La importancia de clasificar la información para evitar la pérdida de información confidencial

Transcripción

1 La importancia de clasificar la información para evitar la pérdida de información confidencial Gerardo Maya SANS GSEC, GCIH Julio 2008

2 Agenda Panorama de seguridad en Internet La pérdida de datos Clasificando información Conclusiones 2

3 Panorama de la Seguridad en Internet (ISTR, Vol. 13) 3

4 Symantec Global Intelligence Network 4 Symantec SOCs 80 países monitoreados por Symantec Más de sensores registrados en más de 180 países 11 Symantec Security Response Centers > 7,000 Dispositivos Administrados (Seguridad) Millones de Sistemas en el Mundo + 2 Millones Probe Network + Red Avanzada de Cuentas Señuelo Dublin, Ireland Tokyo, Japan Calgary, Canada San Francisco, CA Mountain View, CA Chengdu, China Reading, England Culver City, CA Austin, TX Alexandria, VA Pune, India Taipei, Taiwan Chennai, India Sydney, Australia Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico Política Digital

5 Panorama General de Amenazas La Web se está convirtiendo rápidamente en punto de distribución para los códigos maliciosos y el mecanismo principal para los ataques La actividad maliciosa se dirige a los usuarios finales, más que a los equipos Consolidación y maduración del mercado negro (economía subterránea) Producción especializada y aprovisionamiento Outsourcing Precios variables Modelos de negocio flexibles Rápida adaptación de los atacantes y de la actividad de los ataques Política Digital 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 5

6 La Web como elemento central Las vulnerabilidades en los sitios Web son más populares porque permiten realizar ataques más sofisticados y en varias etapas Incremento en el uso de sitios Web para ataques de phishing Vulnerabilidades en sitios específicos Incremento en sitios Web que albergan phishing 6

7 Los individuos son el principal objetivo Los sitios de redes sociales son fáciles de explotar por parte de los delincuentes, quienes se aprovechan de la confianza que les tienen los usuarios para aumentar sus posibilidades de éxito Principales países y objetivos para phishing 7

8 Mercado Negro - Especialización Incremento en el número de nuevas amenazas Existencia de organizaciones que emplean programadores y autores especializados dedicados a la producción de este tipo de códigos maliciosos +50% en 6 meses 8

9 Mercado Negro Qué se vende? Cuentas bancarias y tarjetas de crédito son lo más vendido. Los precios se reducen en ventas de bienes en grandes cantidades y se observan modelos de negocio flexibles y específicos por entorno 9

10 Adaptación rápida Nuevos mercados Movilidad geográfica y a nuevos mercados, a medida que los atacantes buscan nuevos refugios seguros digitales Traslado a regiones o países donde las prácticas, la legislación y/o las infraestructuras sobre seguridad no se encuentren muy desarrolladas Actividad maliciosa por usuario de banda ancha 10

11 La pérdida de datos 11

12 La pérdida de datos es una realidad Política Digital 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 12

13 Robo de información confidencial Fuente: 13

14 Pérdida de datos en México 14

15 El costo de la pérdida de datos Costos Directos e Indirectos de una Fuga de Información Los costos de remediación pueden variar entre USD$100 USD$300 por cada expediente y/o registro de cliente perdido Notificación al cliente Oferta de monitoreo de crédito Acciones de remediación de TI Honorarios de auditoría Costos indirectos significativos Pérdida de reputación de marca y confianza de los clientes Pérdidas de clientes e ingresos esperadas 14% 12% 10% 8% 6% 4% 2% ,000 10, ,000 Demandas, caída en precios de la acción, etc. Número de empleados *Julio 2007, IT Policy Compliance Group Política Digital 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 15

16 La información es un activo Proteger datos de empleados, ciudadanos y pacientes Demostrar el cumplimiento de las regulaciones Prevenir la pérdida de propiedad intelectual IFE / Seguridad Social Tarjetas de crédito Información contable HIPAA, GLBA SOX, NOM 151 Regulaciones de privacidad de datos IP Corporativa Información sensible Códigos fuente Proyectos de nación 16

17 Los 4 Mitos 17

18 #1: Todas las Fugas de Información son Iguales Ranking Las 3 Principales Causas de Pérdida de Información % Incidentes (318 Incidentes Totales) 1 Laptops (149 / 47%) 2 Bases de datos (126 / 40%) 3 Cintas de Respaldo (35 / 11%) Actor principal Criminal Profesional Usuario Interno Molesto Usuario Interno Bien Intencionado Principales Motivaciones Escenario Desde el exterior entra al sistema de la base de datos corporativa Envía información corporativa al exterior de la organización Descarga datos de usuarios, pierde su laptop, clasificación errónea * Privacy Rights Clearing House Política Digital 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 18

19 #2: Los Hackers son el Mayor Riesgo Los Hackers NO son el Mayor Riesgo 57% de las fugas de información son por pérdida o robo 21% de las fugas de información se deben a políticas inseguras 13% de las fugas de información son por hackeo Los Atacantes Tienen Motivaciones Financieras Mercado negro de datos financieros (economía underground ) Las identidades son valiosas Política Digital 2008 Fuente: Symantec ISTR, Abril 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 19

20 #3: Las Entidades Financieras son las más afectadas por fugas de información El sector educativo cuenta con la mayoría de las fugas de datos, con 24%, seguido del gubernamental (20%) y el de salud (16%) más de la mitad de las fugas (57%) se debieron a pérdidas o robos. Fuente: privacyrights.org and attrition.org 20

21 #4: La Pérdida de Datos se puede Eliminar Probabilidad de exponer publicamente una pérdida/robo de datos (años) Normal Atrasados en cumplimiento Líderes en cumplimiento Atrasados en cumplimiento Normal Líder Significa: 1 vez c/42 años Significa: 1 vez c/15 años Significa: una vez c/3 años Source: ITPolicyCompliance.com, PyMEs con menos de 500 empleados Medianas Empresas 500 a 2499 empleados Grandes empresas 2,500 o más empleados Política Digital 2008 Taller Nacional Aseguramiento de los Datos Personales en el Sector Publico 21

22 Clasificando la información para evitar la pérdida de datos 22

23 El proceso de asegurar la información Clasificación Información Clasificación de Roles Implementación de Políticas de Seguridad Capacitación al personal Seguridad Informática Administración Riesgos 23

24 Clasificación de información Beneficios Demostrar a los ciudadanos y otras Instituciones el compromiso para proteger la información Identificar qué información es la más sensitiva o vital para la Institución y la ciudadanía Garantizar la confidencialidad, integridad y disponibilidad de la información que utiliza, procesa, genera y almacena la Institución Identificar el esquema de protección adecuado para cada tipo de información Demostrar el cumplimiento de regulaciones internas o gubernamentales Tipos de Clasificación No Clasificada Información que puede ser accedida por todo el público Sensitiva pero No Clasificada Información definida como un secreto menor Confidencial Información para uso exclusivo de la Institución o grupo de ciudadanos Secreta Información para uso exclusivo de la Institución Ultra Secreta - Información para uso exclusivo de la Institución Valor Criterios de Clasificación Asignar un valor al tipo de información Temporalidad La información puede ir perdiendo su valor con el paso del tiempo Vida Útil La información se vuelve obsoleta una vez que ésta es reemplazada por información nueva Asociación Personal Toda la información personal, por ley necesita ser clasificada 24

25 Proceso de Roles para la Información Responsabilidades del Dueño de la información Determinar el nivel de clasificación de la información Revisar de manera periódica la clasificación asignada y modificarla en caso de ser requerido Delegar la responsabilidad de protección al custodio Responsabilidades del Custodio Ejecutar procesos de respaldo de información, y validarlos Ejecutar procesos de recuperación de información en caso de ser necesario Mantener registros de acuerdo a la clasificación de la información Responsabilidades de los Usuarios Seguir los procesos de operación definidos por la Institución Preservar la seguridad de la información durante la aplicación de su trabajo Utilizar los recursos de la institución sólo para propósitos de la misma 25

26 Cómo ocurre la pérdida de datos? Almacenamiento 4:5 compañías han sufrido robo de equipos móviles 1:50 archivos de red esta expuesto accidentalmente 26

27 Cómo ocurre la pérdida de datos? A través de red 1:400 mensajes contiene información sensible 27

28 Cómo ocurre la pérdida de datos? Punto final 1:2 pierden Información por dispositivos USB 28

29 Preguntas críticas a responder para evitar la pérdida de datos En donde se almacena mi información confidencial? Where is my confidential data stored? Cómo es utilizada mi información confidencial? How is my confidential data being used? Cómo refuerzo mis políticas para evitar pérdida de información How do I enforce confidencial? policies to prevent data loss? 29

30 Visión completa de la prevención de pérdida de datos Control de dispositivos Seguridad en correo Control de contenido Control Aplicación Búsqueda de datos Política DLP* Monitoreo y Prevención Descubrimiento y Protección Seguridad en Web Seguridad mensajería instantánea Archivado / Respaldo Seguridad Base Datos E-Discovery / Clasificación Data Governance *DLP Data Loss Prevention 30

31 Conclusiones 31

32 Conclusiones La pérdida de datos es una realidad Se tienen eventos conocidos Se tiene estadísticas Se realiza en múltiples vectores (equipos móviles, correo, red) Es necesario clasificar la información Para entender que formato tiene la información confidencial Detectar en donde esta almacenada la información sensible Validar los controles de acceso de la información sensible Es muy importante hacer partícipe al usuario final No siempre las fugas de información son concientes Las notificaciones a los usuarios nos hacen más fácil evitar las fugas de información 32

33 Conclusiones Niveles de cumplimiento 1. Remediación 2. Notificación 3. Prevención y Protección Cómo se reduce el riesgo? -Automatización correcta -Acciones correctas -Personal adecuado Incidentes Afinación Políticas Afinación Políticas Afinación Políticas -Información precisa -Métricas adecuadas 0 Línea Base Remediación Notificación Prevención y Protección 0 1 a 3 3 a 6 7 a 9 10 a 12 T (Meses) 33

34 !Gracias por su atención! Gerardo Maya Alvarez Sales Engineer Sector Gobierno 2007 Symantec Corporation. All rights reserved. THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE. 34