El estado de la seguridad de la información by Gilberto Castro

El estado de la seguridad â&#x20AC;&#x2039; de la informaciĂłn ProtecciĂłn contra nuevos riesgos y cumplimiento de normativas

Índice Resumen: puntos tratados en este documento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

El significado de proteger la información para las empresas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Razones para la protección de los datos personales en las empresas. . . . . . . . . . . . . . . . . . . . . . 3 La gestión de los riesgos ayuda a cumplir las normativas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Conclusiones principales de las infracciones más recientes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 El coste de las filtraciones de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Nuevos peligros para los datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ¿Está tomando todas las medidas posibles para proteger los datos y cumplir las normativas? 17 Protección eficaz y cumplimiento de normativas mediante la supervisión constante . . . . . . . 18

Apéndice A: listado de las principales normativas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Apéndice B: demostración del cumplimiento y rentabilidad del cumplimiento eficaz. . . . . . 20 Apéndice C: lista de consejos prácticos para la gestión de los riesgos para la información.22

Fuentes y recursos adicionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contraportada

El estado de la seguridad de la información Protección contra nuevos riesgos y cumplimiento de normativas Resumen: puntos tratados en este documento Hoy en día, los directores empresariales e informáticos deben tener muy en cuenta los riesgos y los costes de las posibles fugas de datos. La creación de planes efectivos para la protección de los datos proporciona los conocimientos necesarios para gestionar los riesgos y ayuda a cumplir los reglamentos y las normativas de seguridad. Las infracciones de seguridad aparecen en los titulares continuamente. De hecho, este tipo de fallos han puesto en peligro más de 500 millones de registros en los Estados Unidos desde 2005. Además, las pérdidas de datos ocasionadas por fallos o negligencias humanas también representan una amenaza importante. Por suerte, resulta mucho más barato evitar infracciones o incidentes de fugas de datos que solucionarlos una vez que se producen. Infórmese sobre las vulnerabilidades que pueden afectar a los datos, como los problemas más recientes provocados por la falta de protección en dispositivos móviles y medios sociales. Entienda cómo pueden afectar al cumplimiento y encuentre estrategias de protección que le ayuden a proteger la información de su empresa y a cumplir las normativas.

Informe de Sophos de 2011 sobre la seguridad de la información

El significado de proteger la información para las empresas Hoy en día, los directores empresariales e informáticos deben tener muy en cuenta los riesgos y los costes asociados con las posibles fugas de datos, y contar con planes para gestionar dichos riesgos. Al mismo tiempo, es necesario cumplir las normativas y reglamentos sobre protección de datos. Se plantean gran cantidad de dudas: ¿Dónde están los datos? ¿Qué datos son confidenciales? ¿Quién tiene acceso a esos datos? ¿Cómo se pueden controlar? ¿Qué información es necesaria para proteger los datos empresariales contra daños y pérdidas? Estos problemas afectan tanto a pymes como a grandes empresas. En primer lugar, los técnicos informáticos deben detectar y controlar los datos. Después, es necesario poner en práctica una estrategia de protección efectiva. Infórmese sobre las vulnerabilidades que pueden afectar a la información, como los problemas más recientes provocados por la falta de protección en dispositivos móviles y medios sociales. Según el Centro de recursos de robos de datos personales, en 2010, se produjeron al menos 662 filtraciones de datos en los Estados Unidos, que pusieron en peligro más de 16 millones de registros. Casi dos tercios de las infracciones pusieron al descubierto números de la Seguridad Social, mientras que el 26 % afectó a números de tarjetas de débito y crédito. La mayor parte de estos incidentes se produjeron por robos internos o ataques maliciosos.

Las filtraciones de datos aparecen constantemente en las noticias. Según la Privacy Rights Clearinghouse (oficina para la defensa del derecho a la privacidad), desde 2005, las infracciones de seguridad han puesto en peligro más de 500 millones de registros en los Estados Unidos, que incluyen solamente los incidentes declarados. Las pérdidas de datos ocasionadas por fallos o negligencias humanas también representan una amenaza importante. Por suerte, prevenir este tipo de infracciones u otros incidentes de fugas de datos resulta mucho más barato que solucionar las consecuencias una vez que se producen. Las normativas tienen como objetivo fomentar la protección de la información y los clientes, pero su cumplimiento puede convertirse en un terrible dolor de cabeza. Además, no es fácil mantenerse al día de los cambios de las normativas, demostrar su cumplimiento o evitar multas. Entonces, ¿qué hay que hacer para proteger la información empresarial y cumplir las normativas sin perder el juicio? La creación de planes efectivos para la protección de la información proporciona los conocimientos necesarios para gestionar los riesgos, al mismo tiempo que se cumplen los reglamentos y normativas de seguridad.

Razones para la protección de los datos personales en las empresas Los datos pueden salir de la red y dejar de estar controlados de muchas formas como, por ejemplo, a través de servidores, ordenadores de sobremesa, portátiles, dispositivos móviles o mensajes de correo electrónico desprotegidos. Por otra parte, los cibercriminales pueden utilizar programas maliciosos para penetrar en la red y destruir o robar información valiosa de las empresas. Por eso, es imprescindible proteger la información confidencial y los datos personales. Según la encuesta sobre seguridad informática realizada en 2011 por la revista CSO, un 81 % de las empresas encuestadas sufrió algún tipo de incidente de seguridad en el transcurso del año anterior, en comparación con el 60 % registrado en 2010. El 28 % de los encuestados percibió un aumento del número de incidentes de seguridad respecto a los 12 meses anteriores. En un mundo tan interconectado como el actual, las empresas recogen más datos personales que nunca, normalmente, por razones totalmente legales. Por datos personales se entiende toda información que puede utilizarse para identificar, ponerse en contacto o localizar a una persona determinada, tanto de forma aislada como junto con otros recursos. Y, por ley, este tipo de datos deben estar protegidos. Información como los números de tarjetas de crédito proporcionados durante transacciones comerciales, los números de la Seguridad Social introducidos en formularios de impuestos, los datos de cuentas bancarias utilizados durante pagos por internet, los datos sanitarios de consultas médicas, o los nombres, direcciones de correo electrónico y fechas de nacimiento introducidos para registrarse en cualquier sitio web, se almacenan en las bases de datos de diferentes compañías, que suelen compartirla con terceros para la subcontratación de diferentes actividades.

Todos y cada uno de estos datos permiten a las empresas ponerse en contacto con los clientes y proporcionarles ofertas y servicios. Sin embargo, cuando los cibercriminales se hacen con esta información de forma ilegal, pueden utilizarla para robos de identidades y otros delitos. Los robos de datos personales y, por consiguiente, de números de tarjetas de crédito tienen repercusiones importantes en la economía y en la reputación tanto de los afectados como de la empresa que sufre el robo. Por otra parte, el intercambio de datos personales entre empresas, cuando se realiza sin el consentimiento del individuo, infringe gran cantidad de leyes y normativas.

Number of Security Events During the Past 12 Months vs. the Prior 12 Months

81%

21%

of respondents’ organizations have experienced a security event during the past 12 months, compared to 60% in 2010 .

28% increased decreased No Change Not sure

12% 39%

Source: C S Omagazine’s 2011 CyberSecurity Watch survey

Informe de Sophos de 2011 sobre la seguridad de la información

Razones para la protección de los datos personales en las empresas

El peligro surge cuando los datos personales se filtran, se eliminan inadecuadamente o caen en las manos equivocadas. La manipulación, la protección y el uso que hacen las empresas de estos datos determina la magnitud de los riesgos. Además, los consumidores son cada vez más conscientes del problema: en una encuesta realizada en el Reino Unido a un total de 1 000 personas, el 94 % de los encuestados clasificaron la protección de los datos personales como su principal preocupación, en niveles similares a cuestiones como la delincuencia, según el periódico The Telegraph. Las empresas de todos los sectores deben prestar atención a la multitud de requisitos legales de protección de los datos personales y demás políticas relacionadas. Además, aquellas empresas que manejan datos financieros, gubernamentales, sanitarios, educativos, energéticos o comerciales se enfrentan a normativas aún más estrictas.

Hoy en día, existen una serie de medidas legislativas que limitan la distribución y el acceso a los datos personales, como el acta de Gramm-Leach-Bliley (GLBA), los reglamentos de privacidad y seguridad del decreto HIPAA (Health Insurance Portability and Accountability Act) para las instituciones sanitarias, la ley HITECH (Health Information Technology for Economic and Clinical Health Act) o el decreto FISMA (Federal Information Security Management Act) de los Estados Unidos. Todos los sectores se rigen por sus propios estándares, normativas y pautas para la protección de la información. ¿Cómo se puede actuar con respecto a estas normativas y cumplirlas, asegurarse de que la información de los clientes está protegida y evitar fugas de datos que dañen la confianza de los consumidores, pongan a la empresa en situaciones embarazosas o tengan efectos negativos en los beneficios? Para conseguirlo, es necesario gestionar los riesgos a los que se exponen los datos.

Los robos de datos personales y, por consiguiente, de números de tarjetas de crédito, tienen repercusiones importantes en la economía y en la reputación tanto de los afectados como de la empresa que sufre el robo.

La gestión de los riesgos ayuda a cumplir las normativas Una vez que gestione adecuadamente los riesgos que afectan a la información, el cumplimiento de las normativas será un problema mucho menos complicado. Existen gran cantidad de requisitos legales y es necesario cumplirlos y mantenerse al corriente sobre todos ellos. Pero, según la experta en seguridad Rebecca Herold, aún poniendo en práctica medidas eficaces para la protección de los datos, solo llegan a cumplirse entre un 85 y un 90 % de las normativas. "Hacer frente a los riesgos de la forma adecuada para cada empresa es uno de los requisitos fundamentales de la mayoría de las normativas para la protección de la información. Todas las normativas incluyen también regulaciones específicas que suelen pertenecer a estándares de seguridad de la información ampliamente reconocidos, como los estándares ISO/IEC 27001 o ISO/IEC 27002, y múltiples documentos del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés). Muchas de las evaluaciones de riesgos más utilizadas se basan en estos estándares", dice Herold. "Por eso, al identificar los riesgos para la seguridad de la información y hacerles frente, las empresas se liberan de gran parte de los problemas relacionados con el cumplimiento." El resto de los requisitos suelen ser específicos de cada sector. Estas son algunas de las estrategias más generalizadas para la gestión de los riesgos para la información: Conozca sus posesiones: defina los "datos personales" según las características de la empresa, teniendo en cuenta todos los tipos de datos afectados por los requisitos legales de protección de la información. Cree un inventario y consérvelo en buen estado. Conozca las posesiones de los empleados y a qué datos tienen acceso: (por ejemplo, los dispositivos móviles, los medios sociales y las nuevas tecnologías que utilizan). Identifique a los usuarios que recopilan, procesan, almacenan y acceden a los datos personales. Elija a los responsables de estas actividades. Informe de Sophos de 2011 sobre la seguridad de la información

Averigüe dónde se guardan los datos valiosos: localice las ubicaciones de almacenamiento, incluidos los equipos portátiles. Incluya también a las terceras partes en las que confía para almacenar información. Sepa qué datos recopilar, guardar o no guardar: cree políticas para limitar los datos recopilados, incluso los obtenidos por el departamento de marketing. No guarde los datos que no utiliza. Actúe de acuerdo a los requisitos de retención de datos. Añádalos al inventario de información o utilice un sistema independiente para gestionarlos. Asegúrese de que se deshace de los datos de forma segura e irreversible. Limite el acceso: restrinja el acceso para que sólo los usuarios que necesitan acceder a la información por razones laborales tengan permiso. No amplíe estos permisos más allá de los fines para los que se recopilaron dichos datos. Ponga en práctica la protección adecuada: Evalúe los riesgos e implemente una protección efectiva para mitigar los riesgos correctamente, según las políticas y procedimientos. No olvide informar sobre estas prácticas al resto de los usuarios mediante cursos de formación periódicos y mensajes continuos de concienciación. Estas estrategias deben respaldarse con las herramientas tecnológicas adecuadas y los procesos de control estrictos que trataremos más adelante en este informe. Pero, en primer lugar, analicemos lo que ocurre cuando se produce una violación de la seguridad.

Conclusiones principales de las infracciones más recientes Alrededor de un 85 % de todas las empresas norteamericanas han sufrido una o más filtraciones de datos, según el Instituto Ponemon, pero muchas empresas no tienen la capacidad para detectar este tipo de violaciones, por lo que el número puede ser mucho mayor. En los siguientes casos prácticos, analizaremos los efectos de los incidentes de seguridad en distintas empresas y el coste cada vez mayor que conllevan estas infracciones. Hospital General de Massachusetts El Hospital General de Massachusetts, el hospital más antiguo y de mayor capacidad de Nueva Inglaterra, recibió una multa de un millón de dólares del Departamento de Sanidad y Servicios Sociales de los Estados Unidos (HHS, por sus siglas en inglés) por la pérdida de los registros médicos de 192 pacientes. Uno de los empleados olvidó los archivos en el metro, por lo que la causa fue un fallo humano. Pero esta infracción de la ley de privacidad HIPAA le costó al hospital alrededor de 15 000 dólares por archivo, lo que demuestra el valor de la protección de la información. Si los archivos fueran electrónicos y los datos estuvieran cifrados de forma estricta según los estándares del Instituto Nacional de Estándares y Tecnología, el hospital no habría tenido que informar ni al HHS ni a los pacientes sobre el incidente. La cláusula de salvaguardia de la ley HITECH establece que, si es posible demostrar que la información estaba cifrada, no será necesaria la divulgación, una razón de mucho peso para cifrar los datos.

BP En otro incidente provocado por un fallo humano, un empleado de BP perdió un ordenador portátil que contenía los datos de 13 000 solicitantes de compensaciones por el derrame de petróleo durante un viaje de negocios rutinario. Estos datos incluían los nombres, números de la Seguridad Social, direcciones, números de teléfono y fechas de nacimiento no cifradas de las personas que habían presentado demandas relacionadas con el accidente de Deepwater Horizon. Y las pérdidas de ordenadores portátiles son muy frecuentes: alrededor de 12 000 portátiles se pierden cada semana solamente en los aeropuertos de los Estados Unidos, es decir, alrededor de uno cada 50 segundos.

La cláusula de salvaguardia de la ley HITECH establece que, si es posible demostrar que la información estaba cifrada, no será necesaria la divulgación, una razón de mucho peso para cifrar los datos.

Epsilon El proveedor de servicios publicitarios Epsilon sufrió una gran filtración de datos, con la que se pusieron en peligro los datos de las direcciones de correo electrónico pertenecientes a muchas de las principales marcas del mundo. Epsilon es el principal proveedor de campañas publicitarias a través de mensajes de correo electrónico permitidos y envía más de 40 000 millones de mensajes al año en nombre de 2 500 marcas, como Kroger, Marriott Rewards y Ritz Carlton Rewards. Con solo estos datos (nombres y direcciones de correo electrónico), los cibercriminales pueden realizar ataques selectivos contra los clientes que cuentan con recibir información de las distintas marcas. Los mensajes de este tipo de ataques, también conocidos como ataques de spearphishing, pueden solicitar información confidencial o personal, e incluir adjuntos víricos que pueden exponer a las víctimas a robos adicionales. Además, ofrecen información a los delincuentes sobre las costumbres de consumo y la vida de los propietarios de las direcciones de correo electrónico.

Nationwide Building Society Nationwide Building Society es una de las empresas de servicios financieros más grande del Reino Unido. La Autoridad para la Regulación de los Servicios Financieros (FSA, por sus siglas en inglés) impuso multas a la empresa por un total de casi un millón de libras esterlinas por los procesos y controles de seguridad poco estrictos que llevaron a la divulgación de datos personales cuando un portátil de la empresa que contenía registros confidenciales de cerca de 11 millones de clientes fue objeto de un robo. El portátil se sustrajo durante un robo en el hogar del empleado y las autoridades sospechan que el objetivo del ladrón no eran los datos, sino simplemente el equipo. Aún así, la empresa tuvo que hacer frente a una multa considerable, además del coste de notificar a los millones de afectados.

Informe de Sophos de 2011 sobre la seguridad de la información

El coste de las filtraciones de datos Como muestran estos ejemplos, las filtraciones de datos no solo afectan a los clientes cuyos datos se pierden, sino que además suponen costes significativos para las empresas. Según el informe más reciente del Instituto Ponemon sobre los gastos por filtraciones de datos en los Estados Unidos, los costes siguen aumentando. En 2010, los costes provocados por una filtración de datos alcanzaron los 214 dólares por registro y una media de 7,2 millones de dólares por incidente. Pero, además de los costes directos de las filtraciones de datos (como el coste de notificar a los afectados o de los litigios), los beneficios de las empresas se ven afectados también por otros costes indirectos, como la pérdida de ventas o de la confianza de los clientes.

Una encuesta realizada recientemente por OnePoll demuestra claramente el impacto de los costes indirectos. Según la encuesta, alrededor de dos tercios de los consumidores del Reino Unido prefieren no establecer relaciones con empresas que se hayan visto involucradas en fugas de información confidencial. Según el Instituto Ponemon, los posibles gastos ocasionados por la pérdida de clientes tras una infracción de seguridad están incitando a las empresas de los Estados Unidos a reforzar la protección de los sistemas.

"Según la encuesta, alrededor de dos tercios de los consumidores del Reino Unido prefieren no establecer relaciones con

Y tiene sentido, porque es necesario encontrar el equilibrio perfecto entre lo que cuesta proteger la información de las empresas y las pérdidas a las que están dispuestas a enfrentarse.

empresas que se

Sin embargo, resulta irónico que, según el Instituto Ponemon, las empresas que reaccionan rápidamente a las infracciones de seguridad sufran mayores gastos que las empresas que tardan en reaccionar: en 2010, pagaron un 54 % más. Pero, ¿por qué cuesta más "hacer lo correcto" lo antes posible?

fugas de informa-

hayan visto involucradas en ción confidencial". OnePoll

De acuerdo con las conjeturas del Instituto Ponemon, el cumplimiento de normativas como la HIPAA o la ley HITECH (entre muchas otras leyes estatales sobre la notificación de filtraciones de datos) está estimulando esta prisa por informar a los clientes. Por desgracia, las empresas se apresuran de tal forma a notificar a los afectados que terminan por informar incluso a aquellos clientes cuyos datos no se han extraviado. Según el Dr. Larry Ponemon, "las empresas que realizan un análisis previo y dedican tiempo a detectar qué clientes se han visto realmente afectados y deben ser informados son las que consiguen reducir más los gastos tras una filtración de datos". Además, a medida que los diferentes estados dictan nuevas leyes para obligar a las empresas a informar a los clientes sobre las filtraciones de datos personales, los costes siguen aumentando. Hasta la fecha, al menos 46 estados norteamericanos han impuesto dichas medidas, pero las definiciones de las infracciones y de los datos personales, junto con las fechas límite para informar a los clientes o las multas por incumplir las normativas, son poco uniformes. Para simplificar esta mezcla desorganizada de normativas estatales, muchos expertos en seguridad de la información están demandando leyes nacionales, similares a la ley HITECH del sector sanitario. El Congreso de los Diputados de los Estados Unidos aprobó un proyecto de ley en 2009 que podría estandarizar las reacciones de las empresas a las infracciones e imponer las notificaciones a los clientes. Durante los últimos 5 años, el Senado ha presentado varias versiones de la ley en varios proyectos, pero aún no ha llegado a su aprobación. Puesto que el objetivo es evitar las fugas de datos antes de que se produzcan, analicemos las razones por las que los datos pueden verse en peligro.

Informe de Sophos de 2011 sobre la seguridad de la información

Diferencias mundiales El Instituto Ponemon también ha investigado los costes de las filtraciones de datos a nivel mundial a través del análisis consolidado del estudio de los costes en los Estados Unidos, Reino Unido, Alemania, Francia y Australia. Para conservar la coherencia y no distorsionar los resultados, el tamaño de los incidentes de fugas de datos analizados no debía superar ciertos límites (lo que explica que los costes en los Estados Unidos sean ligeramente inferiores a los mencionados anteriormente). En los Estados Unidos, el coste por registro afectado fue de 204 dólares (el más alto de los países analizados), seguido por Alemania, Francia, Australia y el Reino Unido, con costes de 177, 119, 114 y 98 dólares, respectivamente.

Per capita cost Converted to $US dollars 250

200

204 177

150 142 119

100

114 98

Germany

France

Australia

Average

Source: Ponemon institute

Nuevos peligros para los datos

¿Por qué corre peligro la información y cómo sale de las redes de las empresas? Los datos de las empresas pueden ser susceptibles a pérdidas o robos por diferentes motivos: fallos humanos comunes, robos informáticos maliciosos, fallos tecnológicoso nuevas tecnologías. El uso de las tecnologías móviles y la fusión de las tecnologías empresariales y particulares, conocida como la "consumerización de la informática", son dos de las causas más novedosas de estos riesgos. Además, cuando los empleados no son conscientes de los problemas que rodean a la seguridad de la información o no reciben formación sobre cómo proteger los datos que utilizan, los riesgos para las empresas aumentan. Estudiemos todos estos riesgos en mayor detalle:

Fallos humanos En su Ensayo sobre la crítica de 1711, el poeta inglés Alexander Pope dijo: "Equivocarse es humano". Y, hoy en día, muchas de las filtraciones de información se producen simplemente por fallos humanos, como portátiles olvidados en aviones o trenes, dispositivos BlackBerry o iPhone que se caen del bolsillo al sentarse o memorias USB que se pierden durante conferencias. Fallos tontos que tienen consecuencias desastrosas. Pope también dijo que "perdonar es divino" pero, por desgracia, los profesionales informáticos no se pueden permitir ser tolerantes en cuanto a las fugas de datos. Según un estudio del Instituto Ponemon, los viajes son los momentos más propicios para las pérdidas de ordenadores portátiles. El estudio demostró que los lugares en los que los empleados suelen perder los portátiles con más frecuencia son los hoteles, los aeropuertos, los coches de alquiler y durante 10

conferencias. A menudo, los empleados no se preocupan o burlan los procedimientos de seguridad y, por consiguiente, los datos delicados y confidenciales pueden correr grandes peligros. Entre las principales amenazas provocadas por las acciones de los empleados se incluyen el uso inadecuado de las contraseñas y los métodos de autenticación, la transferencia de archivos a memorias USB y el descuido de los portátiles durante los viajes.

If your organization had a lost or stolen laptop computer, which of the following possible consequences would have the most negative impact? Loss of trust by consumers and other stakeholders

31%

Negative media and brand damage

19%

Business interruption

16%

15%

11%

Regulatory action

Costly remediation efforts 0% Source: Ponemon institute

10%

15%

20%

25%

30%

35%

Además, las memorias USB, los CD y los DVD pueden contener programas no autorizados que representen un peligro para la red. Los programas maliciosos como el gusano Conficker se están convirtiendo en un problema importante y este tipo de dispositivos pueden fomentar su propagación. A veces, los usuarios copian datos delicados en medios portátiles como estos, que pueden perderse o compartirse con personas ajenas a la empresa. Por eso, impedir la ejecución automática de estos dispositivos al conectarlos o restringir su uso pueden ser alternativas a tener en cuenta. Si los medios extraíbles juegan un papel importante en su empresa, escanéelos de forma periódica para detectar programas maliciosos o datos confidenciales. Los empleados deben ser conscientes de las consecuencias de perder un portátil, un dispositivo móvil o cualquier otro medio portátil y conocer tanto los métodos para evitar pérdidas como los procedimientos de notificación adecuados después de una fuga de datos. Según las estadísticas de la Privacy Rights Clearinghouse (oficina para la defensa del derecho a la privacidad) de los Estados Unidos, los dispositivos móviles se vieron implicados en alrededor 30 de las 144 filtraciones de datos registradas durante el primer trimestre de 2011. Los analistas de seguridad recomiendan las tecnologías de cifrado (en concreto, el cifrado completo del disco en el caso de los ordenadores portátiles) como uno de los métodos más eficaces para proteger los datos almacenados en dispositivos portátiles contra este tipo de incidentes. "Hoy en día, las empresas que no cifran los ordenadores portátiles es porque no quieren", dice Avivah Litan, vicepresidenta y analista distinguida de Gartner. Por desgracia, muchas empresas siguen haciendo oídos sordos a

estos consejos por culpa de los costes y la complejidad aparente de las tecnologías de cifrado. Herold añade que "muchas empresas creen que el cifrado resulta caro y, para "ahorrar dinero", no lo implementan". Lamentablemente, opinar así es muy poco prudente. Además de los posibles errores que pueden cometer los empleados, es necesario tener en cuenta la seguridad de la información a la hora de subcontratar servicios y protegerse contra el acceso indebido a los datos. Por ejemplo, la ley HITECH amplía el cumplimiento de la HIPAA a todos los socios de empresas que manejen datos sanitarios protegidos. A su vez, los subcontratistas deben proteger la información al mismo nivel, incluso si su empresa no pertenece al sector sanitario. Para trabajar con proveedores y socios externos, es importante tomar las medidas de seguridad adecuadas para cumplir las normativas como, por ejemplo, respetar la privacidad de los pacientes.

"Hoy en día, las empresas que no cifran los ordenadores portátiles es porque no quieren." Avivah Litan Vicepresidenta y analista distinguida de Gartner

Los controles automáticos pueden ayudar a reducir el número de fallos humanos, básicamente, retirando a los usuarios de la toma de decisiones. Aunque no es posible eliminar el factor humano por completo, la automatización puede ayudar a limitarlo. La implementación de la protección de la información no debería ser una carga para los usuarios. Al automatizar los procesos, por ejemplo, mediante el cifrado automático de los mensajes y adjuntos de correo electrónico, los usuarios no necesitan participar en la implementación de la seguridad.

Informe de Sophos de 2011 sobre la seguridad de la información

Nuevos peligros para los datos

Intenciones maliciosas Otro tipo de peligro de naturaleza humana es aquel que se produce de forma intencionada y maliciosa cuando, por ejemplo, un hacker intenta acceder a datos valiosos o un empleado descontento intenta provocar daños en la empresa o robar información para beneficio propio. Los robos de portátiles u otros dispositivos que contienen información empresarial también se realizan con intenciones de este tipo. Además, los ataques son cada vez más sofisticados: por ejemplo, el ataque malicioso sufrido por RSA recientemente demuestra que hasta las empresas de seguridad están en el punto de mira hoy en día. En 2010, los ataques maliciosos fueron el origen del 31 % de las filtraciones de datos analizadas, según el Instituto Ponemon, en comparación con el 24 % en 2009 y el 12 % en 2008. Por término medio, las infracciones malintencionadas resultan más caras que los incidentes provocados por negligencias. Los ataques maliciosos dan lugar a costes mayores porque son más difíciles de detectar, detener y solucionar, y las investigaciones son más complejas. Además, este tipo de actividades ilegales suelen tener como objetivo beneficios económicos o la obtención de datos personales que los delincuentes puedan vender. Sin embargo, parece haber surgido una nueva variedad de ataques malintencionados patrocinados por diferentes países y con inclinaciones políticas o, incluso, terroristas. Desde sitios web como WikiLeaks, creado de forma exclusiva para la filtración y distribución de información gubernamental a 12

través de ataques de denegación de servicios (DDoS) que desactivan determinados sitios web con el fin de llamar la atención sobre cualquier tema, estos grupos de hackers activistas lanzan un nuevo tipo de amenazas. Curiosamente, según una encuesta sobre seguridad informática realizada en 2011, las empresas están más preocupadas por los delitos informáticos que el año pasado, pero también se sienten más preparadas. La encuesta indica, además, que los gastos destinados a la seguridad están aumentando.

More Concerned, More Prepared

41%

40%

52%

56%

More concerned

More prepared

Less concerned

Less prepared

Level of concern has not changed

Same level of preparedness

Source: C S Omagazine’s 2011 CyberSecurity Watch survey

Fallos tecnológicos o en los sistemas A veces, la culpa no es de nadie en concreto. Por ejemplo, cuando se produce un error en un sistema automático o los datos se almacenan de forma incorrecta en internet, puede producirse una filtración accidental de datos comerciales. Además, las tecnologías nuevas o actualizadas recientemente pueden contener vulnerabilidades no detectadas que permitan la entrada de ataques maliciosos, una buena razón para no descuidar la instalación puntual de los parches de seguridad. Un fallo reciente en los sistemas del Banco Nacional Australiano (NAB) provocó el caos en el sistema de transacciones, dando lugar al retraso, la anulación o la duplicación de millones de transacciones. En el Banco de la Commonwealth, también en Australia, hasta un total de 40 cajeros automáticos empezaron a disparar dinero en efectivo como resultado de un fallo en el mantenimiento de la base de datos.

A veces, ciertos tipos de datos hacen más difícil su protección. Por ejemplo, los archivos no estructurados (como las hojas de cálculo de Microsoft Excel o los documentos de PowerPoint) no se controlan fácilmente y es difícil saber si contienen datos confidenciales. Cuando el Instituto Ponemon preguntó a 714 técnicos informáticos de los Estados Unidos sobre las tres principales amenazas para la seguridad de sus empresas, los fallos en los procesos empresariales y los fallos tecnológicos resultaron ser las más importantes, seguidas por el robo o extravío de portátiles.

65%

Business process failures 59%

Technology glitches 53%

Lost or stolen laptops Cyber crime

52%

Malicious employees

39%

Flubs by third parties

36%

Virus or malware infections

32%

Missed or failed security patches

24%

Social engineering

8% 0%

10%

20%

30%

40%

50%

60%

70%

Source: Ponemon institute

Informe de Sophos de 2011 sobre la seguridad de la información

Nuevos peligros para los datos

Tecnologías emergentes Las nuevas tecnologías (y los nuevos métodos de empleo de la tecnología) son uno de los principales retos para los directores informáticos. La "consumerización" de la informática, las tecnologías móviles, los medios sociales, los sistemas virtuales y la informática en la nube son solo algunos de los problemas de una larga lista. "Consumerización" de la informática: la distinción entre el trabajo y el hogar es cada vez más reducida, lo que provoca el aumento de la presencia de dispositivos personales y portátiles en las redes empresariales. Los empleados utilizan dispositivos personales como portátiles, tabletas y teléfonos inteligentes para el trabajo y acceden a la delicada información empresarial desde sus equipos domésticos. Los departamentos informáticos tradicionales de las empresas intentaban separar las tecnologías laborales de las personales y de consumo, pero la fusión era inevitable. "A medida que se difuminan los límites de las redes tradicionales, los directores informáticos deben encontrar métodos para proteger la información, en lugar de proteger solo la red", dice Herold. "Ahora, las redes albergan estaciones con vida propia y, por consiguiente, es necesario ir más allá de las instalaciones físicas". Dispositivos móviles: por naturaleza propia, los dispositivos móviles son más difíciles de proteger y, por lo tanto, pueden convertirse en la tecnología más delicada de la red. Según el informe de 2010 del cuadrante mágico de Gartner de 2010 sobre protección de datos móviles, "necesarios para proteger la privacidad de los datos y cumplir los 14

requisitos de auditoría, toda empresa debe contar con procedimientos y sistemas para la protección de datos móviles (MDP) en su plan de operaciones informáticas". A lo que Herold añade que "la formación y la concienciación de los empleados para controlar los riesgos de la informática móvil son también una parte importante de la ecuación". Algunos estados norteamericanos están empezando a promulgar leyes sobre la protección de la información en dispositivos móviles. Por ejemplo, en septiembre de 2008, el estado de Massachusetts aprobó la ley para la protección de la información conocida formalmente como Mass 201 CMR 17.00, que obliga a las empresas a cifrar los datos personales delicados almacenados en dispositivos móviles. Esta normativa afecta a todas las empresas que poseen, autorizan, almacenan o mantienen información personal sobre habitantes de la mancomunidad de Massachusetts. La mayoría de disposiciones de esta ley entraron en vigor en marzo de 2010. Medios sociales: el uso de medios sociales como Facebook o LinkedIn en el ambiente laboral pone en peligro a las empresas, tanto si los empleados acceden a estos sitios por motivos personales como de trabajo. Según Herold, "la mayor parte de los usuarios de medios sociales no son conscientes de los peligros de sus acciones ni de los riesgos que corre su privacidad, o no les preocupa. La mayoría están acostumbrados a tratar con empresas de confianza que protegen sus datos y creen que mantendrán sus promesas de forma indefinida, incluso las relativas a la privacidad. Sin embargo, en un mundo cada vez más digitalizado y cambiante como el actual, no es así. Facebook es el ejemplo más claro, con cambios y modificaciones de la privacidad casi mensuales".

"Necesarios para proteger la privacidad de los datos y cumplir los requisitos de auditoría, toda empresa debe contar con procedimientos y sistemas para la protección de datos móviles (MDP) en su plan de operaciones informáticas." Gartner

Por norma general, los usuarios de cualquier medio social deben ser conscientes de que, si no pagan por esos servicios, es probable que las políticas de acceso y seguridad del sitio estén dirigidas a proteger a los que sí lo hacen: los anunciantes, cuya principal finalidad es tener acceso a los usuarios y a sus datos. El uso de las redes sociales puede afectar a las empresas cuando los empleados se conectan desde el trabajo, proporcionan datos personales que pueden dar lugar a ataques de spearphishing a través del correo electrónico, participan en encuestas fraudulentas por internet o utilizan las mismas contraseñas con las que acceden a las aplicaciones de la empresa. El punto más débil determina el nivel de seguridad. También existen riesgos derivados de las vulnerabilidades del código de Facebook, que pueden permitir la entrada de ataques maliciosos, robos de datos personales y spam. Virtualización: la virtualización de servidores ha tenido tanto éxito que, según la firma de análisis de mercado IDC, más del 50% de las licencias vendidas hoy en día son de servidores virtuales, en lugar de físicos. Además, las empresas se están planteando también virtualizar los escritorios. Puesto que las tecnologías virtuales ocupan un lugar cada vez más importante en las redes empresariales, es importante proteger correctamente las inversiones en este tipo de sistemas para evitar problemas para la seguridad de la información. Existen diferentes estrategias para proteger los servidores y escritorios virtuales como, por ejemplo, implementar una protección total para estaciones en los equipos virtuales, además de realizar escaneados y actualizaciones, al mismo tiempo que se equilibra la protección con el rendimiento.

Informe de Sophos de 2011 sobre la seguridad de la información

Subcontratación e informática en la nube: la informática en la nube (o cloud computing) utiliza internet para modificar, almacenar, hacer uso y acceder a los datos. En los sistemas de cloud computing, el usuario no es el propietario de la aplicación ni la maneja. La subcontratación a proveedores de servicios en la nube puede reducir los costes y la complejidad, pero también aumenta los riesgos, sobre todo, cuando están implicados datos personales o delicados. Algunos expertos en seguridad recomiendan conservar los datos cruciales para la empresa en los servidores propios. La filtración de datos sufrida recientemente por Epsilon es un buen ejemplo de los riesgos de la informática en la nube. Al tratarse de un proveedor de servicios publicitarios directos en la nube, una filtración de los sistemas de Epsilon se traduce en una filtración de los sistemas de todos sus clientes. Por eso, al subcontratar el manejo, el procesamiento y el almacenamiento de la información, es necesario asegurarse de que el proveedor de servicios en la nube cuenta con los controles necesarios. Por ejemplo, los socios y subcontratistas de una empresa que maneje datos sanitarios protegidos deben cumplir también la ley HITECH. Mediante la documentación de las acciones llevadas a cabo por la empresa para garantizar que el proveedor de servicios en la nube cuenta con los controles adecuados, podrá demostrar las diligencias debidas y la estrategia de cumplimiento seguida.

Nuevos peligros para los datos

Falta de formación y concienciación A menudo, la falta de concienciación de los empleados acerca de los problemas de seguridad puede dar lugar a la protección inadecuada de datos de gran valor para la empresa. Los empleados deben saber cómo proteger la información con la que trabajan a diario para cumplir con su cometido. Además, en palabras de Herold, "existe un número cada vez mayor de leyes y normativas que obligan a las entidades correspondientes a ofrecer cualquier tipo de formación o concienciación sobre la privacidad y la seguridad de la información, no solo al personal sino también, en algunos casos, a los clientes". La implementación de formación periódica sobre privacidad y seguridad de la información puede ayudar a las empresas a reducir el número de incidentes de seguridad. Refuerce los requisitos de privacidad y seguridad mediante la concienciación continua. Además de ayudar al personal a proteger sus datos personales, la formación contribuye a que sean más responsables de sus acciones.

¿Está tomando todas las medidas posibles para proteger los datos y cumplir las normativas? Para hacerse con el control de la seguridad informática, es necesario dividirla en partes manipulables. Las estrategias de seguridad informática están formadas por tres componentes: los requisitos impuestos por ley, los procedimientos operativos adoptados por la empresa y las herramientas tecnológicas utilizadas para cumplir los objetivos. Resulta útil dividir mentalmente las herramientas tecnológicas en cuatro categorías según la faceta de la protección de la información a la que sirven de apoyo, aunque todas actúen como diferentes capas de un mismo conjunto. Este es un resumen de la protección por capas ofrecida por Sophos:

Prevención de fugas de datos: Sophos ofrece una solución única y sencilla para la prevención de las fugas de datos (DLP). El escaneado del contenido está integrado en el motor de detección de amenazas e incluye un conjunto completo de definiciones de tipos de datos delicados para protegerlos de inmediato.

Cifrado: Sophos permite compartir datos de forma segura gracias al cifrado completo de discos, dispositivos de almacenamiento extraíble y correo electrónico. SafeGuard Enterprise es una solución de cifrado basado en políticas para ordenadores de sobremesa y dispositivos móviles en entornos mixtos.

Controles de seguridad: ocúpese de las fuentes de infección y evite incidentes para crear un entorno informático seguro. Sophos ofrece tecnologías de control del acceso a la red, aplicaciones, dispositivos y tipos de archivo, para ayudarle a reducir el número de amenazas.

Protección contra amenazas: lo que necesita es una solución que detecte amenazas de día cero de forma proactiva y que reaccione rápidamente a los ataques. Mediante la protección antivirus, Live Protection y para internet, Sophos se encarga de todo.

Informe de Sophos de 2011 sobre la seguridad de la información

Protección eficaz y cumplimiento de normativas mediante la supervisión constante Para proteger la información de forma eficaz y cumplir las normativas, es necesario vigilar constantemente los datos generados por la empresa y el tráfico de los mismos, así como implementar la protección necesaria. Pero Sophos puede proporcionarle muchas otras herramientas y consejos. Para empezar, consulte el Plan para la seguridad de la información de Sophos. También puede visitar nuestro sitio web de tendencias y noticias de seguridad tan a menudo como lo desee, para informarse sobre las últimas novedades en relación a la protección de la información. Nuestro trabajo es mantenernos informados en todo momento sobre el cambiante panorama de normativas y seguridad de la información. Por eso, vigilamos su evolución de forma constante y le informamos periódicamente.

Apéndice A: listado de las principales normativas Aunque no existe ninguna recopilación completa de todas las leyes y normativas de cumplimiento disponible en internet, esta lista de recursos por zonas, junto con los ya mencionados en este informe, puede resultarle útil: Selección de leyes estatales de los Estados Unidos relativas a la privacidad en internet recopilada por la Conferencia Nacional de Legislaturas Estatales (NCSL, por sus siglas en inglés) Leyes estatales de los Estados Unidos relativas a la notificación de infracciones recopiladas por la Conferencia Nacional de Legislaturas Estatales (NCSL, por sus siglas en inglés) Leyes estatales sobre infracciones de la seguridad de la información recopiladas por el despacho de abogados Mintz Levin Leyes sobre protección de datos del hemisferio occidental recopiladas por el Departamento de Comercio de los Estados Unidos Selección de leyes sobre protección de datos en Asia y Oceanía recopiladas por el Departamento de Comercio de los Estados Unidos Selección de informes por países recopilados por Privacy International Disposiciones del acta Gramm-Leach-Bliley relativa a la privacidad (GLBA) recopiladas por la Corporación Federal de Seguro de Depósitos (FDIC, por sus siglas en inglés) Reglamentos de privacidad y seguridad del decreto HIPAA (Health Insurance Portability and Accountability Act) recopilados por el Departamento de Sanidad y Servicios Sociales de los Estados Unidos Ley HITECH (Health Information Technology for Economic and Clinical Health ) recopilada por el Departamento de Sanidad y Servicios Sociales de los Estados Unidos Decreto FISMA (Federal Information Security Management Act ) recopilado por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés)

Informe de Sophos de 2011 sobre la seguridad de la información

Apéndice B: demostración del cumplimiento y rentabilidad del cumplimiento eficaz Demostración del cumplimiento La hora de la verdad debe llegar en algún momento. Es entonces cuando es necesario poner en práctica las estrategias, convertirlas en parte de la rutina diaria para proteger los datos de la empresa, cumplir las normativas y, si es necesario, demostrar el cumplimiento. Las áreas principales son cuatro: 1. Responsabilidad: toda empresa es responsable de la protección seria de la información, tanto de los datos que posee como de los que confía a terceros. Se habla mucho del deber social de las empresas para con su comunidad pero, si lo analizamos detenidamente, el primer paso es proteger la información privada y delicada de los clientes. Cignet Health es un buen ejemplo reciente del descuido de esta responsabilidad por parte de una empresa. El Departamento de Sanidad y Servicios Sociales de los Estados Unidos impuso a la institución sanitaria una multa de 4,3 millones de dólares por la violación de la ley de privacidad HIPAA, después de que Cignet fuera incapaz de proporcionar copias de sus registros médicos a 41 pacientes, además de no responder a las solicitudes de información relacionadas con las quejas. Al final, el HHS determinó una "negligencia deliberada con respecto a sus obligaciones" por parte de Cignet. 2. Rendición de cuentas: para que la empresa en su totalidad se tome el cumplimiento de las normativas en serio, es necesario designar al encargado de rendir cuentas al respecto. Algunas empresas 20

cuentan con puestos específicos (como los jefes de cumplimiento) pero, normalmente, la función afecta a varios departamentos (legal, registros, informática, finanzas, operaciones) y nadie actúa como principal responsable. Para cumplir los objetivos y demostrar la importancia del cumplimiento en una empresa, resulta útil contar con un ejecutivo dedicado a su fomento. Según un informe reciente de Ponemon, cada vez más empresas cuentan con directores de seguridad informática dedicados a la solución de filtraciones de datos, lo que demuestra la vinculación entre la tecnología y una práctica empresarial sólida. Además, la rendición de cuentas individual es un tema cada vez más importante en el ámbito de la privacidad y la protección de datos personales. Muchos expertos coinciden en que los usuarios de servicios por internet tienen la responsabilidad de protegerse siguiendo unas cuantas reglas básicas. 3. Diligencia: el cumplimiento de las normativas no es una función aislada. Que nos hayamos esforzado por proteger los datos de la empresa y cumplir las normativas del sector en un determinado momento, no quiere decir que podamos cruzarnos de brazos. Según las conclusiones de una teleconferencia reciente de Focus Research, el modelo empresarial debe cambiar para responder a preguntas como qué hacer para cumplir las normativas de forma continua o qué cambios son necesarios en la forma de trabajo de las empresas. Para que los datos estén seguros y cumplir las normativas, es necesario conseguir un equilibrio entre los problemas de seguridad operativos y técnicos. Es necesario documentar las políticas y procedimientos

El cumplimiento de las normativas no es una función aislada. Que nos hayamos esforzado por proteger los datos de la empresa y cumplir las normativas del sector en un determinado momento, no quiere decir que podamos cruzarnos de brazos.

los costes derivados del cumplimiento.

empresariales, y asegurarse de que es posible cambiarlos y personalizarlos según las necesidades, además de compartirlos con los empleados y los socios. Para cumplir las normativas a conciencia es necesario un giro de 360º: los empleados deben hacerse cargo de su parte pero, además, es imprescindible responsabilizarse de los socios empresariales externos, como los servicios subcontratados para los procesos de facturación, recaudación, revisión previa a la contratación e informática administrada. Para completar la estrategia, es aconsejable crear programas de formación y concienciación, de forma que todas las partes involucradas entiendan el papel que desempeñan.

En primer lugar, la prevención de filtraciones de datos y la reducción del impacto que puedan tener las posibles infracciones es el paso inicial hacia el ahorro.

4. Controles técnicos: además de la responsabilidad, la rendición de cuentas y la diligencia, son necesarios controles técnicos, es decir, herramientas en la red con las que proteger los datos y cumplir las normativas. Las soluciones por capas para el control técnico incluyen tecnologías de cifrado, protección de datos, prevención de fugas de datos y controles de seguridad. Por otra parte, los informes de vigilancia correspondientes ofrecen la documentación necesaria para demostrar el cumplimiento en caso de auditorías.

Rentabilidad del cumplimiento eficaz El estudio reciente de cotas de referencia del Instituto Ponemon sobre el verdadero coste del cumplimiento de las normativas apoya la gestión de los riesgos para la información. En este estudio se demuestra que las empresas con estrategias y prácticas para la seguridad de la información bien diseñadas pueden reducir los riesgos financieros y

La finalidad del estudio era determinar el impacto económico en las empresas que ponen en práctica actividades relacionadas con el cumplimiento, como procesos, políticas, recursos humanos o tecnologías. Entre los costes derivados de la infracción de las normativas se incluyeron las multas, las tasas legales o las pérdidas de oportunidades de venta. Durante el estudio, se analizaron este tipo de actividades en 46 empresas multinacionales hasta determinar que los costes medios por la infracción de las normativas son 2,56 veces mayores que los costes generados por el cumplimiento. Según el estudio, las empresas con inversiones continuas en actividades relacionadas con el cumplimiento ahorraron dinero en comparación con aquellas que incumplían varias normativas de seguridad nacionales e internacionales. De entre las empresas analizadas, los costes medios generados por el cumplimiento eran de 3,5 millones de dolares, mientras que los costes medios provocados por la infracción de las normativas alcanzaban los 9,3 millones de dólares, de lo que se deduce que las empresas que invirtieron 3,5 millones de dólares ahorraron 5,8 millones. En resumen, según Ponemon, "para reducir los costes del cumplimiento, es necesario encontrar la mezcla adecuada de tecnologías, procesos de control, personal brillante y una buena dirección".

The True Cost of Compliance $5,838,781 difference

Compliance Cost

$3,529,570

Non-Compliance Cost

$9,368,351

$5,000,000

$10,000,000

Source: Ponemon/Tripwire

Informe de Sophos de 2011 sobre la seguridad de la información

APÉNDICE C: lista de consejos prácticos para la gestión de los riesgos para la información Acciones

Requisitos y productos finales

Conseguir el apoyo de los ejecutivos

q Los ejecutivos deben comprender el impacto para la empresa de las violaciones legales y de la privacidad q El apoyo de los ejecutivos debe ser activo y visible para fomentar el compromiso de los usuarios

Asignar responsabilidades

q Identificar roles y responsabilidades relacionados con la privacidad y la seguridad de la información dentro de la empresa q Asignar roles y responsabilidades de apoyo en el resto de la empresa

Identificar los requisitos legales para el cumplimiento

q PCI-DSS para el procesamiento de tarjetas de crédito q Normativas pertinentes: por ejemplo, HIPAA o HITECH (sanidad), GLBA (finanzas), FERPA (educación), FISMA (gobierno de los EE. UU.), SOX (empresas que cotizan en bolsa) q Leyes nacionales, estatales y provinciales pertinentes q Requisitos contractuales

Definir y documentar la información

q Definir los datos confidenciales y personales según las características de su empresa, clientes y empleados q Clasificar los datos y crear procedimientos de apoyo q Documentar las ubicaciones de almacenamiento de los datos, los puntos de entrada y salida, cómo se utilizan y quién tiene acceso

Establecer e implementar políticas y procedimientos

q Coherentes con todos los requisitos legales relevantes q En torno a las vulnerabilidades identificadas durante las evaluaciones de riesgos q Realizar un análisis de las lagunas presentes en las políticas, herramientas y controles actuales

Identificar controles técnicos de apoyo

q Cifrado q Protección contra programas maliciosos q Prevención de filtraciones de datos q Control de aplicaciones y dispositivos físicos q Cortafuegos de red y clientes q Copia de seguridad de los datos q Controles de integridad de los datos q Gestión de autorización e identidades q Controles de acceso físico y lógicos q Supervisión e informes

Educar al personal

q Identificar y documentar la formación q Implementar formación periódica por grupos q Instaurar actividades y envíos de mensajes continuos de concienciación

Consultar estos recursos

q Leer los nuevos informes sobre protección de datos de Sophos cada 6 meses q Inscribirse en los canales de información RSS del blog de Sophos Naked Security en: http:// nakedsecurity.sophos.com/ q Consultar nuestros otros informes y monográficos en: http://www.sophos.com/en-us/ security-news-trends/whitepapers.aspx q Vigilar la lista de infracciones en: http://www.hhs.gov/ ocr/privacy/hipaa/administrative/ breachnotificationrule/breachtool.html

q Herramientas y productos relacionados de Sophos: http://www.sophos.com/en-us/products. aspx

Fuentes Encuesta CyberSecurity Watch Survey de 2011, trabajo conjunto de la revista CSO, el Servicio Secreto de los Estados Unidos, el programa CERT® de la Facultad de Ingeniería de Software de la Universidad de Carnegie Mellon y Deloitte BBC News, "Nationwide fine for stolen laptop", 14 de febrero de 2007 Bloomberg, "Security-breach costs climb 7% to $7.2 million per incident", por Kelly Riddell, 8 de marzo de 2011

Computerworld, "BP employee loses laptop containing data on 13,000 spill claimants", por Jikumar Vijayan, 29 de marzo de 2011 Computerworld, "Failure to encrypt portable devices inexcusable, say analysts", por Jikumar Vijayan, 31 de marzo de 2011 Focus IT Roundtable: The State of IT Compliance—What’s Working and What’s Not (con Rebecca Herold), 3 de marzo de 2011 Gartner Information Technology Research Cuadrante mágico de Gartner de 2010 sobre protección de datos móviles Information Security and Privacy Training and Awareness, vídeo de Rebecca Herold Sitio web de la IAPP (International Association of Privacy Professionals) Identity Theft Resource Center, "Data Breaches in 2010"

IT World, "Consumerization of IT—good, bad, or just the way things are now?", por Ryan Faas, 24 de febrero de 2011 "Managing an Information Security and Privacy Awareness and Training Program", por Rebecca Herold (2010, p.23), 2ª edición, CRC Press, Boca Raton, Fla. Ponemon Institute "Business Risk of a Lost Laptop" Ponemon Institute "Compliance like a club", blog del Dr. Ponemon Ponemon Institute "Cost of a data breach climbs higher", blog del Dr. Ponemon Privacy Rights Clearinghouse: Cronología de filtraciones de datos

SC Magazine UK, "TripAdvisor admits that its mailing list was compromised, with some email addresses stolen", por Dan Raywood, 25 de marzo de 2011 Emisión multimedia sobre cloud computing de Sophos: descarga Blog de Sophos: Naked Security Threatpost Newsletter, "HIPAA Bares Its Teeth: $4.3m Fine for Privacy Violation", por Paul Roberts, 23 de febrero de 2011 VentureBeat, "Epsilon data breach results in a huge loss of customer data", por Dean Takahashi, 2 de abril de 2011 Wikipedia ZDNet, edición australiana, "CommBank ATMs spew cash", por Darren Pauli, 1 de marzo de 2011 ZDNet, edición australiana, "NAB implicates vendor in transaction woes", por Suzanne Tindal, 16 de diciembre de 2010

Ventas en el Reino Unido: Tel.: +44 8447 671131 Correo electrónico: sales@sophos.com

Ventas en Norteamérica: Número gratuito: +1 866 866 2802 Correo electrónico: nasales@sophos. com

Recursos adicionales Kit de herramientas de seguridad de datos de Sophos Blog de Sophos: Naked Security Plan de Sophos para la seguridad de la información Qué significa el cumplimiento Un vídeo de Sophos (duración inferior a 5 minutos)