Prevención de Fuga de Datos

Transcripción

1 Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA

2 Contenido Introducción Historias conocidas Acordemos las reglas Preguntas de reflexión Ruta hacia la solución Primero lo primero La mejor tecnología Ciclo de prevención Un poco de tecnología Página 2

3 Introducción Prevención de Fuga de Datos DLP (Data Leakage Prevention) Es la práctica de detectar y prevenir que la información confidencial se fugue hacia afuera de los limites de la organización para un uso no autorizado, lo cual puede ser por medios físicos y/o lógicos. Fuentes de fuga de datos Amenazas externas: malware, spam, spyware y hackers. Fuga intencional de información por internos (empleados y proveedores) con malas intenciones. Fuga involuntaria por parte de internos. Políticas y procedimientos débiles sobre el uso adecuado de la información. Objetivos de un programa de DLP Prevenir la revelación intencional o involuntaria de información sensitiva en reposo, en uso o en movimiento hacia partes no autorizadas. Mantener una seguridad adecuada y proveer usabilidad. Proteger la información de los clientes y la reputación de la organización. Proteger datos personales y propiedad intelectual. Reducir el riesgo de la organización y el costo de cumplimiento. Página 3

4 Introducción Incidentes de ejemplo Estas imágenes fueron tomadas de un documento en un folder público que contiene información de contacto y datos personales de los miembros del comité directivo de una COMPAÑÍA. Página 4

5 Introducción Incidentes de ejemplo En el siguiente correo se observa que se está enviando información de tarjeta de crédito incluyendo datos sensibles de la misma. Página 5

6 Introducción Incidentes de ejemplo En el siguiente correo se observa que se está enviando información sensitiva sobre un caso legal que incluye detalles sensibles sobre una investigación a un empleado Página 6

7 Introducción Incidentes de ejemplo enviado desde la COMPAÑÍA a una cuenta externa con una hoja de cálculo que incluye nombres de empleados, salarios, etc. Página 7

8 Historias conocidas Ha escuchado antes comentarios o historias similares a las siguientes? Nuestra información está protegida, llevamos años sin haber sufrido un ataque a nuestros sistemas, y nuestro departamento de TI/Seguridad está listo para responder a cualquier incidente Contamos con excelentes sistemas de seguridad, por lo cual nuestra información está perfectamente protegida en nuestros centros de datos O una frase aún más reciente sería ya estamos cuidando la privacidad de la información, estamos cumpliendo con la Ley de Privacidad de Datos; emitimos nuestro aviso de privacidad y contamos con una oficina para atender los requerimientos. Si no ha escuchado algo similar antes, seguramente es porque trabaja en una organización consciente de los riesgos que enfrenta, o cree no estar involucrado en el aseguramiento de la información de su empresa. Página 8

9 Acordemos las reglas Antes de adentrarnos en el tema, es importante acordar algunos puntos: Todos en una organización estamos involucrados (en mayor o menor medida) en el aseguramiento de la información de su empresa. La seguridad de la información no es responsabilidad única del área de sistemas (entiéndase Tecnología y/o Seguridad de Información). El hecho de no haber identificado un robo/fuga de información, no quiere decir que la información nunca haya sido robada; aceptémoslo, lo más probable es que ya haya sucedido. Cuidar la privacidad de la información es mucho más que cumplir con cláusulas de alguna ley, estándar o marco de referencia. Contar con los mejores sistemas de seguridad de información en los centros de datos, no quiere decir que la información esté bien asegurada. Página 9

10 Preguntas de reflexión Qué sucede entonces con toda la información que se encuentra en los equipos de cómputo personales (y más aun si son portátiles)? Cómo se protege la información en los dispositivos móviles? Cómo se cuida la información que fluye en la red interna de la empresa (hacia otros equipos, servidores, impresoras, etc.)? Está protegida la información que sale hacia Internet? Los usuarios pueden llevarse información en medios móviles (discos externos, memorias USB, CD s, etc.? La lista podría continuar El mensaje no es tan complicado, lo primero que se debe asimilar es que la información jamás estará libre de riesgo. Lo que se debe hacer es entender el nivel de riesgo al que está expuesta y diseñar un plan que sea acorde a la situación de cada organización. Página 10

11 Ruta a la solución Entonces Cuál es el primer paso para prevenir la fuga de datos? Cuáles son las mejores tecnologías que se pueden utilizar? Qué es lo que indican las tendencias actuales? La ruta a tomar, sin duda, requiere más que un par de pasos. Tenga cuidado, en el camino encontrará varios que casi le firmen con sangre que los dispositivos / aplicaciones / servicios / etc. que ellos ofrecen son la mejor solución para protegerlo contra la fuga de datos. Lo que nunca le dirán es que realmente esas maravillosas soluciones no funcionan si antes no se hizo el trabajo interno en la organización. Página 11

12 Primero lo primero 1. Realizar un análisis de riesgos Antes de elegir qué va a proteger y cómo lo va a hacer, es importante realizar un análisis objetivo de los riesgos que enfrenta su información. Tomar en cuenta todos los activos de información Que participen todos los involucrados en su tratamiento. Elegir representantes de cada área para que participen en talleres. Identificar los controles existentes. Acordar en consenso los riesgos que se deberán atender en el corto, mediano y largo plazo. Resultado: lista de activos críticos de información y sus riesgos relacionados. Página 12

13 Primero lo primero 2. Definir/actualizar la política de clasificación de la información Una vez obtenido lo anterior, y antes de definir un plan específico, es importante trabajar en una política de clasificación de la información: Indicar nivel de protección a darle a los activos de información. Establecer criterios de clasificación objetivos y claros, acordados con los dueños de la información. Acordar los requerimientos mínimos para el tratamiento durante todo el ciclo de vida de la información: Obtención Uso Divulgación Almacenamiento Página 13

14 Primero lo primero 3. Establecer un plan de prevención de fuga de información Una vez que se sabe que riesgos enfrenta la información y se tiene una definición de cómo tratarla, es momento de planear. Se debe identificar alternativas para administrar los riesgos principales, de acuerdo a lo establecido en los pasos previos. Definir estrategias para reducir, mitigar y/o transferir los riesgos de la información. Realizar análisis de costo/beneficio. Hacer una definición formal de aquellos riesgos que se mantendrán (aceptada por los dueños de la información). Documentar en un plan las iniciativas para atender los demás riesgos. Página 14

15 Primero lo primero 4. Concientizar, concientizar, y volver a concientizar al personal Si no lo ha escuchado antes, es bueno que lo sepa (o al menos que lo recuerde): El eslabón más débil en la cadena de la seguridad es el humano. Si, las personas olvidamos fácilmente, es por ello que dentro del plan se deben incluir mecanismos de concientización que incluyan a todos los niveles de la organización. Si, todos, incluyendo a aquellos que están en los niveles directivos y que usualmente suelen pensar que los riesgos de seguridad de información no les aplican por alguna extraña y mítica razón. Los pasos 4 y 5 se podrán llevar en paralelo. Página 15

16 La mejor tecnología 5. Definir e implantar los controles adecuados Ahora sí, es momento de elegir las mejores tecnologías de prevención de fuga de datos, cuáles son estas? La respuesta es clara: Las mejores tecnologías son las que se adaptan mejor a su plan. Existen mecanismos que pueden llegar a niveles complejos de análisis. Asimismo, existen mecanismos de seguridad que ayudan a identificar posibles ataques externos y/o internos. Sin embargo, todo debe responder a las definiciones realizadas: Los pasos iniciales (1 al 4). Inversión que su análisis costo/beneficio le permita. Lo que usted haya plasmado en su plan. Recuerde, las herramientas suelen ser buenas, pero estas no pueden hacer su misión si antes no se tomaron los pasos adecuados. Página 16

17 La mejor tecnología 6. Evaluar la eficacia de sus controles Existe una regla que generalmente a nadie le agrada, pero que a todos nos aplica: Si algo no ha sido probado, lo más probable es que vaya a fallar. Es crucial probar los controles implantados. Identificar las fallas existentes en su diseño y/u operación. Realizar los ajustes correspondientes a fin de que los controles funcionen adecuadamente. Página 17

18 Ciclo de prevención 7. Repetir periódicamente los pasos anteriores La tecnología evoluciona continuamente, y de igual forma evolucionan las amenazas. Debido a lo anterior y a otros factores similares, es muy importante entender que proteger la información debe ser un proceso organizacional y no un proyecto que tiene principio y fin. La frecuencia del ciclo de prevención puede variar de una organización a otra. Trabajar activamente en una estrategia de prevención de fuga de datos que ayude a proteger adecuadamente ese activo tan valioso llamado información. Página 18

19 Ciclo de prevención 1 Análisis de Riesgos 6 Evaluar eficacia de los Controles 5 Definir e Implantar Controles Ciclo de Prevención de Fuga de Información 4 Concientizar al Personal 2 Política de Clasificación de Información 3 Plan de Prevención de Fuga de Información Página 19

20 Áreas de Enfoque Un poco de tecnología Modelo de seguridad centrado en datos Gobierno de Datos Políticas y estándares Identificación Evaluación de Riesgos Clasificación Arquitectura Calidad Control de Datos Datos estructurados Datos en movimiento Seguridad del perímetro Datos en uso Monitoreo de usuarios privilegiados Datos en reposo Seguridad en punto final Monitoreo de red Control de acceso a Internet Colección e intercambio de datos Mensajería ( , IM) Acceso remoto Monitoreo de acceso/uso Despersonalización de datos Uso de datos de prueba Redacción de datos Control de exportación/registro Encripción de host Protección de datos móviles Almacenamiento en red/intranet Control de medios físicos Deshecho y destrucción Datos no estructurados Procesos de soporte para Seguridad de la Información Administración de identidad/acceso Administración de eventos (seguridad) Administración de la configuración Administración de vulnerabilidades Administración de derechos digitales Respuesta a incidentes Seguridad física Entrenamiento y concientización Administración de activos Privacidad de datos Investigación de historial de personal Administración de terceros Continuidad del negocio Recuperación de desastres Administración de cumplimiento Administración de cambios Fuente: Ernst & Young Página 20

21 Un poco de tecnología Cuadrante de Gartner para DLP y Mobile Data Protection Fuente: Gartner Página 21

22 Un poco de tecnología Ubicación de dispositivos Bases de Datos y Repositorios McAfee HDLP McAfee NDLP Discover McAfee NDLP Monitor Switch Fuente: McAfee Página 22

23 Preguntas Página 23

24 Gracias! Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA Página 24