Compliance WhitePaper Espanhol Web
22
Con Kaspersky, ahora usted puede. http://latam.kaspersky.com/productos-para-empresas Be Ready for What’s Next Informe técnico que explora los denominadores comunes de las leyes y normativas de la seguridad de la información; confidencialidad, integridad y disponibilidad. Escrito por Michael R. Overly, abogado, CISA, CISSP, CIPP, ISSMP, CRISC SEGURIDAD DE LA INFORMACIÓN Y CUMPLIMIENTO DE LAS OBLIGACIONES LEGALES: CÓMO ENCONTRAR UNA BASE EN COMÚN
-
Upload
lichtblick -
Category
Documents
-
view
223 -
download
0
Transcript of Compliance WhitePaper Espanhol Web
Con Kaspersky, ahora usted puede. http://latam.kaspersky.com/productos-para-empresas
Be Ready for What’s Next
Informe técnico que explora los denominadores comunes de las leyes y normativas de la seguridad de la información; confidencialidad, integridad y disponibilidad.
Escrito por Michael R. Overly, abogado, CISA, CISSP, CIPP, ISSMP, CRISC
SeguRidad de la iNfoRmaCióNy CumplimieNto de laS oBligaCioNeS legaleS:
Cómo eNCoNtRaR uNa BaSe eN ComúN
Contenidos
2
1.0 Introducción 3
2.0 ¿Qué tipo de información se debería proteger? 5
3.0 Por qué es importante la protección 7
4.0 Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de
seguridad de la información 8
5.0 Buscar denominadores comunes en las leyes y normativas sobre el cumplimiento 9
6.0 Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores 11
7.0 Programas BYOD (Traiga su propio dispositivo) 17
8.0 Conclusiones 21
3
Las empresas de hoy en día enfrentan la casi insuperable tarea de cumplir con una confusa diversidad de leyes y normativas relacionadas con la privacidad y seguridad de la información. Estas pueden provenir de una variedad de fuentes: de legisladores locales, de los estados, nacionales e incluso internacionales. No se trata de un problema propio únicamente de las grandes empresas. Hasta una pequeña empresa con presencia geográfica localizada puede estar sujeta a leyes de otros estados y, posiblemente, de otros países si tiene presencia en Internet.
En muchos casos, estas leyes y normativas son vagas y ambiguas, con muy poca orientación en lo que respecta a su cumplimiento. Es más, con frecuencia las leyes de diferentes jurisdicciones son contradictorias. Un estado o país puede exigir medidas de seguridad totalmente distintas a las de otro estado o país. Conciliar todas estas obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas.
En respuesta a las crecientes amenazas a la seguridad de la información, los reguladores de prácticamente todas las jurisdicciones han aprobado o están luchando por aprobar leyes y normativas que impongan obligaciones de seguridad y confidencialidad de la información a las empresas. Incluso dentro de una misma jurisdicción, varias entidades gubernamentales pueden tener autoridad para tomar medidas contra una empresa que no cumpla con las normas vigentes. Esto es, una sola brecha de seguridad puede someter una empresa a acciones de cumplimiento de parte de una amplia gama de reguladores, por no mencionar las posibles reclamaciones por daños y perjuicios de clientes, socios comerciales, accionistas y otros. Estados Unidos, por ejemplo, utiliza un enfoque por sectores para proteger la privacidad y seguridad de la información personal (por ejemplo, distintas leyes federales regulan la información personal relacionada con la atención médica, el sector financiero, la solvencia crediticia y la correspondiente a estudiantes y niños).Otros enfoques, por ejemplo, en la Unión Europea, proporcionan una norma unificada, pero ofrecen mayor protección para determinados tipos de información altamente confidencial (por ejemplo, información de salud, afiliación sindical, etc.). La implementación real de las normas en las leyes depende del país miembro. Canadá utiliza un enfoque similar en su Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA según su sigla en inglés). La responsabilidad por multas y daños y perjuicios puede fácilmente llegar a millones de dólares.Aun si la responsabilidad está relativamente limitada, la reputación comercial de la empresa puede verse irreparablemente dañada por la publicidad adversa y la pérdida de confianza de los clientes y socios comerciales.
Introducción
1.0Conciliar la totalidad de las obligaciones legales puede ser, en el mejor de los casos, una tarea de tiempo completo y, en el peor, motivo de multas, penalidades y demandas.
4
Las amenazas a la seguridad de la información han alcanzado un nivel sin precedentes. Difícilmente pase una semana sin que salga en las noticias la última compañía que fue objeto de una violación de la seguridad de sus datos. Si bien la amenaza de los hackers es significativa, según la Oficina Federal de Investigación (FBI por su sigla en inglés), la incidencia de apropiación indebida “desde adentro” o la puesta en riesgo de la información confidencial nunca fue más alta. Las personas con acceso a información privilegiada incluyen no solo al propio personal de la empresa, sino también a los contratistas y socios comerciales. Por esa razón, este informe técnico se enfoca en dos de las amenazas “desde adentro” más importantes: por un lado, las situaciones en que se confía información corporativa delicada a socios y proveedores de la empresa, y por otro lado, los programas BYOD (traiga su propio equipo), en los que se accede a la información empresarial desde dispositivos sobre los que la compañía tiene muy poco control. En el primer caso, los terceros que tienen acceso a información privilegiada (esto es, proveedores y socios comerciales) generan un riesgo que es preciso mitigar. En el segundo caso, los que generan el riesgo son empleados.
Si bien no hay soluciones fáciles, este informe técnico aspira a alcanzar varios objetivos:
• Dejar claro que la privacidad relacionada con la información personal es solo uno de los elementos del cumplimiento. Las empresas también tienen la obligación de proteger otros tipos de datos (por ejemplo, secretos comerciales, datos e información de socios comerciales, información financiera no pública, etc.).• Repasar diversas leyes y normativas de confidencialidad y seguridad para identificar tres denominadores comunes, relativamente directos, que están presentes en muchas de ellas:
1. Requisito de confidencialidad, integridad y disponibilidad2. Actuar “razonablemente” o tomar medidas “adecuadas” o “necesarias”3. Ajustar las medidas de seguridad para reflejar la confidencialidad de la información y la
magnitud de la amenazaAl entender estos conceptos generales, de alto nivel, las empresas pueden comprender mejor sus obligaciones globales de cumplimiento. No obstante, hay un punto que es preciso destacar: las leyes de seguridad y confidencialidad de la información no exigen lo imposible. La seguridad perfecta, si bien es una meta, no es el requisito. Más bien, como subrayaremos repetidamente en el siguiente análisis, las leyes y normativas en esta área apuntan a que las empresas hagan lo razonable y adecuado, y no lo impracticable o irracional. Si una empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento. • Destacar los riesgos potenciales del no cumplimiento (por ejemplo, demandas, multas, sanciones, etc.) y analizar los conceptos erróneos habituales sobre las leyes de seguridad y confidencialidad de la información.• Dar dos ejemplos del mundo real de cómo se pueden implementar estos principios, incluidos pasos específicos para mitigar el riesgo y satisfacer las obligaciones de cumplimiento:
1. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales.
2. El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo).
El 65% de las empresas de todo el mundo cree que las políticas de BYOD amenazan la seguridad de sus negocios.¹
Las leyes y normativas se orientan a que las empresas hagan lo razonable y adecuado, y no lo que es impracticable o irracional.
1 Kaspersky Lab: Informe Global de Riesgos de TI 2013
5
Al pensar en las leyes y normativas de la seguridad de la información, la mayoría de la gente piensa de inmediato en datos personalmente identificables o en información personal. Si bien es indudablemente cierto que la mayoría de las leyes y normativas se centran en la información personal, esta es solo uno de los tipos de datos para con los cuales las empresas pueden tener obligaciones legales. Casi todas las empresas tienen una amplia gama de información muy delicada que debe ser protegida. Algunos ejemplos de ello son:
Información general confidencial de la empresaEsto puede incluir información financiera, planes de marketing, potenciales actividades de promoción, información de contacto empresarial, información de inversores, planes para nuevos productos, listas de clientes, etc.
Propiedad intelectualCon frecuencia, la propiedad intelectual comprende uno de los activos más importantes de las empresas, cuando no el más importante. Una violación de la seguridad podría derivar en la pérdida definitiva por parte de la empresa de su capacidad de hacer respetar sus derechos de propiedad intelectual. Por ejemplo, los secretos comerciales se definen como información delicada de una empresa que tiene valor porque no es conocida en términos generales en la industria y es el objeto de esfuerzos de la compañía por asegurarse de que siga siendo confidencial (por ejemplo, la fórmula de Coca-Cola®).Si se revela un secreto comercial al público, pierde su estatus y valor como tal. Casi todas las empresas tienen al menos algunos secretos comerciales. Una lista de clientes, un código fuente de software, fórmulas, métodos de hacer negocios, etc., pueden ser secretos comerciales. Deben ser protegidas para garantizar que la información siga amparada como secreto comercial.
Información de atención médicaLa información de atención médica es uno de los tipos de información más regulados y delicados.En Estados Unidos, por ejemplo, la Ley de Transferibilidad y Responsabilidad Seguro de Salud (HIPAA) regula la privacidad y seguridad de la información de atención médica. En algunas jurisdicciones, se le da la mayor protección en comparación con otros tipos de datos personales. En la Unión Europea, la información de atención médica cuenta con protección reforzada en virtud de la Directiva de Protección de Datos de la Unión Europea, según se refleja en las leyes de implementación de los países miembro. Ver también la Ley de Privacidad de Australia de 1988 y la reciente Ley de Modificación de la Privacidad (Protección Aumentada de la Privacidad).Una empresa del sector de atención médica puede estar en posesión de registros reales de pacientes, pero incluso una compañía que no tenga nada que ver con ese sector puede tener información médica de sus empleados (por ejemplo, información de reclamaciones al seguro) que está obligada a proteger.
Información financiera personalAl igual que la información de atención médica, la información financiera personal también es muy delicada y está fuertemente regulada. En Estados Unidos, la Ley Gramm, Leach y Bliley (GLBA) trata sobre la privacidad y seguridad de la información financiera personal. En otros países, la información personal es ampliamente definida en leyes globales que abarcan casi
2.0
¿Qué tipo de información se debería proteger?
El 60% de los eventos de pérdida de datos pueden resultar en algún nivel de deterioro de la capacidad de la empresa deoperar.2
6
cualquier cosa que se pueda identificar con una persona, incluida, por supuesto, la información financiera. Ver, por ejemplo, la Ley de Protección de la Información Personal de Japón. Al igual que con la información de atención médica, una empresa no necesita estar en el sector financiero para poseer este tipo de información. Todo empleador cuenta con información financiera delicada de sus empleados (por ejemplo, información salarial, números de la seguridad social y de identificación personal de otro tipo, números de cuentas bancarias, etc.).
Información de seguridadHasta la información de seguridad en sí misma es delicada y debe ser protegida. Las políticas de seguridad de una compañía, los informes de auditorías de seguridad, los planes para recuperación de desastres y continuidad de negocios y otra información similar son de una elevada confidencialidad. En caso de verse comprometida, la información podría utilizarse para aprovecharse de las vulnerabilidades de una empresa.
2 Kaspersky Lab: Informe Global de Riesgos de TI 2013
7
El cumplimiento de las obligaciones legales está ciertamente a la cabeza de la lista de cada empresa en materia de razones para implementar medidas de seguridad de la información con el fin de proteger datos confidenciales. No obstante, hay otras razones, muy importantes, para que las empresas se ocupen de ese riesgo.
Proteger los activos empresarialesTal como se señala en la sección anterior, además de los datos personalmente identificables, toda empresa cuenta con otra información de dominio privado que debe proteger (por ejemplo, propiedad intelectual, planes de marketing, planes para nuevos productos, información de inversores, información financiera, etc.). Todos estos son activos valiosos de la empresa que ameritan protección.
Establecer la diligencia debidaMuchas leyes y normativas incluyen la exigencia de que la empresa actúe con la diligencia debida en la protección de datos delicados. El mismo concepto existe de manera más general en la obligación de la dirección corporativa de actuar con la debida cautela y de ejercer un criterio razonable al dirigir la empresa, lo que incluiría actuar con la diligencia debida a la hora de proteger la información corporativa. Ni las leyes aplicables ni esta norma más general de gestión empresarial requieren perfección. Más bien, la empresa y sus gerentes deben poder demostrar que actuaron en forma razonable, adecuada y con la diligencia debida para proteger sus activos de información. Por medio de la implementación y documentación de una estrategia razonada para mitigar los riesgos de la seguridad de la información, la empresa y sus gerentes tendrán pruebas para demostrar que hicieron justamente eso en caso de una violación de la seguridad.
Proteger la reputación de la empresaSer objeto de una violación de la seguridad puede dañar considerablemente la reputación de una empresa. La publicidad adversa de este tipo podría afectar seriamente a una compañía. Los clientes y los socios comerciales pueden perder confianza en la capacidad de la empresa de proteger su información y sus sistemas.
Minimizar la posible responsabilidadPor último, la razón más obvia para implementar una estrategia razonada para la seguridad de la información es minimizar la posible responsabilidad. Esta puede adoptar varias formas: multas impuestas por una serie de reguladores, sanciones reglamentarias, demandas de accionistas y demandas civiles de socios comerciales y clientes (incluida la posibilidad de costosas demandas colectivas) contra la empresa y eventualmente contra la gerencia.
Por qué es importante la protección
3.0El impacto característico de una violación de la seguridad de los datoses de aproximadamente $ 50.000 en el caso de las pequeñas empresas (SMB) y $ 649.000 en el caso de las grandes empresas.3
3 Kaspersky Lab: Informe Global de Riesgos de TI 2013
8
Existe mucha confusión y conceptos erróneos cuando se trata del cumplimiento de las obligaciones de seguridad de la información. Los más importantes son que ‘todo se trata de la información’ y ‘todo se trata de la confidencialidad’. Si bien la información y la confidencialidad tienen ciertamente una significación crucial, se necesita un enfoque más integral. Una empresa debe preocuparse por los datos,pero debe preocuparse del mismo modo por los sistemas donde residen esos datos. Además, la confidencialidad es solo una de las tres protecciones claves requeridas por la verdadera seguridad.
Cualquiera que esté relacionado con la seguridad de la información debería estar familiarizado con la sigla CID. Para que la información esté verdaderamente protegida, se debe cumplir con cada uno de estos elementos. “Confidencialidad” significa que los datos están protegidos ante el acceso y divulgación no autorizados. “Integridad” significa que se puede confiar en la exactitud de los datos y que estos no han sido objeto de modificaciones no autorizadas. Por último, “disponibilidad” significa que la información está disponible para su acceso y uso cuando así se requiera. De nada sirve mantener la confidencialidad e integridad si los datos no están de hecho disponibles cuando un usuario los necesita. Para cumplir este último requisito, los sistemas en los que residen los datos deben tener niveles de servicio específicos para la disponibilidad, el tiempo de respuesta, etc. Esto es particularmente importante cuando un tercero proveedor pueda estar alojando la información en beneficio de la empresa.
No se puede enfatizar lo suficiente la importancia de CID. No se trata simplemente de un concepto en los tratados de seguridad de la información. Los legisladores han incorporado directamente ese mismo lenguaje en determinadas leyes y normativas de seguridad de la información. Las empresas que no alcanzan la confidencialidad, integridad y disponibilidad con respecto a su información, pueden estar en infracción de esas leyes.
Un último concepto errado sobre las leyes de seguridad y privacidad de la información es que estas requieren perfección (por ejemplo, cualquier violación, independientemente de cuánta diligencia haya demostrado la empresa, generará responsabilidad). Esto no es cierto. Las leyes y normativas en esta área están orientadas a que las empresas hagan lo razonable y adecuado. Si la empresa alcanza ese estándar y aun así ocurre una violación de la seguridad, en general no tendrá un problema de cumplimiento.
Conceptos erróneos habituales sobre el cumplimiento de las obligaciones de seguridad de la información
4.0Las leyes y normativas en esta área no requieren perfección; están orientadas a que las empresas hagan lo razonable y adecuado.
9
La cantidad y diversidad de leyes y normativas aplicables incluso a pequeñas empresas que manejan información confidencial puede ser sobrecogedora y hasta abrumadora. En algunas instancias, puede ser casi imposible hasta para una gran y sofisticada organización identificar todas las leyes aplicables, conciliar las inconsistencias y luego implementar un programa de cumplimiento. El objetivo de esta sección no es analizar leyes o normativas específicas, sino identificar tres denominadores comunes presentes en muchas de ellas. Entendiendo esos denominadores comunes, las empresas pueden comprender más fácilmente sus obligaciones de cumplimiento de referencia.
Los mismos no solo se encuentran en leyes y normativas, sino también en normas contractuales como la norma de seguridad de la información del sector de las tarjetas de crédito (PCI DSS según su sigla en inglés) e, incluso, en normas industriales comunes para la seguridad de la información publicadas por organizaciones como CERT, de Carnegie Mellon, y la Organización Internacional de Normalización (ISO según su sigla en inglés). La inclusión de estos denominadores comunes en el diseño e implementación de un programa de seguridad de la información aumentará en gran forma la capacidad de una empresa para lograr el cumplimiento global de las leyes, normativas y otros requisitos (por ejemplo, PCI DSS, normas de la industria, etc.) aplicables.
Confidencialidad, integridad y disponibilidad (CID)Como se analiza en la sección 4, el antiguo concepto de CID que se puede encontrar en todo manual sobre la seguridad de la información ha sido codificado en muchas leyes y normativas. Los tres pilares de este concepto se relacionan con los objetivos más importantes de la seguridad de la información: mantener la confidencialidad de los datos, protegerlos contra las modificaciones no autorizadas y hacer que estén disponibles para su uso cuando sea necesario. La ausencia de alguna de estas protecciones tendría un impacto considerable en el cumplimiento y en el valor del activo de la información.
Actuar “razonablemente” o tomar las medidas “adecuadas” o “necesarias”El concepto de actuar “razonablemente” es utilizado en muchas leyes federales y de los estados en Estados Unidos, Australia y muchos otros países. El concepto relacionado que postula actuar de manera de tomar las medidas “adecuadas” o “necesarias” se usa en la Unión Europea y en otra muchas zonas. En conjunto, conforman el núcleo de casi todas las leyes de seguridad y confidencialidad de la información. Una empresa debe actuar razonablemente o hacer lo que sea necesario o adecuado para proteger su información. Nótese que esto no requiere perfección. Más bien, la empresa debe tomar en cuenta el riesgo presentado y hacer lo que sea razonable o necesario para mitigarlo. Si de todas maneras, igual ocurre una violación de la seguridad, siempre que la empresa haya establecido este requisito básico, por lo general no estará en infracción de las leyes o normativas aplicables.
Buscar denominadores comunes en las leyes y normativas sobre cumplimiento
5.0
10
Ajustar las medidas de seguridad para que reflejen la naturaleza de los datos y la amenazaUn concepto que está estrechamente vinculado con el de actuar razonablemente y hacer lo que es adecuado es el de ajustar las medidas de seguridad para que reflejen la naturaleza de la amenaza y la confidencialidad de los datos. Es decir, no es necesario que una empresa gaste la totalidad de su presupuesto de seguridad en una amenaza de bajo riesgo. Pero si el riesgo es significativo, particularmente en vistas del volumen o confidencialidad de la información, el nivel de esfuerzo y gasto de la empresa para resolver ese riesgo debe aumentar. Una base de datos que solo contenga nombres y direcciones físicas puede no requerir tanta seguridad como una base de datos de nombres, direcciones y números de seguro social. Para comprender mejor este concepto, citamos fragmentos de dos leyes que incorporan el concepto de “ajuste”:
Primer ejemplo:
Una empresa debe implementar salvaguardas que se adecuen (a) al tamaño, alcance y tipo de empresa de la persona obligada a proteger la información personal en virtud de tal programa integral de seguridad de la información; (b) al volumen de recursos disponibles para tal persona; (c) al volumen de información almacenada; y (d) a la necesidad de seguridad y confidencialidad de la información de los consumidores y empleados.
Segundo ejemplo:
Los esfuerzos de seguridad deben tomar en cuenta:
(i) El tamaño, la complejidad y las capacidades de la empresa.
(ii) Las capacidades de seguridad de la infraestructura técnica, el hardware y el software de la empresa.
(iii) Los costos de las medidas deseguridad.
(iv) La probabilidad y criticidad de potenciales riesgos de datos.
En las siguientes dos secciones, se analizan estos conceptos en el contexto de dos situaciones del mundo real aplicables a casi todos los tipos y tamaños de empresa. El primer ejemplo trata de cómo integrar mejor la seguridad de la información en las relaciones con los proveedores y socios comerciales. Esto es, cuando un proveedor de una empresa acceda a la información más confidencial de la misma o la tenga en su poder, lo que la empresa debe hacer para garantizar la protección de dicha información.El segundo ejemplo se centra en controlar el riesgo al implementar un programa BYOD (Traiga su propio dispositivo) para los empleados de una empresa.
11
Casi todas las semanas hay casos de empresas que confían su información más delicada a un proveedor o socio comercial solo para ver que la seguridad de esos datos resulta comprometida porque el proveedor no implementó las salvaguardas adecuadas para proteger la información. Peor aún, con frecuencia se determina que esas mismas empresas aplicaron poca o ninguna diligencia debida con respecto a sus proveedores y no abordaron adecuadamente la seguridad de la información en los contratos con ellos, en muchos casos dejando a la empresa sin recursos legales para subsanar el daño sustancial que sufren como resultado del riesgo al que son expuestos los datos.
En el actual entorno normativo, las empresas deben ser mucho más rigurosas al entablar relaciones con proveedores en las que se pondrá en riesgo información confidencial. En esta sección, se describen tres herramientas que las empresas pueden implementar de inmediato para reducir sustancialmente las amenazas a la seguridad de la información planteadas por sus proveedores y socios comerciales, garantizar que se aplique y documente la adecuada diligencia debida, y prever recursos legales para el caso de que la seguridad de los datos se vea comprometida.
Estas herramientas son las siguientes:
• Cuestionario de diligencia debida para el proveedor• Protecciones contractuales claves• Utilización en circunstancias adecuadas de un anexo de requisitos de seguridad de la
información Toda vez que un proveedor o socio comercial acceda a la red, instalaciones o información de una empresa, deberán utilizarse una o más de estas herramientas.
Al usarlas, las empresas pueden alcanzar el nivel de CID con respecto a sus datos, demostrar que actuaron razonable o adecuadamente al tratar el riesgo, y ajustar su enfoque para reflejar el nivel de eso riesgo (por ejemplo, exigiendo protecciones contractuales más rigurosas y mayor diligencia debida cuando el proveedor está en posesión de volúmenes significativos de información muy delicada frente a protecciones y diligencia debida menos estrictas cuando el proveedor tiene contacto solo incidental con dicho tipo de información).
Abordar la seguridad de la información en las relaciones con los socios comerciales y los proveedores
6.0
12
Diligencia debida: la primera herramientaSi bien la mayoría de las empresas implementan alguna forma de diligencia debida al confiar a los proveedores su información confidencial o el acceso a sus sistemas, a menudo esto se hace de manera informal, no uniforme y sin que quede claramente documentado. En muy pocos casos se incorpora de hecho el resultado de esa diligencia debida al contrato entre las partes. Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual.
Para garantizar la documentación y uniformidad adecuadas del proceso de diligencia debida, las empresas tienen que implementar un “Cuestionario de diligencia debida” estándar que cada posible proveedor o socio comercial con acceso a información comercial o personal confidencial o delicada debe completar. El cuestionario debe incluir, además de otras áreas pertinentes: responsabilidad corporativa, cobertura de seguros, situación financiera, prácticas con respecto al personal, políticas de seguridad de la información, seguridad física, seguridad lógica, recuperación de desastres y continuidad de negocios.
La utilización de un cuestionario estandarizado tiene una serie de beneficios importantes:
• Proporciona un marco uniforme y ya preparado para la diligencia debida.
• Asegura una comparación ‘homogénea’ de las respuestas de los proveedores.
• Asegura que se tengan en cuenta todas las áreas claves de diligencia y que no se pase por alto ninguna.
• Representa una manera sencilla de incorporar la información de diligencia debida directamente en el contrato. El cuestionario completado se adjunta por lo general al contrato final como anexo.
Desde el principio, los proveedores deben estar al tanto de que la información que proporcionen como parte del proceso de diligencia debida y, en particular, las respuestas al Cuestionario de diligencia debida al proveedor serán (i) tomadas como base para seleccionar a los proveedores e (ii) incorporadas al contrato final, del cual pasarán a formar parte. Para ganar en efectividad, el cuestionario debe presentarse a los posibles proveedores lo antes posible. Es recomendable incluirlo como parte de todos las RFP (sigla en inglés de “solicitud de propuesta) pertinentes o, si no se emite ninguna RFP, como un documento independiente durante las conversaciones preliminares con el proveedor.
Este enfoque ad hoc de la diligencia debida ya no es adecuado o razonable en el contexto del entorno empresarial y normativo actual.
13
Las áreas claves del cuestionario de diligencia debida para el proveedor incluyen lo siguiente:
La situación financiera del proveedor. ¿El proveedor es una empresa pública o privada?¿Están disponibles los estados de situación financiera más recientes? La situación financiera puede no parecer un factor importante a los efectos de la seguridad de la información, pero la posibilidad de que un proveedor se declare en quiebra o simplemente deje de operar mientras tiene en su poder información muy delicada de la empresa supone un riesgo significativo. En esos casos, puede resultar difícil, si no imposible, recuperar los datos y asegurarse de que haya sido adecuadamente extraída de los sistemas del proveedor. Del mismo modo, la posibilidad de demandar a un mal proveedor por daños y perjuicios se verá frustrada si este no tiene la capacidad financiera de pagar la indemnización adjudicada.Cobertura de seguros. ¿Qué tipos de cobertura tiene el proveedor? ¿Cuáles son los límites de la cobertura y otros términos? ¿La cobertura se basa en las reclamaciones realizadas o en las incidencias? Como las pólizas comerciales de responsabilidad general habitualmente no cubren las violaciones de la seguridad de la información, se debe considerar la posibilidad de requerir al proveedor que tenga seguro contra riesgos cibernéticos o seguridad de red. Estos tipos de póliza se están haciendo más comunes. Responsabilidad corporativa. ¿Ha habido condenas penales, recientes litigios pertinentes, instancias en las que el proveedor haya visto comprometida significativamente la seguridad, violaciones a la privacidad, resultados adversos de auditoría, etc.?Subcontrataciones. ¿El proveedor requerirá el uso de subcontratistas o filiales en la prestación de sus servicios? ¿El proveedor utilizará subcontratistas o filiales fuera del país de estos? ¿Dónde se ubican los subcontratistas y filiales? ¿Qué tipos de servicios proporcionarán? ¿Qué información, de haberla, que pertenezca a la empresa será enviada a estas entidades?Procedimientos organizativos de seguridad. ¿El proveedor cuenta con un programa integral y bien documentado de seguridad de la información? ¿Cuáles son las políticas de manejo de la información del proveedor? ¿El proveedor cuenta con un equipo especializado de seguridad de la información? ¿Hay un equipo de respuesta a incidentes? ¿Cuáles son las prácticas de seguridad de la información del proveedor en relación con los contratistas y agentes (por ejemplo, diligencia debida, requerir acuerdos de confidencialidad, obligaciones contractuales específicas relacionadas con la seguridad de la información, etc.)?Seguridad física; controles lógicos. ¿Qué medidas y procedimientos de seguridad física emplea el proveedor? ¿El proveedor usa controles de acceso a sus sistemas para que únicamente el personal que está específicamente autorizado tenga acceso a la información?Controles de desarrollo de software. Si el proveedor es un desarrollador de software, ¿cuáles son sus procedimientos de desarrollo y mantenimiento? ¿Qué controles de seguridad se usan durante la vida útil del desarrollo? ¿El proveedor realiza pruebas de seguridad de su software? ¿El proveedor mantiene entornos separados de pruebas y producción? ¿El proveedor recibe códigos de terceros en calidad de licenciatario para incorporarlos en sus productos? En caso afirmativo, ¿qué tipos de códigos? Problemas de privacidad. Si la información personal de clientes, consumidores u otros individuos está en riesgo, ¿el proveedor cuenta con una política de privacidad? ¿Cuál es la historia de revisión de la política? ¿Ha habido instancias en que el proveedor haya tenido que comunicarse con los consumidores en relación con una violación de la seguridad? ¿El proveedor realiza capacitaciones específicas para sus empleados con respecto al manejo de información personal? En caso afirmativo, ¿con cuánta frecuencia?
14
Recuperación de desastres y continuidad de negocios. ¿Cuáles son los planes de recuperación de desastres y continuidad de negocios del proveedor? ¿Cuándo fue su última prueba? ¿Cuándo fue su última auditoría? ¿Hubo algún resultado adverso de la auditoría? ¿Se han corregido las defectos? ¿Cuál es la historia de revisión de su plan? ¿Qué procedimientos de seguridad se siguen en el sitio de recuperación?
15
Protecciones contractuales claves: la segunda herramientaEn la gran mayoría de los casos, el contrato celebrado entre una empresa y sus proveedores no contiene o contiene muy pocas disposiciones relacionadas con la seguridad de la información. Como mucho, hay alguna referencia pasajera a requisitos de seguridad no definidos y una cláusula básica de confidencialidad.En la actualidad, las mejores prácticas de la industria (por ejemplo, CERT e ISO) y las leyes y normativas de seguridad de la información sugieren que se necesita una redacción mucho más específica en las relaciones con los proveedores. Las siguientes protecciones deberán tenerse en cuenta para su inclusión en contratos pertinentes con los proveedores:
Confidencialidad. Una cláusula de confidencialidad completa y detallada debe ser el pilar de las protecciones de seguridad de la información en todos los contratos. Debe estar redactada de manera de que incluya toda la información que la empresa desea mantener en confidencialidad. Debe incluir ejemplos de información protegida (por ejemplo, código fuente, planes de marketing, información de nuevos productos, secretos comerciales, información financiera, información personal, etc.). Si bien el plazo de protección de la confidencialidad puede fijarse en, por ejemplo, cinco años, deberá establecerse expresamente la protección permanente y perpetua de la información personal y secretos comerciales de la empresa. Deben evitarse los requisitos de que la empresa marque la información relevante como “confidencial” o “de dominio privado”. Este tipo de requisitos no es realista en el contexto de la mayoría de las relaciones con los proveedores. Por lo general, las partes no cumplen con estos requisitos, lo que tiene como resultado que la información confidencial y de dominio privado es puesta en riesgo.
Garantías. Además de las garantías corrientes relacionadas con la forma en que se prestarán los servicios y las facultades para celebrar el contrato, deberán considerarse las siguientes garantías específicas relacionadas con la seguridad de la información:
• Una garantía que requiera que el proveedor cumpla con las “mejores prácticas de la industria relacionadas con la seguridad de la información”.
• Cumplimiento con todas las protecciones aplicables de seguridad de la información, privacidad, protección al consumidor y otras leyes y normativas similares.
• Cumplimiento de la política de privacidad de la empresa en el manejo y utilización de la información personal.
• Una garantía contra la posibilidad de poner la información confidencial de la empresa a disposición de subcontratistas o filiales extraterritoriales, salvo que la empresa lo autorice específicamente por escrito.
• Una garantía que establezca que las respuestas del proveedor al cuestionario de diligencia debida, que debe adjuntarse al contrato como anexo, son verdaderas y correctas, se actualizarán a solicitud razonable de la empresa y seguirán siendo verdaderas y correctas durante el plazo del contrato de las partes.
Obligaciones generales de seguridad. Es aconsejable incluir en el contrato una redacción general en relación con las obligaciones del proveedor de tomar todas las medidas razonables para proteger y defender sus sistemas e instalaciones de accesos o intrusiones no autorizadas, de hacer pruebas periódicas en sus sistemas e instalaciones para detectar vulnerabilidades, de informar de inmediato a la empresa de todas las violaciones o potenciales violaciones a la seguridad, de participar en auditorías conjuntas de seguridad, y de cooperar con los reguladores de la empresa en la revisión de las prácticas de seguridad de la información del proveedor, etc.
16
Indemnidad. En situaciones en las que una violación de la seguridad del proveedor pueda exponer a la empresa a potenciales reclamaciones de terceros (por ejemplo, una violación de la información personal que derive en reclamaciones de los clientes de la empresa), el contrato deberá incluir una cláusula de indemnidad que establezca que el proveedor debe liberar de responsabilidad a la empresa ante reclamaciones, daños y perjuicios y gastos incurridos por esta como resultado de una violación de la seguridad del proveedor. Es decir, el proveedor deberá proteger a la empresa de demandas y otras reclamaciones que sean consecuencia de la omisión de aquel en proteger adecuadamente sus sistemas.
Limitación de responsabilidad. La mayoría de los contratos incluyen alguna forma de “limitación de la responsabilidad”, es decir, una disposición diseñada para limitar el tipo y alcance de los daños a los que las partes contratantes pueden quedar expuestas.No es raro ver que estas disposiciones nieguen la responsabilidad del proveedor por todos los daños indirectos (por ejemplo, lucro cesante, daño a la reputación de la empresa, etc.) y limiten el resto de la responsabilidad a alguna fracción de los pagos realizados. Este tipo de disposiciones son prácticamente imposibles de eliminar de la mayoría de los contratos, pero es posible requerir al proveedor que excluya de las limitaciones, o al menos refuerce, la responsabilidad por daños y perjuicios que resulten de la violación de la confidencialidad del proveedor y su obligación de indemnidad ante reclamaciones que surjan por la omisión del mismo proveedor en proteger adecuadamente sus sistemas. Sin esas exclusiones, las protecciones contractuales descritas anteriormente serían básicamente ilusorias. Si el proveedor no tiene responsabilidad real por la violación de la confidencialidad debido a que la “limitación de responsabilidad” restringe los daños y perjuicios que el proveedor debe pagara una cantidad irrisoria, la cláusula de confidencialidad se vuelve irrelevante.
Anexo con requisitos de seguridad de la información: la tercera herramientaLa última herramienta para minimizar los riesgos de seguridad de la información del proveedor consiste en la utilización de un anexo o declaración de trabajo para definir específicamente los requisitos de seguridad pertinentes a una transacción en particular.Por ejemplo, el anexo de los requisitos de seguridad de la información puede prohibir que el proveedor transmita la información de la empresa por redes inalámbricas internas (por ejemplo, 802.11 a/b/g) o que transfiera esa información a medios extraíbles que pudieran perderse o traspapelarse fácilmente. El anexo también puede contener requisitos específicos para el uso de hardware de cifrado y desactivación y de medios de almacenamiento en los que se haya guardado la información de la empresa con el fin de garantizar que la información sea correctamente borrada del hardware y los medios. Deberán identificarse otras medidas de seguridad físicas y lógicas específicas que sean pertinentes a la transacción en particular.
Las empresas se exponen a riesgos únicos cuando confían su información confidencial y de dominio privado a sus proveedores, socios comerciales y demás terceros. Se puede minimizar estos riesgos empleando las herramientas analizadas anteriormente: diligencia debida adecuada y uniforme, utilización de protecciones contractuales específicas relacionadas con la seguridad de la información, y posible uso de anexos u otros documentos adjuntos a los contratos en los que se detallen requisitos de seguridad exclusivos que deberán imponerse al proveedor.
El proveedor deberá proteger a la empresa ante demandas y otras reclamaciones que sean consecuencia de su omisión de proteger adecuadamente sus sistemas.
17
La sigla BYOD (Traiga su propio dispositivo) designa programas corporativos que autorizan a los empleados a utilizar sus propios dispositivos personales (por ejemplo, smartphones, tablets, laptops, netbooks) tanto para actividades personales como laborales. Por lo general se permite que los empleados utilicen sus dispositivos personales para conectarse con la red corporativa de su empleador.
Los programas BYOD ofrecen una serie de beneficios claves: disminuir potencialmente y en forma global los costos empresariales de conservar y mantener los recursos de la tecnología de la información; habilitar mejor a los trabajadores que tiene que trasladarse de un lado a otro, respaldar el nuevo entorno de trabajo de muchas compañías que operan las 24 horas, los 7 días de la semana, y elevar la colaboración y la moral de los empleados. Un reciente estudio de Unisys destaca algunos de los beneficios:
• El 71% de los consultados cree que los programas BYOD elevarán la moral.
• El 60% cree que aumentará la productividad.
• Al 44% le resultaría más atractiva una oferta de trabajo si la compañía ofreciera respaldo para iPads.
El riesgo de los programas BYOD es inherente a su naturaleza: permitir que se guarde información personal y corporativa o que se puede acceder a ella en el mismo dispositivo, un dispositivo sobre el que la compañía tiene poco o ningún control. Este riesgo se muestra en el resultado de dos estudios recientes:
• Estudio Dell Kace: El 87% de las compañías no pueden proteger efectivamente la información corporativa y la propiedad intelectual debido a que tienen empleados que usan algún tipo de dispositivo personal para trabajar, como laptops, smartphones y tablets.
• Estudio eWeek: El 62% de los administradores de TI piensan que no cuentan con las herramientas para administrar adecuadamente los dispositivos personales.
Si nos enfocamos en los denominadores comunes para el cumplimiento que se trataron anteriormente, este riesgo se puede mitigar.
Riesgos claves de los programas BYODAl decidirse a implementar un programa BYOD, una empresa debe considerar los siguientes riesgos claves y asegurarse de que el beneficio de la organización en ahorro de costos, moral de los empleados, etc., supere esos riesgos.
Mezclar información empresarial y personal. Este problema claramente es uno de los más importantes. En la actualidad hay soluciones, por ejemplo, el producto móvil de Kaspersky, para ayudar a “contenerizar” datos empresariales y personales en un dispositivo BYOD. Pero solo unas pocas separan la ejecución de la política de seguridad (por ejemplo, en caso de pérdida o hurto del dispositivo, un proceso de borrado o de limpieza iniciado por la compañía no solo borraría toda la información empresarial, sino también la totalidad de la información personal). Las empresas y sus empleados deben ser sensibles a estos problemas.
Programas BYOD (Traiga su propio dispositivo)
7.0El 71% de los consultados creen que los programas BYOD elevarán la moral.
18
A continuación se dan algunos ejemplos del mundo real de cuando las cosas salen mal:
• Las fotos de la boda: una vez, un empleado creyó que había perdido su smartphone. La empresa puso en práctica un proceso de borrado remoto de todos los datos del teléfono para asegurarse de que la información confidencial no resultara comprometida. Al final resultó que el teléfono no se había perdido, sino que simplemente se había traspapelado. La esposa del empleado presentó una reclamación contra la compañía alegando que habían borrado la única copia de sus fotos familiares más preciadas. Dejando de lado el hecho de que el empleado y su esposa deberían haber respaldado esas fotos tan importantes, la compañía quedó en una situación difícil porque no tenía ninguna protección contra una reclamación de la esposa por haber borrado las fotos. Ver a continuación el análisis sobre la cuestión de los “amigos y familiares”.
• La próxima gran novela: en otro caso, un empleador permitió a sus empleados que utilizaran sus propios laptops. Mientras el empleador instalaba un nuevo software de seguridad en cada una de las laptops, un determinado empleado afirmó que su empleador había provocado una pérdida de datos que incluía la única copia de la novela en la que había estado trabajando durante varios años. El empleador no contaba con una política adecuada que lo protegiera de reclamaciones de empleados de esta naturaleza. Finalmente, la compañía llegó a un acuerdo con el empleado.
• Está en la nube: los servicios de respaldo de información por Internet son cada vez más moneda corriente. Algunos funcionan con los sistemas operativos de los smartphones y otros están directamente incorporados en ellos. En varios casos recientes, los empleados usaron estos servicios de ‘Traiga su propia nube’ para respaldar sus datos personales al tiempo que, inadvertidamente, respaldaron información empresarial confidencial (es decir, se copiaron datos empresariales en servidores de terceros sobre los que la empresa no tenía ningún control y a veces ni siquiera sabía que existían; además, cabía la posibilidad de que estos terceros utilizaran salvaguardas de seguridad de calidad inferior).
Problemas de licencias de software. Las empresas deben preocuparse de asegurar que el software de terceros utilizado por el empleado en relación con los dispositivos BYOD tenga las licencias adecuadas: un empleado no puede tener un procesador de texto con licencia para uso domiciliario y luego utilizarlo diariamente en su laptop BYOD para hacer trabajos para su empleador. Es casi seguro que esto infringe el acuerdo de licencia del software de terceros. Otro ejemplo es cuando el dispositivo BYOD utiliza una conexión a una red privada virtual (VPN) para acceder a determinado software de terceros instalado en los sistemas del empleador (por ejemplo, una aplicación contable, software de gestión de la relación con clientes o CRM, software de ingreso de pedidos, etc.). En cada instancia deben estudiarse los acuerdos de licencias de terceros pertinentes para asegurarse de que el alcance de la licencia autoriza tal acceso remoto.Es posible que en algunos casos sea necesario pagar derechos de licencia adicionales.
19
Presentación de pruebas. Litigios. Al considerar si participar o no en el programa BYOD de su empleador, el empleado debe evaluar no solo el beneficio de usar su propio dispositivo, sino también aquello a lo que tendrá que renunciar. Específicamente, debe comprender que el empleador y eventualmente otros terceros podrán tener necesidad de inspeccionar el dispositivo y revisar su contenido en el marco de un litigio. Tal inspección podrá incluir la revisión de correos electrónicos, fotografías, datos de ubicación geográfica, etc. Además, debe entender que en determinadas circunstancias, el empleador podrá tener causa suficiente para borrar remotamente el contenido del dispositivo. A menos que el empleado haya hecho un respaldo, el proceso de limpieza podría resultar en la pérdida completa de sus datos personales. Estos son factores importantes, que deberían sopesarse cuidadosamente antes de aceptar participar en un programa BYOD.
Estrés repetitivo y otras lesiones laborales. Al diseñar una política efectiva de BYOD, deben tenerse en cuenta trastornos como el “pulgar del BlackBerry” y otros que son producto del estrés repetitivo de usar laptops, smartphones, tablets y otros dispositivos similares. Por ejemplo, se debe instar a los participantes del programa a que repasen la información ergonómica que viene con la mayoría de los dispositivos, a que acepten que el empleador no es responsable de las lesiones que puede provocar el uso de estos dispositivos, etc. La empresa también debe revisar el seguro de accidentes de trabajo y otro tipo de seguros para confirmar que la cobertura abarque las lesiones provocadas por el uso de dispositivos que no son suministrados por la compañía.
Uso compartido de dispositivos con no empleados: el problema de los amigos y familiares. Casi siempre los empleados permiten que amigos y familiares usen sus dispositivos BYOD. Estosterceros ‘amigos’ tienen acceso potencial a toda la información empresarial que está lmacenada en el dispositivo. Es algo que no se puede impedir. Peor aún, la tecnología actual no permite mitigar realmente este riesgo.
El problema es que las empresas no tienen obligaciones de no divulgación o confidencialidad con estos terceros, ni estos han firmado la política de la empresa en relación con el uso del dispositivo BYOD. Esto significa que la empresa no tiene protecciones contractuales con los terceros.
Si, por ejemplo, el tercero envía y recibe correos electrónicos personales con el dispositivo, que luego debe ser inspeccionado por la compañía en el marco de un litigio, esta podría estar violando los derechos de privacidad del tercero al revisar, incluso accidentalmente, sus correos electrónicos. Del mismo modo, si la compañía tiene causa suficiente para borrar remotamente el contenido del dispositivo, el empleado no tendría reclamaciones en contra de la empresa porque firmó una política reconociendo esta posibilidad, a diferencia de los amigos y familiares, que no la firmaron. En ese caso, si el proceso de limpieza destruye información valiosa del tercero, este podría eventualmente presentar una reclamación contra la empresa por daños y perjuicios.
Desecho del dispositivo por parte del empleado. Deben implementarse procedimientos para asegurarse de que el empleador tenga la oportunidad de confirmar la eliminación de toda la información empresarial confidencial de un dispositivo antes de que este pueda desecharse. Las empresas deben ser conscientes de que los empleados siempre están esperando el próximonuevo smartphone, tablet o laptop y que su dispositivo actual puede ser canjeado o vendido por eBay o desechado sin que el empleador se entere. La inspección del dispositivo puede resultar particularmente difícil en situaciones en las que la relación laboral terminó mal. El empleado puede rehusarse a entregar el dispositivo para su inspección. En estos casos, es posible que al empleador no le quede otra alternativa que ejecutar una limpieza remota del dispositivo.
Los empleados deben evaluar no solo el beneficio de usar su propio dispositivo, sino también aquello a lo que tendrán que renunciar.
20
Elementos claves de la estrategia BYODPara abordar los tres denominadores comunes del cumplimiento que se analizaron anteriormente (CID, razonabilidad y adecuación, y ajuste), un programa BYOD efectivo debe tener tres componentes: política, capacitación, y tecnología y ejecución de la política.
Política. El documento que rige cualquier programa BYOD es una política clara y comprensible.Esta detalla los derechos y obligaciones del empleado en relación con el programa, incluida la notificación que debe dársele de que al participar en el programa, él o ella estarán renunciando a determinados derechos. Por ejemplo, el contenido de su dispositivo móvil, incluidos los datos personales, puede ser inspeccionado en caso de un litigio como parte del proceso de presentación de pruebas, o la información personal puede perderse definitivamente si se ejecuta un proceso remoto de borrado o limpieza del equipo para proteger la información corporativa en caso de que el dispositivo se pierda o su seguridad se vea comprometida de alguna otra forma.
La mayoría de las empresas distribuyen el documento que detalla la política y requieren que el empleado lo suscriba antes de que se le permita participar en el programa. La política debe establecer claramente que la participación en el programa podrá ser revocada en cualquier momento por la compañía. Por ejemplo, esta podrá optar por suspender el programa o determinar que el uso del dispositivo de un empleado en particular representa un riesgo a la seguridad demasiado grande. En esos casos, la empresa tendrá el derecho irrestricto de cancelar el programa o la participación de un determinado empelado en el mismo.
Muchas organizaciones envían periódicamente memorandos de seguimiento en los que destacan determinados puntos de la política. Por ejemplo, un empleador puede enviar un memorando en el que se describen los riesgos o prohibiciones específicos relacionados con la práctica de respaldar datos corporativos en las propias cuentas de respaldo del empleado en Internet (por ejemplo, en DropBox, iCloud, etc.).
Capacitación. La capacitación de los empleados es otro componente esencial de un programa BYOD efectivo. Por lo general, no alcanza con simplemente entregarles a los empleados una política que podrán o no leer. Más bien, se prefiere la práctica de realizar una o más sesiones de capacitación con el fin de formarlos específicamente en los derechos y obligaciones que derivan de su participación en el programa. Según la confidencialidad de la información a la que el empleado tenga acceso, deberá repetirse la capacitación periódicamente.
Tecnología y ejecución de la política .El componente final es la utilización de tecnología y otros medios para ejecutar la política. Esto puede ser tan sencillo como requerir a los empleados que usen solamente dispositivos BYOD que sean compatibles con la ejecución de la política de seguridad (por ejemplo, contraseñas obligatorias, expiración del tiempo de espera, limpieza remota, etc.). También están apareciendo otras tecnologías más avanzadas, como las que incluyen la capacidad inherente de separar los datos personales de los empresariales.
Como se vio en el análisis de los tres denominadores comunes del cumplimiento, la inversión que debe hacer una empresa para incorporar estos componentes depende del tipo de información que vaya a estar expuesta al riesgo por el programa BYOD.
21
A medida que la cantidad y complejidad de las leyes y normativas de seguridad de la información están en constante aumento, las empresas deberían detectar ciertos denominadores comunes presentes en todas ellas. En este informe técnico se presentan tres de los más habituales e importantes. Entendiendo que las leyes actuales no exigen la perfección, sino únicamente la debida cautela, razonabilidad y medidas de ajuste que reflejen la confidencialidad de los datos que están expuestos al riesgo, las empresas pueden avanzar mucho en el camino hacia el cumplimiento.
Tal como quedó reflejado cuando tratamos la seguridad de la información en las relaciones con los proveedores y el desarrollo de un programa BYOD efectivo, las empresas pueden ver cómo estos denominadores comunes se pueden aplicar a las situaciones de la vida real. El uso reflexivo de la capacitación, las políticas y la tecnología puede disminuir considerablemente el riesgo global de cumplimiento.
Conclusiones
8.0
Acerca del autorMichael R. Overly es socio del grupo de Tecnología de la Información y Tercerizaciones de la sucursal de Los Ángeles de Foley & Lardner LLP. Con frecuencia escribe y da conferencias sobre la negociación y elaboración de transacciones tecnológicas y acerca de los problemas jurídicos que plantean la tecnología en el lugar de trabajo, el correo electrónico y las pruebas electrónicas. Ha escrito numerosos artículos y libros sobre estos temas, y es comentarista en diversos medios de comunicación nacionales (por ejemplo, en el New York Times, Chicago Tribune, Los Angeles Times, Wall Street Journal, ABCNEWS.com, CNN y MSNBC). Además de dirigir seminarios de capacitación en Estados Unidos, Noruega, Japón y Malasia, el señor Overly ha testificado ante el Congreso de Estados Unidos sobre cuestiones relacionadas con Internet. Entre otros trabajos, es autor de A Guide to IT Contracting: Checklists, Tools and Techniques (CRC Press 2012), e-policy: How to Develop Computer, E-mail, and Internet Guidelines to Protect Your Company and Its Assets (AMACOM 1998), Overly on Electronic Evidence (West Publishing 2002), The Open Source Handbook (Pike & Fischer 2003), Document Retention in The Electronic Workplace(Pike & Fischer 2001), and Licensing Line-by-Line (Aspatore Press 2004).
Descargo de responsabilidad: las leyes cambian con frecuencia y rapidez. Además están sujetas a interpretaciones diversas. Es responsabilidad del lector analizar la situación actual de las leyes con un abogado y otros profesionales calificados antes de basarse en ellas. Ni el autor ni la editorial extienden garantía alguna sobre el resultado del uso que se haga de este informe técnico. El mismo se proporciona en el entendido de que ni el autor ni la editorial prestan servicios legales o profesionales al lector.
22
Kaspersky ofrece una plataforma de seguridad integral para proteger a su empresa, ya sea que quiera administrar, proteger y controlar todos sus endpoints (físicos, móviles y virtuales), proteger sus servidores y portales, o administrar en forma remota la totalidad de su entorno de seguridad.
Kaspersky Endpoint Security for Business se enorgullece de proporcionar una lista integral de tecnologías que van desde anti-malware, controles de endpoints, cifrado y gestión de dispositivos móviles (MDM) a la administración de sistemas, incluida la gestión de parches e inventarios de licencias. Y a medida que más y más empresas están obteniendo los beneficios de implementar iniciativas BYOD (Traiga su propio dispositivo), que permiten a los empleados utilizar sus propios dispositivos móviles para las actividades empresariales, usted puede habilitar BYOD tanto a través de la seguridad móvil como de MDM.
Los productos Kaspersky están diseñados para que el administrador pueda ver y administrar todo el paisaje de seguridad desde un único panel. Trabajan de manera integrada y sin interrupciones, con el respaldo de la red de seguridad de Kaspersky basada en la nube, para ofrecer la protección de primer nivel que las empresas necesitan con el fin de combatir las amenazas cibernéticas cada vez más sofisticadas y diversas.
Construido desde cero, Kaspersky facilita a los administradores de TI la tarea de visualizar, controlar y proteger su mundo. Los módulos, herramientas y consola de administración de Kaspersky se desarrollan internamente. El resultado se refleja en la estabilidad, las políticas integradas, la utilidad de la generación de informes y las herramientas intuitivas.
Kaspersky Endpoint Security for Business es la única plataforma de seguridad verdaderamente integrada del sector.
Kaspersky Endpoint Security for Business
Sobre KasperskyKaspersky Lab es el mayor proveedor privado en el mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro mejores proveedores de soluciones de seguridad para usuarios de endpoints*. A lo largo de sus quince años de historia, Kaspersky Lab se ha mantenido como innovador en la seguridad de TI y ofrece soluciones efectivas en seguridad digital para los consumidores, las PYME y las grandes empresas. La compañía actualmente opera en casi doscientos países y territorios en todo el mundo, proporcionando protección a más de trescientos millones de usuarios.
Obtenga más información en http://latam.kaspersky.com/productos-para-empresas
