Está en la página 1de 6

PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP.

15-20 15

Evaluación de riesgos: Estudio de la fuga de datos en los sitios web


del Ecuador
Risk assessment: Study of data traffic in Ecuador websites

Lisbeth Narcisa Dávila Santillán1,* , José Luis Pacheco Delgado2,† .


1 Universidad de las Artes.
2 Corporación Nacional de Electricidad (CNEL EP).

{ker lis87@hotmail.es, jlpachec@gmail.com}


Fecha de recepción: 19 de julio de 2017 — Fecha de aceptación: 28 de agosto de 2017

Resumen: El presente trabajo de investigación bibliográfico, trata sobre la temática de evaluar los riesgos que tiene la fuga de datos
en los sitios web en el Ecuador, con la aparición de la Web 2.0 tenemos referencia a üna supuesta segunda generación en Internet,
basada en servicios cuyos usuarios colaboran y comparten información online en nuevas formas de interacción social”(Trombetta,
2013), en los últimos años la fuga de datos ha aumentado, por motivos que ahora todos las empresas a nivel mundial manejan todo
su información a través de la web donde son almacenados en servidores, el objetivo principal de esta investigación es realizar un
análisis exhaustivo de la cantidad de información que es filtrada a través de la web. Evaluaremos la cantidad de fugas de información
que se produce en los sitios web en donde no debieran producirse. Para este estudio, se elegirá un sector como por ejemplo: La
banca, administraciones públicas en Ecuador, empresas de una determinada industria o Universidad, los cuales podrı́an arrojar
datos significativos. Una curiosa y pequeña fuga de información que muestra información del software que utiliza una compañı́a
tan sujeta a ataques del mundo y el fraude online, y que fácilmente se podrı́a evitar software y administrador especializados.
Palabras Clave—Fuga de datos, Web 2.0, Empresas ecuatorianas, Vulnerabilidad.

Abstract: The present work of bibliographic research deals with the theme of evaluating the risks of data leakage in websites in
Ecuador, with the appearance of Web 2.0 we refer to .an alleged second generation Internet based services whose users collaborate
and share information online in new forms of social interaction ”(Trombetta, 2013), in recent years the data leak has increased,
for reasons that now all companies worldwide manage all their information through the web where they are stored in servers, the
main objective of this research is to perform a comprehensive analysis of the amount of information that is filtered through the
web. We will assess the amount of information leakage occurring on websites where it should not occur. For this study, a sector
will be chosen such as: Banking, public administrations in Ecuador, companies of a certain industry or University, which could
yield significant data. A curious little leak of information that shows information from the software used by a company so subject
to attacks from the world and online fraud, and that it could easily be avoided specialized software and administrator.
Keywords—Data leakage, Web 2.0, Ecuadorian companies, Vulnerability

I NTRODUCCI ÓN Las empresas han adoptado por ofrecer sus servicios, sus
productos, su materia prima por la Web. Es una herramienta

E n En los últimos 16 años con la aparición de la Web 2.0


en el año 2000, Se destacan algunas tecnologı́as inscritas
en el contorno de la Web 2.0, como XML, Rich Internet Appli-
que ofrece muchos servicios al alcance de todas las personas,
la fuga de datos es un problema inevitable ya que no todos
las empresas cuentan con un sistema de seguridad o personal
cations (RIA), Micro formatos, Ajax, sindicación y agregación capacitado para enfrentar situaciones de fuga de datos.
de contenidos en RSS/ RDF, wikis, weblogs, arquitectura de
información colaborativa mediante folksonomı́as y tags, el En Ecuador en los últimos años empresas han optado por
marketing colaborativo, entre otras. Asimismo, se desgranan ofrecer sus servicios en la Web, con un problema que en
algunas posibilidades de futuro en torno a la Web 2.0, su cualquier parte del mundo puede ocurrir la fuga de datos, de
posible evolución hacia la Web 3.0 e incluso hacia la Web información primordial para la empresa. Muchas aplicaciones
semántica, por ende en los últimos años las empresas a nivel y servicios web son vulnerables a un conjunto de ataques
mundial han adoptado por emigrar todos sus procesos, la independientemente de la plataforma y/o tecnologı́a que se
forma como maneja su información a la Web por que pueden use.
ofrecer sus productos, servicios a todo el mundo (Cobos, Usando la metodologı́a OWASP se pueden hacer un seguido
2006)., por tales motivos no todas las empresas cuentas con de pruebas en todas las fases del desarrollo para identificar
sistemas ato de seguridad, los cuales detectan y obstruyen a dichas vulnerabilidades e implementar las medidas correspon-
las personas que deseen alterar o adulterar los datos. dientes.
En américa Latina el uso de la web en la última década Las vulnerabilidades web tienen su origen en defectos en
ha tenido un crecimiento alto considerando con años atrás. el diseño e implementación de las aplicaciones, en la progra-
* Ingeniera mación descuidada de las rutinas, en la pobre implementación
en Sistemas
† Ingeniero en Computación Especialización Sistemas Tecnológicos, de medidas de control de acceso o en la falta de validación y
Magı́ster en Seguridad Informática aplicada saneamiento de los datos de entrada (Germain, 2015).
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 16

D ESARROLLO Posteriormente se organizó la Web 2.0 Conference 2004.


Esta conferencia obtuvo un éxito importante y fue sucedida
por la Web 2.0 Conference 2005. Ası́ nació la conferencia de
¿Qué es la Web 2.0?
la Web 2.0.
En 1989 a partir de un proyecto del CERN (Organización Eu- Tecnologı́as Aplicadas
ropea de Investigación Nuclear), Tim Berners-Lee construyó
el prototipo que dio lugar al núcleo de lo que hoy es la llamada En el desarrollo de web’s 2.0 son utilizados una serie de
World Wide Web, o simplemente Web. La intención original lenguajes de programación nuevos o técnicas de desarrollo
era, mediante la utilización de un sistema de hipertexto, hacer web que combinan varias tecnologı́as como es el caso de
más fácil compartir textos de investigación entre cientı́ficos y AJAX con una serie de particularidades y novedades muy
permitir al lector revisar las referencias de un artı́culo mientras interesantes.
lo fuera leyendo.
En septiembre de 1990, Tim Berners-Lee recibe el visto AJAX: Acrónimo de Asynchronous JavaScript And
bueno por parte del CERN a la propuesta entregada en 1989. XML (JavaScript y XML ası́ncronos, donde XML
Y desde entonces, junto con su colaborador, Robert Cailliau, es un acrónimo de eXtensible Markup Language), es
comienza a escribir el nuevo sistema de hipertexto. una técnica de desarrollo web para crear aplicaciones
A finales de 1990 el primer browser de la historia, World interactivas. Éstas se ejecutan en el cliente, es decir,
Wide Web, ya tenı́a forma. A diferencia de los formatos que en el navegador del usuario, y mantiene comunicación
ya habı́a en aquella época (TeX y PostScript), el lenguaje ası́ncrona con el servidor en segundo plano. De esta
de intercambio (XTML) y el protocolo de red (HTTP) se forma es posible realizar cambios sobre la misma página
diseñaron con la intención de que fueran lo más sencillo sin necesidad de recargarla. Esto significa aumentar la
posibles. interactividad, velocidad y usabilidad en la misma.
En 1993 habı́a alrededor de 50 servidores y existı́an prin-
cipalmente dos tipos de browsers: el gráfico (sólo para pla- XHTML: Acrónimo inglés de eXtensible Hypertext
taformas NeXT) y el de modo lı́nea (válido para cualquier Markup Language (lenguaje extensible de marcado de
plataforma pero limitado y poco atractivo). hipertexto), es el lenguaje de marcado pensado para
En febrero del mismo año se lanzó la primera versión sustituir a HTML como estándar para las páginas web.
alfa del navegador ”Mosaic forX”. Este funcionaba en la XHTML es la versión XML de HTML, por lo que
plataforma X Windows, popular entre la comunidad cientı́fica. tiene, básicamente, las mismas funcionalidades, pero
En abril el tráfico de la WWW era el 0,1 % del total de cumple las especificaciones, más estrictas, de XML.
Internet. El CERN declaraba la WWW como tecnologı́a de Su objetivo es avanzar en el proyecto del World
acceso gratuito. Wide Web Consortium de lograr una web semántica,
En septiembre ya habı́a versiones de Mosaic para PC y donde la información, y la forma de presentarla estén
Macintosh. El tráfico de la Web ya alcanzaba el 1 % de todo claramente separadas. En este sentido, XHTML servirı́a
el tráfico de Internet, con más de 500 servidores. Este es el únicamente para transmitir la información que contiene
comienzo del crecimiento explosivo de la Web. un documento, dejando para hojas de estilo (como las
A finales del 94 ya habı́a más de 10.000 servidores y hojas de estilo en cascada) y JavaScript su aspecto
10 millones de usuarios. En 1997 nos encontramos con más y diseño en distintos medios (ordenadores, PDAs,
de 650.000 servidores y la Web pasa a ser algo cotidiano, teléfonos móviles, impresoras).
haciéndose hueco en la economı́a a nivel mundial. A estas
alturas se podı́an encontrar utilidades como documentos de PHP: Es un lenguaje de programación usado frecuente-
texto, música, imágenes y vı́deos, se podı́an realizar compras mente para la creación de contenido para sitios web con
y ventas, campañas publicitarias, etc. los cuales se puede programar las páginas HTML y los
El año 2001 fue de vital importancia para la Web. Después códigos fuente. PHP es un acrónimo recursivo que sig-
del espectacular incremento en la expectación de la Web, ésta nifica ”PHP Hypertext Pre-processor”(inicialmente PHP
sufre una pérdida de interés a nivel mundial y, en otoño de este Tools, o, Personal Home Page Tools), y se trata de un len-
mismo año, se produce el estallido de la burbuja tecnológica guaje interpretado usado para la creación de aplicaciones
(Adrián, 2010). para servidores, o creación de contenido dinámico para
A partir de este punto comienzan a surgir nuevas tecnologı́as sitios web. Últimamente también para la creación de otro
que pronto ocuparı́an sitio en el nuevo escenario económico. tipo de programas incluyendo aplicaciones con interfaz
Cuando Dale Dougherty, de O’Reilly, en una conferencia gráfica usando las librerı́as GTK+.
en la que compartió una lluvia de ideas junto a Craig Cline
de MediaLive Internacional, donde se trataban aspectos sobre Sistemas de Gestión de Contenidos
el renacimiento y la evolución de la Web, se empleó, por
primera vez, el término de: Web 2.0. Ası́ se hacı́a referencia Un sistema de gestión de contenido, en inglés Content Ma-
a las nuevas aplicaciones y páginas webs con funciones nagement System más conocido por sus siglas CMS, es una
innovadoras. interfaz que controla una o varias bases de datos en las cuales
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 17

se guarda el contenido de un sitio web. Este sistema permite Falta de encriptación y métodos de cifrado en las comu-
manejar de forma independiente por un lado la información nicaciones de la Organización (redes inseguras).
almacenada y por el otro el diseño de las páginas, de forma Inadecuada Gestión de Actividades relacionada con la
que, en cualquier momento, se puede dar un diseño nuevo al respuesta ante Incidentes relacionados con Fuga.
sitio web sin necesidad de dar formato al contenido, ya que es Accesos irregulares o no permitidos a información sen-
el CMS el que se encarga de realizar estos cambios. Además sible de la Organización.
permite controlar y dar permisos a las diferentes personas Repositorios y/o almacenes de Datos (Datawarehouse,
autorizadas para publicar información. Bases de Datos, File Servers, etc.) sin medidas de se-
Los primeros sistemas de gestión de contenido fueron desa- guridad adecuada para los accesos a los mismos.
rrollados de forma interna por organizaciones que publicaban Conductas inapropiadas o fraude por parte del mismo
gran cantidad de información en Internet (revistas digitales, personal interno de la Compañı́a.
periódicos, publicaciones en lı́nea, etc.). La primera organi- Ausencia de una adecuada Clasificación de la Informa-
zación en desarrollar su propio CMS fue el sitio de noticias ción de la Compañı́a (a menudo, este suele ser el factor
CNET, posteriormente creó la empresa Vignette mediante la más importante a considerar).
cual abrió el camino al desarrollo de los CMS comerciales. Las diferentes soluciones DLP que ofrecen ciertos provee-
En los CMS se crea un sistema jerárquico de roles en el cual dores, identifican, monitorizan y protegen los diferentes tipos
los redactores se encargan de escribir los artı́culos, los editores de información que nos podemos encontrar, es decir:
revisan y aceptan o rechazan la información escrita y, por Información en movimiento a través de la red (conocida
último, el editor principal publica los documentos aprobados como Data in Motion).
en el paso anterior (Samuel Ramos, Marc Morales, Juan Costa, Información almacenada en bases de datos y sistemas de
Eduardo Lozano, Carolina Castejón., 2012). ficheros (comúnmente llamada Data at Rest).
Existen multitud de CMS cada uno de ellos especializado Información en uso en los equipos (Data in Use).
en un determinado contenido, por ejemplo Foros, Blogs, Wi-
kis, Comercio Electrónico, Galerı́as Multimedia, etc. aunque Polı́ticas y Estratégias
también los hay de propósito general.
Dentro de los CMS podemos distinguir entre los de código La principal función de esta área, es relevar si existen o se
abierto y los comerciales encontrando, dentro de cada tipo, han desarrollado especı́ficamente procedimientos y polı́ticas
sus ventajas e inconvenientes. que den un marco de actuación a las áreas para tratar aspectos
En el caso de los CMS de código abierto la gran ventaja relacionados con la prevención de Fuga de Información, como
es que el código fuente está a disposición de cualquiera ası́ también conocer la estructura que dispone la Empresa para
con lo cual se pueden corregir los errores de una forma el tratamiento de la misma.
mucho más efectiva y desarrollar nuevas funcionalidades más Clasificación de la información
rápida y eficientemente, además se garantiza la continuidad
del mantenimiento de la aplicación a pesar de que el grupo o Clasificar la información no es sólo estampar un sello o marca,
empresa que se ha encargado del desarrollo desaparezca, en sino que implica además entregar un cierto nivel de protección
cambio, en el caso de los CMS comerciales normalmente los mediante unos controles de seguridad concreta que hay que
cambios tan sólo pueden realizarlos los propios desarrolladores aplicar a la misma, a lo largo de su vida útil y en cualquiera
según sus prioridades, aunque existen casos en los que se tiene de sus formatos.
acceso al código fuente mediante la adquisición de una licencia El responsable de establecer estos controles es el Propietario
adicional. de la información clasificada.
Otra gran ventaja de los CMS de código abierto frente a los Se debe clasificar la información realmente importante para
comerciales es su coste ya que, en la mayorı́a de los casos, el negocio, es decir, aquella cuya falta de seguridad tendrı́a
los primeros se encuentran disponibles de forma gratuita en impacto directo, económico, legal, estratégico, etc., en la
Internet sin necesidad de adquirir ningún tipo de licencias. actividad del mismo.
Asimismo, es importante mencionar que de acuerdo a la
Fugas de Datos en los Sitios Web naturaleza del negocio, algunas Empresas deben contar con
especial cuidado para el tratamiento de información sensible,
La Prevención de Fuga de Información (Data Loss Prevention con el objeto de evitar incumplimiento de las leyes vigentes.
– DLP), hace referencia a las actividades y mecanismos Una determinada información puede clasificarse en uno de
empleados para prevenir el uso no autorizado de información los siguientes niveles:
sensible de una organización. Se trata de controles preventivos
sobre qué datos están siendo accedidos o transmitidos, quién Reservada: Información de alta sensibilidad que debe ser
lo está utilizando, cómo se transmite y a dónde se dirige dicha protegida por su relevancia sobre decisiones estratégicas,
información. impacto financiero, oportunidades de negocio, potencial
En ese sentido, los principales factores de fuga de informa- de fraude o requisitos legales. Su manejo es nominal y
ción están asociados a: en grupo muy reducido de personas.
Pérdida o Robo de equipos portátiles que contienen Restringida: Información sensible, interna a áreas o
información de la Compañı́a. proyectos a los que debe tener acceso controlado un
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 18

Tabla 1. Actividades que permitirán valorar correctamente los domi- Tabla 2. Continua..Actividades que permitirán valorar..
nios
Objetivo de
N◦ AC Actividad de control
Objetivo de control
N◦ AC Actividad de control ¿Existe un programa de formación y
control
¿Existe una polı́tica que aborde la fuga de concienciación que establezca los
información e indique los mecanismos objetivos, alcance y acciones a
1.1 Formación y 1.19
para registrar, cifrar, informar y eliminar establecer para lograr una
concienciación
la información de la compañı́a? adecuada cultura de prevención
¿Existen acuerdos de confidencialidad de fuga de información?
que tengan en cuenta la posible fuga ¿Se realizan acciones y sesiones de
1.2 de información sensible y las formación para que el personal
1.20
Polı́tica y respuestas a las mismas conozca su responsabilidad
Procedimiento (en caso de producirse)? dentro de su ámbito de actuación?
¿Se controla el cumplimiento de los ¿Existe un código de conducta que
acuerdos de confidencialidad refleje los criterios de actuación
1.3 Código de 1.21
existentes, ası́ como de otras para el uso y las comunicaciones de
conducta
relaciones o acuerdos existentes? información en la organización?
¿Los contratos con terceras partes ¿Incluye el código de conducta las
incluyen acuerdos de confidencialidad medidas para la difusión, aplicación,
1.4 1.22 monitorización de su cumplimiento
e indican las consecuencias del
incumplimiento de dichos acuerdos? y las actuaciones frente a
¿Existen una polı́tica que regule el incumplimientos del mismo?
uso de cifrado tanto en el Fuente: ISO 27001
1.5 almacenamiento de la información
como en las comunicaciones usadas
para el envı́o de esa información?
¿Existen polı́ticas formales de departamento, miembros del proyecto, de un comité, etc.,
seguridad sobre el uso de información pero no toda la empresa, y que debe ser protegida por su
sensible en los dispositivos móviles
(protección fı́sica, control de acceso, impacto en los intereses de la empresa, de sus clientes o
1.6 asociados y empleados.
técnicas criptográficas, copias de
seguridad, protección ante virus, Uso interno: Información que sin ser reservada ni
eliminación remota de información
sensible,...)? restringida, debe mantenerse en el ámbito interno de
¿Existen polı́ticas formales que la empresa y no debe estar disponible externamente,
1.7 limiten el uso de software no excepto a terceras partes involucradas previo compromiso
autorizado?
¿Existen procedimientos sobre de confidencialidad y conocimiento del Propietario de la
1.8 misma.
el uso de ficheros o software externo?
¿Existen una polı́tica de privacidad Pública: Información cuya divulgación no afecte a la
1.9
y protección de datos personales?
¿Existe una polı́tica de control de empresa en términos de pérdida de imagen y/o económi-
acceso que tenga en cuenta ca.
aspectos como: requisitos de
seguridad de las aplicaciones, Tabla 3. Aspectos que deberán ser relevados para tener una razonable
alineamiento con polı́tica de
1.10
clasificación de la información,
garantı́a
segregación de roles, Objetivo de
legislación aplicable, N◦ AC Actividad de control
control
requisitos para las autorizaciones ¿Existe una polı́tica de clasificación
de accesos? de la información que establezca
¿Existen polı́ticas y procedimientos los niveles que corresponden a
1.11 que regulen el intercambio de 2.1
la información sensible y las
información? medidas a llevar a cabo para
¿Existen modelos de acuerdo con Clasificación de
conseguir su protección?
1.12 terceras partes que regulen el la información
Verificar la existencia de un
intercambio de información? 2.2 propietario explı́cito para la
¿Existen mecanismos para la información sensible.
1.13 eliminación y destrucción de Verificar que el propietario de
información sensible? la información sensible ha
¿Existe un órgano con autoridad 2.3
realizado la clasificación de
suficiente en la organización para la misma.
realizar una adecuada definición, Verificar el adecuado etiquetado
1.14 gestión, revisión y monitorización 2.4
Estructura de la información sensible.
de las iniciativas relacionadas Comprobar que el propietario
Organizativa
con la prevención de fuga de de la información revisa los
información? 2.5 permisos de acceso y
¿Dicho órgano incluye a todos tratamiento de dicha
1.15 los agentes relevantes en la información.
prevención de fuga de información? Verificar la existencia de reglas
¿Se mantienen reuniones periódicas de uso aceptable de la
1.16
o ante situaciones extraordinarias? información y la
¿Existen responsabilidades individuales 2.6
implantación de las mismas en
asignadas a cada uno de los miembros aquella información considerada
1.17 integrantes del órgano destinado a la como sensible.
Responsabilidades
gestión de la prevención de fuga de Fuente: ISO 27001
información?
¿Existen responsabilidades asignadas
a los diferentes grupos implicados en
1.18
lo que a la prevención de fuga de
información se refiere?
Fuente: ISO 27001
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 19

estos archivos y leer su contenido para determinar si están


Respuesta ante incidentes presentes datos especı́ficos, tales como números de tarjetas de
crédito etc.
El principal enfoque de esta área, es conocer el grado de Para realizar estas tareas, la mayorı́a de los sistemas de DLP
madurez que presenta la Organización para gestionar y dar tra- utilizan rastreadores, que son aplicaciones que se despliegan
tamiento a los diferentes problemas e incidencias que aparecen en forma remota para que entren en cada sistema final y
en el ámbito operativo y que puedan impactar en información “rastreen” a través de los almacenes de datos, buscando y
sensible o estratégica de la Compañı́a. registrando conjuntos de información especı́ficos con base en
A mayor número de controles detectados para gestionar las una serie de normas que han sido introducidas en la consola
incidencias, probablemente menor serán las probabilidades o de administración de la DLP.
riesgo de que se produzcan eventos relacionados con Fuga La recopilación de esta información es un paso muy valioso
(Adrián, 2010). que permitirá a la empresa determinar dónde se encuentra la
información clave, si su ubicación está permitida dentro de
Tabla 4. Aspectos crı́ticos que la metodologı́a propuesta intenta
relevar las polı́ticas existentes y qué trayectos podrı́an recorrer estos
datos que vioları́an polı́ticas de información (Adrián, 2010).
Objetivo de
N◦ AC Actividad de control
control
Verificar la existencia de un protocolo Seguridad en los Equipos (Data in Use)
de notificación sobre el robo de
equipos, que incluya, al menos:
procesos de información para Los datos en uso, también conocidos como información de
3.1
el notificador, plantillas para los puestos de trabajo, tal vez sean el aspecto más desafiante
la notificación, formas de de la instrumentación de un DLP. Estos datos se refieren
actuación ante una pérdida de
Respuesta
información sensible y principalmente al monitoreo del movimiento de datos que se
ante
incidentes
procesos disciplinarios si se deriva de acciones que ejecutan los usuarios finales en sus
detecta una brecha de seguridad. estaciones de trabajo, tales como copiar datos a una unidad
¿El protocolo de notificación se
3.2 revisa, actualiza y comunica USB, enviar información a una impresora o incluso cortar y
periódicamente? pegar entre aplicaciones. Las soluciones de DLP por lo general
¿Existe un protocolo de respuesta ejecutan estas funciones usando un programa de software
ante incidentes que incluya, al menos:
3.3 mecanismos de detección, verificación, conocido como agente, el cual en el caso ideal está controlado
contención, notificación y resolución por las mismas capacidades de administración de la solución
del incidente? de DLP central.
Tras un incidente, ¿se registran las
actividades posteriores para
3.4
establecer una base de conocimiento
ante posibles incidentes futuros? C ONCLUSIONES
¿Existe un equipo adecuadamente
dimensionado para dar respuesta Podemos concluir que la presente investigación existen altos
3.5
a los incidentes de fuga de niveles de fuga de datos de la información en empresas
información? públicas o privadas. Abordar este problema requiere una
Comprobar la existencia de
indicadores de funcionamiento combinación de educación, polı́ticas y controles.
3.6
de los equipos de respuesta ante Los empleados deben ser conscientes de los riesgos, pero
incidentes.
¿Existe un proceso de gestión de
quizás lo más importante es que tienen que estar equipados
continuidad de negocio que con las estrategias para reducir este riesgo. Herramientas tales
permita minimizar el impacto como los filtros de privacidad, pueden ayudar a recudir el
3.7 producido por la pérdida de
activos de información que
riesgo de exposición de datos. Esto limita el número de
incluya la identificación de personas que puede ver la información. Sin embargo, los
actividades crı́ticas? empleados además de recibir las herramientas apropiadas,
Fuente: ISO 27001 también necesitan ser educados sobre los riesgos de la fuga
de información visual y luego ser incentivados a través de las
polı́ticas corporativas a utilizar estas herramientas.
Repositorio de datos (Data at Rest)

Una función básica de las soluciones de DLP es la capacidad R EFERENCIAS B IBLIOGR ÁFICAS
de identificar y registrar dónde se almacenan tipos especı́ficos
de información a lo largo y ancho de la empresa. Esto significa Adrián, G. D. (2010). Prevención de Fuga de Información en
que la solución de DLP debe tener la capacidad de buscar e Empresas.
identificar tipos de archivo especı́ficos, tales como hojas de Gallardo, A.G. (2016). Seguridad en bases de datos y aplica-
cálculo y documentos de procesamiento de texto, ya sea que ciones web.
estén en servidores de archivos, redes de área de almacena- Cobos, J. S. (17 de Diciembre de 2006). textos univer-
miento (SAN) o incluso puestos de trabajo de usuarios finales. sitaris de biblioteconomia i documentacion. Obtenido de
Una vez encontrados, la solución de DLP debe poder abrir http://bid.ub.edu/17serra2.htm
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 20

Germain, C. d. (2015). Networking and Internet Technologies.


Obtenido de http://blogs.salleurl.edu/networking-and-
internet-technologies/auditoria-de-paginas-web-y-de-
codigo/#comments
Samuel Ramos, Marc Morales, Juan Cos-
ta, Eduardo Lozano, Carolina Castejón.
(2012). http://openaccess.uoc.edu/. Obtenido de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/9203/1
/web20servicios.pdf
Trombetta, M. (2013). www.ie.edu.Obtenido de/www.ie.edu:
https://www.ie.edu/fundacion ie/Home/Documentos/Seguridad
en la Informaci %C3 %B3n Retail y GC -
Fundaci %C3 %B3n IE y Ernst & Young 2.pdf

También podría gustarte