¿CÓMO HACER BORRADO SEGURO DE DATOS, ARCHIVOS Y DESTRUCCIÓN DE DOCUMENTOS?

Existen evidencias estadísticas avaladas por las empresas de destrucción de documentos y datos cual señalan que en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, EAU, y la India; dos de cada tres empresas enfrentan a problemas y riesgos de gestión de datos. Los datos deben ser manejados apropiadamente a través de todo el ciclo de vida de datos, desde la captura hasta la destrucción. Proceso de destrucción de datos y documentos forma una parte integral de los procesos de gestión de datos. Al final del ciclo de vida de los datos, las empresas pueden guardar datos para su uso posterior, o destruir los archivos. El borrado seguro de archivos es el proceso de eliminación de los datos que los hace ilegible o irrecuperables. Hay diferentes tipos de servicios de destruir archivos y soluciones de formateo seguro que permiten a una empresa a proteger sus datos de manera más eficiente y segura.

Según los expertos de empresa de destrucción de documentos y datos, existen diferentes tipos de métodos de borrado seguro de archivos. Las empresas necesitan categorizar los datos, que deben ser destruidos de acuerdo con el tipo de dispositivo en el cual es almacenan, el nivel de confidencialidad, y planes de futuro para los dispositivos. Con la ayuda de los profesionales de borrado seguro de archivos, las empresas podrían decidir el método adecuado para el borrado seguro de datos. Después de eliminar archivos definitivamente, las empresas deben emplear proceso de revisión para verificar la efectividad de cada solución o servicio. Los métodos más comunes para el borrado seguro de archivos son:

MÉTODO DE LIMPIAR

Este método utiliza programas o dispositivos para sobrescribir el espacio de almacenamiento en el disco/ssd/pc con datos no sensibles, de modo que los datos existentes se pueden sustituir por los datos no sensibles. El uso de este método para borrar disco duro de forma segura permite la sobre escritura de la dirección de almacenamiento lógico y dirección del almacenamiento de usuario. Sin embargo, no se puede borrar disco duro/ssd/pc de forma segura si está dañado o no permite la sobre escritura. Para los dispositivos tales como teléfonos móviles que no son realmente dispositivos de almacenamiento, el método de limpiar significa la capacidad de devolver el dispositivo al estado de fábrica. De acuerdo con los expertos de soluciones de formateo seguro, algunos dispositivos no soportan directamente la capacidad de sobre escribir o aplicar técnicas específicas al contenido de almacenamiento no volátil; así sólo permiten eliminar los indicadores de archivos. Una solución de formateo seguro debe garantizar que la interfaz de dispositivo no facilita la recuperación de los datos eliminados.

MÉTODO DE PURGA

Este método de borrado seguro de archivos, utiliza métodos físicos o lógicos que hacen inviable la recuperación de datos, incluso con la ayuda de los laboratorios avanzados. Borrado de bloque y borrado criptográfico forman parte integral del método de purga y son muy eficaces para el borrado seguro de archivos. Según empresa de destrucción de documentos y datos, desmagnetización o degaussing también está considerado como parte de los métodos de purga. Con degaussing las empresas pueden borrar discos duro de forma segura. Profesionales de los servicios de destruir archivos, deben considerar la fuerza de la degausser y asegurarse de que coincide con la coercitividad de los dispositivos. Sin embargo degaussing no puede ser utilizado para el borrado seguro de archivos de los dispositivos que no contienen el almacenamiento magnético, por lo tanto para este tipo de dispositivos las empresas pueden consultar servicios de destruir archivos.

MÉTODO DE DESTRUIR

Método de Destruir ayuda en el borrado seguro de archivos y hace inviable la recuperación de datos y no pueden utilizarse los dispositivos otra vez para almacenamiento de datos. Según expertos de la empresa de destrucción de documentos y datos, existen diferentes tipos de métodos para destruir archivos y dispositivos.

Desintegrar, Pulverizar, Derretir, e Incinerar : Estos métodos están diseñados para destruir completamente los dispositivos como disco duro, ssd, pc etc y borrar datos de forma segura. Estos métodos se llevan a cabo por el proveedor de servicios de destruir archivos en una instalación externa en frente del cliente. El proveedor de los servicios de destruir archivos debe ser capaz de destruir los dispositivos de manera efectiva, segura y con cuidado.

Triturar: Trituradoras se utilizan para destruir los dispositivos flexibles de modo que no pueden ser reconstruidos. Según las recomendaciones de las empresas de destrucción de datos el tamaño de las tiras debe ser lo suficientemente pequeño como para que los datos no pueden ser reconstruidos. Para hacer la reconstrucción de datos aún más difíciles, el material triturado se puede mezclar con materiales no sensibles del mismo tipo.

LOS MÉTODOS PARA LA REVISIÓN DEL BORRADO SEGURO DE DATOS

La revisión de los procesos de los servicios de borrado seguro de datos es un paso esencial en el mantenimiento de la confidencialidad. La revisión debe ser ejecutada por personal que no forma parte de los servicios de borrado seguro de datos. En general hay dos tipos de métodos para la revisión de los servicios de borrado seguro de datos.

1. Revisión Completa: En este método la revisión se aplica para cada dispositivo. Este método de revisión de los servicios de borrado seguro de datos es muy detallado y toma mucho tiempo.

2. Revisión de Muestreo: En este método la revisión se aplica a un subconjunto seleccionado de los dispositivos como discos duro, ssd, pc etc. Este método de revisión de los servicios de borrado seguro de datos no es muy detallado y toma menos tiempo.

REVISIÓN DE SOLUCIONES DE FORMATEO SEGURO

Según la experiencia de la empresa de destrucción de documentos y datos, la revisión de los procesos de los servicios de borrado seguro de datos no es la única garantía exigida por las empresas. Si una empresa está utilizando soluciones de formateo seguro, también se debe hacer revisión periódica y mantenimiento de estos dispositivos. Soluciones de formateo seguro incluyen dispositivos tales como degausser y máquinas independientes de borrado seguro de archivos.

REVISIÓN DE LAS COMPETENCIAS DE BORRADO SEGURO DE DATOS

Revisión de las competencias de borrado seguro de datos es un elemento importante, junto con la revisión de los proceso de los servicios de borrado seguro de datos. Las empresas deben revisar las competencias y la experiencia del proveedor de servicios de borrado seguro de datos y asegurarse de que sus empleados reciben capacitación o curso de borrado seguro de datos durante la implementación de los servicios de borrado seguro de datos.

REVISIÓN DE LOS RESULTADOS DE SERVICIOS DE BORRADO SEGURO DE DATOS

El objetivo de los servicios de borrado seguro de datos es garantizar que el borrado seguro de datos ocurrió efectivamente. Normalmente las empresas no tienen acceso al laboratorio de recuperación de datos para revisar que se pudieron borrar disco duro de forma segura. Se pueden revisar fácilmente la credibilidad de las soluciones de formateo seguro y servicios de destrucción segura de datos vía lectura completa de todas las áreas accesibles de dispositivo para verificar los resultados.

Durante una revisión completa, el disco debe ser leído por completo para verificar que no existen datos en el disco. Este tipo de revisión llevará mucho tiempo y esfuerzo, pero este método garantiza la efectividad de la solución de formateo seguro y servicio de destruir archivos.

Según los expertos de los servicios para destruir archivos, las empresas pueden elegir el método de revisión de muestreo para la revisión de la credibilidad de las soluciones de formateo seguro y servicios para destruir archivos. Sin embargo las empresas deben tener en cuenta los siguientes puntos durante el uso de método de revisión de muestreo:

1.    En el mercado hay muchas soluciones de formateo seguro y servicios para destruir archivos cuales no borran el dispositivo completamente. Así para borrar disco duro de forma segura, los profesionales deben revisar direcciones pseudoaleatorios en el disco, al verificar la credibilidad de soluciones de formateo seguro y servicios para destruir archivos. Junto con direcciones pseudoaleatorias en el disco; el método de revisión también debe seleccionar subsecciones del disco duro para su verificación. La mejor manera de borrar disco duro de forma segura es seleccionar al menos dos lugares pseudoaleatorios que no se solapan adentro de cada subsección seleccionada. Según los expertos de empresa de destrucción segura de documentos y datos, cada muestra debe cubrir al menos el 5% de la subsección y no debe solapar la otra muestra en la subsección.

2.     Otro punto importante a tener en cuenta durante el método de revisión de muestreo es seleccionar primera y la última dirección en el dispositivo de almacenamiento ya que algunas soluciones de formateo seguro y servicios para destruir archivos no eliminen los datos de la primera y la última dirección del disco. Así que no pueden borrar disco duro de forma segura y completa.

3.    Para el borrado de datos cifrados, el proceso de revisión de muestreo debe funcionar de manera distinta, ya que el contenido de los datos originales es desconocido y la comparación no es posible. Cuando las empresas usan borrado cifrado, hay múltiples opciones para la verificación, y cada una utiliza una revisión rápida de un subconjunto de los dispositivos. Borrar disco duro de forma segura consiste en una selección de direcciones pseudoaleatorios en diferentes subsecciones para el muestreo. Sin embargo, el proceso consiste en buscar archivos en lugares conocidos y por lo tanto el porcentaje de área direccionable es relativamente pequeño, explica empresa de destrucción segura de datos.

4.    Durante la revisión soluciones de formateo seguro y servicios para destruir archivos, también es recomendable seleccionar un subconjunto de dispositivos para su revisión, utilizando diferentes herramientas de revisión. Según las recomendaciones de las empresas de destrucción de documentos y datos, durante esta revisión se debe considerar al menos el 25% de los dispositivos limpiados. Este método de revisión le ayudará a comparar y validar la eficacia de las soluciones a borrar disco duro,ssd,pc de forma segura.

Las empresas pueden decidir fácilmente qué método es apropiado para qué tipo de escenario con la ayuda de una empresa de destrucción de datos o profesionales del borrado seguro de archivos. También el personal de la empresa deba recibir la capacitación de borrado seguro de archivos y cómo verificar la credibilidad de diferentes soluciones y servicios.

Los servicios de borrado seguro de datos, soluciones de formateo seguro y cursos, deben ayudar a identificar y resolver los riesgos asociados con la gestión de datos de su organización. La metodología de borrado seguro de archivos debe ser muy diferente de la metodología tradicional de las empresas de destrucción de datos. La metodología de borrado seguro de archivos debe estar basada en un proceso de procedimientos manuales y automatizados por medio de scripts propias, herramientas propietarias, comerciales y de código abierto que identifica todos los tipos de datos recuperables.

Read More

HOW TO DO SECURE DATA DESTRUCTION OF INFORMATION FROM STORAGE DEVICES?

There are statistical evidences supported by data destruction companies which present that in countries like Mexico, Brazil, United States, Colombia, Costa Rica, Argentina, UAE, and India; two out of three companies face data management problems & risks. Data should be appropriately managed across the entire data lifecycle, from capture to destruction. Data destruction process forms an integral part of data management processes. At the end of data lifecycle, enterprises may archive it for later use, or destroyed the data. Data destruction is the process of removing information that renders it unreadable or irrecoverable. There are different kinds of data wiping services and secure wipe solutions that allow an organization to more efficiently and safely protect its data.

According to data destruction company experts, there exist different kinds of secure data deletion procedures. Enterprises need to categorize the data that is supposed to be destroyed according to the type of medium on which it is stored, level of confidentiality, and the future plans for the media. Then, with the help of secure data deletion professionals decide the suitable procedure for secure data destruction. After the data deletion, enterprises should employ review process to verify the effectiveness of each solution or service. The most common procedures for secure data deletion are:

CLEAR PROCEDURE

In clear procedure, software or hardware products are used to overwrite the storage space on the drive with non-sensitive data so that the existing data can be replaced with non-sensitive data. Using this procedure for hard drive’s secure data erasure allows overwriting of logical storage location and user-addressable locations. However, hard drive’s secure data erasure can’t be done if it’s damaged or not rewriteable. For media such as mobile phones which are not dedicated storage devices, the clear procedure means the ability to return the device to factory state. According to secure wipe solutions experts, some devices do not directly support the ability to rewrite or apply media-specific techniques to the non-volatile storage contents thus only allow deleting the file pointers. Secure wipe solution should ensure that the device interface does not facilitate retrieval of the deleted data.

PURGE PROCEDURE

Purge procedure for secure data deletion uses physical or logical procedures that render data recovery infeasible even with the help of state of the art laboratories. Block erase, Cryptographic Erase form an integral part of purge procedure and are very effective for secure data deletion. As per data destruction company’s experts, degaussing is also considered part of purge procedures. Degaussing results in hard drive’s secure data erasure and renders a magnetic hard drive purged. Data wiping services professionals should consider the strength of the degausser and make sure it matches with the media coercivity. However degaussing cannot be used for secure data deletion of media that contains non-magnetic storage, thus for such type of devices companies can consult data wiping services experts.

DESTROY PROCEDURE

Destroy procedure for secure data deletion renders the data recovery infeasible and the media can’t be used again for data storage. As per data destruction company’s experts, there are different kinds of procedures for media destruction.

Disintegrate, Pulverize, Melt, and Incinerate: These destroy procedures are designed to completely destroy the media. These procedures are carried out by data wiping service provider at an outside facility in front of the client. Data wiping service provider should be able to destroy the media effectively, securely, and safely.

Shred: Shredders are used to destroy flexible media so that it can’t be reconstructed. According to data destruction company’s recommendations the shred size of the refuse should be small enough that the data cannot be reconstructed. To make reconstructing of data even more difficult, the shredded material can be mixed with non-sensitive material of the same type.

METHODS FOR REVIEWING SECURE DATA DESTRUCTION

Reviewing the processes of secure data destruction services is an essential step in maintaining confidentiality. The review should be executed by personnel who were not part of the secure data destruction services. There are two types commonly used methods for the review of secure data destruction services.

1. Full Review: In this method the review is applied for each piece of media and every time. This method of review of secure data destruction services is very detailed and takes the most time.

2. Sampling Review: In this method the review is applied to a selected subset of the media. This method of review of secure data destruction services is not very detailed and takes the less time.

REVIEW OF SECURE WIPE SOLUTION DEVICES

As per data destruction company’s experience, reviewing the processes of secure data destruction services is not the only assurance required by the companies. If the company is using secure wipe solution devices, then periodic review and maintenance of these devices should also be done. Secure wipe solution devices include devices such as degausser and standalone secure data deletion machines.

REVIEW OF SECURE DATA DELETION COMPETENCIES

Review of secure data deletion competencies is an important element along with reviewing the secure data destruction services process. Companies should review competencies and expertise of secure data destruction services provider and ensure their staff get secure data deletion training course during implementation of secure data destruction services.

REVIEW OF SECURE DATA DESTRUCTION SERVICES RESULTS

The aim of secure data destruction services is to ensure that drive’s secure data erasure happened effectively. Normally companies don’t have access to data recovery laboratory infrastructure to review hard drive’s secure data erasure. Credibility of secure wipe solutions and secure data destruction services can easily be reviewed via full reading of all accessible areas on the drive to verify results.

During a full review, the drive should be read completely to verify that no data exists on the drive. This type of review will take lot of time and effort but this method guarantees the effectiveness of secure wipe solutions and secure data destruction services.

According to data wiping services experts, companies can also choose sampling review method for reviewing credibility of secure wipe solutions and data wiping services. However companies should consider following points while using sampling review method:

1.    In the market there are many secure wipe solutions and data wiping services that only wipe a subset of drive, thus to avoid incomplete hard drive’s secure data erasure companies can review pseudorandom locations on the drive while verifying the credibility of secure wipe solutions and data wiping services. Along with pseudorandom locations on the drive the sample review method must also select hard drive’s subsections for verification. The best way is to avoid incomplete hard drive’s secure data erasure is to select at least two non-overlapping pseudorandom locations from within every subsection selected. As per secure data destruction company’s expert, each sample should cover at least 5% of the subsection and should not overlap the other sample in the subsection.

2.    Another important point to be considered while sampling is to select first and last addressable location on the storage device as some secure wipe solutions and data wiping services don’t delete data from first and last addressable location thus leading to incomplete hard drive’s secure data erasure.

3.    For encrypted data deletion, sampling review process should work differently as the original data content is unknown and comparison is not possible. When Cryptographic Erase is leveraged, there are multiple options for verification, and each uses a quick review of a subset of the media. Encrypted hard drive’s secure data erasure involves a selection of pseudorandom locations in different subsections for sampling. However the process involves looking for a file in known locations and thus the percentage of addressable area is relatively small, mentions a secure data destruction company’s expert.

4.    During the review of secure wipe solutions and data wiping services, it’s also recommended to select a subset of media items for review using a different review tool. As per recommendations from data destruction company experts, during this review at least 25% of wiped media should be considered. This review method will help to compare and validate the effectiveness of hard drive’s secure data erasure.

Enterprises can easily decide what procedure is appropriate for what kind of scenario with the help of a data destruction company or data wiping services professionals. Also the enterprise professionals should get trained in reviewing the secure data destruction results and processes to verify the credibility of different solutions and services.

The secure data destruction services, secure wipe solutions & training course should help to identify and resolve risks associated with data management in your organization. The secure data deletion methodology should be very different from traditional methodology of data destruction companies. The secure data deletion methodology should be based on a process of manual and automated verification procedures using our own scripts, proprietary, commercial and open source tools that identify all types of recoverable data.

Read More

¿CÓMO DEFINIR UN PLAN DE SEGURIDAD INFORMÁTICA?

El plan de seguridad informática se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos. El plan de seguridad informática se desarrolla sobre la base de los recursos informáticos en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir. Un plan de seguridad informática debe enfocar sobre las acciones a realizar para lograr niveles superiores de seguridad. Es muy importante a definir el alcance de un plan de seguridad informática. Acuerdo con los especialistas de los servicios de seguridad lógica para empresas, el alcance ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos.

La seguridad física y la seguridad lógica son dos aspectos del plan de seguridad informática y son necesarios para la seguridad de una empresa. A continuación son los detalles de cada aspecto.

 

SEGURIDAD LOGICA

Una parte importante de un plan de seguridad informática es seguridad lógica. Medidas y procedimientos de seguridad lógica junto con políticas de seguridad lógica forman una ruta para implementar seguridad lógica.

MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICA

Las soluciones y servicios de seguridad lógica para empresas son partes de las medidas y procedimientos. Sistemas de seguridad lógica para empresas se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Según expertos de empresa de seguridad lógica, las políticas de seguridad lógica y sistemas de seguridad perimetral son partes integrales de los servicios de seguridad lógica. Las soluciones y servicios de seguridad lógica para empresas evitan accesos no autorizados a la información empresarial. Los servicios de seguridad lógica para empresas crean barreras lógicas que protejan el acceso a la información.

Los consultores de los servicios de seguridad lógica para empresas mencionan que tradicionalmente las empresas dependieron sobre los sistemas de seguridad perimetral para defenderse de las amenazas de redes y sobre los programas de antivirus para defenderse de las amenazas del contenido. Sin embargo, estos sistemas no dan una protección completa contra ataques avanzados. Los consultores de servicios de seguridad lógica para empresas aseguran que la defensa contra ataques avanzados está más allá de la capacidad de las soluciones convencionales de seguridad lógica. Esto ha acelerado la necesidad de los servicios de seguridad lógica y las soluciones avanzadas.

SISTEMA DE SEGURIDAD PERIMETRAL

Una parte importante de las soluciones y servicios de seguridad lógica para empresas es un sistema de seguridad perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, actualmente tienen algún tipo de sistema de seguridad perimetral para ciberdefensa contra ciberataques. Los sistemas de seguridad perimetral por redes están responsable de la seguridad del sistema informático de una empresa contra amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etcétera.

Anteriormente sistemas de seguridad perimetral por redes, solo incorporaba cortafuego, pero el mercado de sistema de seguridad perimetral está cambiando mucho y ahorita un sistema de seguridad perimetral por redes también incorpora los sistemas de IDS (Intrusión Detection Systems) e IPS (Intrusión Prevention Systems). Los especialistas de seguridad perimetral mencionan que un sistema de seguridad perimetral por redes debe inspeccionar los protocolos de aplicación, contenido y debe utilizar técnicas avanzadas para identificar las amenazas no conocidas. Los sistemas de seguridad perimetral proporcionan protección a dos diferentes nivel. El primer nivel es de la red, el sistema de seguridad perimetral para redes proporciona protección contra amenazas como ataques de hackers, las intrusiones o el robo de información en las conexiones remotas. El segundo nivel es del contenido, el sistema de seguridad perimetral para contenido proporciona protección contra amenazas como malware, phishing, el spam y los contenidos web no apropiados para las empresas. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que las empresas del sistema de seguridad perimetral se enfoquen en el desarrollo de equipos dedicados a uno u otro fin.

IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS

Identificación y autenticación de los usuarios son partes importantes de medidas y procedimientos. Los controles de acceso para seguridad informática son las medidas de identificación y autenticación de los usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Las soluciones de controles de acceso para seguridad informática garantizan el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas informáticos. Acuerdo con la experiencia de los expertos de los controles de acceso para seguridad informática, durante la implantación de los controles de acceso las empresas deben considerar los siguientes aspectos:

§  Las políticas de seguridad lógica para la clasificación, autorización y distribución de la información.

§  Las normas y obligaciones empresariales con respecto a la protección del acceso a la información.

§  Auditoría de seguridad informática para verificar los procesos de los controles de acceso.

§  Mantener los registros de acceso por cada servicio o sistema informático.

§  Los procedimientos para identificación de usuarios y verificación del acceso de cada usuario.

§  Los controles de acceso para seguridad informática deberán cubrir todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la anulación del registro de usuarios que no requieren más acceso a los sistemas informáticos.

§  Sistema y método de autenticación empleado por los controles de acceso para seguridad informática.

§  Por mayor seguridad, considerar las soluciones avanzadas de controles de acceso de seguridad informática, tales como biometría, tarjetas inteligentes etc.

§  Definir los recursos, cual deben ser protegidos con las soluciones de control de acceso.

§  Procesos y metodología de autorización utilizados por los controles de acceso.

Según expertos de controles de acceso para seguridad informática, el proceso de revisión de los derechos de acceso de usuarios después de cualquier cambio es muy importante. Las empresas deben implementar los sistemas de seguridad perimetral por redes con el fin de evitar la modificación no autorizada, destrucción y pérdida de los datos de sistema de control de acceso.

POLÍTICAS DE SEGURIDAD LÓGICA

El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Las políticas de seguridad lógica deben ser publicadas adentro de la empresa y ser comunicadas a todos los empleados de la empresa.

Las políticas de seguridad lógica definen los recursos, cual deben ser protegidos y cual son los procedimientos de seguridad lógica. Las políticas de seguridad lógica en sí mismas no dicen como los recursos son protegidos. Esto es función de las medidas y procedimientos de seguridad lógica. Por cada política de seguridad lógica existen varias medidas y procedimientos que le correspondan. Desde que las políticas de seguridad lógica pueden afectar a todos los empleados es importante asegurar a tener el nivel de autoridad requerido para implementación y desarrollo del misma. Las políticas de seguridad lógica debe ser avaladas por los expertos con experiencia en implementación de políticas de seguridad lógica y por la dirección de la empresa que tiene el poder de hacerlas cumplir. Políticas como de gestión de los incidentes, de respaldo de datos, de protección de datos personales forman una parte integral de las políticas de seguridad lógica.

SEGURIDAD FÍSICA PARA LA EMPRESA

Otra parte importante del plan de seguridad informática es la seguridad física empresarial. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad. Las soluciones de seguridad física de la información, tienen el objetivo de evitar accesos físicos no autorizados, daños e interferencias contra la infraestructura informática y la información empresarial. Las soluciones de seguridad física de la información, forman una parte de integral de las soluciones de seguridad física. Las soluciones de seguridad física de la información, se aplican a los departamentos de informática, de los soportes de información y otros departamentos donde se encuentran gestión de datos. El plan de seguridad informática, determina las zonas controladas adentro de la empresa y estas zonas tienen requerimientos específicos de seguridad, en base a lo cual se declaran zonas limitadas, restringidas o estratégicas y se describen las soluciones de seguridad física de la información que se aplican en cada una de ellas.

Generalmente las soluciones de seguridad física de la información crean una barrera física alrededor de las áreas de procesamiento de la información. Pero algunas soluciones de seguridad física de la información, utilizan múltiples barreras para brindar protección adicional y estar más seguro. Periódicamente, las empresas deben hacer la revisión de rendimiento de las soluciones y determinar las acciones a realizar para lograr el ciclo de mejora continua.

La protección de la infraestructura informática y dispositivos empresarial forma una parte integral de las soluciones de seguridad física de la información y son necesarias para reducir las amenazas físicas de accesos no autorizados a la información y riegos de robos o daños. Las soluciones deben tomar en cuenta las acciones necesarias para cubrir las brechas de seguridad y la corrección de los errores de los sistemas. Las soluciones de seguridad física de la información garantizan la protección contra fallas eléctricas, intercepción de la información y la protección de los cables. Según los expertos de soluciones de seguridad física de la información, las amenazas físicas como daños que puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones, y otras formas de desastre natural o artificial deben ser consideradas durante la implantación de las soluciones de seguridad física de la información.

La implementación de un plan de seguridad es un paso importante en el ámbito de seguridad. Deben tomar ayuda de una organización con especialización en los servicios de seguridad lógica para empresas. El plan de seguridad informática debe ajustar al sistema de seguridad implementado y utilizándolo como una herramienta de la gestión de la seguridad. El plan de seguridad informática debe ser muy comprensible y eso asegura su cumplimiento. Los expertos en plan de seguridad informática podrían asegurar que el plan está actualizado sobre la base de los cambios como nuevas políticas de seguridad lógica y soluciones de seguridad física de la información.

Read More

TÉCNICAS Y BENEFICIOS DE DESTRUCCIÓN DE DOCUMENTOS

Las empresas necesitan diferentes técnicas de destrucción de documentos y sus datos para satisfacer sus necesidades individuales:- semanales, mensuales, trimestrales, anuales o incluso periódicamente así como sus documentos acumulados. Las diferentes técnicas de destrucción de documentos son:

§  Los contenedores cerrados con código de barras.

§  Servicios de destrucción de documentos de profesionales.

§  Vehículos monitoreados con GPS de destrucción de documentos.

§  Destrucción de documentos el mismo día (o dentro de 24 horas) la destrucción en una instalación cerrada y supervisada.

§  Destrucción de documentos con trituradoras industriales que hacen sus datos incapaces de utilización e identificación al instante.

§  Certificados de la destrucción de documentos que muestran los números de serie de contenedores y recogida de documentación.

Basado en las regulaciones federales actuales, prácticamente todas las empresas tienen datos que necesitan ser dejados inoperantes de utilización e identificación antes de su eliminación. El entorno actual exige que las empresas logren y mantienen el cumplimiento de estas normas o, posiblemente, se enfrentaran a multas elevadas. Hacer destrucción de documentos su mismo es un medio posible de cumplimiento, pero de acuerdo con la Asociación Nacional para la Destrucción de la Información, el uso de una empresa de destrucción de documento es una mejor opción por varias razones:

§  Seguridad – incluso las máquinas de pequeño tamaño pueden causar lesiones si agarran ropa o accesorios

§  Ahorro – No hay que comprar y mantener trituradora.

§  Productividad – Los empleados son más productivos cuando se centra en sus responsabilidades básicas

§  Seguridad – Información de la empresa, tales como las cuestiones de nómina, legales y de empleo, y la correspondencia no deben ser expuestos a la mayoría de los empleados

§  Cumplimiento – Hacer destrucción de documentos adentro de la empresa no puede manejar grandes volúmenes y puede incitar a los empleados para eludir el proceso de destrucción

Además las empresas pueden reducir los costes de eliminación de residuos y la huella de carbono con un programa de reciclaje diseñado para satisfacer las necesidades de la empresa. DIM destruición, una empresa de destrucción de documentos ayuda a las organizaciones de las entidades financieras, a las empresas de salud, compañías de energía, empresas de abogados, propietarios y administradores de edificios de múltiples inquilinos a controlar sus costes de eliminación de residuos, cumplen la legislación de reciclaje y promueven el cuidado del medio ambiente.

Read More

GOVERNMENT ROLE IN CYBER SECURITY FOR PROTECTING PRIVATE SECTOR COMPANIES

Cyber security refers to the set of solutions, services and trainings that can be implement by a company or an organization for cyber defense against cyber attacks. According to the reports of cyber security consulting company, enterprises or organizations are increasingly becoming aware of cyber attacks. Since last year, almost 35% of enterprises in countries such as Mexico, Brazil, United States, Colombia, Costa Rica, Argentina, UAE, India have increased their investments in cyber security services and that is why there is a big need of cyber security consulting professionals to implement cyber defense solutions. Understanding the reasons behind cyber attacks, allows an enterprise to easily acquire the cyber security services and design a cyber security plan in a more effective manner. According to experts from cyber security institute, the fear of focused cyber attacks is making governments, companies or organizations to spend money on cyber security services and solutions. These implementation plans of cyber security services & solutions go far beyond than investing in traditional solutions like firewalls, vulnerability management, etc. In general, they are looking for more sophisticated cyber security services and smart cyber security solutions that can protect them from advance cyber attacks.

As the governments and big companies are involved in the issue of cyber security, the forms of implementing cyber security services & solutions has changed radically. According to the professor of cyber security school, cyber security has become a necessary thing in all aspects. Big companies are not only focusing on cyber security services & solutions, they also want their IT team to be an expert in the field of cyber security. To develop cyber security skills in their IT team, companies should focus on the cyber security training. With the help of cyber security training, small businesses can also understand and implement advanced cyber security solutions without the help of a cyber security consulting company.

Governments of various countries especially US, Russia, China, UK, Germany, and India have been developing and employing offensive cyber capabilities including cyber espionage and critical infrastructure attacks. These efforts are not really focused on cyber security however it more about taking control of cyberspace and this is similar to cold war in early 80’s. To discourage cyber attacks, many governments are thinking about using sanctions and other typical actions used for an act of war. These actions will help in some scenarios but not in others scenarios where forensics cannot yield sufficient evidence. As per experts from cyber security institute, to defend in cyberspace, governments must play a proactive role in cyber security domain.

Cyber security school professor, Dave smith mentions that for government to protect private sector’s in cyberspace is a complex task as there are lot of political constraints. Implementation of Cyber security services and cyber defense solutions for law enforcement in cyberspace is very complex. Due to global nature of Internet’s infrastructure and public – private ownership of Internet’s infrastructure, the decision of ownership of jurisdictions is complicated.

As the cases of private sector espionage are increasing many governments agencies are coming forward and partnering with other governments agencies and the private sector to ensure security from cyber attacks by foreign state and non-state actors. By partnering with the cyber security organizations and cyber security consulting companies, government agencies can maintain stronger foothold over cyberspace. As there are many cyber security organizations working on government sponsored projects and these organizations have resources available to monitor new threats. Thus these cyber security organizations can share the threat information with cyber security consulting companies and other private sector companies.

The governments of various countries can develop following programs as part of their cyber security strategies and their wars against cybercrime.

GENERAL CYBER SECURITY EDUCATION PROGRAM

The aim of general cyber security education program should be to increase cyber security awareness among general public. Government agencies can partner with cyber security schools and ensure that people learn how to be more secure online in cyber space. Similar programs were launched by cyber security organizations and cyber security schools in Europe and were aimed at increasing the understanding of cyber threats and how cyber crime works. According the experts from cyber security institute, government agencies can organize television & online advertisement programs and set up local community discussion groups to increase the awareness.

CYBER SECURITY TRAINING AND DEVELOPMENT PROGRAM

According to cyber security institute experts; the biggest problem in the field of cyber security, is the extreme shortage of highly qualified cyber security consulting experts. The existing cyber security education system must produce more highly qualified students. These cyber security consulting experts can keep the government and the private sector ahead in the technology. The government needs to develop a strategy to expand and support cyber security education programs led by existing cyber security schools. The aim of cyber security training and development program should be to make sure that government and private sector have cyber security consulting experts working for them. Government should work with cyber security schools and make sure that the level of cyber security training is as per the international standards. Cyber security trainings can be in following areas: General IT user, information technology infrastructure, operations, maintenance, and information assurance, digital forensics, malware analysis, cloud security, mobile security, exploit development, cyber defense, cyber law, counterintelligence and advance cyber security trainings. As per cyber security institute experts, with the help of cyber security trainings, private sector will have the most benefit as it will reduce their spending on cyber security services.

INFRASTRUCTURE PROGRAM FOR CYBER SECURITY EDUCATION

The aim of cyber security education system program should be to focus more on creating new cyber security schools and improvement of existing cyber security schools. This program should include working along with cyber security schools and cyber security organizations to develop R&D programs in this field. Infrastructure program for cyber security education should support the formal cyber security education and should be also a leading program for cyber security research and development. This program will help the government, private sector, existing cyber security consulting companies and cyber security organizations. All these cyber security schools can also act as cyber security services centers and act as a reference authority for existing universities and schools.

INCIDENT RESPONSE CYBER SECURITY PROGRAM

Government agencies can partner with the cyber security organizations and cyber security consulting companies in the incident response field. Cyber Security Institute experts explain that if a big company like bank, multinational company etc suffers a cyber attack; it can take help of government to do Forensic analysis of the cyber attack. However if small business suffers a cyber attack; it is not easy for it to take help of government for forensic analysis of cyber attack. Thus with the help of this program, small business can take help of cyber security organizations or cyber security consulting companies for forensic analysis of cyber attack. The other solution is to build an in-house cyber security consulting team with the help of experts from a good cyber security school.

CYBER SECURITY HUMAN RESOURCE PROGRAM

The aim of cyber security human resource program should be to manage cyber security jobs, people recruitment and career path strategies. With the help of this program government agencies can manage federal workforce, the government workforce, intelligence agencies workforce, cyber security organizations workforce and the private sector workforce in the cyber security domain. Cyber security institute experts mention that cyber security human resource program can be used for managing and evaluating cyber security professionals. This would help in cyber security consulting workforce development and cyber security trainings program development.

BUG BOUNTY AND AWARD PROGRAM

It is not enough for the information technology professionals to understand the importance of cyber security; leaders at all levels of government and private sector need to understand importance of cyber security. Thus cyber security training will not just help lower level employees but business leaders also and will help them to make business and investment decisions based on knowledge of risks and potential impacts. One such important decision is bug bounty and award program. The aim of bug bounty and award program should be to compensate cyber security researchers for finding vulnerabilities and reporting them instead of selling them in the black market. As per cyber security training professor Deen Wright, it’s very important for government leaders to make suitable alliances with leaders of cyber security companies and cyber security organizations to develop appropriate bug bounty and award program to compensate cyber security researchers for their effort.

Thus government can develop a strategy to expand its alliances with various private sector companies, existing cyber security consulting companies, cyber security schools and cyber security organizations to proactively defend against cyber attack, acts of espionage and establishing a stronger foothold in the cyber space.

Read More