Seguridad y privacidad

Septiembre 2006

Detener los ataques internos: cómo

pueden proteger las organizaciones
su información confidencial.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 2

Introducción
Índice Cada año se realizan más transacciones comerciales electrónicamente y
las organizaciones guardan un volumen cada vez mayor de información
2 Introducción confidencial. Para muchas organizaciones, la información se ha convertido
3 La creciente amenaza de los en un activo de incalculable valor, en la parte vital de sus operaciones.
ataques internos El acceso a esta información está al alcance de una base de usuarios en
5 Su organización en peligro: expansión, incluidos los empleados, socios comerciales, proveedores y clientes.
entender los riesgos Las infraestructuras de TI son cada vez más amplias, más complejas, más
6 Crear medidas de seguridad
fraccionadas, y más accesibles.
más sofisticadas
11 Conclusión Esta interconexión ofrece muchas ventajas para empresas, organismos
gubernamentales y consumidores similares pero, al mismo tiempo, introduce
posiblemente una gran dosis de riesgo. Cuantos más puntos de acceso
tenga una organización, mayor es la vulnerabilidad de los sistemas y la
posibilidad de sufrir robo de datos. Y los riesgos son altos, especialmente
como depositarios de información privada. Las empresas y organismos
gubernamentales deben cumplir con estrictos requisitos normativos y
proteger el capital intelectual ante competidores y entidades políticas
subversivas. Y los consumidores son por lo general los que están más
preocupados ante una posible usurpación de identidad y otras violaciones de
privacidad.

La creciente preocupación pública por la seguridad y la privacidad

de los datos personales ha situado a muchas empresas y organismos
gubernamentales en el centro de atención; y muchos países de todo el mundo
han elaborado normativas concebidas para preservar la confidencialidad.
Las leyes del Reino Unido, como la Ley de Protección de Datos de 1998,
han evolucionado en los últimos años con el fin de combatir el fraude y la
usurpación de identidad. En Estados Unidos, el estado de California aprobó
su Ley de Notificación de Infracción contra la Seguridad que exige a las
empresas (sea cual fuere su ubicación geográfica) que revelen los casos de
violación de datos relacionados con ciudadanos del estado de California.1
Desde entonces, otros 23 estados han aprobado sus propias leyes de
revelación de información. Y Canadá tiene la intención de adoptar medidas
similares. Estas acciones legislativas recientes, así como las frecuentes
noticias en los medios sobre infracciones contra la seguridad, han hecho que
tales amenazas adquieran una clara preponderancia.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 3
Puntos destacados
Las fuertes defensas del perímetro
pueden bloquear efectivamente
las amenazas externas, pero sólo
proporcionan parte de la protección
que necesitan las organizaciones.
Aunque a menudo es eclipsado
por los ataques del exterior, el
riesgo de las amenazas internas
es, sin embargo, una preocupación
apremiante para prácticamente
todas las organizaciones.
En su informe sobre el nivel de seguridad global de las empresas de 2005, IBM
informa de una incipiente tendencia hacia los ataques pequeños y selectivos, más
que de amenazas globales arrolladoras como son los gusanos informáticos, el
correo basura, los virus u otros programas informáticos maliciosos (malware).2
Los ataques internos, en particular, pueden constituir una seria amenaza para la
seguridad y la privacidad de los datos. Este breve informe pretende proporcionar
al lector una mejor comprensión de la cuestión sobre los ataques internos y da
consejos que pueden ayudar a las organizaciones a mitigar sus riesgos.
La creciente amenaza de los ataques internos
Las organizaciones han invertido décadas tratando de equilibrar redes más
abiertas, más extensas y mejor conectadas con defensas más fuertes contra
intrusos, incluyendo firewalls, software antivirus, biometría y controles de
identidad para el acceso. Estas medidas han hecho que el mundo de los
negocios sea más eficaz en detener las amenazas desde el exterior, y han
hecho que cada vez sea más difícil para los futuros piratas informáticos
o los virus irrumpir en los sistemas. Estas tecnologías, sin embargo, son
mayoritariamente pasivas en su modus operandi y han sido diseñadas para
frustrar únicamente el acceso no autorizado; proporcionan sólo una primera
línea de defensa.
Un estudio publicado en 2005 por PricewaterhouseCoopers y CIO, “The
Global State of Information Security 2005,” reveló que el 33 % de los ataques
contra la seguridad de la información fueron perpetrados por empleados
internos, mientras que el 28 % procedían de antiguos empleados y socios.3
Aunque las empresas, los organismos gubernamentales y los analistas del
sector ciertamente lo tienen en cuenta, el riesgo de infracciones contra
la seguridad desde el interior se ve a menudo eclipsado por intrusiones
más espectaculares, como los ataques de denegación de servicio, virus de
difusión masiva, o robos flagrantes de capital intelectual o financiero.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 4
Puntos destacados
Los “miembros que no son
honrados” de una organización
pueden explotar la vulnerabilidad
de ésta para cometer usurpación
de identidad y para sacar a la luz
información confidencial, para
provecho propio o como parte
de una red criminal de mayor
envergadura.
La Privacy Rights Clearinghouse
mantiene una lista con cientos de
violaciones de datos que tuvieron
lugar en Estados Unidos desde
febrero de 2005.
Dar más importancia a las amenazas externas que a los peligros internos es
un error, y puede acrecentar sobremanera la vulnerabilidad de las defensas
de una organización. La empresa HSBC Electronic Data Processing (India)
Private, de servicios de asistencia al cliente y procesamiento de tareas
administrativas, informó en 2006 que un empleado, como parte de una
red de ladrones más grande, había accedido a información de tarjetas de
débito de clientes y la utilizó para defraudar 425.000 dólares EE.UU. a
20 clientes del Reino Unido.4 Este incidente es uno solo de los muchos que
se produjeron en los últimos escasos años. La Privacy Rights Clearinghouse
mantiene una lista con cientos de violaciones de datos ocurridas en Estados
Unidos desde el caso flagrante de infracción que tuvo lugar en ChoicePoint en
febrero de 2005.5 Muchas de estas infracciones se cometieron desde dentro de
la organización, por personas a las que la lista se refiere como “miembros que
no son honrados”. Fíjese en los siguientes ejemplos hallados en la lista de la
Privacy Rights Clearinghouse:
• En una compañía dedicada íntegramente a la inversión en la bolsa de
valores, un antiguo empleado accedió de forma ilegítima a más de 100
registros de clientes.
• Un miembro poco honrado o un pirata informático pusieron en peligro
los sistemas de un hotel al sacar a la luz 55.000 registros: nombres,
direcciones, datos de tarjetas de crédito, números de la seguridad social,
números de permisos de conducir y datos sobre cuentas bancarias.
• “Un miembro poco honrado o un software malicioso” accedió a los sistemas
de una empresa de publicidad en Internet, sacando a la luz nombres,
números de teléfono, direcciones, direcciones de correo electrónico,
direcciones IP, nombres de usuario y contraseñas, tipos de tarjetas de crédito
y cantidades de compra oline.
• En una compañía de seguros, un empleado accedió a datos confidenciales,
incluidos nombres, números de la seguridad social, fechas de nacimiento
y direcciones de propiedades con ejecución hipotecaria, y usó esta
información para beneficio propio.
Otros casos tienen que ver con ordenadores portátiles robados, cintas de
copias de seguridad perdidas o configuración o uso no autorizado de cuentas.5
Aunque estrictamente no sean atribuibles a “ataques internos”, estos incidentes
pueden poner igualmente a una organización en peligro, explotando los canales
autorizados para eludir las defensas del perímetro y escapar, así, a la detección.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 5
Puntos destacados
Puesto que los empleados
tienen autorización legítima y
conocimiento de los puntos
vulnerables de la empresa, los
ataques internos pueden ser más
difíciles de detectar que los intentos
de penetración desde el exterior.
Según un estudio reciente, la
actuación fraudulenta puede
prolongarse durante un promedio
de 18 meses sin ser detectada.
Los ataques no detectados pueden
causar graves daños, con efectos
sobre la responsabilidad legal de
los datos custodiados, la capacidad
competitiva y el funcionamiento
normal de la actividad comercial.
Su organización en peligro: entender lo que está en juego
Los ataques desde el interior conllevan el potencial de producir daños
importantes que pueden compararse o incluso exceder los daños causados
por agentes externos. Como miembro de confianza de la organización,
el infractor cuenta con autorización válida y por lo general disfruta de
una presencia y movimiento relativamente incuestionable dentro de la
infraestructura TI de la organización. Los ataques suelen centrarse en
información específica y explotan los puntos de entrada establecidos o
puntos de vulnerabilidad recónditos. En muchos aspectos, los ataques
internos pueden ser más difíciles de detectar que los intentos de irrupción
desde el exterior.
La Association of Certified Fraud Examiners (ACFE) en su “Informe a la
Nación sobre el Fraude y Abuso Ocupacionales de 2006” indica que la mayoría
de casos de fraude en general (apropiación indebida de bienes, corrupción
o declaración fraudulenta) sale a la luz por accidente o a través de pistas
reveladas por los empleados, que sugieren una carencia generalizada de
medios de monitorización y supervisión eficaces. El informe indica también
que la actuación fraudulenta puede prolongarse durante un promedio de 18
meses antes de que sea detectada.6
Los ataques internos que continúan si ser detectados pueden causar graves daños
a una organización. Tal vez lo más significativo sea que pueden poner en peligro
información personal de clientes o empleados. Una infracción de este tipo, ya
sea usurpación de identidad, uso inapropiado de datos o venta de información
confidencial, puede hacer recaer sobre una organización la responsabilidad legal
por los daños asociados y estar sujeta a sanciones administrativas. Además, puede
verse afectada la posición de competitividad de una empresa si un miembro
de ésta utiliza propiedad intelectual o comercializa secretos para fines no
autorizados. Los ataques pueden también estar concebidos para extorsionar a
alguien o dañar la reputación de una organización. Si éstos tienen como objetivo
dañar los sistemas o provocar la caída de la infraestructura de TI, pueden
también afectar a las operaciones comerciales y reducir el valor de las inversiones
en TI.
Con tanto valor en juego, es cada vez más importante afrontar la amenaza de los
ataques internos, antes de que se produzcan.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 6
Puntos destacados
Los entornos de trabajo
expandidos a escala global y las
condiciones empresariales en
constante cambio requieren un
equilibrio entre la accesibilidad
del usuario final y la protección de
datos.
La protección contra los ataques
desde el interior exige una mayor
sofisticación y granularidad por
parte de los sistemas de seguridad.
Existen cuatro elementos básicos
que pueden proporcionar la
sofisticación necesaria para evitar
los ataques internos.
Crear medidas de seguridad más sofisticadas
Hoy en día, la extensa distribución de los entornos de trabajo y las condiciones
empresariales en constante cambio (a causa de las fusiones y adquisiciones,
despidos y contratación de servicios externos a escala global) conllevan una
vasta distribución geográfica de usuarios, un sistema con múltiples puntos de
entrada y el posible descontento de los empleados. Como consecuencia, las
organizaciones actuales corren un mayor riesgo de sufrir ataques internos.
Cada organización debe adoptar una estrategia que le permita gestionar
ese riesgo de forma eficaz, y conseguir un equilibrio razonable entre la
accesibilidad del usuario final y la protección contra violaciones de la
seguridad.
Cuando se presta atención a los ataques internos (a diferencia de las
amenazas externas), la cuestión relacionada con la seguridad pasa del
enunciado “¿está autorizado el acceso?” a “¿es la conducta aceptable?”
Mientras que la primera pregunta requiere una simple respuesta de sí o no en
un momento determinado, la segunda pregunta entraña mayor complejidad.
La conducta de un usuario comprende todos los sucesos que se dan durante
una sesión determinada de principio a fin, e incluye los patrones de conducta
a largo plazo y las variaciones sutiles. Responder a esta cuestión exige más
sofisticación y granularidad por parte de los sistemas de seguridad. Tal como
pretendemos mostrar en las páginas siguientes, existen cuatro elementos
básicos: análisis de conductas, componentes de seguridad integrados,
respuesta automática y un proceso de modelado iterativo que, como parte
de una aproximación exhaustiva a la amenaza de ataques internos, pueden
contribuir a proporcionar este nivel de sofisticación en la seguridad.
Análisis de conductas
La clave para frustrar un ataque interno reside en comprender el alcance
de una conducta normal en un proceso empresarial determinado y localizar
con precisión la conducta que se desvía de la normalidad. Por tanto, uno
de los primeros pasos debe consistir en fijar normas; definir los parámetros
que suponen una conducta aceptable dentro de un grupo con cometidos
similares. Estos parámetros servirán de punto de partida para realizar análisis
comparativos, de modo que es importante establecer perfiles de usuario
basados en datos de historiales o experiencias concretas, no solamente en
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 7
Puntos destacados
Los sistemas de seguridad
deberían monitorizar
automáticamente las actividades
online de usuarios autorizados,
detectar comportamientos
anormales e incluso contribuir a
evitar el posible uso indebido.
El análisis de conductas puede
ayudar a localizar con exactitud
pequeñas desviaciones y patrones
de conducta inusuales en entornos
de trabajo dinámicos con mucho
tráfico de información.
expectativas empresariales que pueden o no ser realistas. Los parámetros
demasiado abiertos pueden dejar escapar alguna que otra conducta peligrosa,
mientras que los parámetros demasiado estrictos tienden a disparar una
avalancha de falsas alarmas. Puesto que los cometidos de los usuarios
cambian, las organizaciones deberían actualizar los perfiles en consecuencia.
Al utilizar los parámetros como punto de partida para realizar
análisis comparativos, los sistemas de seguridad deberían monitorizar
automáticamente cada uno de los aspectos de las actividades online de los
usuarios autorizados, desde el principio hasta el final de cada sesión. Los
sistemas no solamente deberían tener la capacidad de identificar conductas
anormales mediante análisis comparativos, sino que también deberían
ser capaces de predecir e incluso ayudar a evitar el posible uso indebido,
respondiendo inmediatamente a ciertos eventos que disparan las alarmas. Los
sistemas deberían monitorizar variables como:
• Conexión inicial: fecha y hora del inicio de sesión, direcciones IP implicadas
y frecuencia de conexión.
• Acceso a datos: solicitudes de datos, organizadas según tipos específicos.
• Uso de aplicaciones: frecuencia y duración.
• Uso global: tiempo de sesión total y solicitudes de uso de datos global.
El análisis de conductas puede ser imprescindible en entornos de trabajo
dinámicos con mucho tráfico de información, tales como centrales de
recepción de llamadas, donde la información de los clientes puede ser
vulnerable al fraude o al uso indebido. Los empleados que trabajan en estas
centrales tienen amplio acceso a los registros de clientes, pero cabe esperar
de ellos que accedan a un número predecible de dichos registros durante la
jornada laboral. Por ejemplo, si se ha determinado mediante análisis históricos
que cada agente de una determinada central de recepción de llamadas accede
por lo general a entre 10 y 15 registros por día, puede ser razonable investigar
a un agente que acceda a 30 o más. Asimismo, una organización puede
juzgar sospechoso que un agente consulte información que normalmente no
se requiere para interactuar con los clientes. Solamente mediante análisis
controlados y continuos de conductas puede una organización identificar estas
desviaciones.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 8
Puntos destacados
Los elementos de seguridad
deberían interactuar discretamente,
en tiempo real, para posibilitar los
análisis minuciosos y la rápida
respuesta ante posibles amenazas.
La detección eficaz de patrones
depende de la capacidad de
correlacionar mensajes y sucesos
desde sistemas de monitorización
distintos ubicados por todo el
entorno de TI.
Componentes de seguridad integrados
Muchas organizaciones cuentan al menos con algunos elementos
de seguridad necesarios para protegerse contra los ataques internos
malintencionados: sistemas de autenticación, software de rastreo de activos,
dispositivos y funciones de monitorización del uso de Internet, y otras
herramientas. Es crucial, sin embargo, que estos componentes interactúen
entre sí a la perfección, tanto como sea posible. De hecho, una de las razones
por la que las organizaciones encuentran difícil detectar los ataques internos
reside en el tiempo que invierten en analizar una ingente cantidad de datos
procedente de un amplio despliegue de dispositivos, puntos de entrada y
cuentas de usuario.
Las organizaciones necesitan a su vez habilitar la comunicación, la correlación
y el análisis a nivel granular entre una gran variedad de componentes
de seguridad, entre los que se encuentran, pasarelas de autenticación,
sistemas de seguridad físicos, herramientas de gestión de activos, medios
de monitorización de la red y plataformas de seguridad Web. Estos sistemas
deberían comunicarse en tiempo real, de modo que la organización pueda
reaccionar rápidamente antes de que puedan utilizarse los datos para
fines ilegítimos, y deberían incluso poder predecir y evitar los ataques
malintencionados.
Los sistemas que una organización pone en funcionamiento para supervisar
la conducta de los usuarios debería concebirse también para simplificar la
monitorización y las tareas de detección de patrones con el fin de agilizar el
trabajo de los administradores. Los administradores deberían poder acceder
a la consola central que recoge mensajes y sucesos de los sistemas que
monitorizan todo lo que ocurre, desde el uso de dispositivos de red hasta el de
aplicaciones. Revisar manualmente registros históricos de actividades y buscar
relaciones complejas entres sistemas puede significar un derroche de esfuerzos
que podrían emplearse en actividades de mayor valor y prioridad.
Piense en cuánto más eficaz pueden llegar a ser las funciones de detección
de patrones de una organización si los eventos se correlacionan a través del
entorno de TI. Por ejemplo, una organización podría ejecutar una aplicación
confidencial a la cual no se debiera tener acceso por lo general desde un
puesto remoto. Si un empleado inicia una sesión en esa aplicación sin haber
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 9
Puntos destacados
Los sistemas de seguridad por
sí mismos deben ser capaces de
responder inmediatamente a las
conductas inaceptables de los
usuarios.
La denegación automática de
acceso puede frustrar ataques
antes de que ocurran, y ofrecer así
a los administradores de la red la
oportunidad de definir un plan de
actuación adecuado.
pasado por los puntos de acceso físicos, tales como un lector de tarjetas
identificativas o una terminal in situ, un sistema integrado puede identificar
inmediatamente la conducta como inusual y potencialmente dañina. Sin
esta correlación automática en tiempo real, el acceso remoto puede que no
sea detectado con la suficiente rapidez. Una demora de pocas horas puede
proporcionar un amplio abanico de oportunidades a un posible agresor. O,
también a modo de ejemplo, un centro de llamadas de tarjetas de crédito
puede devolver diversas quejas de clientes por facturación errónea durante
semanas. Un administrador con registros de acceso de los empleados puede
detectar rápidamente patrones de conducta anormales en el mismo periodo
de tiempo.
Respuesta automática
Las organizaciones necesitan reconocer y responder a las desviaciones de
la conducta normal tan rápido como sea posible. Confiar solamente en la
detección y respuesta humanas puede no ser suficiente, especialmente si el
ataque tiene lugar en horas no laborables.
Para evitar o mitigar los daños, los sistemas deben ser capaces por sí mismos
de actuar inmediatamente en respuesta a una conducta inaceptable. Cuando
un comportamiento se aleja de la normalidad más allá de cierto límite, el
sistema debería denegar el acceso a una aplicación o fuente de datos, por
ejemplo. Esta respuesta casi inmediata da tiempo a los administradores de la
red a recibir una alerta, analizar los patrones y determinar un plan de acción
apropiado. Y el administrador de la red no tendría que poseer conocimientos
de seguridad profundos para interpretar los datos o determinar los siguientes
pasos. Los sistemas de seguridad deberían sugerir automáticamente una
serie de respuestas relevantes basadas en las últimas investigaciones o
conocimientos sobre amenazas contra la seguridad. Además, los sistemas
deberían ser capaces de distinguir las falsas alarmas. Un sistema de alertas
que simplemente transfiere información sin realizar siquiera un análisis de
bajo nivel no añade ningún valor a los procesos de monitorización.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 10
Puntos destacados
Para ir un paso por delante de
las amenazas a la seguridad
en continua evolución, las
organizaciones deben revisar
y aumentar sus esfuerzos en
seguridad.
Deberían existir sistemas
autorregulables que reaccionaran
de forma apropiada e inteligente a
las dinámicas condiciones de los
negocios, sin intervención humana.
Proceso de modelado iterativo
No importa cuánto se prepare una organización para afrontar las amenazas
actuales contra la seguridad, los riesgos continúan evolucionando. Los
empleados vienen y van. Las infraestructuras de TI crecen e incorporan
nuevas tecnologías que pueden introducir vulnerabilidades imprevistas.
Para mantener protegidos los datos confidenciales, las organizaciones deben
trabajar continuamente para ir un paso por delante de los posibles ataques.
Los sistemas de seguridad debería desempañar un papel significativo en este
constante esfuerzo.
Es importante no limitar los sistemas de detección a normas específicas y
bien acotadas, ya que la gama de conductas válidas cambia con el tiempo. En
lugar de ello, las organizaciones deberían establecer sistemas autorregulables
que pudieran reaccionar de forma apropiada e inteligente a las dinámicas
condiciones de los negocios, sin tener que redefinir por completo las normas.
Por ejemplo, un centro de llamadas puede alterar frecuentemente la duración
media de una llamada para alcanzar ciertos objetivos relacionados con los
costes o con la satisfacción de los clientes. O una campaña de marketing podría
requerir agentes para acceder a datos que normalmente no son necesarios.
Sin la habilidad de adaptarse de forma dinámica a este tipo de cambios, los
sistemas de seguridad pueden agobiar a los administradores con falsas alarmas,
menospreciando así la importancia de las alertas. Al mismo tiempo, los
sistemas necesitan contar con umbrales que sean lo suficientemente sensibles
como para detectar desviaciones sutiles en grandes muestras de datos sobre
conductas. Llegar a un equilibrio razonable entre los dos extremos sólo puede
conseguirse mediante un proceso de modelado iterativo, con el que los sistemas
de monitorización puedan asimilar los ritmos naturales de la organización y
barajar varias capas superpuestas de conductas aceptables.
Detener los ataques internos: cómo pueden proteger las
organizaciones su información confidencial.
Página 11
Puntos destacados
Las organizaciones deben
prepararse para esquivar ataques
dondequiera que se originen,
incluso allí donde se desdibujen
las líneas divisorias entre
organizaciones, socios, usuarios y
clientes.
Conclusión
Los acontecimientos recientes han demostrado que las organizaciones de cualquier
sector no pueden permitirse continuar ignorando el potencial de los ataques internos.
A medida que las organizaciones crecen, éstas emplean mano de obra que se va
repartiendo cada vez más por todas las áreas geográficas; implementan sistemas
que son más heterogéneos, más complejos y con más conexiones; guardan más
información confidencial; y están sujetas a normativas que cambian constantemente.
Las fronteras tradicionales entre organizaciones, socios, usuarios y clientes se
han desdibujado, haciendo que sea más difícil definir y hacer cumplir las normas
de seguridad. Las organizaciones deben estar preparadas para esquivar ataques
dondequiera que se originen, abordando las vulnerabilidades que precisamente se
hallan en esa brecha entre los negocios tradicionales y las organizaciones ramificadas
y abiertas de hoy en día y del futuro.
Para más información
Como líder en el ámbito de la seguridad y la privacidad, IBM Global Services
puede ayudarle a conocer mejor la amenaza que suponen los ataques internos y
a considerar las distintas maneras de tratarla. Nuestro IBM Information Security
Framework, concebido para proporcionar un enfoque metódico y eficiente sobre los
temas clave de seguridad, puede ayudar a las organizaciones a afrontar las amenazas,
riesgos y las exigencias del negocio en constante cambio, puesto que se relacionan
con la protección de datos y la seguridad global. Además, el IBM Center for Business
Optimization puede aportar puntos de vista singulares sobre temas de seguridad
y privacidad, y puede ayudar a las organizaciones a elaborar estrategias eficaces
sirviéndose de investigaciones en matemáticas avanzadas, gestión del rendimiento
empresarial, sistemas inteligentes de negocios, software y computación avanzada.
Para obtener más información, póngase en contacto con su representante comercial
de IBM o envíe un correo electrónico a:
IBM Center for Business Optimization
Toby Cook, Associate Partner, IBM Center for Business Optimization—
toby.cook@us.ibm.com.
IBM Information Security Framework
Michel Bobillier, Global Offering Executive, IBM Security and Privacy
Services—bobillier@ch.ibm.com
O visite:
ibm.com/services
© Copyright IBM Corporation 2006

IBM Global Services

Route 100
Somers, NY 10589
U.S.A.

Creado en Estados Unidos

Septiembre de 2006
Reservados todos los derechos

IBM y el logotipo de IBM son marcas registradas

de International Business Machines Corporation
en Estados Unidos o en otros países.

Otros nombres de empresas, productos o

servicios pueden ser marcas registradas o
marcas de servicio de terceros.

Las referencias en esta publicación a productos

o servicios de IBM, no implican que IBM tenga
intención de que estén disponibles en todos los
países en los que IBM opera.

IBM no asume ninguna responsabilidad en

cuanto a la precisión de la información contenida
en este documento y el uso que el receptor
haga de la misma es responsabilidad suya. La
información aquí contenida está sujeta a cambios
o actualizaciones sin previo aviso. IBM puede
asimismo llevar a cabo mejoras o cambios en
los productos o los programas aquí descritos en
cualquier momento y sin previo aviso.

1 California Security Breach Information Act

(S.B. 1386), promulgada el 1 de julio de 2003;
http://info.sen.ca.gov/pub/01-02/bill/sen/
sb_1351-1400/sb_1386_bill_20020926_
chaptered.html

2 IBM Global Business Security Index Report, 2005.

3 Scott Berinato (con el editor científico Lorraine

Cosgrove Ware), “The Global State of Information
Security 2005,” 15 de septiembre de 2005,
publicado por PricewaterhouseCoopers and CIO;
http://www.cio.com/archive/091505/global.html

4 “A Chronology of Data Breaches Reported

Since the ChoicePoint Incident,” Privacy Rights
Clearinghouse; 5 de agosto de 2006, utilizado
con el permiso de la Privacy Rights Clearinghouse,
www.privacyrights.org

5 John Ribeiro, “HSBC claims customer fraud in Indian

services center,” Network World (IDG NewsService),
27 de junio de 2006; http://www.networkworld.com/
news/2006/062706-hsbc-claims-customer-fraud-in.
html

6 “2006 ACFE Report to the Nation on Occupational

Fraud and Abuse,” Association of Certified Fraud
Examiners; http://www.acfe.com/fraud/report.asp

GSW00316-USEN-00