Prevención de Fuga de Datos Un enfoque para el negocio
25-Oct-2012
Sergio Solís
IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 2
Contenido
► Introducción
► Historias conocidas
► Acordemos las reglas
► Preguntas de reflexión
► Ruta hacia la solución
► Primero lo primero
► La mejor tecnología
► Ciclo de prevención
► Un poco de tecnología
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 3
Objetivos de un programa de DLP ► Prevenir la revelación intencional o
involuntaria de información sensitiva “en reposo”, “en uso” o “en movimiento” hacia partes no autorizadas.
► Mantener una seguridad adecuada y proveer usabilidad.
► Proteger la información de los clientes y la reputación de la organización.
► Proteger datos personales y propiedad intelectual.
► Reducir el riesgo de la organización y el costo de cumplimiento.
Fuentes de fuga de datos ► Amenazas externas: malware,
spam, spyware y hackers. ► Fuga intencional de información
por internos (empleados y proveedores) con malas intenciones.
► Fuga involuntaria por parte de internos.
► Políticas y procedimientos débiles sobre el uso adecuado de la información.
Introducción Prevención de Fuga de Datos – DLP (Data Leakage Prevention)
Es la práctica de detectar y prevenir que la información confidencial se “fugue” hacia afuera de los limites de la organización para un uso no autorizado, lo cual puede ser por medios físicos y/o lógicos.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 4
Estas imágenes fueron tomadas de un documento en un folder público que contiene información de contacto y datos personales de los miembros del comité directivo de una COMPAÑÍA.
Introducción Incidentes de ejemplo
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 5
En el siguiente correo se observa que se está enviando información de tarjeta de crédito incluyendo datos sensibles de la misma.
Introducción Incidentes de ejemplo
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 6
En el siguiente correo se observa que se está enviando información sensitiva sobre un caso legal que incluye detalles sensibles sobre una investigación a un empleado
Introducción Incidentes de ejemplo
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 7
Email enviado desde la COMPAÑÍA a una cuenta externa con una hoja de cálculo que incluye nombres de empleados, salarios, etc.
Introducción Incidentes de ejemplo
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 8
Historias conocidas
¿Ha escuchado antes comentarios o “historias” similares a las siguientes?
► “Nuestra información está protegida, llevamos años sin haber sufrido un ataque a nuestros sistemas, y nuestro departamento de TI/Seguridad está listo para responder a cualquier incidente“
► “Contamos con excelentes sistemas de seguridad, por lo cual nuestra información está perfectamente protegida en nuestros centros de datos”
► O una frase aún más reciente sería “ya estamos cuidando la privacidad de la información, estamos cumpliendo con la Ley de Privacidad de Datos; emitimos nuestro aviso de privacidad y contamos con una oficina para atender los requerimientos”.
► Si no ha escuchado algo similar antes, seguramente es porque trabaja en una organización consciente de los riesgos que enfrenta, o cree no estar involucrado en el aseguramiento de la información de su empresa.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 9
Acordemos las reglas
► Antes de adentrarnos en el tema, es importante acordar algunos puntos:
► Todos en una organización estamos involucrados (en mayor o menor medida) en el aseguramiento de la información de su empresa.
► La seguridad de la información no es responsabilidad única del área de sistemas (entiéndase Tecnología y/o Seguridad de Información).
► El hecho de no haber identificado un robo/fuga de información, no quiere decir que la información nunca haya sido robada; aceptémoslo, lo más probable es que ya haya sucedido.
► Cuidar la privacidad de la información es mucho más que cumplir con cláusulas de alguna ley, estándar o marco de referencia.
► Contar con los mejores sistemas de seguridad de información en los centros de datos, no quiere decir que la información esté bien asegurada.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 10
Preguntas de reflexión
► ¿Qué sucede entonces con toda la información que se encuentra en los equipos de cómputo personales (y más aun si son portátiles)?
► ¿Cómo se protege la información en los dispositivos móviles?
► ¿Cómo se cuida la información que fluye en la red interna de la empresa (hacia otros equipos, servidores, impresoras, etc.)?
► ¿Está protegida la información que sale hacia Internet?
► ¿Los usuarios pueden llevarse información en medios móviles (discos externos, memorias USB, CD’s, etc.?
► La lista podría continuar… El mensaje no es tan complicado, lo primero que se debe asimilar es que la información jamás estará libre de riesgo.
► Lo que se debe hacer es entender el nivel de riesgo al que está expuesta y diseñar un plan que sea acorde a la situación de cada organización.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 11
Ruta a la solución
► Entonces… ¿Cuál es el primer paso para prevenir la fuga de datos?
► ¿Cuáles son las mejores tecnologías que se pueden utilizar?
► ¿Qué es lo que indican las tendencias actuales?
► La ruta a tomar, sin duda, requiere más que un par de pasos.
► Tenga cuidado, en el camino encontrará varios que casi le firmen con sangre que los dispositivos / aplicaciones / servicios / etc. que ellos ofrecen son la mejor solución para protegerlo contra la fuga de datos.
► Lo que nunca le dirán es que realmente esas maravillosas soluciones no funcionan si antes no se hizo el trabajo interno en la organización.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 12
Primero lo primero 1. Realizar un análisis de riesgos
► Antes de elegir qué va a proteger y cómo lo va a hacer, es importante realizar un análisis objetivo de los riesgos que enfrenta su información.
► Tomar en cuenta todos los activos de información
► Que participen todos los involucrados en su tratamiento.
► Elegir representantes de cada área para que participen en talleres.
► Identificar los controles existentes.
► Acordar en consenso los riesgos que se deberán atender en el corto, mediano y largo plazo.
► Resultado: lista de activos críticos de información y sus riesgos relacionados.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 13
Primero lo primero 2. Definir/actualizar la política de clasificación de la información
► Una vez obtenido lo anterior, y antes de definir un plan específico, es importante trabajar en una política de clasificación de la información:
► Indicar nivel de protección a darle a los activos de información.
► Establecer criterios de clasificación objetivos y claros, acordados con los dueños de la información.
► Acordar los requerimientos mínimos para el tratamiento durante todo el ciclo de vida de la información:
► Obtención
► Uso
► Divulgación
► Almacenamiento
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 14
Primero lo primero 3. Establecer un plan de prevención de fuga de información
► Una vez que se sabe que riesgos enfrenta la información y se tiene una definición de cómo tratarla, es momento de planear.
► Se debe identificar alternativas para administrar los riesgos principales, de acuerdo a lo establecido en los pasos previos.
► Definir estrategias para reducir, mitigar y/o transferir los riesgos de la información.
► Realizar análisis de costo/beneficio.
► Hacer una definición formal de aquellos riesgos que se mantendrán (aceptada por los dueños de la información).
► Documentar en un plan las iniciativas para atender los demás riesgos.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 15
Primero lo primero 4. Concientizar, concientizar, y volver a concientizar al personal
► Si no lo ha escuchado antes, es bueno que lo sepa (o al menos que lo recuerde):
► “El eslabón más débil en la cadena de la seguridad es el humano.”
► Si, las personas olvidamos fácilmente, es por ello que dentro del plan se deben incluir mecanismos de concientización que incluyan a todos los niveles de la organización.
► Si, todos, incluyendo a aquellos que están en los niveles directivos y que usualmente suelen pensar que los riesgos de seguridad de información no les aplican por alguna extraña y mítica razón.
► Los pasos 4 y 5 se podrán llevar en paralelo.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 16
La mejor tecnología 5. Definir e implantar los controles adecuados
► Ahora sí, es momento de elegir las mejores tecnologías de prevención de fuga de datos, ¿cuáles son estas?
► La respuesta es clara:
► Las mejores tecnologías son las que se adaptan mejor a su plan.
► Existen mecanismos que pueden llegar a niveles complejos de análisis.
► Asimismo, existen mecanismos de seguridad que ayudan a identificar posibles ataques externos y/o internos.
► Sin embargo, todo debe responder a las definiciones realizadas:
► Los pasos iniciales (1 al 4).
► Inversión que su análisis costo/beneficio le permita.
► Lo que usted haya plasmado en su plan.
► Recuerde, las herramientas suelen ser buenas, pero estas no pueden hacer su misión si antes no se tomaron los pasos adecuados.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 17
La mejor tecnología 6. Evaluar la eficacia de sus controles
► Existe una regla que generalmente a nadie le agrada, pero que a todos nos aplica:
► “Si algo no ha sido probado, lo más probable es que vaya a fallar”.
► Es crucial probar los controles implantados.
► Identificar las fallas existentes en su diseño y/u operación.
► Realizar los ajustes correspondientes a fin de que los controles funcionen adecuadamente.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 18
Ciclo de prevención 7. Repetir periódicamente los pasos anteriores
► La tecnología evoluciona continuamente, y de igual forma evolucionan las amenazas.
► Debido a lo anterior y a otros factores similares, es muy importante entender que proteger la información debe ser un proceso organizacional y no un proyecto que tiene principio y fin.
► La frecuencia del ciclo de prevención puede variar de una organización a otra.
► Trabajar activamente en una estrategia de prevención de fuga de datos que ayude a proteger adecuadamente ese activo tan valioso llamado información.
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 19
Ciclo de Prevención de Fuga de
Información
Análisis de Riesgos
Política de Clasificación
de Información
Plan de Prevención de Fuga de
Información
Concientizar al Personal
Definir e Implantar Controles
Evaluar eficacia de
los Controles
1
2
3
4
6
5
Ciclo de prevención
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 20
Un poco de tecnología Modelo de seguridad centrado en datos
Gobierno de Datos
Políticas y estándares Evaluación de Riesgos Clasificación ArquitecturaIdentificación
Procesos de soporte para Seguridad de la Información
Control de DatosDatos estructurados
Datos no estructurados
Áre
as d
e E
nfo
qu
e
Datos en uso
Despersonalización de datos
Uso de datos de prueba
Monitoreo de usuarios privilegiados
Monitoreo de acceso/uso
Redacción de datos
Control de exportación/registro
Datos en movimiento
Seguridad del perímetro
Monitoreo de red
Control de acceso a Internet
Colección e intercambio de datos
Mensajería (Email, IM)
Acceso remoto
Datos en reposo
Seguridad en punto final
Encripción de host
Protección de datos móviles
Almacenamiento en red/intranet
Control de medios físicos
Deshecho y destrucción
Calidad
Administración de la configuración
Seguridad física
Investigación de historial de personal
Entrenamiento y concientización
Administración de terceros
Administración de vulnerabilidades
Respuesta a incidentes
Privacidad de datos
Administración de derechos digitales
Administración de activos
Administración de identidad/acceso Administración de eventos (seguridad)
Continuidad del negocio Recuperación de desastres Administración de cumplimiento Administración de cambios
Fuente: Ernst & Young
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 21
Un poco de tecnología Cuadrante de Gartner para DLP y Mobile Data Protection
Fuente: Gartner
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 22
Switch
Bases de Datos y Repositorios
McAfee NDLP Monitor
McAfee
HDLP
McAfee NDLP
Discover
Fuente: McAfee
Un poco de tecnología Ubicación de dispositivos
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 23
Preguntas
http://www.linkedin.com/groups?mostPopular=&gid=1774556
Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 24
¡Gracias!
Sergio Solís
IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA
Top Related