¿Sabe dónde está la información crítica para su organización? ¿Sabe quién la usa y cómo? Si no tiene las respuestas claras no se preocupe pues hoy en día la mayoría de las organizaciones difícilmente pueden contestarlas. Claro que no porque sea mal de muchos debemos relajarnos o dejar pasar el asunto en cuestión.
Hablando de protección de información sensible, existen grandes temas de preocupación en las organizaciones:
1.- Hay un gran incremento en la movilidad de los usuarios de las redes corporativas.
El auge de Internet ha propiciado la expansión de nuevas tecnologías, servicios y capacidades disponibles para los negocios a través de las tecnologías Web (principalmente basadas en Web 2.0), por medio de las cuales los usuarios ahora manejan información sensible para el negocio con independencia del dispositivo y del lugar físico donde se encuentren.
Por otro lado, la velocidad a la que crece la información sensible en una organización sobrepasa su capacidad de protegerla y gestionarla.
Es importante también reconocer que el auge que han tenido las redes sociales genera otro vector más de riesgo de fuga de información para las organizaciones. Esto se traduce, básicamente, en más usuarios, más datos, más dispositivos y aplicaciones fuera del perímetro tradicional de seguridad (normalmente delimitado por el firewall).
2.- Los servicios en la nube.
Los servicios en la nube son, sin duda, una estrategia que muchas organizaciones están evaluando o pensando adoptar. Las consideraciones de seguridad a tener en cuenta en este sentido son muy diversas, pero una indispensable es el control de la información sensible que se use a través de aplicaciones en la nube.
3.- El factor humano.
Una gran parte de los problemas de fuga de información sensible se debe a errores o accidentes de los empleados que la manejan; se estima que 42% de las fallas en seguridad (security breaches) es debido a errores humanos.
Independientemente de las políticas, procedimientos y herramientas que se tengan implementadas, el comportamiento inadecuado (intencional o no intencional) de algunos usuarios pone en riesgo la información sensible de las organizaciones. Algunos ejemplos de estos comportamientos son: utilización de programas no autorizados en equipos de la empresa, compartir los equipos móviles de la empresa con otras personas ajenas sin supervisión, traspaso de información entre equipos de trabajo y personales, compartir contraseñas, compartir información sensible en redes sociales, etcétera.
4.- Evolución constante de las técnicas de ataque.
Ya es conocido que los ataques son primordialmente motivados por razones económicasy detrás de éstos hay organizaciones bien estructuradas que buscan obtener ganancias fáciles sin dejar el más mínimo rastro, es decir, estamos hablando del crimen organizado.
Hoy en día las amenazas y ataques son más frecuentes, más complejos y están orientados principalmente a las aplicaciones para obtener información valiosa.
Derivado de esta situación, las organizaciones enfrentan grandes y complejos retos para proteger la información crítica de sus negocios, entre los cuales podemos destacar los siguientes:
- Proteger los endpoints (desktops, laptops, smartphones, PDAs, etc.) sin afectar su flexibilidad y facilidad de uso para el negocio.
- Proteger todas las aplicaciones que se utilizan para acceder a los datos sensibles de la organización.
- Proteger los datos, en todo momento, es decir, cuando están en tránsito, en reposo y en uso.
- Simplificar la operación de TI de estos nuevos controles cuando sean implementados.
- Intentar, en la medida de lo posible, que la gestión sea centralizada.
- Facilitar la vida a los usuarios finales.
- Demostrar que estamos en cumplimiento de las regulaciones.
¿Cómo debe una organización afrontar estos retos? No existe una receta genérica que aplicar, sin embargo, se pueden identificar algunas actividades que resulta recomendable seguir, las cuales son:
1.- Clasificar la información
¿Qué información es la más sensible para el negocio? Hay que considerar tanto los aspectos regulatorios como los no regulatorios (enfoque más de negocio); se pueden manejar al menos las siguientes categorías: publica, uso interno, confidencial, confidencial restringido (secreto).
2.- Saber dónde reside esa información sensible
Normalmente el mayor porcentaje de información sensible de las empresas está en las bases de datos, pero ¿sabemos en cuál base datos, en qué tabla, columna o campo?
También hay que considerar que si la información está en una base de datos, entonces está almacenada en un disco duro que seguramente es respaldado periódicamente en otro disco o en cintas (u otros medios); por otro lado hay que tomar en cuenta que esa información es accesada a través de múltiples aplicaciones utilizando diversos tipos de equipos tales como desktops, laptops, smartphones y que al ser accedida también puede ser enviada por correo electrónico a otros usuarios, almacenada en otros dispositivos (USBs, CDs, etc.), es decir, tenemos que ver todos los puntos donde hay que proteger los datos.
3.- Realizar análisis de riesgos
Si bien es una práctica bastante común y ya muy madura, es necesario que en dicho análisis se contemple una revisión tanto de las nuevas tecnologías como de las aplicaciones y los riesgos que éstas implican. Algunos de los riesgos a considerar son: pérdida o robo de medios removibles (USBs, CDs, cintas, etc.), abuso de privilegios de usuarios, distribución no intencional de información sensible, hackeo de una aplicación, robo o pérdida del equipo.
4.- Diseñar e implementar controles
Éstos deberán ser definidos en función de los resultados obtenidos en los tres puntos anteriores, en todo caso siempre hay que considerar controles de tipo normativo, tecnológico y operativo.
Los controles deben tener un enfoque integral, es decir, que contemplen todos los aspectos de la problemática, buscar ser proactivos más que reactivos, tener como principio la simplicidad para mantener la agilidad del negocio y que el área de TI sea eficiente.
Algunos ejemplos de los controles a considerar son: autenticación, seguridad en los endpoints (contemplando asegurar la información almacenada a través de encripción, uso de mecanismos para la detección y bloqueo de malware, mecanismos para el cumplimiento de políticas), sistemas de prevención de fuga de información (DLP), seguridad en bases de datos, seguridad aplicativa, desarrollo seguro, control de “super usuarios” (root en Unix o Administrator en Windows).
Es importante no olvidar el factor humano, por lo que se deben considerar programas de concientización para crear una cultura organizacional respecto a la seguridad, enfatizando que es responsabilidad de todos los usuarios cuidar la información sensible, que la seguridad es un factor crítico para el éxito de la organización y para que conozcan y entiendan las políticas y procedimientos establecidos para la protección de dicha información.
5.- Administrar la seguridad de forma centralizada
Los distintos dispositivos en la infraestructura de TI, en especial, los de seguridad, generan bitácoras que son recolectadas y procesadas por un sistema “inteligente” (sistema de correlación) que permite discriminar los falsos positivos (falsas alarmas), almacenar las bitácoras para futuros análisis y sobre todo hace factible realizar el monitoreo específico de las actividades sospechosas e incidentes de seguridad (7×24).
Por otro lado, la gestión de todos los cambios a la infraestructura de seguridad son canalizados a los especialistas quienes los analizan, valoran, planean y ejecutan, de tal forma que no haya afectaciones al negocio por cambios mal ejecutados o fallas imprevistas en los mismos.
6.- Auditar constantemente
Todo control implementado debe ser medido periódicamente para evaluar su efectividad y eficiencia, tomando como principal parámetro los KPIs (Key Performance Indicators) de tal forma que se puedan identificar áreas de mejora y retroalimentar el diseño e implementación de controles.
Como conclusión podemos decir que para considerar que una red es segura, debe garantizar la seguridad de los endpoints, de las aplicaciones y de las bases de datos. El concepto de “perímetro seguro” ya no es suficiente, ahora tenemos que contemplar una serie de círculos concéntricos dentro y fuera de la organización con distintos niveles de seguridad.
Durante los próximos meses se verán con mayor frecuencia proyectos integrales de prevención de fuga de información que abarquen tanto la protección de los endpoints como de las bases datos y aplicaciones Web.
Deja tu comentario