Servicio de evaluación de seguridad de Motorola

Servicio de evaluación de seguridad de Motorola

El servicio de evaluación de seguridad de Motorola le ayuda a reducir el riesgo (y el alto coste) de las violaciones de seguridad, así como el incumplimiento de los requisitos obligatorios. Cuando se produce un acceso fraudulento a los datos de los clientes, el coste de una sola infracción puede amenazar con facilidad la salud de su empresa. Forrester Research estima que el coste de cada registro perdido se encuentra entre 90 y 305 dólares.¹ El daño a la marca puede tener un efecto devastador en la fidelidad de los clientes: Javelin Strategy & Research informó de que el 77% de 2.750 consumidores encuestados afirmó que dejaría de comprar en tiendas donde se hubieran producido violaciones de seguridad de datos.² Además, pueden existir gastos asociados con las medidas legales tomadas por los clientes afectados... así como los generados por la interrupción diaria de los negocios,

1

Directiva de la Unión Europea 95/46/CE: una directiva adoptada por la Unión Europea diseñada para proteger la privacidad y la protección de todos los datos personales recopilados para o sobre los ciudadanos de la Unión Europea, especialmente en lo que concierne al proceso, uso o intercambio de dichos datos.

El Acta de portabilidad y responsabilidad de seguro médico de 1996 (HIPAA) afecta a los hospitales, empresas farmacéuticas, médicos y empresas de seguros médicos, así como a la protección de registros médicos de pacientes.

El estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI) engloba a todos los comerciantes y proveedores de servicios de terceros que almacenen, procesen o transmitan datos de titulares.

Las penas por violar estas leyes o regulaciones pueden ser estrictas e incluir multas cuantiosas por incidente y pérdida de ciertos privilegios asociados, por no mencionar la mala prensa y el daño a la marca corporativa que resultarían de dichas violaciones. Basta con mirar las noticias para ver el daño que han provocado a tantas empresas de calidad. Desde un sitio web de gestión de pagos que redirige a otro sitio ilícito capaz de dañar los equipos de los usuarios con software malintencionado, hasta la piratería de los archivos HR de un fabricante de productos ópticos de lujo, es evidente que las empresas necesitan mejorar sus esfuerzos a la hora de proteger sus sistemas: por su propia protección y en defensa de sus clientes, sus empleados y su buen nombre.

No se prevé que se pueda poner fin a los riesgos para la seguridad de la información, de modo que está claro que la seguridad de TI debe ser una prioridad principal para todas las empresas.

•

•

•

¿Qué hay en juego?

A medida que la tecnología se hace más necesaria, evoluciona la sofisticación de las violaciones de seguridad, por lo que la amenaza de un ataque se vuelve cada vez más posible. A esto se une el efecto negativo que se ejerce sobre la continuidad empresarial, las finanzas, la reputación y la propiedad intelectual. Además, el gobierno corporativo y la legislación industrial han hecho que los directores generales sean responsables directos de la seguridad de la información de su empresa y les ha obligado a ofrecer pruebas de que todo lo relacionado con la infraestructura empresarial se lleva a cabo con el debido cuidado y diligencia. También existen iniciativas legislativas y normativas que requieren el cumplimiento de ciertos niveles de seguridad en función del tipo de datos en cuestión. Algunos ejemplos:

Defensa contra lo desconocido

El camino a una red segura y altamente disponible comienza con una profunda comprensión de las amenazas inalámbricas y por cable del mundo real. La dependencia cada vez mayor de las comunicaciones de red integradas y la creciente interconectividad entre redes internas y externas provoca que esas amenazas sean de lo más serias para las empresas de hoy. La naturaleza evolutiva constante de esas amenazas hace que combatirlas sea un desafío continuo; al fin y al cabo ¿cómo se puede uno armar hoy día contra las amenazas con que se enfrentará mañana?

La evaluación de seguridad de Motorola incluye varios aspectos importantes:

La comprensión de su actividad empresarial

Las tecnologías de red que usted utiliza (las actuales y las previstas para el futuro)

Los dispositivos inalámbricos que emplea (infraestructura, terminales de mano y dispositivos móviles)

Las aplicaciones que utiliza (actuales y previstas) La postura y los requisitos de cumplimiento

La identificación de activos clave y los datos que deben protegerse (y sus propietarios empresariales)

La identificación de vulnerabilidades y carencias actuales El análisis de riesgos y amenazas asignados a la función de su empresa y priorizados según su capacidad de impacto Un plan de respuesta mitigador de incidentes según su impacto

Las prácticas operativas ideales para gestionar los procedimientos internos y los sistemas de protección del perímetro

El mantenimiento de una seguridad operativa

•

•

•

•

•

•

•

•

•

•

•

¿Por dónde empezar?

Saber únicamente que la seguridad de TI debe ser una prioridad principal no facilita la resolución de problemas, especialmente si uno no sabe que estos existen. El trabajo con expertos de Motorola para evaluar su red actual le permitirá conocer hasta qué punto se encuentra expuesto; ese es su primer paso para armarse con un plan de defensa de su red, para el presente y el futuro.

Seguridad de Motorola Servicio de evaluación

Una evaluación de seguridad de Motorola sirve como base para un completo plan de seguridad de la red. Le ayudamos a preparar un plan para las amenazas a la seguridad del mundo real y para alcanzar el nivel de seguridad de red necesario para conseguir su misión y objetivos empresariales. Con experiencia en una amplia gama de industrias, tecnologías y arquitecturas de red, el equipo altamente cualificado de ingenieros de seguridad de Motorola realizará una coordinación previa a la evaluación, una evaluación en el propio centro y un análisis posterior a la evaluación.

Pre-site

Kick off Statement

Assessment Timeline & Delivery Schedule

Data Collection, including:

Review Cardholder Data Infrascructure (WAN, Perimeter, WLAN, LAN, POS), Vulnerability Scan.

Data Analysis, including:

Review of Policies, Infrastructure configuration Prepar final deliverables

On-site

Post-site

Final Report

Executive summary

Final detailed report, including:

Infrastructure Risk Matrix, basic Remediation Plan in regards of the 12 PCI DSS requirements

UʈVŽÊœvv UÊ-Ì>Ìi“i˜Ì

UÊ
ÃÃiÃÓi˜ÌÊ̈“iˆ˜iÊ>˜`Ê`iˆÛiÀÞÊÃV…i`Տi

UÊ>Ì>ÊVœiV̈œ˜]ʈ˜VÕ`ˆ˜}\Ê

- Review cardholder data infrastructure (WAN, Perimeter, WLAN, LAN, POS), vulnerability scan

UÊ>Ì>Ê>˜>ÞÈÃ]ʈ˜VÕ`ˆ˜}\Ê

- Review of policies, infrastructure configuration UÊ*Ài«>ÀiÊvˆ˜>Ê`iˆÛiÀ>LiÃ

UÊ ÝiVṎÛiÊÃՓ“>ÀÞ

Uʈ˜>Ê`iÌ>ˆi`ÊÀi«œÀÌ]ʈ˜VÕ`ˆ˜}\Ê

- Infrastructure risk matrix, basic remediation plan based on the 12 PCI DSS requirements Post-site

Final Report On-site Pre-site

Nuestra metodología

• Inicio

• Declaración

• Plazo de evaluación y calendario de entrega

• Recopilación de datos, que incluirá:

- Revisión de la infraestructura de datos de titulares (WAN, perímetro, WLAN, LAN, POS), lectura de vulnerabilidad

• Análisis de los datos, que incluirá:

- Revisión de políticas, configuración de infraestructuras

• Preparación de entregas finales

• Resumen ejecutivo

• Informe final detallado, que incluirá:

- Matriz de riesgos de la infraestructura, plan básico para remediar problemas basándose en los 12 requisitos del DSS PCI

Previamente

En el propio centro

Posterior- mente

Informe final

Ventajas del servicio de evaluación de seguridad de Motorola

El servicio de evaluación de seguridad de Motorola le permite:

Satisfacer los requisitos de cumplimiento

Identificar amenazas importantes contra la seguridad de su infraestructura de tecnología de la información (TI) y reaccionar ante ellas

Priorizar los planes de inversión de TI, basándose en el análisis de evaluación (proteger primero los datos y procesos financieros de mayor importancia)

Identificar y evaluar el rendimiento de su entorno actual de seguridad de TI

El equipo de servicios de seguridad de Motorola

Motorola Advanced Services Security ofrece un servicio de evaluación de seguridad de Motorola: se trata de un equipo de profesionales expertos en seguridad altamente cualificados (CISM, CISA, CISSP, CEH) con una gran experiencia en la seguridad de redes y aplicaciones, seguridad inalámbrica, todas las áreas de redes y las demandas de cumplimiento específicas.

Como líderes en seguridad de redes, estos especialistas están al tanto de las últimas y más avanzadas amenazas a la seguridad y a las tecnologías de cumplimiento;

además refinan constantemente sus herramientas y sus habilidades para ayudarle a guiarse por sus necesidades de PCI. A través de años de trabajo con empresas, proveedores de servicios y clientes gubernamentales, los servicios de seguridad de Motorola han desarrollado una estrategia basada en una metodología y un enfoque probados que engloba a personas, procesos, política y tecnología. Vamos más allá de los típicos controles de seguridad para ayudarle a conseguir la protección de su red y su información.

Para más información

Para obtener más información, póngase en contacto con su representante de servicios de Motorola o con:

Daniele Marsico

director gerente de servicios avanzados de EMEA Teléfono: +49 (0) 172 662 5491 Correo electrónico: [email protected]

•

•

•

•

3

¿Por qué Motorola?

Motorola es líder mundial y un socio de confianza en soluciones de redes inalámbricas. Desde WiFi a WiMAX, dispositivo móvil a malla, pocas empresas pueden alcanzar nuestro historial de innovación conocimiento inalámbrico.

Motorola también fue una de las primeras empresas en reconocer la amenaza del crimen por Internet y las violaciones inalámbricas; también desarrolló muchos de los procesos y procedimientos que se convirtieron en la base de la postura de muchas empresas ante la seguridad.

Empleamos prácticas ideales y metodologías de seguridad de la información conocidas (Cobit 4.1, CIS Benchmarks, ITAF, ITIL v2/3 Security Management, NIST, NSA IAM, OCTAVE, SANS, ValIT), considerando los estándares internacionales y nacionales de tecnología de la información (BDSG alemana, Ley(es) de protección de datos, Directiva de la Unión Europea 95/46/CE, GLBA, HIPAA, ISO 17799/

27001/27002, SOX/Euro-SOX).

How much do security breaches cost anyway?; The Register; 12 de abril de 2007; John Leyden Three of Four Say They Will Stop Shopping at Stores that Suffer Data Breaches;

Information Week; Sharon Gaudin;12 de abril de 2007 1.

2.