Lista de comprobación para el Director de servicios de información

Usted sabe que la información es parte de la esencia de sus operaciones de cadena de suministro Por esto dedica mucho tiempo, dinero y esfuerzo para cerciorarse de que la información esté segura.

Un estudio realizado por IBM y el Ponemon Institute muestra que el costo medio de una violación de datos es de 4 millones USD, o 158 USD por registro robado. Si bien es un costo directo que no puede darse el lujo de pagar, no es ni la sombra de los costos indirectos de estas violaciones. Estos incluyen rotación de clientes y daños a la reputación de su marca.

Los profesionales de Penske Logistics toman muy en serio la protección de los datos de los clientes y a evitar los altos costos directos e indirectos de las violaciones de datos. Por esta razón, nuestra tecnología ClearChain® cumple o supera las normas de la industria y las mejores prácticas para mantener segura la información, reduce el riesgo de violaciones a la seguridad y brinda recuperación de datos.

Las soluciones de seguridad de datos de Penske monitorean sus sistemas, la información que se mueve entre ellos y los asociados que acceden y ven los datos. He aquí una lista de verificación de las medidas de seguridad que ha implementado Penske para garantizar las protección de sus datos las 24 horas del día, todos los días del año:

Redundancia de plataforma para recuperación de desastres casi en tiempo real: Penske utiliza dos centros de datos que continuamente sirven como respaldo uno del otro. Esto garantiza que los sistemas no quedarán fuera de servicio y evita posibles pérdidas de datos. La duplicación de datos se lleva a cabo de modo continuo en ambos lugares todo el día, todos los días. Nuestra redundancia en sistemas y plataformas fuera del sitio está diseñada para recuperar los datos casi en tiempo real si un desastre natural o un incendio afectara a uno de los sitios.

Múltiples tipos de detección de software maligno: Penske utiliza varios métodos proactivos para defender su red. Utiliza métodos de detección de software maligno con base en comportamiento y en firma para lograr mayor profundidad, y monitorea el correo electrónico, la comunicación por Internet, las estaciones de trabajo de los usuarios finales, los servidores y los segmentos de red. El sistema responde con rapidez, en milisegundos, si sospecha que hay un problema.

Filtración y protección contra intrusos: los sistemas de filtración y detección de intrusos con base en el servidor y en la red, con registros y alertas centralizados, también ayudan a proteger los datos. Los firewalls permiten que los sistemas se comuniquen sin intrusiones indeseadas. Todos los registros de firewalls, detección de intrusos, servidor de proxy y otros registros de seguridad críticos se ubican centralmente. Esto permite que la red identifique patrones, correlacione eventos y advierta al personal si ocurre un problema.

Escaneado y reparación proactivos de violaciones: Penske adopta una estrategia proactiva de reparación de las violaciones de seguridad en sus redes norteamericanas y mundiales. Su programa de escaneado y reparación de violaciones incluye servidores, redes y código de aplicaciones. Además de realizar escaneos semanales, el personal de TI de Penske monitorea la comunicación de la industria en busca de anuncios de violaciones y aplica parches de sistema para violaciones críticas en 10 días o menos.

Inicio único de sesión (SSO) automatizado y auditorías rutinarias: un sistema automatizado de asignación y desasignación de cuentas de inicio único de sesión con auditorías regulares para las cuentas privilegiadas facilita la incorporación automatizada y la eliminación de cuentas. Está enlazado con el sistema de recursos humanos de Penske para garantizar que el acceso se conceda únicamente a quienes deban tenerlo. Además, las auditorías trimestrales de las cuentas privilegiadas de sistema y las auditorías anuales de todos los usuarios de sistemas críticos garantizan que los datos estén seguros.

Política detallada de clasificación de datos con sólidas capacidades de cifrado: hace muchos años, Penske desarrolló una política de clasificación de datos de cuatro niveles. Estas especificaciones guían la manera que la empresa trata los datos. Incluye sólidas capacidades de cifrado para los datos en tránsito, en reposo y en respaldos, utilizando varios métodos, como TLS/SSL, AES y PGP.

Acceso remoto seguro: para evitar el acceso no autorizado o la violación de datos, Penske utiliza una sólida red de cifrado para las personas que acceden a su red interna desde una red externa. La red incluye una VPN cliente para el acceso remoto (con autenticación de dos factores para usuarios finales) y autenticación de dos factores para el acceso a la equipo de la red y a otros entornos confidenciales. El sistema también registra los cambios realizados al equipo de la red.

Monitoreo de registros y alertas 24/7: Penske Logistics trabaja con un importante socio líder de la industria para realizar análisis 24/7 de los registros de seguridad críticos y revisar los registros de detección de intrusos y proxy. Todos los registros generados por Penske son revisados en tiempo real, lo que permite que los expertos de TI analicen e identifiquen tendencias en los riesgos de seguridad de datos.

Pruebas certificadas anuales de penetración: además, cada año, una empresa externa y sus expertos de seguridad con certificación PCI y CISSP llevan a cabo una prueba de penetración de los sistemas. La prueba incluye hackeo ético, pruebas de acceso físico y ataques de ingeniería social contra los centros de datos. Esto ayuda al personal de TI a identificar y corregir cualquier inquietud.

Capacitación continua sobre seguridad para los asociados de Penske: las personas que usan los sistemas son un eslabón clave de la cadena de seguridad de los datos. Penske Logistics ha desarrollado un programa de concientización sobre seguridad de TI para los asociados. Comienza con capacitación integrada en el proceso de incorporación de las nuevas contrataciones. Un boletín mensual sobre seguridad y un evento anual de una semana de duración ayudan a mantener la seguridad en primer plano. Durante todo el año Penske lleva a cabo ataques internos periódicos de suplantación de identidad contra asociados y contratistas. Si alguien hace clic en un enlace potencialmente peligroso, se le dirige a una página de asesoría que le ayuda a entender la manera de reconocer las amenazas por correo electrónico y reaccionar a ellas.

La seguridad de los datos es un proceso continuo y, aunque utilizamos procesos y procedimientos de seguridad líderes de la industria, ninguna medida preventiva podrá evitar todas las violaciones. Nuestra estrategia dinámica está diseñada para asegurar la red y el personal de TI vigila continuamente las tendencias y actualiza los sistemas en cuanto surgen amenazas, mitigando la posibilidad y el impacto de las violaciones, la pérdida de datos y la recuperación de desastres.

Sus datos son muy valiosos. También lo es su organización. Cuando usted se asocia con Penske, puede tener la certeza de que trabajaremos las 24 horas del día, todos los días del año, para superar las normas de la industria, mantener seguros sus datos y reducir el riesgo de violaciones.

Glosario de términos:

AES (Advanced Encryption Standard, norma de cifrado avanzado): Una especificación para el cifrado de datos electrónicos, establecida por el Instituto Nacional de Normas y Tecnología de los Estados Unidos en 2001. Se implementa en software y hardware de todo el mundo para cifrar datos confidenciales.

CISSP (Certified Information Systems Security Professional, Profesional certificado de seguridad de sistemas de información): Una certificación independiente de seguridad de la información regida por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información.

PCI (Payment Card Industry, industria de las tarjetas de pago): La industria de las tarjetas de pago utiliza la norma de seguridad de datos de la industria de las tarjetas de pago (PCI DSS), una norma exclusiva de seguridad de la información para organizaciones que manejan tarjetas de crédito de las principales marcas, como Visa, MasterCard, American Express, Discover y JCB.

PGP (Pretty Good Privacy, privacidad bastante buena): Un programa de cifrado y descifrado de datos que brinda privacidad criptográfica y autenticación para la comunicación de datos.

SSL (Secure Sockets Layer, capa de puertos seguros): La tecnología de seguridad estándar para establecer un enlace cifrado entre un servidor web y un navegador. El enlace SSL asegura que todos los datos transmitidos entre en servidor web y los navegadores se mantengan privados e íntegros.

TLS (Transport Layer Security, seguridad de la capa de transporte): Un protocolo criptográfico que brinda seguridad de la comunicación por una red de computadoras.

VPN (Virtual Private Network, red privada virtual): Una conexión virtual de punto a punto mediante el uso de conexiones dedicadas, protocolos de túneles virtuales o cifrado de tráfico.

Tecnología

Suite de Tecnología ClearChain

Nuestra tecnología ofrece visibilidad, mejora la eficiencia y mantiene en movimiento las cadenas de suministro.

Proteja sus Datos

Nuestras soluciones de seguridad de datos monitorean a los sistemas, a la información y a quienes acceden y ven los datos.

Aumente su Visibilidad

Nuestra suite de tecnología permite que los usuarios sepan lo que está sucediendo, con solo presionar un botón.

Mejore su Eficiencia

Aumente la eficiencia, incremente la sostenibilidad, optimice la cadena de suministro y reduzca sus riesgos