UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO TRABAJO PROFESIONAL

Transcripción

1 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE ESTUDIOS SUPERIORES CUAUTITLÁN IMPLEMENTACIÓN DE LA SOLUCIÓN DLP. CA DataMinder EN LA EMPRESA MONEX GRUPO FINANCIERO TRABAJO PROFESIONAL QUE PARA OBTENER EL TÍTULO DE: LICENCIADA EN INFORMÁTICA P R E S E N T A: EVELYN KAREN TORRES VÁZQUEZ ASESOR: L. C. PEDRO FELIPE OLIVERA FIGUEROA CUAUTITLÁN IZCALLI, ESTADO DE MÉXICO, 2014

2 1

3 AGRADECIMIENTOS Dedico este trabajo a la memoria de mi padre Don David que por siempre vivirá en mi corazón, por sus enseñanzas y su ejemplo de ser siempre un hombre muy trabajador. A mi madre, por compartir mis noches en vela y estar siempre al pendiente de mi bienestar. A mis hermanas Cruz y Araceli, por depositar su confianza en mí y por todo el apoyo que siempre me han dado. A mi mejor amigo Carlos Yuki, por ser cómplice de mis locuras, compañero de clases y de vida. A esa persona tan especial en mi vida mi BB, por soportar mis malos ratos y compartir mis alegrías. A la Universidad Nacional Autónoma de México y a la Facultad de Estudios Superiores Cuautitlán Campo IV, forjadores de grandes profesionales. 2

4 Contenido OBJETIVO... 4 INTRODUCCIÓN... 5 CAPÍTULO FUNDAMENTO TEÓRICO Tipo de metodología Seguridad de la información en el sector financiero Generalidades, uso de Información Marco Legal... 9 CAPÍTULO DESCRIPCIÓN, IMPACTO Y RELEVANCIA DEL TRABAJO PROFESIONAL Información corporativa de Grupo Financiero Monex El área de seguridad de la información en Monex Justificante del puesto, Analista de Seguridad de la Información Descripción del puesto Analista de Seguridad de la Información Curriculum Vitae de Evelyn K. Torres Vázquez CAPÍTULO DESCRIPCIÓN DE LA PARTICIPACIÓN DEL ALUMNO EN LA EMPRESA Justificación y descripción del proyecto DLP (Data Loss Prevention) Antecedentes del proyecto Requerimientos para la solución DLP Proceso de selección de la herramienta DLP Criterios de decisión y selección Herramienta seleccionada Fases de implementación del DLP Diseño, desarrollo e implementación de políticas en el DLP CAPITULO APORTACIONES Y SUGERENCIAS CONCLUSIÓN BIBLIOGRAFÍA

5 OBJETIVO El objetivo del presente proyecto es la integración de una herramienta tecnológica DLP (Data Loss Prevention) para la prevención de fuga de información y datos clasificados como confidenciales e internos mismos que son transmitidos por los diversos procesos de las diferentes áreas en la organización, permitiéndole a Monex Grupo Financiero reforzar la protección y controles establecidos de forma automatizada, logrando así el cumplimiento a los esquemas que aseguran la integridad, disponibilidad y confidencialidad de la información en la empresa. 4

6 INTRODUCCIÓN En la actualidad el área de seguridad de la información en el sector financiero está sujeta a diferentes regulaciones internas y externas las cuales debe cumplir, por lo que es interesante abordar con seriedad este tema. Por otra parte es importante mencionar que es un área joven en este tipo de instituciones y en lo general no se le ha dado la importancia necesaria por diversos factores como la carencia de cultura en los colaboradores de una empresa en temas de seguridad de la información, razón por la cual el presente proyecto se enfoca en mostrar y analizar los puntos medulares relacionados con la implementación de una solución DLP (Data Loss Prevention) cuyo objetivo es prevenir la fuga de información confidencial en Monex Grupo Financiero. En el primer capítulo abordaremos el marco teórico, el marco legal antecedentes del tema. y los En el segundo capítulo hablaremos sobre la empresa Monex Grupo Financiero y la participación e importancia del analista de seguridad de la información concluyendo con una semblanza del CV de Evelyn K. Torres Vázquez. En el tercer capítulo presentáremos lo relacionado al proyecto DLP implementado en Monex Grupo Financiero, en este punto se muestra todo el proceso desde su planteamiento hasta su aplicación en la organización. Finalmente presentaremos algunas sugerencias y recomendaciones relacionadas con el puesto y funciones del Analista de seguridad de la información en la empresa. Como podemos observar el presente proyecto tendrá como objetivo demostrar las ventajas e importancia que adquieren las empresas del ámbito financiero con la implementación de sistemas de seguridad de información en este caso una solución DLP (Data Loss Prevention). 5

7 CAPÍTULO 1. FUNDAMENTO TEÓRICO Cuando se tiene planteado el problema de estudio (es decir, que se poseen objetivos y preguntas de investigación) y cuando además se han evaluado su relevancia y factibilidad, el siguiente paso consiste en sustentar teóricamente el estudio, etapa que algunos autores llaman elaborar el marco teórico. Ello implica analizar y exponer aquellas teorías, enfoques teóricos, investigaciones y antecedentes en general que se consideren válidos para el correcto encuadre del estudio (Rojas, 1981) Tipo de metodología Es importante tener como base de referencia la metodología de investigación que se utilizara en el desarrollo del proyecto con el fin de fundamentar todos los elementos relacionados a la solución propuesta. En la literatura sobre la investigación podemos encontrar diferentes clasificaciones existentes, donde se hace referencia a la siguiente clasificación: investigación experimental e investigación no experimental. Cada uno posee sus características y la elección sobre qué clase de investigación y diseño específico hemos de seleccionar, depende de los objetivos que nos hayamos trazado, las preguntas planteadas, el tipo de estudio a realizar (exploratorio, descriptivo o explicativo) y las hipótesis formuladas. 1 El presente proyecto adopta la metodología de la investigación no experimental ya que se recolectaron datos sobre una situación específica con el propósito de analizarlos y proponer soluciones de mejora. 1 Hernández Sampieri Roberto, Metodología de la Investigación. Editorial MCGRAW-HILL. 6

8 1.2. Seguridad de la información en el sector financiero La seguridad de la información en el sector financiero resulta de la búsqueda del aseguramiento de los datos que proporcionan los clientes a las instituciones bancarias con la finalidad de acceder a los diversos productos que estas ofrecen. El área de seguridad de la información, es responsable de analizar los escenarios de riesgo que se generan dentro de los procesos de las diversas áreas que conforman la organización, así mismo es responsable de emitir las recomendaciones y planes de acción correspondientes para el tratamiento y mitigación así como también proporcionar el seguimiento a dichos hasta el cierre del ciclo del riesgo detectado, la participación del área, está catalogada como de alto impacto hacia los procesos bancarios lo cual la coloca en un nivel estratégico en las decisiones operativas (análisis, desarrollo,implementación) de la empresa. De acuerdo a lo antes mencionado en la Circular Única de Bancos (CUB) en su Anexo 52, Lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico, señala lo siguiente: Para efectos de que la Institución contratante se mantenga enterada del acceso y uso de la información, deberá designar a una persona que se desempeñe como Oficial de seguridad en la Institución, quien gozará de independencia respecto de las áreas operativas, de auditoría y de sistemas, y cuya función consistirá, entre otras cosas, en administrar y autorizar los accesos. Dichos accesos deberán corresponder a la necesidad de conocer la información de acuerdo a las funciones documentadas del puesto. Asimismo, el Oficial de Seguridad de la Información (OSI) deberá contar en todo momento con los registros de todo el personal que tenga acceso a la información relacionada con las operaciones de la Institución, incluso de aquél ubicado fuera del territorio nacional, en cuyo caso el personal autorizado para acceder a dicha información deberá ser autorizado por el responsable de las funciones de contraloría interna señaladas en la fracción V del Artículo 166 de las presentes disposiciones. 7

9 Lo anterior con la finalidad de establecer los controles necesarios para construir los tres pilares de la seguridad de la información, Confidencialidad, Integridad y Disponibilidad. 2 La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías como por ejemplo público, restringido, interno, etc. Cada clasificación refleja la necesidad que tiene una empresa de protegerlos. Para la seguridad de la información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Finalmente la disponibilidad es la característica o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones Generalidades, uso de Información. El uso de la información es variable dependiendo de su clasificación, no es el mismo tratamiento que se le proporciona a un recado, a un aviso o un tríptico de publicidad; que el que se le proporciona al documento que contiene datos personales como nombre, dirección, número de cuenta, saldos, etc. El primer paso para conocer qué uso se le va a dar a la información es inventariarla, posteriormente clasificarla, en tercer lugar establecer los controles de uso de esta información y finalmente monitorear y controlar que se esté utilizando para los fines establecidos. Es importante también el difundir mediante un proceso documental el tipo y uso que se le dará a la información ya que uno de los factores que más afecta en el tratamiento de los datos, es el desconocimiento. Por lo que proteger la información es un requisito de cualquier tipo de negocio y empresa, y en muchos casos también llega a ser una obligación legal. 2 Circular Única de Bancos, Anexo 52. 8

10 1.4. Marco Legal La seguridad de la información actualmente se encuentra regida por diferentes leyes mexicanas que tienen como común denominador; asegurar la protección de los datos entregados a las diferentes compañías, en el caso el sector financiero está regulado por instituciones y leyes como lo son la Comisión Nacional Bancaria y de Valores (CNBV) a través de la Circular Única de Bancos (CUB), el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) a través de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP ). Existen dependencias particulares autorizadas que mediante el desarrollo de estándares como por ejemplo la serie de normas ISO/IEC publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) tienen el objetivo de establecer las mejores prácticas recomendadas en temas de seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)

11 CAPÍTULO 2. DESCRIPCIÓN, IMPACTO Y RELEVANCIA DEL TRABAJO PROFESIONAL En el presente capítulo se describirá lo relacionado a la empresa Monex Grupo Financiero así como la participación e importancia del Analista de seguridad de la información y su trabajo profesional en la organización Información corporativa de Grupo Financiero Monex. 4 Razón Social de la empresa Banco Monex S.A. Institución de Banca Múltiple, Monex Grupo Financiero. Dirección de la empresa Avenida Paseo de la Reforma 284, Colonia Juárez, C.P , México, D.F. Historia de la empresa Empresa de servicios financieros confiables en México y el extranjero 100% mexicana que ofrece productos financieros especializados y de pagos de alta calidad. Con más de 27 años de presencia en el país, Grupo Financiero Monex está integrado por tres entidades: Banco Monex, Monex Casa de Bolsa y Monex Operadora de Fondos, a través de las cuales ofrece productos como cambio de divisas y pagos internacionales, mercado bursátil (dinero, capitales y banca de inversión), fondos de inversión, productos de manejo de riesgos, inversiones internacionales, fiduciario y productos para comercio exterior, entre otros

12 Misión Satisfacer las necesidades de nuestros clientes de manera ética y creativa, por medio de un equipo motivado de profesionales que integren la mejor tecnología. Visión Ser el Grupo Financiero más reconocido por su calidad, prestigio y rentabilidad, como proveedor especializado de servicios y productos financieros seleccionados, de manera innovadora, a segmentos de mercado específicos. Política de Calidad En Monex estamos comprometidos en conformar una Institución Financiera reconocida por su servicio, confianza y transparencia; así como en satisfacer y superar las expectativas de nuestros clientes ofreciendo productos y servicios rentables y de calidad, a través de una filosofía de mejora continua. Objetivos de Calidad Mejorar el nivel de satisfacción de nuestros clientes internos y externos. Manejar indicadores de desempeño para evaluar el modelo de calidad. Desarrollar al personal para mejorar su nivel de desempeño. Promover una cultura de calidad en nuestro equipo de trabajo. Valores Vocación de Servicio; En Monex mantenemos una actitud permanente de servicio para proporcionar a nuestros clientes atención especializada y personal. Compromiso; La solidez de Monex está basada en la experiencia y estabilidad conseguidas a través de los años. Estamos comprometidos con nuestros clientes, personal, accionistas y con la comunidad. 11

13 Honestidad; Establecemos relaciones duraderas con nuestros clientes, basadas en diálogos honestos. Garantizamos en todo momento el respeto a la legalidad y fomentamos en nuestro personal la aplicación de los altos estándares éticos. Confianza; Para Monex es fundamental la seguridad y confiabilidad de nuestro servicio, por lo que nos dedicamos a atender a nuestros clientes con calidad. Profesionalismo; Proveemos un servicio altamente calificado y de clase mundial. Sabemos que todo es perfectible, por lo que mantenemos una actitud abierta ante nuestras faltas y oportunidades de mejorar. Trabajo en equipo; En Monex valoramos y promovemos el trabajo en equipo, con un espíritu de competencia, comunicación abierta, innovación y búsqueda de nuevos retos. Regulación La Secretaría de Hacienda y Crédito Público (SHCP), a través de la Comisión Nacional Bancaria y de Valores (CNBV) Banco de México Bolsa Mexicana de Valores (BMV) Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) Mercado Mexicano de Derivados (Mexder) Asociación Mexicana de Intermediarios Bursátiles (AMIB) Instituto Federal de Acceso a la Información (IFAI) 12

14 Logotipos Oficiales Ilustración 1_Logotipo oficial GFM Ilustración 2_Logotipo oficial GFM Estructura Organizacional Ilustración 3_Estructura Organizacional de Banco Monex S.A. Institución de Banca Múltiple, Monex Grupo Financiero. 13

15 Ilustración 4_Estructura Organizacional _ Dirección General Adjunta de Operaciones y Finanzas_ Dirección Corporativa de Contraloría y PLD. Ilustración 5_Estructura Organizacional _ Dirección Corporativa de Contraloría y PLD. 14

16 Directorio de sucursales y centros de servicio 5 Localidad No. Sucursales Aguascalientes 1 Baja California 3 Baja California Sur 1 Chiapas 1 Chihuahua 3 Coahuila 3 Colima 1 Distrito Federal 1 Guanajuato 3 Hidalgo 1 Guadalaraja 2 Monterrey 1 Michoacan 1 Morelos 1 Nuevo Leon 1 Puebla 1 Queretaro 1 Quintana Roo 3 San Luis Potosi 1 Sinaloa 1 Sonora 1 Tabasco 1 Tamaulipas 3 Veracruz 1 Yucatan 1 Zacatecas 1 Ilustración 6_Muestra de sucursales GFM

17 2.2. El área de seguridad de la información en Monex La seguridad de la información en Monex Grupo Financiero, es el área que dentro de sus funciones y responsabilidades diseña e implementa estrategias que deben cubrir los procesos en donde la información es el activo principal. Estas estrategias tienen como objetivo principal establecer políticas, controles, tecnologías y procedimientos para detectar brechas de seguridad que puedan explotar vulnerabilidades y pongan en riesgo dicho activo, la finalidad de establecer con esta área en la organización es contar con los elementos necesarios para proteger y salvaguardar tanto los activos de información como los sistemas que la almacenan y administran. El área de seguridad de la información es también la encargada de establecer políticas y lineamientos como los siguientes: Control de accesos Seguridad perimetral de información Estándar de seguridad para contraseñas Política de gestión y clasificación de activos de información Administración de licenciamiento de software Respuesta a incidentes de seguridad Disposiciones para el ejercicio de los derechos arco Evaluación de proveedores Políticas para la organización de la seguridad de la información Políticas de cumplimiento ante las autoridades Etc. Estos fueron diseñados para administrar los riesgos propios de los diferentes procesos, mismos que constituyen una práctica empresarial adecuada que permite proteger sus recursos y activos. 16

18 Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y controles establecidos para la protección de la información son revisados y adecuados de acuerdo a las necesidades del negocio, a fin de tomar las acciones correspondientes para mitigar los riesgos inherentes a dichos procesos. Ilustración 7_Modelo de Seguridad de la Información _Monex Grupo Financiero. 6 6 Manual Corporativo de Seguridad de la Información, Monex Grupo Financiero 17

19 2.3. Justificante del puesto, Analista de Seguridad de la Información La posición del Analista de Seguridad de la Información se requiere derivado de las necesidades para la ejecución de las estrategias en Monex. Bajo este contexto el personal asignado a este puesto contribuye con su capacidad de análisis, resolución de problemas, generación de documentación estratégica y técnica en apoyo a la Gerencia de Seguridad de la Información, su participación es fundamental para la toma de decisiones, lo anterior haciendo referencia en el desempeño de sus funciones como lo son; levantamientos de activos de información, esquemas de control de acceso, uso y configuración de herramientas de monitoreo y control enfocadas a los procesos de negocio, análisis de escenarios de riesgo y propuestas de planes de mitigación. Así mismo el conocimiento técnico del analista resulta una habilidad necesaria para colaborar en la selección de herramientas tecnológicas que apoyen en la implementación de los mejores controles sobre las brechas de seguridad inherentes en los procesos del sector financiero. Sin embargo el valor agregado del Analista de Seguridad de la Información, radica en su capacidad de entendimiento de los procesos del negocio para realizar una gestión adecuada con los usuarios y fomentar una cultura organizacional en temas de seguridad de la información, mediante técnicas de convencimiento que permiten involucrar a los empleados en los procesos de control establecidos, que de acuerdo con las mejores prácticas de seguridad deben ser parte de las actividades del día a día. 18

20 2.4. Descripción del puesto Analista de Seguridad de la Información 7 Título del Puesto Analista de Seguridad de la Información Dirección de área Dirección Corporativa de Contraloría y PLD 8 Reporta al puesto Oficial de Seguridad de la Información Objetivo del puesto Proporcionar servicios de seguridad en la organización, a través de la planeación, operación y administración de los procesos de seguridad de la información, así como aplicar y difundir la cultura de seguridad entre todos los miembros de la organización. Funciones generales a realizar Elaboración de procedimientos e instrucciones, análisis de riesgos, análisis de vulnerabilidad, Capacitación, revisión y generación de políticas, generación de Indicadores, realizar el análisis, diseño, definición y mantenimiento de los estándares y políticas de seguridad de la información, monitorear el cumplimiento de estándares y políticas de seguridad de la información, Evaluaciones de apego a los procesos (Internas y externas), asesoría en el plan de remediación de vulnerabilidades, apoyo en los de requerimientos de seguridad solicitados en los nuevos proyectos, realizar los informes de gestión de seguridad, apoyar el desarrollo de los requerimientos solicitados durante y después de las visitas realizadas por la regulación. Comprender, apoyar, participar y dar cumplimiento a los lineamientos establecidos de calidad y seguridad de la información. 7 Formato institucional de GFM, proporcionado por Recursos Humanos. 8 PLD: Prevención de Lavado de Dinero 19

21 Relaciones del puesto entre áreas Internas: Todas la Áreas. Externas: Todas las Entidades regulatorias. Requerimientos del Puesto Escolaridad, licenciaturas en Computación, Administración Informática, Sistemas o afines. Experiencia: 1 a 2 años. Conocimientos adicionales: Control, administración de riesgos, ISO27001, COBIT, sólidos conocimientos en redes, en general conocimientos avanzados de Seguridad Informática (estándares, políticas, criptografía, metodologías, técnicas de Hacking, Firewalls, IPS, IDS). Características personales: Capacidad de síntesis, Habilidades de comunicación oral y escrita, Capacidad para identificar y analizar problemas, Capacidad para negociar. Idiomas: Lectura y compresión del inglés. Manejo de equipo: Software de la función y paquetería Windows. 20

22 2.5. Curriculum Vitae de Evelyn K. Torres Vázquez EVELYN KAREN TORRES VÁZQUEZ Lic. Informática UNAM PERFIL PROFESIONAL Las áreas de interés son: Seguridad de la Información e Informática, Auditoria, Riesgos TI, Administración de proyectos, Control Interno, Normatividad, Continuidad de Negocio. Perfil Profesional: Con experiencia laboral desempeñando funciones en el diseño, implementación y monitoreo de estrategias en seguridad de la información e informática, atención y cumplimiento ante autoridades regulatorias, identificación y administración de riesgos TI, planeación y ejecución de auditorías. Competencias a destacar: Orientada a resultados, alta capacidad de análisis, responsable, organizada, con iniciativa, creativa, dinámica, buen manejo de las relaciones interpersonales, actitud de servicio y firmeza en el cumplimiento de las políticas corporativas de la organización. EXPERIENCIA LABORAL Y CONOCIMIENTOS Miembro del comité de Seguridad Lógica y Cybercrime en la Asociación de Bancos de México, (ABM). Atención y seguimiento de auditorías regulatorias (CNBV, Banxico, BMV, Deloitte) Colaboración en el desarrollo de procedimientos para el cumplimiento ante lo señalado en (LFPDPPP) 9. Participación en el proyecto de certificación ISO Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 21

23 Contribución en las pruebas BCP 10 a nivel institucional. Identificación y administración de Riesgos de TI. Planeación y ejecución de auditorías de TI y procesos. Diseño e implementación de esquemas de capacitación en temas de Seguridad de la Información. Líder de proyecto DLP: prevenir la fuga de información corporativa mediante procesos y la implementación de la tecnológica CA-Data Loss Prevention. Apoyo del proyecto EPV: implementación de un esquema para la administración de cuentas sensitivas en la organización. Líder de proyecto VPN: Implementación de un nuevo esquema para conexiones remotas. Apoyo en el proyecto Detect ID: multifactorial de autenticación en la banca electrónica. Administración de la plataforma RSA (Segundo factor de autenticación). Elaboración de estrategias de seguridad de la información e informática. Análisis e implementación de las mejores prácticas para la administración de plataformas de seguridad. Desarrollo de manuales y procedimientos. Análisis de perfiles para el Control de Accesos. Monitorear y asegurar el cumplimiento de la normatividad interna y externa. Gestionar y resolver incidentes de seguridad. Administración y evaluación de Proveedores. Promotor de una cultura corporativa de seguridad que garantice la integridad, disponibilidad y confidencialidad de los sistemas de información. Análisis de vulnerabilidades Análisis forense Análisis, desarrollo, implementación y mantenimiento de sistemas informáticos. Administración y análisis de bases de datos. Documentación de los procesos TI como Sistemas, Internet, Seguridad, Telefonía, etc. 10 Plan de continuidad del negocio (siglas en inglés BCP, por Business Continuity Plan) 22

24 Redes: administración, mantenimiento e instalación. Soporte y mantenimiento a equipo de cómputo. Administración de instancias para filtrado de contenido y seguridad de la red interna y externa. Administración de Active Directory. OTROS CONOCIMIENTOS COBIT ITIL ISO ISO BS25999 COSO CNBV, CUB, CUCB IFAI, LFPDPPP Infraestructura tecnológica. Seguridad en redes y Sistemas Operativos. Lenguajes de programación Visual Basic, PHP. Herramientas y estrategias para análisis de vulnerabilidades. IDIOMAS Inglés: capaz de establecer conversaciones de negocio. TOEIC: 480 puntos. 23

25 TRAYECTORIA LABORAL Monex Grupo Financiero 2011 Actual Analista Sr. de Seguridad de la Información Ser Com Glob Comunucaciones, SKYTEL Analista de Sistemas ESTUDIOS UNAM - Facultad de Estudios Superiores Cuautitlán Campo IV, Licenciatura en Informática CURSOS COBIT, 2014 Seguridad informática y evaluación del control interno en un ambiente automatizado, 2014 Taller: Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales, IFAI, Mayo Taller: Medidas de seguridad, IFAI, Mayo Tablas dinámicas en Excel y herramientas de datos para el manejo eficiente de la información, Febrero Liderazgo, Noviembre Administración de proyectos, Noviembre Taller: Ejercicio de derechos ARCO, IFAI, Septiembre Seminario: Prevención de Fraudes en Canales Electrónicos, Agosto

26 Seminario: La nube en el sistema financiero, riesgo de altura u oportunidad terrena, ABM, Octubre Taller: Diseño y difusión del aviso de privacidad, su contenido y alcances, IFAI, Agosto Seminario: Protección de datos personales y su autodeterminación informativa, consideraciones prácticas, ICC, Junio 2012 Comprensión de lectura de Ingles, UNAM, Septiembre Cómputo I y II: Sistemas operativos, Procesador de textos (Word), Hoja de cálculo (Excel), Presentaciones (Power Point), e Internet (Navegadores Web), UNAM, Julio

27 CAPÍTULO 3. DESCRIPCIÓN DE LA PARTICIPACIÓN DEL ALUMNO EN LA EMPRESA En este punto se muestra todo el proceso que se llevó a cabo para la implementación de la herramienta DLP (Data Loss Prevention), desde el planteamiento de la solución hasta su aplicación en la organización estando a cargo del proyecto el Analista de Seguridad de la Información Justificación y descripción del proyecto DLP (Data Loss Prevention) La implementación del DLP tiene como principal justificante reducir los riesgos asociados al manejo de la información, durante el proyecto se realizara un análisis para el descubrimiento de flujo de la misma y con los resultados obtenidos será clasificarla de acuerdo a su nivel de criticidad, y así garantizar el cumplimiento de las políticas internas y externas de acuerdo a lo establecido por Monex y las mejores prácticas de Seguridad de la Información Antecedentes del proyecto Monex Grupo Financiero a través del área de Seguridad de la Información detectó la importancia de reforzar el control de la información sensible que se transmite a través de la misma organización. Por esto se ha dado a la tarea de implementar una serie de acciones que mitiguen los riesgos inherentes en el flujo de la misma, entre ellas se buscó una herramienta tecnológica que permita proteger y clasificar la información de acuerdo a su uso. Para alcanzar éste objetivo se partirá del cómo se utiliza hoy en día la información, cómo se transmite por la infraestructura y dónde se encuentra almacenada. 26

28 3.3. Requerimientos para la solución DLP Monex Grupo Financiero requiere de una herramienta tecnológica DLP, Data Loss Prevention la cual debe cubrir un mínimo de 1500 equipos de cómputo interconectados a la red organizacional, dicha herramientas deberá cumplir con las siguientes características generales: Prevención de fuga de información: Descubrimiento de información confidencial en estado de reposo en los equipos de cómputo. Identificación, advertencia y bloqueo de información confidencial trasmitidos a través de medios como: o Correo electrónico (SMTP, Exchange, Client , etc.) o Web mail (Hotmail, Gmail, Yahoo, Owa, AOL, etc.) o Servicios web (HTTP y HTTPS) o Aplicaciones P2P (emule, Winny, BitComent/BitTorrent, etc.) o Servicios FTP y SFTP (Fillezila, Flow, etc.) o Mensajería Instantánea (Lync, Skype, etc.) o Servicios en la nube (Dropbox, Onedrive, etc.) Identificación y bloqueo de datos e información declarados como confidenciales transmitidos a medios de almacenamiento como: o Dispositivos removibles (USB, CD, DVD, etc.) o Carpetas compartidas, recursos en red. o Dispositivos móviles (Smartphone, Tablet, etc.) Identificación y bloqueo de información que se envíe a recursos tales como: o Impresión en Red o ClipBoard (Copy-Paste) o Print Screen 27

29 Filtrado y detección de contenido: La solución debe soportar múltiples medios de detección como fingerprint 11. No dependiente del idioma del documento. Con al menos el 90% de efectividad en la detección de documentos aun si el documento original esta modificado en un 50%. Capacidad de detectar contenido de documentos confidenciales copiado a nuevos documentos. La tecnología de fingerprint no debe ser fácilmente vulnerable, ejemplo un hash, sino que esta deberá poder identificar la información incluso al transportarla a un nuevo documento e incluso detectarla dentro de un archivo comprimido. Que contengan validadores para evitar falsos positivos. Detección de información confidencial dentro de archivos comprimidos. Reconocimiento de archivos por tipo aun cuando cambien de extensión. Monitoreo: Debe permitir monitorear información confidencial: Descubrir, identificar, correlacionar (servicio de correlación de eventos de fuentes múltiples de información), analizar y generar logs 12 de cualquier movimiento de información confidencial hacia fuera del equipo de cómputo. Guardar e indexar los archivos enviados para generar análisis forense. Generar escaneos calendarizados para la detección de información confidencial basados en las políticas establecidas. 11 Fingerprinting/Huella digital, es una característica de prevención de pérdida de datos (DLP) que convierte un formulario estándar en un tipo de información confidencial, que puede usar para definir reglas de transporte y directivas DLP. 12 Log, es un registro de algún evento. 28

30 Capacidad para generar alertas: Debe permitir la definición e implementación de acciones a tomar cuando se cumple alguna regla definida. Debe permitir afinar las reglas basándose en el historial de alertas que se han generado. Contar con una interface de monitoreo para las alertas desde la consola de administración y/o de manera independiente. Indicar al usuario por medio de alertas personalizables que está violando alguna política de confidencialidad. Debe poder configurar el mostrar o no alertas al usuario sobre violaciones a políticas de confidencialidad. Debe soportar formatos comunes de notificaciones como correo electrónico y logs. Debe permitir la configuración de alertas personalizadas incluso con ligas a sitios web. Aplicación de Políticas: Definir e implementar acciones como (libre acceso, bloqueo, solicitud de justificación, monitoreo, etc.) cuando se cumple alguna política establecida a grupos y usuarios definidos. Investigación tipo forense: Debe permitir la captura de información que ayude a identificar más fácilmente las incidencias (fecha, hora, tipo de medio utilizado, usuario y equipo, etc.). Contar con un almacenamiento de logs de incidencias para localizar rápidamente la información en caso necesario (los incidentes deberán 29

31 estar indexados en una base de datos desde la cual se puedan localizar y extraer en forma de reportes rápidamente). Guardar una copia de los archivos o texto que quiso enviarse sin autorización. Administración y creación de reglas: Variedad de combinaciones basadas en estándares internacionales. Rápida creación de plantillas incluso tomando como base las ya existentes. Fácil afinación de políticas basado en los eventos detectados y almacenados como logs. Facilidad de generar excepciones en las reglas para evitar los falsos positivos. Las reglas pueden contener una amplia combinación de medios de detección para robustecerla. Soporte para importar/exportar las políticas para una fácil recuperación en caso de DRP (Disaster Recovery Plan) 13. Actualizaciones modo push desde el servidor hacia los agentes sobre nuevas formas de detección. Reglas granulares dirigidas a sólo a ciertos medios, (USB, correo electrónico, http, etc.). Las reglas se crean y despliegan de forma centralizada desde la consola de administración a los equipos en la red. Soporte y Administración: Despliegue, administración y configuración de forma centralizada. 13 Plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. 30

32 Instalación de agentes por medio de paquetes MSI 14 ya sea por active directory u otra aplicación según se requiera. Soporte de instalación en equipos con lenguajes en español o inglés. Actualizaciones de software. Instalación de los clientes de forma silenciosa. Políticas definidas por perfil de usuario, grupo, o incluso equipo o persona específica. Manejo y administración de la solución vía consola web. Acceso a la consola de administración basada en roles. Cuentas específicas para cada administrador con base en su rol. Configuración y administración de usuarios con diferentes roles, los cuales pueden tener accesos o restricciones a ciertos elementos de la consola así como la capacidad de solo lectura, ejecución y/o modificación de las mismas. Consola de administración centralizada vía web. Administración y despliegue de políticas: Protección de la información a través de políticas definidas desde la consola central. Interfaz intuitiva que permite la fácil definición de información y la generación de plantillas. Modificación de plantillas y políticas en tiempo real. Administración jerárquica de las políticas establecidas a lo largo de la organización. Las plantillas tienen la capacidad de copiarse para modificarlas y así generar nuevas más rápido. 14 Previamente conocido como Microsoft Installer, Windows Installer es un motor para la instalación, mantenimiento y eliminación de programas en plataformas Microsoft Windows. 31

33 Los fingerprint permiten la detección de documentos que no tienen datos estructurados. La solución deberá tener la habilidad de auto remediar los eventos a través de las políticas. Compliance 15, monitoreo y auditorias: Interfaz web que permita tener visibilidad rápida y eficaz de las violaciones más relevantes de la semana o mes, por usuario, por estado de conexión con el servidor, así como por vector de detección, además un histórico en el tiempo de número de violaciones. Capacidad de revisar información detallada de incidentes Reporteo: Reportes globales o generales de violaciones de políticas de confidencialidad por usuario o por grupos. Reportes standard calendarizados para generar como parte de la estrategia de DLP. Reportes personalizados. Disponibilidad de reportes estándar en la misma consola Almacenamiento de logs: Logs almacenados en forma central. Logs protegidos dentro del servidor. Capacidad de exportar los logs para cuestiones de auditoría. 15 Verifica el cumplimiento de las normas. 32

34 Integración con soluciones de Directorio: Integración con Active Directory 16 / LDAP 17 para una fácil administración y configuración de políticas. Características de los agentes: El agente (cliente) instalado en los equipos deberá contar con las siguientes características: Deberá ser un instalador único el cual proteja todos los vectores mencionados al principio de este documento. Deberá permanecer oculto al usuario, es decir que no sea visible ni como proceso, ni como servicio, y no aparecer en el apartado de agregar y quitar programas. Mínimo impacto en los recursos de CPU 18 de la máquina. Que no genere paquetes perdidos en la red. Que soporte los sistemas operativos Windows vigentes en la organización. Características del servidor: Deberá tener la capacidad de actualizarse de forma integral desde la misma consola de administración ya sea vía internet o con la capacidad de manualmente subir dichas actualizaciones. 16 Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. 17 LDAP son las siglas de Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios). 18 La unidad central de procesamiento (del inglés Central Processing Unit, CPU). 33

35 3.4. Proceso de selección de la herramienta DLP Las áreas, entidades y/o sucursales de Monex Grupo Financiero que por la naturaleza de sus funciones realicen adquisiciones y/o contratación de servicios de manera directa o indirecta deberán apegarse en forma estricta y obligatoria a las políticas, lineamientos y procedimientos establecidos en el Manual de regulación de la dependencia con proveedores. El cual señala que se deberá analizar a los proveedores a seleccionar principalmente desde los siguientes puntos de vista: calidad, precio, servicio, tiempo de entrega, experiencia y solidez en el mercado. 19 El área de Seguridad de la Información realizó una licitación con tres diferentes proveedores para la evaluación de la solución DLP de acuerdo a lo señalado por el manual antes mencionado Criterios de decisión y selección Como resultado de la evaluación realizada a los tres proveedores, CASD, Consultores en Administración de Sistemas y Documentos S.A. de C.V. 20 quien es socio de implementación de CA Technologies 21, ofrece la solución CA DataMinder que cumple con los requerimientos solicitados por Monex Grupo Financiero. Los criterios de decisión y selección de dicha solución fueron tomados de la propuesta técnica, niveles de servicio y propuesta económica. Considerando también los resultados obtenidos en los casos de uso realizados durante la prueba concepto de las diferentes herramientas. Finalmente se sumaron los comentarios emitidos por los responsables del negocio quienes son los usuarios y dueños de los procesos involucrados en el procesamiento y tratamiento de los activos de información. 19 Documento Interno C-2 Manual de regulación de la dependencia con proveedores

36 3.6. Herramienta seleccionada CA DataMinder es una herramienta tecnológica de protección y control de la información que ayuda a mitigar los riesgos inherentes como el mal uso accidental, negligente o malintencionado, controla la información en uso, en movimiento, en reposo y en el acceso en equipos de cómputo. También es una solución que ayuda a cumplir con diversos estándares y normas de protección de datos. Principales funcionalidades: Controla el manejo de datos y el acceso Descubre, clasifica y controla información en las terminales, durante el recorrido en la red, en el servidor de mensajería y en el repositorio. Identifica diversos tipos de contenido Identifica y clasifica varios tipos de contenidos incluida la información de identificación personal, información no pública y la propiedad intelectual. Métodos superiores de detección Funcionalidades de detección líderes en la industria a través de dispositivos de huellas digitales, descripción de contenido y políticas basadas en identidades, contextos y conceptos. Escalabilidad empresarial Admite la implementación de miles de escritorios y usuarios con la capacidad de comenzar desde la táctica y crecer desde la estrategia. Revisión de privacidad. Diseñada para controlar los datos confidenciales durante el proceso de revisión y para limitar el acceso a los revisores con roles determinados. 35

37 Aplicación flexible Las acciones flexibles incluyen bloquear, advertir, poner en cuarentena, redirigir, cifrar, mover, eliminar, sustituir, monitorear y aplicar derechos digitales. Administración de Accesos e Identidades basada en contenido Apoya a extender las capacidades de las soluciones como CA IAM (Identity Management) 22 otorgándoles inteligencia y clasificación de contenidos. Ante las actividades que violen las políticas definidas, CA DataMinder ofrece las siguientes acciones de remediación: o Bloqueo de eventos de posible fuga de información. o Advertencia antes de continuar con un evento de posible fuga de información. o Monitoreo de un evento de posible fuga de información. o Cifrado de la información antes de continuar un evento de posible fuga de información. o Puesta en cuarentena de la información en un evento de posible fuga de información. o Reenvío de la información en un evento de posible fuga de información. 22 Gestión de Identidad, Identidad Gubernamental y Gestión de la Identidad Privilegiada. 36

38 Con CA DataMinder información en base a dos técnicas: se pueden definir políticas de clasificación y control de 1. Análisis de información mediante palabras, frases y expresiones regulares. Mediante la definición de una política que contenga palabras, frases que identifiquen un documento, también pueden ser utilizadas expresiones regulares para identificar alguna secuencia de caracteres dentro de un documento, por ejemplo, números de tarjeta de crédito, CURP, RFC, Números de seguridad Social, números telefónicos, etc. Para determinar si un documento contiene o no información confidencial y evitar falsos positivos; se asignan puntuaciones a cada una de las frases, palabras o expresiones regulares definidas y a través de umbrales configurables Data Loss Prevention (DLP) define si un evento contiene información confidencial. 2. Registro de contenido confidencial. Se puede identificar documentos o extractos de documentos una vez que son analizados por un agente de contenido, al extraer las características principales para su identificación en cualquiera de los puntos de control. La detección puede ser de un documento completo o al identificar similitudes con el documento analizado por el agente. CA DataMinder proporciona protección y control de la información en todas las áreas de la empresa para un amplio rango de comunicaciones que incluyen el correo electrónico, los medios sociales, los medios extraíbles y los medios de impresión. A través de políticas predefinidas y configurables. 37

39 Esta solución DLP es capaz de identificar, clasificar y controlar información confidencial, para reducir el riesgo para el negocio y a la vez ayudar a cumplir los requisitos de información corporativos y normativos como los siguientes: Controla un amplio rango de actividades de manejo de datos y aplicaciones, como correo electrónico (Exchange), correo web (Gmail), medios sociales (Facebook), medios de impresión y medios extraíbles Las políticas móviles siguen al usuario cuando está conectado y desconectado de la red corporativa. Advertencias enriquecidas para el usuario final impulsan el cambio conductual sin tener un impacto negativo en los procesos de negocios. Es liviana y de bajo impacto para el host local Controla contenidos a través de correo electrónico, navegadores, correo web, medios sociales, medios extraíbles e impresoras Registro de contenidos confidenciales de texto y gráfico. La arquitectura distribuida y escalable permite la compatibilidad con más de agentes de terminales Fases de implementación del DLP El proyecto DLP principalmente considera las siguientes fases: I. Instalación y configuración paso a paso de CA DataMinder. II. Ejercicios de levantamiento de activos de información. 38

40 FASE I. Instalación y configuración paso a paso de CA DataMinder Instalación del software DLP 1. Se llevó a cabo la Instalación de la herramienta en el servidor identificado con las siguientes características: o IP del Servidor CMS: X o Sistema Operativo: Windows Server 2008 R2 SP1 (64 bits) o Memoria RAM: 2 GB o Dominio: monex.corp Ilustración 8_Caracteristicas del Servidor DLP. 39

41 2. Se configura la herramienta DLP en el servidor de acuerdo a las siguientes características: o Usuario de Sistema Operativo para instalación: adm_sql_local o Base de Datos del Software: Microsoft SQL Server 2008 R2 o Usuario de Base de Datos para instalación: sa (***x2012***) Ilustración 9_Configuración de la Base de Datos Ilustración 10_configuraciòn del servidor de aplicaciones. 40

42 3. Configuración de la consola web para la administración de los eventos. Ilustración 11_1. Ruta de acceso a consola web: 4. Copia de software DLP al servidor. Ilustración 12_4. Copia de software DLP al servidor. 41

43 5. Se ejecutó el archivo setup.exe dentro del folder de instalación de CA DLP. Ilustración 13_ejecución del archivo setup.exe 6. Ejecutar Install para la descarga de los paquetes de redistribución de Microsoft Visual C++. Ilustración 14_descarga de los paquetes de redistribución de Microsoft Visual C++. 42

44 7. Se muestra el asistente para la instalación de CA DLP con la pantalla de bienvenida. Ilustración 15_asistente para la instalación de CA DLP 8. Se aceptan los términos y condiciones. Ilustración 16_ términos y condiciones CA DLP. 43

45 9. Se ingresan los datos de la organización (Nombre de Usuario y Organización) Ilustración 17_ Configuración de los datos de la organización 10. Se solicita el tipo de instalación que se desea realizar, en este caso, se seleccionó FastStart Instalation que contiene los componentes necesarios para la instalación del servidor de CA DLP. Ilustración 18_ FastStart Instalation CA DLP 44

46 Ilustración 19_Instalación de los Paquetes CA DLP 11. Para elegir los componentes a instalar se seleccionó la opción Base Installation que contiene los servicios del servidor CA DLP. Ilustración 20_ Base Installation_Servicios DLP 45

47 12. En la siguiente ventana se introdujeron las credenciales del usuario de base de datos del servidor. Ilustración 21_credenciales del usuario de base de datos 13. Se integraron los datos de identificación del usuario existente de sistema operativo que se utilizara para administrar la consola. Ilustración 22_datos de identificación del usuario en la BD 46

48 14. Se especificó la ruta de localización de la carpeta que contendrá los archivos de eventos, logs, datos. Ilustración 23_ carpeta que contendrá los archivos de eventos, logs, datos. 15. Se desplegó una ventana de confirmación de la instalación en la que se selecciona click en Install. Ilustración 24_ Confirmación de la carpeta que contendrá los archivos de eventos, logs, datos. 47

49 Ilustración 25_Instalacion y configuración de los paquetes 16. Una vez realizada la instalación, se seleccionó la opción Finish para concluir el proceso. Ilustración 26_Termina el proceso de instalación 48

50 Instalación del licenciamiento 1. Se recibió a través del correo electrónico institucional un paquete para la descarga de las licencias. Ilustración 27_paquete para la descarga de las licencias. Ilustración 28_Descripción del paquete de licenciamiento. 49

51 2. Se llevó a cabo la Instalación de cada una de las licencias seleccionando Install Licence File contenido en la opción Tools del menú. Ilustración 29_Instalación de las licencias 3. Se seleccionó el archivo de la licencia seleccionando Browse para localizarlo en el folder que lo contiene. Ilustración 30_selección del archivo de la licencia 50

52 Ilustración 31_selección del archivo de la licencia 4. Una vez indicado el archivo se seleccionó Install Ilustración 32_instalaciòn del archivo 51

53 5. Se realizó la comprobación de las licencias instaladas: Ilustración 33_comprobación de las licencias 52

54 Instalación de agentes (endpoint) en los equipos de los usuarios 1. Se realizó la Instalación de agentes en los equipos de los usuarios (EndPoint) a través del Active Directory - Users and computers. Ilustración 34_Instalación de agentes en los equipos de los usuarios 53

55 2. Se seleccionó la OU 23 donde están los equipos a los que se les iba a instalar el software. Ilustración 35_Instalación de agentes en los equipos de los usuarios 3. Seleccionando la opción properties en la OU designada y abriendo la pestaña Group Policy se seleccionó open para abrir las políticas de grupo. Ilustración 36_políticas de grupo 23 Es un contenedor donde se pueden poner distintos objetos de Active Directory como Usuarios, Computadoras, Grupos y hasta otras OUs. 54

56 Ilustración 37_Muestra de las políticas de grupo 4. Dar click derecho sobre la OU especificada y seleccionar la opción Create and link a group. Ilustración 38_Creación de grupos para políticas 55

57 5. Se ha creado la política Instalación CA DLP Ilustración 39_ política Instalación CA DLP 6. Dando click derecho a Computer Configuration, se seleccionó Edit para editar los parámetros de la política. Ilustración 40_edicion de los parámetros de la política. 56

58 7. Para agregar el nuevo paquete se selecciona el folder Software Settings. Ilustración 41_configuraciòn de paquetes 8. Al abrir este folder se selecciona la opción Software Installatión y al dar click derecho sobre esta opción, se da click en New y después Package. Ilustración 42_configuraciòn de paquetes 57

59 9. En la ventana que se despliega, se seleccionó el paquete de instalación de los agentes de CA DLP Client.msi Ilustración 43_paquete de instalación de los agentes de CA DLP Client.msi 10. Se seleccionó la opción Advanced. Ilustración 44_Configuraciòn de los paquetes 58

60 11. En la ventana que se despliega se cambió el nombre asignándosele el de Actualizaciones de seguridad. Ilustración 45_Configuraciòn de los paquetes 12. En la pestaña de Deployment, se seleccionó unistall this application when it falls out of. Ilustración 46_Configuraciòn de los paquetes 59

61 13. En la pestaña de modifications se seleccionó add para agregar las variables que especificaron detalles de la instalación. Ilustración 47_Configuraciòn de los paquetes 14. De la ventana de que desplegó se seleccionó la variable SetParentName_Client.mst posteriormente se dio click en Open para cargar su contenido. Ilustración 48_Carga de contenido del paquete 60

62 15. Se seleccionaron las tres variables necesarias para la instalación: o SetParentName_Client.mst: especifica el nombre del servidor CA DLP o EnableAppmon_Client.mst: habilita el control de aplicaciones o ClientLockDown_Client.mst: bloquea la desinstalación de los agentes Ilustración 49_variables necesarias para la instalación 61

63 16. Finalmente se aplicó la política de instalación creada para las distintas áreas de Monex de acuerdo al siguiente calendario: Ilustración 50_Calendario de instalación en Matriz Ilustración 51_Calendario de instalación en Sucursales _Regional Centro 62

64 Ilustración 52_Calendario de instalación en Sucursales _Regional Sur Ilustración 53_Calendario de instalación en Sucursales _Regional Norte 63

65 Ilustración 54_Calendario de instalación en Sucursales _Regional Occidente 17. Se muestra la evidencia que a nivel matriz se instaló en los equipos señalados. Ilustración 55_muestra de la instalación de los agentes en Matriz 64

66 18. Se concluyó con la instalación del CA-DLP en 1561 equipos. Ilustración 56_instalación del CA-DLP en 1561 equipos. 65

67 Hardening de endpoints Esta sección describe las acciones para prevenir que los usuarios deshabiliten los servicios del agente de CA DLP o bien evadan los controles que por su área y perfil se han definido. 1. Se creó la base de datos "deshabilitar dlp.sdb" mediante el complemento de Windows " Configuración y análisis de seguridad" que evita que el usuario pueda deshabilitar el servicio del agente de CA DLP desde la consola de servicios de Windows. 2. Se creó el script "deshabilitar.bat" que mediante el comando secedit importa la base de datos creada en el paso anterior al equipo de los usuarios. Referencia: Contenido del script "deshabilitar.bat": secedit /configure /db \\ \dlp\deshabilitar servicios\deshabilitar dlp.sdb" 3. Para aplicar este control en todos los equipos de Monex es necesaria la creación de una política en Active Directory que ejecute este script en los equipos de los usuarios. 66

68 FASE II. Ejercicios de levantamiento de activos de información De acuerdo a lo señalado en la Política y Lineamientos de Seguridad de la Información de Monex Grupo Financiero, el área de Seguridad de la Información realiza ejercicios periódicos de levantamiento de activos de información mediante reuniones con las diferentes áreas, con la finalidad de que estas declaren los activos correspondientes a sus procesos que sean sujetos a protección de acuerdo a su nivel de confidencialidad. Cada área asignara un Dueño de Información quien será el responsable de administrar el Inventario de Activos de Información correspondiente, deberá de realizar revisiones y actualizaciones al inventario por lo menos una vez por año. Los dueños de información asignados serán responsables de establecer los controles aplicables a su información de acuerdo al flujo de la misma (ejemplo: monitoreo, advertencia, bloqueo). Los activos de información deberán ser declarados y consolidados en el formato denominado Cedula de Propiedad. Dichos activos deberán ser protegidos por la solución DLP de acuerdo a lo señalado por los responsables con el objetivo de prevenir la fuga y uso no autorizado de la misma. Mediante la solución DLP se aplicaran las políticas correspondientes para el control y monitoreo de los activos de información declarados. 67

69 3.8. Diseño, desarrollo e implementación de políticas en el DLP Diseño y descripción de políticas Control de directorios por Contenido Objetivo: Controlar la fuga de información a través de dispositivos de almacenamiento y envió a correos externos de archivos como cartera de clientes, base de datos de clientes, directorios de clientes en sus dientes variables. Control DLP: Bloqueo con notificación Áreas de aplicación: Promoción Información de Nomina Objetivo: Controlar la fuga de información a través de medios de almacenamiento, correo público y externo de archivos y bases de datos sobre la nómina de Monex. Control DLP: Bloqueo Áreas de aplicación: Todo Monex Políticas de páginas web Objetivo: Cumplir con las Políticas y Lineamientos de Seguridad de la Información en los referente al uso del Internet. Acceso restringido: - Páginas web entretenimiento (youtube, etc.) - Páginas web descargas (softonic, etc.) - Páginas web adultos (play boy, etc.) - Páginas web proxys (dnunel, etc) - Almacenamiento en la nube (Dropbox, etc.) Control DLP: Advertencia y Bloqueo Áreas de aplicación: Todo Monex 68

70 Control de estados de cuenta Objetivo: Conocer y controlar el flujo de los estados de cuenta en las diferentes áreas de la organización. Control: Monitoreo Áreas de aplicación: Todo Monex Control de información interna Objetivo: Conocer y controlar el flujo de la información clasificada como interna y controlar la fuga de la misma a través de medios de almacenamiento y correo externo. Control: Bloqueo Áreas de aplicación: Todo Monex 69

71 Desarrollo e implementación de las políticas en el DLP POLÍTICA DE CONTROL DE DIRECTORIOS DE CLIENTES Entendimiento de la política: Ilustración 57_Diagrama de la Política Control de Directorio de Clientes 1. En los equipos de los usuarios del área de Promoción Monex se encuentran almacenados documentos que contienen directorios de clientes de la empresa que se utilizan para la operación del área y que se han definido como confidenciales. 2. El contenido de estos archivos (Directorios de clientes) sólo podrá fluir al interior de MONEX a través de los medios autorizados. 3. El DLP inmediatamente bloqueará cualquier intento de filtrar esta información al exterior de MONEX por medio de cualquiera de las siguientes: distinto a los dominios institucionales, dispositivo de almacenamiento y/o páginas Web. 70

72 Configuración de la política: Para garantizar el correcto funcionamiento de la herramienta, se ha configurado la política de Control de Directorios en las áreas definidas por Monex tomando en cuenta los siguientes parámetros para activarla: Se ha configurado la política por contenido, de tal forma que verifique el contenido de los archivos que están siendo enviados fuera de los equipos de los usuarios en Monex por cualquiera de los medios no autorizados, garantizando que no se trate de bases de datos o cualquier otro documento que haya sido definido como parte de los Directorios de clientes. Ilustración 58_configuración de la política por contenido 71

73 Se ha configurado la política por encabezado, de tal forma que verifique el encabezado de los archivos que están siendo enviados fuera de los equipos de los usuarios Monex por cualquiera de los medios no autorizados, garantizando que no se trate de bases de datos o cualquier otro documento que haya sido definido como parte de los Directorios de clientes Monex. Ilustración 59_configuración de la política por encabezado 72

74 Se ha configurado la política por título, de tal forma que verifique el título, del correo electrónico (no el título del adjunto), que están siendo enviados fuera de los equipos de los usuarios MONEX a través de un dominio no autorizado, garantizando que no se trate de bases de datos o cualquier otro documento que haya sido definido como parte de los Directorios de clientes. Ilustración 60_configuración de la política por Titulo 73

75 Para controlar la salida de correos electrónicos se configuró las siguientes definiciones: Referencia la clasificación "Control de directorios por Contenido" que fueron creadas anteriormente (por contenido, por encabezado y por título). Especificación para que los agentes busquen coincidencias solo en los documentos adjuntos así como en el cuerpo del correo. Especificación para que los agentes excluyan del análisis si se envía el correo a los dominios *@monex.com.mx, *@pagosintermex.com.mx y *@sivale.com.mx. Especificación de advertencia en caso de que el agente detecte una violación mostrando el mensaje: "La información que estas enviando es confidencial C-1.Si forma parte de tu operación da click en CONTINUAR. Dudas: Comunícate a las ext. de Seguridad de la Información." Pruebas en ambiente controlado: Prueba 1: Envió de documentos que incluyen bases de datos de un directorio Monex colocando en el título del correo la palabra clave. Ilustración 61_Prueba 1, envió por correo con palabra clave. 74

76 Ilustración 62_Prueba 1, envió por correo con palabra clave. Pruebas en ambiente piloto: Prueba 1: Se genera advertencia al tratar enviar documentos que incluyen bases de datos de un directorio Monex en su contenido. Ilustración 63_Prueba 1, envió por correo con contenido 75

77 Resultados en ambiente de producción: Los resultados de los eventos detectados en el ambiente de producción se muestran el siguiente reporte: Se determinó que 5 usuarios de un universo de 1800 durante un periodo de 1 día generaron eventos de posible fuga de información confidencial declarada en este caso como directorios de clientes Monex. Ilustración 64_Reporte de resultados en Producción 76

78 POLÍTICA DE INFORMACIÓN INTERNA Descripción: Para alcanzar este objetivo, se crearon políticas que permitirán tener un mayor control del contenido de la carpeta del análisis de resultados de vulnerabilidades, definido como Información Interna, mediante un monitoreo y bloqueo permanente a la salida de información por medios no autorizados como son el envío a un mail externo (a correos que no contengan los la impresión para algunos archivos y el envío a algún dispositivo de almacenamiento. Ilustración 65_Carpeta de resultados del análisis de vulnerabilidades / Información interna 77

79 Entendimiento de la política: Ilustración 66_Diagrama de entendimiento de la política Información interna 1. Se muestra como ejemplo un documento carpeta de vulnerabilidades a la cual se le aplicó una firma digital. 2. El contenido de la carpeta sólo podrá fluir al interior de la red Monex. 3. El DLP inmediatamente bloqueará cualquier intento de filtrar esta información al exterior de Monex por medio de cualquiera de los siguientes medios: , dispositivo de almacenamiento y/o páginas Web. Parametrización: Se crea un "ContentAgent" en CA LP llamado "Información Interna" que protegerá los archivos contenidos en las carpetas con las rutas: \\ \Analisis_Vulnerabilidad\WHITEHAT\PRESENTACIONAVANCES \\ \Analisis_Vulnerabilidad\WHITEHAT\RESULTADOS BLACKBOX \\ \Analisis_Vulnerabilidad\WHITEHAT\RESULTADOSWHITEBOX 78

80 Ilustración 67_ creación de un "ContentAgent" Este Content Agent genera índices correspondientes a cada párrafo del contenido de cada documento, nombre del documento, tamaño y tipo de archivo. De esta forma los agentes de CA DLP podrán identificar cada uno de estos documentos para tomar acciones cuando sea necesario. Se crean las siguientes políticas a nivel Monex: "Control de información interna" para controlar a salida de correos con las siguientes definiciones: o Referencia al content agent llamado "Información Interna" que se creó anteriormente. o Especificación para que los agentes busquen coincidencias tanto en los documentos adjuntos como en el cuerpo del correo. 79

81 Ilustración 68_configuración del Content Agent Pruebas en ambiente controlado: Ilustración 69_Monitoreo de la Política 80

82 Ilustración 70_ Ejemplo de un evento Registrado Se intentó adjuntar en un mail externo un documento de la carpeta y de inmediato apareció el mensaje de bloqueo del envío. Ilustración 71_ Bloqueo del evento de envió de información 81

83 Se duplicó con un nombre distinto el archivo en la carpeta. Ilustración 72_Modificacion del nombre de un archivo en la carpeta relacionada a la política Se intentó enviar archivo con el nuevo nombre y la política lo detecta de inmediato Enviando el mensaje de bloqueo. Ilustración 73_ Bloqueo del evento de envió de información 82

84 Directamente desde la carpeta se intentó imprimir el archivo original. Ilustración 74_ Impresión de documento declarado en la política 83

85 Se evitó la impresión y se envió el mensaje de bloqueo. Ilustración 75_ Bloqueo y Notificación del evento 84

86 Se intentó imprimir el archivo con el nombre modificado. Ilustración 76_ Impresión del documento modificado 85

87 Se evitó la impresión y se envió el mensaje de bloqueo. Ilustración 77_Bloqueo y Notificación del evento Se inserta en el equipo una unidad de almacenamiento externa. Ilustración 78_muestra de dispositivos de almacenamiento externo 86

88 El archivo original se trata de enviar al dispositivo. Ilustración 79_envio del archivo a un dispositivo de almacenamiento 87

89 De inmediato se envía un mensaje de bloqueo. Ilustración 80_Bloqueo y Notificación del evento 88

90 Se intenta enviar al dispositivo el archivo con el nombre modificado. Ilustración 81_Envió del archivo modificado 89

91 De inmediato se envía un mensaje de bloqueo. Ilustración 82_Bloqueo y Notificación del evento. 90

92 Se extrae unos párrafos del texto y se copian en un mail tratando de enviarlo a un correo externo. Ilustración 83_Copia de contenido a un correo 91

93 Aparece de inmediato el mensaje de bloqueo correspondiente. Ilustración 84_Bloqueo y Notificación del evento 92

94 Pruebas en ambiente piloto: Prueba 1: Se configuró la herramienta para que bloquee cualquier intento de adjuntar un archivo proveniente de la carpeta de vulnerabilidades a un destinatario de correo externo. Ilustración 85_Prueba 1, se adjunta documento protegido 93

95 De inmediato, parece un mensaje de bloqueo al intentar adjuntar algún archivo de esta carpeta. Ilustración 86_Bloqueo y Notificación del evento 94

96 Se trató de imprimir un documento de la carpeta de Análisis de Vulnerabilidades. Ilustración 87_Impresión de un documento protegido 95

97 Aparece el mensaje de bloqueo al intentar imprimir algún documento de la carpeta. Ilustración 88_Bloqueo y Notificación del evento 96

98 Se copiaron algunos elementos del documento (tabla) a un mail y se trató de enviarlos a un correo externo, instantáneamente se desplegó el mensaje de bloqueo correspondiente. Ilustración 89_ Copia de contenido de un documento protegido 97

99 Resultados en ambiente de producción: Los resultados de los eventos detectados en el ambiente de producción consolidando el siguiente reporte: Ilustración 90_resultados de eventos en producción 98

100 POLÍTICA DE NORMATIVAS INTERNAS Entendimiento del requerimiento: Ilustración 91_Diagrama de entendimiento de la política Normativas Internas 1. Los usuarios de Grupo Financiero Monex tienen acceso a los documentos definidos como Normativas Internas a los cuales, para protegerlos se les aplicó una firma digital. 2. El contenido de estos documentos sólo podrá fluir al interior de Monex a través de los medios autorizados. 3. El DLP inmediatamente bloqueará cualquier intento de filtrar esta información al exterior de la organización. 99

101 Parametrización: Se crea un "Content Agent" en CA DLP llamado "Normativas" que protegerá los archivos contenidos en la carpeta: "C:\Users\Adm_SQL_Local\Desktop\NormatividadInterna" dentro del servidor. Ilustración 92_ Creación de un Content Agent Este Content Agent genera índices correspondientes a cada párrafo del contenido de cada documento, nombre del documento, tamaño y tipo de archivo. De esta forma los agentes de CA DLP podrán identificar cada uno de estos documentos para tomar acciones cuando sea necesario. 100

102 Ilustración 93_ configuración del Content Agent Se crean las siguientes políticas a nivel Monex: "Control de Normativas" para controlar la salida de correos con las siguientes definiciones. o Referencia la clasificación "Control de Normativas" que se creó anteriormente. o Especificación para que los agentes busquen coincidencias solo en los documentos adjuntos como en el cuerpo del correo. o Especificación para que los agentes excluyan el análisis si se envía el correo los dominios *@monex.com.mx y autorizados. 101

103 Pruebas en ambiente piloto: Fase de Monitoreo Prueba 1: Envió de una parte del contenido de los documentos declarados hacia e- mail externo. Ilustración 94_envió de documentos hacia correo externo 102

104 Fase de Bloqueo Prueba 1: Envió de contenido de un documento de Normatividad Interna. Ilustración 95_envio de contenido de un documento protegido Resultados en ambiente de producción: Los resultados de los eventos detectados en el ambiente de producción consolidando el siguiente reporte: Ilustración 96_Resultados dela Política Control de Normativas 103

105 POLÍTICA DE BLOQUEO DE PÁGINAS WEB Descripción: Para alcanzar este objetivo, se crearon políticas que permitirán tener un mejor control y monitoreo las páginas que los usuarios visitan a través de su clasificación en Adultos, Entretenimiento, Proxys y Descargas. Ilustración 97_configuración de Política 104

106 Entendimiento de la política: Ilustración 98_Diagrama de entendimiento de la Política de Bloqueo de páginas web 1. Se configuró una política de bloqueo de páginas Web que aplicara en los equipos asignados a los usuarios de Monex. 2. La política detecta las páginas que la institución ha definido como NO autorizadas y restringe el acceso de los usuarios. 3. La herramienta DLP activará el bloqueo cuando el usuario intente accesar a alguna del as páginas enlistadas en cualquiera de las categorías que se definieron. Parametrización: Para garantizar el correcto funcionamiento de la herramienta, se han planteado las siguientes políticas en las áreas definidas por Monex: Para el bloqueo de páginas control de páginas Web de adultos se creó la política: Control de páginas web (adultos) y se instaló en el grupo de usuarios solicitado. 105

107 Ilustración 99_ Política Control de páginas web (adultos) Se definió una lista de 1000 páginas con contenido para adultos ingresándolas al listado de la política. Ilustración 100_Listado de páginas de adultos 106

108 Especificación de advertencia en caso de que el agente detecte una violación con el mensaje: " La página a la que está intentando accesar infringe las políticas de Seguridad de MONEX. Para seguir presione CONTINUAR. Para el bloqueo de páginas control de páginas Web de entretenimiento se creó la política: control de páginas web (entretenimiento) y se instaló en el grupo de usuarios solicitado. Ilustración 101_Configuracion de política control de páginas web (entretenimiento) 107

109 Se definió una serie de páginas con contenido clasificado como de entretenimiento ingresándolas al listado de la política. Ilustración 102_Listado de páginas web (entretenimiento) 108

110 Se solicitó configurar excepciones de dominio para que los usuarios tengan acceso a estas páginas. Ilustración 103_Listado de páginas excluidas de la política Para el bloqueo de páginas control de páginas Web de descargas se creó la política: control de páginas web (descargas) y se instaló en el grupo de usuarios solicitado. Ilustración 104_Configuracion de la política control de páginas web (descargas) 109

111 Se definió una serie de páginas con contenido clasificado como de Descargas ingresándolas al listado de la política. Ilustración 105_listado de páginas web para descargas 110

112 Para el bloqueo de páginas control de páginas Web de Proxys se creó la política: control de páginas web (proxys) y se instaló en el grupo de usuarios solicitado. Ilustración 106_Creacion de la política control de páginas web (proxys) 111

113 Se definió una serie de páginas con contenido clasificado como de Proxys ingresándolas al listado de la política. Ilustración 107_listado de páginas web (proxys) 112

114 Pruebas en ambiente piloto Fase de Monitoreo Ilustración 108_ Monitoreo de un evento de una página de descargas Fase de Advertencia Ilustración 109_ Ejemplo de advertencia de una página para Adultos 113

115 Ilustración 110_ Ejemplo de Advertencia de una página de Entretenimiento Ilustración 111_ Ejemplo de advertencia de una página de Descargas 114

116 Ilustración 112_ Ejemplo de una advertencia de un Proxy Resultados en ambiente de producción: Una vez liberada la política en el ambiente de producción en las áreas que se definieron, se generaron eventos consolidados en los siguientes reportes: Ilustración 113_Muestra de reporte Paginas de adultos 115

117 Ilustración 114_ Muestra de reporte páginas de descargas Ilustración 115_Muestra de reporte paginas proxy Ilustración 116_Muestra de reporte páginas de entretenimiento 116