Quién es responsable de la Pérdida de Datos en su Empresa

Transcripción

1 White paper Cyberoam Endpoint Data Protection Quién es responsable de la Pérdida de Datos en su Empresa Data Protection & Encryption Device Management Application Control Asset Management

2 Índice Información que se origina en los puntos terminales... 3 Disposi vos móviles y aplicaciones que completan la amenaza de pérdida de datos... 3 Pérdida silenciosa de datos - Es una víc ma?... 3 La seguridad de los datos depende del usuario... 4 Son sus empleados una amenaza para la información?... 4 Pasividad del empleado y direc vos Errores de los empleados y direc vos Desconocimiento de los empleados y direc vos Cyberoam Endpoint Data Protec on... 7 Conclusión... 7 Cyberoam Endpoint Data Protection

3 INFORMACIÓN QUE SE ORIGINA EN LOS PUNTOS TERMINALES Es probable que piense que la información de su empresa está bien protegida en centrales de datos tanto por medidas TI de seguridad como por medidas sicas. Pero, cómo se crearon estos datos?. Cada porción de la información de estas centrales de datos proviene de los ordenadores de los usuarios, donde con nuamente trabajan con ella. En este proceso de creación y modificación de datos, el usuario puede haber transferido o compar do el archivo para aprobaciones internas, intercambio de información, etc. usando aplicaciones como correo electrónico, mensajería instantánea y FTP. Los datos confidenciales se recuperan periódicamente de la central de datos para ser u lizados por los usuarios (aunque con los controles de acceso de iden dad per nentes) como referencia, para trabajar en ellos, actualizarlos o simplemente compar rlos con otros colegas. PÉRDIDA SILENCIOSA DE DATOS, CÓMO OCURRE? disposi vos portá les se olvidan en los asientos traseros de los taxis cada 6 meses en el Reino Unido. - Credant Technologies El 62% de los incidentes de medios extraíbles son internos, sólo el 27% son externos. - Estudio sobre pérdida de datos de KPMG El 59% de los empleados que cambian de compañía se llevan información confidencial. - Informe del Ponemos En su empresa se ene el suficiente cuidado a la hora de eliminar información confidencial de los terminales (ordenadores de sobremesa, portá les, memorias USB, FTP, s, etc.) después de finalizar la tarea encomendada? Si no es así, la información confidencial puede no estar ni controlada ni protegida en los terminales de los usuarios. Sin la protección in situ de los datos en los equipos de los usuarios, las organizaciones no pueden saber lo que ocurre con dichos datos: Durante cuánto empo permanecen los datos en los equipos de los usuarios? Datos confidenciales sobre productos, finanzas, recursos humanos, marke ng, así como la información potencialmente comprome da pueden permanecer de forma indefinida en los ordenadores, fuera del alcance de los administradores de seguridad. Cómo se accede a estos datos confidenciales? Cuando los usuarios adjuntan archivos de forma con nua, ofreciendo así derechos compar dos a todos aquellos que se estén en la red, la seguridad es mínima. Cuándo y cómo se modifican, eliminan o transfieren los datos? La falta de información en dichas acciones puede ocasionar la pérdida de datos importan simos. DISPOSITIVOS MÓVILES Y APLICACIONES QUE COMPLETAN LA AMENAZA DE PÉRDIDA DE DATOS El uso omnipresente de disposi vos móviles como memorias USB, CD/DVD, MP3 y cámaras digitales, y aplicaciones como mensajería instantánea, P2P, FTP, etc. ofrecen miles de métodos para transferir datos que aumentan las posibilidades de fuga de datos. El hecho de que dicha transferencia es insegura hay que tenerlo muy en cuenta. Según la Data Loss Database (base de datos de datos perdidos) de Open Security Founda on, en 2008, el 34% de los archivos en los que se informaba de una pérdida se debía al uso de estos disposi vos y medios. PÉRDIDA SILENCIOSA DE DATOS - SU EMPRESA ES VÍCTIMA? TJX, Dupont y AOL comentaron los incidentes que habían tenido lugar en estas organizaciones rela vos a la gran pérdida de datos y de reseñas. Para muchas organizaciones lo más fácil es pensar en estos incidentes de pérdida de datos como "algo que les sucede a otros". La realidad es que debido al aumento de transferencias flexibles de datos y a la gran presencia de datos en los equipos de los empleados, cualquiera puede conver rse fácilmente en una víc ma del robo de datos. En un informe de Vista Research se expone que el 70% de las grietas en seguridad, que suponen una pérdida de más de $ , enen lugar dentro de la empresa. De este modo, aunque sus centros de datos son seguros y el acceso a estos para usuarios internos o externos está regulado, la pérdida de datos desde los equipos de los usuarios es una realidad, sigilosa, pero real.

4 La pasividad, la ignorancia y el error humano son las principales causas de la pérdida de datos en las empresas. LA SEGURIDAD DE LOS DATOS DEPENDE DEL USUARIO Las organizaciones con las mejores prác cas en seguridad suelen tener unas directrices sobre seguridad de datos claramente definidas y educan a los usuarios en temas de prác cas seguras para datos. Sin embargo, los terminales de los usuarios son vulnerables y, mientras los usuarios sean pasivos o ignorantes en lo que a seguridad se refiere, son propensos a equivocarse y con ello, mul plican el factor de vulnerabilidad haciendo que peligren los datos de las organizaciones. Las directrices de seguridad protejen eficazamente y totalmente sólo si hay una solución efec va de seguridad de datos en el punto terminal que anule la amenaza planteada por las acciones y el comportamiento finales del usuario. SON SUS EMPLEADOS UNA AMENAZA PARA LA INFORMACIÓN? La mayoría de los administradores de seguridad creen que las causas principales de pérdida de información por empleados proviene de malas intenciones que se derivan del descontento o de aquellos que se han ido de la organización. No obstante, un estudio en el que se incluía información de seguridad de profesionales de Fortune 1000 reveló que más del 90% de los incidentes en los que se pierden datos ocurren sin mala intención. Este hecho nos vuelve a llevar a la verdad que se esconde detrás de la pérdida silenciosa de datos: las prác cas arriesgadas con datos. El comportamiento de los empleados y direc vos, como la pasividad debida a la poca conciencia de la responsabilidad que supone manejar datos, hace que las prác cas de seguridad sean laxas; la ignorancia y los errores son las causas principales. Incluso aunque la organización define una serie de directrices rela vas a la seguridad de los datos, es poco probable que se sigan, ya que se cree que son un obstáculo a la hora de trabajar. Dado que esto es un aspecto de la naturaleza humana, es fundamental tomar medidas para garan zar la seguridad de datos en los puntos terminales. Qué pone en peligro a la información? Disposi vos Extraíbles USB, CD, DVD, MP3, Cámaras Digitales Involuntario Malintencionado Aplicaciones Web, correo electrónico, IM, P2P, impresoras, FTP Empleados/Ejecu vos Transferencias sin autorización de información confidencial, Correo electrónico con malware para acceder a la información Planes de negocios, RFP / Propuestas de presupuestos Información en peligro Propiedad intelectual relacionada con I+D Información del cliente Fechas y programas de lanzamientos de productos

5 El 60% de la información está desprotegida en los puntos finales Pérdida de memorias USB Pérdida de discos mul media Archivo adjunto erróneo en un Pérdida de ipods Las siguientes situaciones ofrecen una explicación clara de cómo ene lugar la pérdida silenciosa de datos debido a las prác cas arriesgadas con datos de los empleados y direc vos en las organizaciones. AMENAZA POR PASIVIDAD E IGNORANCIA DEL EMPLEADO Mientras que los empleados no adopten hábitos de seguridad a la hora de manejar los datos, la amenaza de pérdida de datos seguirá presente. Estos son algunos ejemplos de pasividad e ignorancia de los empleados a la hora de seguir las polí cas de seguridad de datos en las organizaciones: un usuario deja su memoria USB oficial a un colega sin haberse acordado de eliminar los archivos confidenciales almacenados o un usuario deja su ordenador sin salir del sistema. SITUACIÓN* Precision Technologies es el proveedor de sustrato de serrín en California, un ingrediente importante en la creación de serrín, de una empresa global que fabrica serrín. Gracias a una importante apuesta por y atención a I+D, Precision introdujo innovaciones en el producto de forma más rápida que la competencia. Careen, jefa de producto, trabajó codo con codo con el equipo de I+D para definir la hoja de ruta, el lanzamiento y el plan de marke ng del producto. Durante una presentación en una exhibición comercial de Taiwán, Careen compar ó su memoria USB, en la que se encontraba una copia de su presentación, con un subordinado. Como es lógico, en esa memoria de 8Gb había más información aparte de la presentación. Aunque el subordinado la devolvió rápidamente, tuvo acceso no autorizado a la información y comercializó con detalles confidenciales del producto y los planes con el mayor compe dor de Precision. El compe dor lanzó la tecnología en la que trabajaba Precision antes que ésta con la consecuente pérdida de 1,2 mil millones de dólares en ventas para Precision. SOLUCIONES Una solución de Endpoint Data Protec on habría ayudado a Careen a proteger la información confidencial del producto codificando todo o parte del contenido de la memoria extraíble. De esta forma, podría haber permi do el acceso a la presentación de su subordinado mientras que éste no habría podido acceder a la información confidencial de la memoria. Una solución de protección de datos es bloquear la transferencia de archivos con nombres específicos, por ejemplo: confidencial, plan de negocios, etc. y predefinir extensiones de archivo, por ejemplo:.jar,.xls. En el caso de Careen, el acceso a archivos confidenciales en su memoria extraíble podría haberse bloqueado para que el subordinado no tuviera acceso. AMENAZA POR ERRORES DE LOS EMPLEADOS Según una importante compañía analista, la mayor parte de los incidentes en los que se pierden datos ocurren por un error de un empleado o por un descuido involuntario. Con estos errores se puede perder información mediante s, mensajería instantánea, tablones de mensajes, blogs, etc. Mientras que las polí cas de organización sobre quien puede escribir y sobre el contenido que se escribe en blogs y en tablones de mensajes son, actualmente, la solución más efec va contra estos dos medios, en el caso de s y mensajería instantánea, el problema se debe abordar desde el terminal. Seleccionar el des natario erróneo o adjuntar el archivo incorrecto son los dos ejemplos más comunes en la pérdida de datos por parte de los empleados. SITUACIÓN* Brian era gerente de sistemas inalámbricos en Fullpoint Systems Inc., un proveedor de una empresa nacional de productos inalámbricos muy importante. Fullpoint se asoció con un proveedor de soluciones de

6 soluciones de so ware para mejorar su capacidad para cumplir con los requisitos RFP compuestos de las empresas de productos inalámbricos. A Brian se le pidió que compar era los RFP específicos y el perfil de contacto del cliente con el nuevo socio a cambio de algunos datos. Brian lo copió del servidor de la base de datos de Fullpoint y lo envió por correo electrónico. El problema fue que, por error, le envió el correo a un ex colega con el mismo nombre y que en ese momento estaba trabajando para un compe dor de Fullpoint. Los empleados no suelen ser conscientes de que sus acciones no son seguras, lo que lleva a la pérdida de datos. SOLUCIONES Una solución de protección de datos en los terminales habría abortado el intento de enviar un correo electrónico a una dirección o a un usuario no autorizados de Brian, así el correo electrónico de Fullpoint Systems Inc. habría estado protegido. La solución habría impedido la salida de datos confidenciales escaneando la línea, el archivo adjunto o el tamaño del correo electrónico. Por ejemplo, Fullpoint podría haber creado una regla para prevenir el envío de un correo con archivos adjuntos al ex colega desde cualquier departamento a excepción del de recursos humanos. Asimismo, se podría haber bloqueado la salida de la organización de un con un asunto o un archivo predefinidos. AMENAZA POR EMPLEADOS/DIRECTIVOS IGNORANTES Los empleados no suelen saber si sus acciones son seguras o no, haciendo que se pierdan datos. La causa más común es que la compañía no les hace llegar a los nuevos empleados las polí cas de seguridad. Incluso a los empleados que ya llevan empo trabajando se les debe recordar dichas polí cas para que las recuerden y las cumplan. SITUACIÓN* Antes de una reunión, Rose quería imprimir unos documentos confidenciales con los resultados del informe de un cliente y el análisis de un nuevo producto que su empresa iba a lanzar. La impresora que tenía al lado no funcionaba y decidió u lizar la impresora compar da para imprimir los documentos. Al parecer, otra persona, que estaba esperando en esta impresora para recoger sus documentos, también cogió los confidenciales y se fue. SOLUCIONES La organización de Rose podría haber bloqueado la impresión de documentos confidenciales en la impresora compar da para proteger los datos confidenciales de la empresa a través de una solución de protección de datos en los puntos terminales. Dicha solución podría haber guardado una copia del archivo impreso en el servicio de la base de datos de la organización y no ficar al administrador de la red de que un documento confidencial se había impreso u lizando una impresora compar da, ayudando de forma inmediata o mediante una auditoria de seguridad. *Situación fic cia.

7 Cyberoam Endpoint Data Protec on Cyberoam Endpoint Data Protec on protege los puntos terminales de la organización de la pérdida de datos a través de polí cas de control que se basan en la iden dad y el grupo, en la codificación, las copias de respaldo, la iden ficación y en informar y archivar. Cyberoam permite proteger los datos y ges onar los ac vos con la solución que combina cuatro productos de seguridad, totalmente integrados dentro de una consola de ges ón centralizada. Endpoint Data Protec on anula las amenazas que se ocasionan en prác cas arriesgadas donde se maneja información. Protección de datos y codificación Ges ón de disposi vos extraibles Control de aplicaciones no deseadas Ges ón de ac vos informá cos CONCLUSIÓN Los estrictos controles de acceso a los centros de datos proporcionan una falsa sensación de seguridad a las organizaciones haciéndoles pensar que la información confidencial está segura en los centros. Sin embargo, con datos importantes en los puntos terminales de los empleados, situación que muchas veces desconocen los "encargados", las prác cas arriesgadas con los datos que llevan a cabo los empleados (la pasividad, la ignorancia y los errores) hacen que la información sea vulnerable. Junto con la fácil disponibilidad de disposi vos de almacenamiento extraíbles y las aplicaciones para compar r datos, el intercambio de datos se convierte en algo natural y se ocasiona la pérdida silenciosa de datos en las organizaciones. Todas las organizaciones necesitan de inmediato una solución de seguridad para los datos de los equipos de los usuarios que proteja estos puntos terminales de la pérdida de información a través de polí cas de control que se basan en iden dad y el grupo, la codificación, las copias de respaldo, la iden ficación y en informar y archivar. Esto permite a las organizaciones limitar el acceso de los empleados a disposi vos y aplicaciones de confianza a la hora de compar r datos, lo que elimina las amenazas que se originan en las prác cas arriesgadas en las que se u lizan datos.