Contra la fuga de datos
Los cambios que se han producido durante los últimos años en el entorno de negocio han alterado radicalmente el modo operativo de los profesionales de seguridad. Ya no se trata tanto de proteger la infraestructura como de prevenir la pérdida de información.
La evolución que se ha producido en la naturaleza, métodos y propósitos de los ataques de seguridad ha aumentado enormemente la importancia de proteger la información y los datos corporativos, más que la propia infraestructura en que residen. Esta transformación sin precedentes de la naturaleza y consecuencias de las brechas de seguridad está obligando a su vez a los responsables de seguridad en particular y a los gestores del negocio en general a concebir y abordar la seguridad corporativa de un modo diferente. El rol de “bombero” que hasta ahora ha venido desempeñando el profesional de seguridad, reaccionando ante constantes alarmas, está evolucionando hacia el de “detective privado”, más centrado en la investigación constante para, primero, mantener intacta e inviolable la información corporativa crítica, y, segundo, saber si, a pesar de todo, ha habido filtraciones de información por parte de un agresor silencioso.
En la primera mitad de la década, el principal objetivo de los hackers se limitaba a demostrar al resto del mundo su pericia en perpetrar ataques y, en consecuencia, sus acciones iban dirigidas a, por ejemplo, dejar inutilizable un servidor de email. Hoy, los piratas informáticos se mueven por motivos muy diferentes en busca de beneficios concretos, como conseguir cualquier tipo de información por la que alguien esté dispuesto a pagar. Se entiende así que, lejos de pretender la publicidad de sus actos, los hackers traten hoy de hacer pasar desapercibidas sus fechorías el mayor tiempo posible a fin de capturar cuanto más datos mejor antes de tener que investigar y atacar a una nueva presa.
Este cambio de modelo de ataque exige a los profesionales readaptar sus estrategias de seguridad a la nueva situación, poniendo el foco de la protección más en los propios datos que en la infraestuctura donde residen. Pese a ello, existen aún proveedores y usuarios que prefieren insistir en la protección de la infraestructura como primer objetivo, haciéndolo evolucionar para estar a la altura de los nuevos retos. Evolución que, fundamentalmente, ha consistido en intentar adaptar el modelo convencional de perímetro seguro a un mundo tan fluido y cambiante como el actual. La introducción en las organizaciones de numerosos y diversos dispositivos móviles y métodos de acceso que aportan una gran movilidad a los usuarios está creando un entorno que se podría describir como de perímetro variable, tan difícil de definir como de implementar, mantener y adaptar a los constantes cambios que son hoy más la norma que la excepción en los modelos de negocio de hoy. Si a esto se añade el perfil variable y múltiple de los usuarios que en la actualidad acceden a los recursos de la empresa –desde el personal interno a socios y proveedores–, gana peso por sí misma la opción de poner el énfasis de la protección en la información a lo largo de todo su ciclo de vida, aunque sin abandonar la securización de la infraestructura que la alberga y la transporta. Pero, ¿cómo hacerlo?
Clasificación de la información
Antes de dar una respuesta inteligente a ese cómo, conviene delimitar los distintos tipos de información corporativa y dónde reside en esta nueva realidad. La fuga de información no es un problema nuevo, pero sí lo es la naturaleza y el número de los que están dispuestos a acceder a ella por métodos ilegales. Y cuando lo consiguen, siempre se produce un impacto negativo en el negocio, desde sanciones por incumplimiento normativo a pérdida de imagen, confianza y credibilidad.
La información ha de ser categorizada en función de su valor para el negocio y las posibles consecuencias de su pérdida o exposición pública mediante una política de clasificación de los datos. Tal política ha de definir cuatro niveles de datos: públicos, internos, confidenciales y restringidos. Los datos públicos –como los referentes a materiales de marketing de producto o el informe anual de la compañía– se definen típicamente como aquellos a los que cualquiera puede acceder sin consecuencias negativas para la organización. Por datos internos se entiende la información, los registros y la correspondencia relativa al negocio generados durante el curso normal de una transacción comercial que no es identificada como confidencial o restringida. Por el contrario, la información técnica, financiera y de negocio –como la relativa a clientes, productos, precios o diagramas de redes y sistemas– creada en el curso habitual de una transacción pero que, de hacerse públicos, podrían dañar a la organización se consideran confidenciales. Finalmente, como datos restringidos hay que considerar la información sujeta al cumplimiento normativo o a obligaciones contractuales con el cliente en lo relativo a su acceso, almacenamiento o procesamiento, o cualquier otra información propiedad de una organización o bajo su administración cuya exposición, acceso o modificación inapropiados podrían causar un impacto negativo en el negocio.
Otro importante aspecto que es relevante en la fuga de la información es definir el ciclo de vida de los datos a fin de determinar cuándo y cómo disponer de ellos y eliminarlos en el momento en que ya no son necesarios para el negocio. Tal ciclo de vida debería quedar reflejado en una política de retención de datos, una herramienta que, pese a ser clave, no siempre está presente en las empresas.
Una vez identificado el qué, estaremos en condiciones de centrarnos en el cómo. Un cómo que se divide en dos partes. La primera se centra en la forma en que los datos y la información se “fugan” de una organización. La segunda analiza el modo en que una empresa puede protegerse contra las filtraciones y reducir los riesgos asociados a esas pérdidas.
Son muchos los elementos que intervienen en la filtración de datos, como correo electrónico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniería social electrónica y no electrónica, comunicaciones de fax a email, medios no autorizados (CD/DVD, discos y memoria USB), servicios postales convencionales y un largo etcétera. Y todos ellos deben ser controlados al nivel de seguridad requerido para proteger la mayor parte de la información del entorno. Y decimos “mayor parte” porque, como sucede con cualquier otro sistema de controles de seguridad, nada debería ser considerado infalible. Aunque es esencial que las organizaciones tomen precauciones para proteger sus datos, es imposible garantizar que toda esa información de carácter privado o restringido permanezca continuamente segura, especialmente en aquellos negocios con más riesgo de sufrir filtraciones.
Cómo protegerse
La segunda parte del cómo se centra en el despliegue de un conjunto de controles que garanticen un nivel de protección óptimo. Y la mejor forma de acercarse a este punto es no olvidar nunca que resulta vital no depender en exclusividad de un solo tipo de solución o proceso. Ha
La evolución que se ha producido en la naturaleza, métodos y propósitos de los ataques de seguridad ha aumentado enormemente la importancia de proteger la información y los datos corporativos, más que la propia infraestructura en que residen. Esta transformación sin precedentes de la naturaleza y consecuencias de las brechas de seguridad está obligando a su vez a los responsables de seguridad en particular y a los gestores del negocio en general a concebir y abordar la seguridad corporativa de un modo diferente. El rol de “bombero” que hasta ahora ha venido desempeñando el profesional de seguridad, reaccionando ante constantes alarmas, está evolucionando hacia el de “detective privado”, más centrado en la investigación constante para, primero, mantener intacta e inviolable la información corporativa crítica, y, segundo, saber si, a pesar de todo, ha habido filtraciones de información por parte de un agresor silencioso.
En la primera mitad de la década, el principal objetivo de los hackers se limitaba a demostrar al resto del mundo su pericia en perpetrar ataques y, en consecuencia, sus acciones iban dirigidas a, por ejemplo, dejar inutilizable un servidor de email. Hoy, los piratas informáticos se mueven por motivos muy diferentes en busca de beneficios concretos, como conseguir cualquier tipo de información por la que alguien esté dispuesto a pagar. Se entiende así que, lejos de pretender la publicidad de sus actos, los hackers traten hoy de hacer pasar desapercibidas sus fechorías el mayor tiempo posible a fin de capturar cuanto más datos mejor antes de tener que investigar y atacar a una nueva presa.
Este cambio de modelo de ataque exige a los profesionales readaptar sus estrategias de seguridad a la nueva situación, poniendo el foco de la protección más en los propios datos que en la infraestuctura donde residen. Pese a ello, existen aún proveedores y usuarios que prefieren insistir en la protección de la infraestructura como primer objetivo, haciéndolo evolucionar para estar a la altura de los nuevos retos. Evolución que, fundamentalmente, ha consistido en intentar adaptar el modelo convencional de perímetro seguro a un mundo tan fluido y cambiante como el actual. La introducción en las organizaciones de numerosos y diversos dispositivos móviles y métodos de acceso que aportan una gran movilidad a los usuarios está creando un entorno que se podría describir como de perímetro variable, tan difícil de definir como de implementar, mantener y adaptar a los constantes cambios que son hoy más la norma que la excepción en los modelos de negocio de hoy. Si a esto se añade el perfil variable y múltiple de los usuarios que en la actualidad acceden a los recursos de la empresa –desde el personal interno a socios y proveedores–, gana peso por sí misma la opción de poner el énfasis de la protección en la información a lo largo de todo su ciclo de vida, aunque sin abandonar la securización de la infraestructura que la alberga y la transporta. Pero, ¿cómo hacerlo?
Clasificación de la información
Antes de dar una respuesta inteligente a ese cómo, conviene delimitar los distintos tipos de información corporativa y dónde reside en esta nueva realidad. La fuga de información no es un problema nuevo, pero sí lo es la naturaleza y el número de los que están dispuestos a acceder a ella por métodos ilegales. Y cuando lo consiguen, siempre se produce un impacto negativo en el negocio, desde sanciones por incumplimiento normativo a pérdida de imagen, confianza y credibilidad.
La información ha de ser categorizada en función de su valor para el negocio y las posibles consecuencias de su pérdida o exposición pública mediante una política de clasificación de los datos. Tal política ha de definir cuatro niveles de datos: públicos, internos, confidenciales y restringidos. Los datos públicos –como los referentes a materiales de marketing de producto o el informe anual de la compañía– se definen típicamente como aquellos a los que cualquiera puede acceder sin consecuencias negativas para la organización. Por datos internos se entiende la información, los registros y la correspondencia relativa al negocio generados durante el curso normal de una transacción comercial que no es identificada como confidencial o restringida. Por el contrario, la información técnica, financiera y de negocio –como la relativa a clientes, productos, precios o diagramas de redes y sistemas– creada en el curso habitual de una transacción pero que, de hacerse públicos, podrían dañar a la organización se consideran confidenciales. Finalmente, como datos restringidos hay que considerar la información sujeta al cumplimiento normativo o a obligaciones contractuales con el cliente en lo relativo a su acceso, almacenamiento o procesamiento, o cualquier otra información propiedad de una organización o bajo su administración cuya exposición, acceso o modificación inapropiados podrían causar un impacto negativo en el negocio.
Otro importante aspecto que es relevante en la fuga de la información es definir el ciclo de vida de los datos a fin de determinar cuándo y cómo disponer de ellos y eliminarlos en el momento en que ya no son necesarios para el negocio. Tal ciclo de vida debería quedar reflejado en una política de retención de datos, una herramienta que, pese a ser clave, no siempre está presente en las empresas.
Una vez identificado el qué, estaremos en condiciones de centrarnos en el cómo. Un cómo que se divide en dos partes. La primera se centra en la forma en que los datos y la información se “fugan” de una organización. La segunda analiza el modo en que una empresa puede protegerse contra las filtraciones y reducir los riesgos asociados a esas pérdidas.
Son muchos los elementos que intervienen en la filtración de datos, como correo electrónico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniería social electrónica y no electrónica, comunicaciones de fax a email, medios no autorizados (CD/DVD, discos y memoria USB), servicios postales convencionales y un largo etcétera. Y todos ellos deben ser controlados al nivel de seguridad requerido para proteger la mayor parte de la información del entorno. Y decimos “mayor parte” porque, como sucede con cualquier otro sistema de controles de seguridad, nada debería ser considerado infalible. Aunque es esencial que las organizaciones tomen precauciones para proteger sus datos, es imposible garantizar que toda esa información de carácter privado o restringido permanezca continuamente segura, especialmente en aquellos negocios con más riesgo de sufrir filtraciones.
Cómo protegerse
La segunda parte del cómo se centra en el despliegue de un conjunto de controles que garanticen un nivel de protección óptimo. Y la mejor forma de acercarse a este punto es no olvidar nunca que resulta vital no depender en exclusividad de un solo tipo de solución o proceso. Ha
