Detener la fuga de datos: Aprovechando su inversión existente en seguridad

Transcripción

1 Detener la fuga de datos: Aprovechando su inversión existente en seguridad A medida que las actitudes respecto al trabajo y la información evolucionan alejándose del pasado, las empresas son cada vez más conscientes de la creciente necesidad de controlar la información que fluye hacia fuera, hacia adentro y a través de sus redes. Este documento demuestra que es preciso contar con una política de alto perfil aceptable, que evite las fugas de datos, ofrezca una orientación práctica de cómo utilizar las inversiones existentes en seguridad TI en el acceso y en las estaciones de trabajo, para apoyar esta política, y describe dónde deberían hacerse nuevas inversiones realistas. Monográficos de Sophos Junio 2008

2 Detener la fuga de datos: Aprovechando su inversión existente en seguridad Corporate 56% Lost/stolen laptop 51% Web or web posting 37% Instant messaging 33% Lost/stolen mobile device 33% Media devices 19% Other 12% Después de años de lucha contra intrusiones, virus, y spam, las empresas se enfrentan ahora a otro creciente problema de seguridad: la fuga de datos - exposición de información intencionada o accidental que va de la información personal protegida legalmente, a la propiedad intelectual y los secretos comerciales. Hoy las brechas en seguridad de datos no sólo provienen de ataques de piratas en Internet sino que abarcan el más amplio entorno de Tecnologías de la Información, incluyendo pérdida o robo de ordenadores portátiles, llaves USB y otros dispositivos, correo electrónico y aplicaciones Web 2.0 como la mensajería instantánea. En una encuesta reciente llevada a cabo por el analista IDC, la exposición inadvertida de información confidencial de la empresa se citó como la amenaza numero uno, por encima de virus, troyanos y gusanos. El tipo de información desaparecida más común fue la propiedad intelectual y el 81% de los encuestados vieron la protección y control de la información (PCI) - definida como la vigilancia, encriptación, filtrado, y bloqueo de información sensible contenida en datos en reposo, datos en movimiento y datos en uso - como una parte importante de la estrategia general de protección de datos. La solución PCI de más alta prioridad fue la prevención contra fuga de datos (Data Leakage Prevention - DLP) desplegada en el perímetro de la organización y en las estaciones de trabajo.(1) Un estudio del Instituto Ponemon concluyó de forma similar que la prevención de pérdida de datos y las soluciones de encriptación encabezaban la lista de las medidas tecnológicas nombradas desplegadas % choosing 4 or 5 on a 5-point scale con más frecuencia tras una brecha para ayudar a evitar una futura grieta en la seguridad. (2) La creciente importancia de la DLP Existen diversas razones para que la prevención de fuga de datos se haya trasladado a la vanguardia de la seguridad de la empresa. Fugas de datos de alto perfil que dañan la reputación La mala publicidad causada por la fuga de datos puede conllevar daños en la reputación, clientes perdidos, y a veces incluso la ruina para las empresas que son víctimas de ella. El número de ejemplos de brechas de seguridad en datos hechos públicos, está creciendo significativamente. Algunos incidentes recientes de alto perfil: Los piratas informáticos robaron 4.2 millones de números de tarjetas de crédito y débito de Hannaford bros, cadena de supermercados de Estados Unidos con 165 tiendas de comestibles en la zona de Nueva Inglaterra (Dic Mar 2008) (3) Documentos secretos del gobierno sobre Al Qaeda e Irak quedaron olvidados en un tren de cercanías en el Reino Unido. (Jun 2008) (4) La Agencia de Ingresos y Aduanas de Su Majestad (HMRC) en el Reino Unido extravió datos personales de 25 millones de personas - incluidas las fechas de nacimiento, números del Seguro Nacional y detalles bancarios - cuando dos CDs desaparecieron en el correo interno. (Nov 2007) (5) Un correo electrónico que contenía nombres, cargos, sueldos, y números de la seguridad social de 192 profesores y funcionarios fue enviado por accidente a alumnos del Instituto Técnico Agrícola de la Universidad Estatal de Ohio. (Mayo 2008) (6) Importancia de monitorizar la utilización de los empleados 1

3 Regulación La legislación del Gobierno Los gobiernos de todo el mundo han introducido legislación cada vez más estricta sobre protección de datos para proporcionar controles adecuados sobre información sensible de las empresas, como por ejemplo en EEUU la Ley Sarbanes-Oxley, HIPAA, y la Ley Gramm-Leach-Bliley y en el Reino Unido, la Ley de Protección de Datos. Las empresas que violen la legislación pueden ser multadas y se les obliga a poner en marcha soluciones para evitar que se repita. La Norma del Estado de California 1386, introducida en 2003, fue la primera en exigir que las organizaciones notificaran a todos los afectados si sus datos personales o confidenciales habían sido perdidos, robados, o comprometidos. Esta revelación pública de información se exige ahora en 35 estados. Muchos reglamentos también exigen auditorías periódicas, que una organización puede no aprobar si no se han establecido los controles adecuados. PCI DSS Junto a la legislación del gobierno se sitúa PCI DSS (Payment Card Industry Data Security Standard: Estándar de Seguridad de Datos de la Industria de Pago por Tarjeta). Creado por multinacionales, se exige a los comerciantes como parte de los términos para ser autorizado a aceptar transacciones por medio de tarjeta de crédito. Las empresas que no puedan demostrar el cumplimiento con la Industria de Pago por Tarjeta por medio de una auditoría están sujetas a sanción aunque no se haya llegado a producir fuga de datos. La Industria de Pago por Tarjeta va más allá de las fronteras internacionales y su capacidad para responder rápidamente a los cambios hace que constituya un estándar de seguridad tan importante como cualquier legislación local o nacional. Hoy, la protección debe centrarse en controlar el acceso a la información, no en bloquear el perímetro. Cost Además del coste legal, las organizaciones tienen que hacer frente a otros costes menos tangibles de recuperación y reveses comerciales, tales como pérdida de negocio, o retirada de la condición de comerciante por tarjeta de crédito. Todos estos costes han ido aumentando de manera constante. Coste de una brecha de datos Incremento del 43% desde 2005 Coste medio por incumplimiento 6.3 millones de dólares Coste medio por registro $197 para empresas financieras $239 Coste de pérdida de negocio Incremento del 30% desde % del coste total (en comparación con el 54% en un estudio similar de 2006) La disolución del perímetro y la Web 2.0 A medida que los negocios se han trasladado a la red y se han convertido en mucho más móviles, la estrategia de seguridad del siglo veinte de proteger el perímetro de la organización mediante cortafuegos, detección de intrusos, y otras herramientas similares se ha convertido en insuficiente. Simplemente existen demasiados puntos de entrada y salida de datos. Si bien el bloqueo del perímetro sigue siendo importante, la protección debe centrarse en controlar el acceso a la información. Esta necesidad está creciendo exponencialmente con la perspectiva totalmente diferente introducida por los usuarios de la Web 2.0. Este nueva fuerza laboral «empleado 2.0 tiene una mentalidad altamente en sintonía con el intercambio de información, publicación en blogs, y envío de correos electrónicos y mensajería instantánea a los amigos, teniendo poco o nada en cuenta si esto es apropiado en un contexto de negocios.

4 El reto para las soluciones actuales de DLP Varios proveedores de soluciones DLP para empresas han desarrollado soluciones innovadoras para evitar la fuga de información empresarial sensible. Muchos de estos productos se centran en la identificación y categorización de todos los datos de la empresa y, a continuación, la aplicación de políticas corporativas de DLP para realizar un seguimiento de la información sensible a través de la empresa, aplicando controles cuando sea necesario. Estas soluciones tienen mucho sentido en teoría, pero en la práctica se enfrentan a varios escollos en su implementación. Demasiados datos, poco tiempo. Para muchas organizaciones los datos están tan dispersos, desorganizados y son tan voluminosos que clasificarlos completamente representa una tarea demasiado pesada y consumidora de recursos para que pueda llevarse a cabo por la mayoría de departamentos de Tecnologías de la Información. Resistencia a las TI. Muchos productos DLP disponibles son relativamente nuevos y todavía sufren de problemas como frecuentes falsos positivos. Los departamentos de TI pueden ser reacios a invertir sus cada vez más exprimidos recursos en el despliegue de otra infraestructura compleja a nivel empresarial, sacrificando la dotación de valor estratégico para la organización. Resistencia del usuario. Hay una desconfianza acerca del despliegue de un nuevo agente en cada estación de trabajo y portátil que podría interferir con el negocio legítimo acaparando recursos del procesador, requiriendo actualizaciones frecuentes y ralentizando la ejecución de otras aplicaciones del usuario. Complejidad del ámbito de aplicación. Concebir y aplicar una política global y viable que sea apoyada por soluciones DLP puede interferir en las prácticas comerciales habituales, necesitando la participación tanto de recursos de TI como de recursos humanos, equipos financieros y jurídicos y directores de unidades de negocio. El enfoque equivocado. Muchas de estas soluciones se centran en gran medida en la pérdida intencionada de datos, cuando en realidad la fuga de datos es difícil de detener. Por ejemplo, alguien puede alterar deliberadamente los archivos para evitar la detección o existe el problema más común de las personas que simplemente intercambian información de forma inadecuada en el transcurso de una conversación. Necesidades reales de las empresas La verdad es que, con la excepción de las mayores empresas con los más estrictos requisitos de seguridad, la mayor parte de las organizaciones simplemente carecen de los fondos, recursos de personal y de la necesidad de implementar esfuerzos de DLP a gran escala. Sus necesidades más apremiantes e inmediatas se dividen en tres categorías. Detener al estúpido El 98 por ciento de los incidentes de fuga de datos se debe en realidad a un accidente o a la estupidez 7 - como demuestran tres de los cuatro ejemplos de la página 1. La pérdida de portátiles y llaves USB, el mal uso involuntario de correo electrónico, el irreflexivo intercambio de información en mensajería instantánea, el correo web, los sitios de redes sociales y los lugares de intercambio de archivos representan una amenaza mucho más importante para las empresas que los piratas informáticos. Cumplimiento de los requisitos normativos La necesidad más apremiante para la mayoría de las empresas es implementar una solución efectiva que satisfaga a los auditores proporcionando la protección y el control necesarios para cumplir la normativa vigente sin necesidad de enormes cantidades de fondos, personal y recursos en su implementación y gestión. Sacar provecho de las inversiones existentes Sobre todo cuando existen recursos limitados de TI, la mejor solución es no invertir una gran cantidad de tiempo y dinero en una infraestructura completamente nueva, sino aprovechar al máximo las características DLP de la infraestructura que ya poseen (examinadas más detalladamente a continuación).

5 Permitiendo DLP Ejecución de una política de uso aceptable Crear y ejecutar una política de uso aceptable (PUA) debería utilizarse como base para cualquier intento de detener la fuga de datos de una organización. Debido a la naturaleza cambiante tanto de la infraestructura organizativa como de las expectativas de los empleados de que la información debería estar disponible libremente para acceder a ella y compartirla, el éxito de una PUA depende en gran medida de la creación de una conciencia por parte del empleado del hecho de que la amenaza es interna, accidental en una abrumadora mayoría de los casos y está en sus manos el evitarla. Además de hacer hincapié en la importancia del sentido común, la PUA debería establecer exactamente cómo se espera que los empleados usen la información de la empresa, contener consejos a seguir sobre buenas prácticas y definir claramente los comportamientos prohibidos. Debería cubrir cuestiones como las siguientes: Qué información es aceptable enviar por La política de la empresa sobre el envío a foros o descargas de la web La política sobre el uso de llaves USB y CDs para el almacenamiento de información sensible de la empresa La política sobre alteración de las configuraciones de seguridad Las repercusiones de no adherirse a la política también deberían ser enunciadas. Muchas organizaciones ya han puesto en marcha un número de herramientas con características que pueden hacer frente a las necesidades DLP más apremiantes sin una nueva e importante inversión. Aprovechamiento de las soluciones existentes Most organizations already have a variety of tools with features that can address their most pressing DLP requirements without a major new investment. Otra ventaja es que a medida que la DLP crece como preocupación corporativa estas mismas soluciones pueden probablemente mejorar sus características relativas a DLP, básicamente del mismo modo que la prevención del spyware, la detección de spam, y la detección de intrusos comenzaron como categorías e infraestructuras de seguridad separadas, pero fueron rápidamente incorporadas en otras categorías, tales como protección anti-virus y cortafuegos. Acceso a correo electrónico y protección de servidores Gran parte de la funcionalidad disponible en los productos de correo electrónico puede impedir que los datos sensibles o inadecuados se envíen fuera de la empresa o a usuarios no autorizados dentro de la organización. Las herramientas incluyen: Escaneo del contenido de los mensajes y archivos adjuntos para controlar y bloquear información sensible, mediante la identificación de, por ejemplo, números de la seguridad social o palabras clave relacionadas con la confidencialidad de la información corporativa Controlar el acceso a determinados archivos Compatibilidad con soluciones de cifrado para evitar que los usuarios no autorizados puedan leer los mensajes de correo electrónico Verdadera identificación del tipo de archivo para evitar que los usuarios disimulen y camuflen tipos de archivo no autorizados en mensajes de correo electrónico

6 Protección en el acceso a Web Herramientas en soluciones web pueden aplicar políticas de empresa que: Eviten que los usuarios accedan a los tipos de sitio web y aplicaciones que se utilizan normalmente para eludir los controles corporativos y difundir información sensible de la empresa, incluyendo intercambio de archivos, sitios FTP, y sitios de correo web tales como Googl y Yahoo! Controlen y bloqueen el uso no autorizado de mensajería instantánea y tráfico FTP Protejan contra descargas maliciosas que instalan spyware de manera secreta en el ordenador del usuario Protección en estaciones de trabajo La protección en estaciones de trabajo va mucho más allá de la necesidad imperiosa de no dejar los ordenadores portátiles en los trenes: Bloquear la utilización de aplicaciones no esenciales, tales como intercambio de archivos, mensajería instantánea, clientes FTP, clientes de correo electrónico no autorizados, conexiones inalámbricas de red y herramientas de sincronización de smartphone y PDA Gestionar el acceso de escritura para dispositivos de almacenamiento portátiles tales como las llaves USB Cifrar los datos de almacenamiento portátiles para que no puedan leerse si caen en las manos equivocadas Invertir en nueva tecnología Todas estas herramientas existentes pueden proporcionar un importante grado de protección siempre y cuando se lleven a cabo actualizaciones y mantenimiento. Pero hay una solución añadida que puede proporcionar un nivel adicional de protección crucial - el control de acceso a red (NAC). NAC garantiza que todos los ordenadores conectados a red - ya sea ubicados en la oficina o remotos, propiedad de la empresa o que pertenecen a usuarios invitados - cumplen la política de seguridad de la empresa. Con una buena solución NAC, cualquier ordenador terminal que se conecte a la red es escaneado de forma automática a fin de garantizar que: El cortafuegos y la protección anti software malicioso están actualizados y activos Se han aplicado los parches más recientes del sistema operativo No hay aplicaciones no autorizadas Corrigiendo o bloqueando de inmediato cualquier ordenador que no cumpla con las políticas corporativas, NAC se asegura de que las características de DLP de otra soluciones se encuentran activas y actualizadas. Resumen La fuga de datos se ha convertido en uno de los más apremiantes problemas a los que las empresas han de enfrentarse hoy en día. Sin embargo, la implementación de una nueva estrategia compleja y global para detener la fuga de información no es en general una estrategia viable ni eficaz. Por el contrario, la mejor solución de DLP es crear una PUA, hacerla cumplir mediante la aplicación de los controles adecuados ya disponibles en el terminal, servidor, e infraestructura de seguridad de acceso existentes, e invertir en una solución de NAC para garantizar que todos los ordenadores están actualizados y en conformidad con las políticas Solución Sophos Sophos Enterprise Security and Control proporciona una protección completa para los ordenadores de sobremesa, ordenadores portátiles, dispositivos móviles, servidores de archivos, acceso a correo electrónico e infraestructura de grupos, y todas las necesidades de navegación web de la empresa. El motor unificado de Sophos defiende cada punto, controlando no sólo el software maligno y las actividades maliciosas sino también evitando la fuga de datos y el uso indebido de aplicaciones de software, incluyendo telefonía por Internet, mensajería instantánea, intercambio de archivos, buscadores de Internet, reproductores multimedia y juegos. Una licencia por usuario permite proteger todos los terminales Windows, Mac y Linux, posibilita la protección de software o dispositivos en el acceso a correo electrónico y web y proteje los servidores para grupos de Microsoft Exchange y Lotus Notes.

7 A Sophos white paper Stopping data leakage: Exploiting your existing security investment Fuentes IDC, Information Protection and Control Survey: Data Loss Prevention and Encryption Trends, Doc # , March edition.cnn.com/2008/world/europe/06/11/alqaeda.documents.ap/index.html?iref=newssearch Boston, USA Oxford, UK Copyright Sophos Plc All registered trademarks and copyrights are understood and recognized by Sophos. No part of this publication may be reproduced, stored in a retrieval system, or transmitted by any form or by any means without the prior written permission of the publishers.