Muy de moda se encuentran las siglas DLP (Data Loss Prevention o Data Leak Protection) para referirse a diferentes mecanismos y prodedimientos de seguridad pensados para evitar las temidas fugas de información confidencial. Partiendo de la base que la información es poder, y de que por dinero y poder se puede tentar a cualquiera, es importante que la política de seguridad de una compañía contemple mecanismos para evitar que las maltrechas economías/ grado de satisfacción de algunos empleados derive en una fuga de datos.Imaginemos qué efecto podría causar en la economía de nuestra organización, que un inocente empleado desvíe hacia fuera ficheros con planificación estratégica, listado de clientes, roadmap de nuestros productos, etc,.... Ni que decir tiene que si lo que se exporta a manos no autorizadas conllevan datos personales de nuestros clientes, empleados o proveedores, las cuantías de las sanciones pueden llegar a ser millonarias (hasta el punto incluso de hacer perder el sentido de una organización).
Formas comunes de llevar a cabo este tipo de actuaciones (con mejor o peor fe) podrían ser:
- Envío de información hacia el exterior mediante mensajes de correo electrónico (en general se suele utilizar soluciones de cifrado para evitar que el contenido pueda verse en texto claro). Esto puede hacerse mediante el propio servidor de correo dentro de la organización (hay que ser muy inconsciente para hacerlo así) o con webmails (Gmail, Hotmail, Yahoo,...) vía HTTPS de manera que vaya cifrado el tráfico y no se pueda interceptar por el camino si la comunicación es directa entre cliente y webmail
- Utilizar protocolos estándar de transferencia de ficheros (FTP). Enviar los ficheros con información confidencial a servidores externos
- Utilización de las capacidades de envío de ficheros mediante mensajería instantánea (MSN, Google Talk, Yahoo Messenger)
- Puertos USB habilitados en los PCs corporativos de las organizaciones. Dada la suerte de diversos dispositivos de almacenamiento extraibles que existen (cámaras, pendrives, discos duros externos,...) es un gran problema para las organizaciones tenerlos activos (aunque hay ocasiones que es necesario y práctico por lo que no se deshabilitan por defecto)
- Exceso de confianza en los propios empleados con ordenadores portátiles corporativos. Dentro de esta categoría podemos incluir muchos tipos de riesgos: robos, olvidos en lugares públicos, instalación de software externo a la organización que pueda contener malware en cualquiera de sus formas, mala configuración de las políticas de seguridad de red de los mismos, etc,...
- Utilización de software de descargas Peer-to-Peer (P2P ) y sus capacidades de compartir carpetas con información confidencial (recordemos que por ejemplo Emule te sugiere compartir todo el contenido de tus discos duros por defecto en el momento de la instalación). De esto ya se habló en SbD
- Impresoras: si la información se puede imprimir y llevar en papel también es un riesgo a tener en cuenta
En general, todo este tipo de riesgos pueden mitigarse (es muy difícil eliminar todos ellos de forma efectiva) mediante la combinación de diferentes procedimientos y buenas prácticas de la seguridad corporativa en las organizaciones. Partiendo de la utilización de dispositivos cortafuegos (y de una óptima y mínima configuración); proxies que registren la actividad de los usuarios, deshabilitando los dispositivos USB de los PCs y servidores; registrando la actividad de los trabajos de impresión (así como asignando permisos a los usuarios que así lo necesiten); registrar correctamente la actividad de los servidores de correo salientes; utilización de diverso software destinado a evitar DLP (casi todos los grandes fabricantes disponen de alguna solución endpoint para cubrir este nicho de mercado como RSA o McAfee)...
Ante todo, creo que una buena medida puede ser la utilización de tecnologías de contenedores cifrados para almacenar información sensible, así como la distribución de claves diferentes para acceder a los datos internos en base al usuario que demande el acceso. Asimismo es imprescindible un alto nivel de logging de la actividad al acceso a la información. En realidad si la información sale de la organización, ya nada se puede hacer, pero al menos podrá tomarse medidas contra el usuario malicioso.
0 comments :
Publicar un comentario