuesta actualmente. Estas estrategias pueden ser de distinta
índole: organizativas, normativas, procesos y tecnológicas.
4. Programa de Prevención: Se establece el de programa de
“Prevención de Fugas de Información”. Se realiza la selección de
estrategias y se define el plan de acción para la implantación,
incluyendo los proyectos necesarios y la planificación y
priorización de los mismos. Esta fase, así como la posterior
implantación de los proyectos, puede ser llevada a cabo por
la Organización o en colaboración con SIA (aportando sus
conocimientos y experiencia en este tipo proyectos).
5. Medición, Revisión y Mejora continua: La “Prevención de Fugas de
Información”, como la “Seguridad de la Información” en general,
no es un proceso estático. La Organización debería llevar a cabo
un Proceso de Gobernanza y de Gestión Continua mediante,
monitorización y revisión de las medidas implantadas, la medición
de los objetivos definidos y la aplicación de las correcciones y
mejoras identificadas.
Proceso de Gobernanza y Gestión de la Prevención de Fugas de
Información.