31 mayo 2014

Libro: Data Leakage for Dummies




Fue en mi última visita al “cuartel general” de Sophos Iberia, invitado por mi buen amigo Pablo Teijeira, cuando ví en una estantería un montón de ejemplares de un libro amarillo chillón. Uno de los de “for dummies”. Me acerqué a ver cuál era y Pablo me regaló uno. En este caso, es un tema considerado de “más alto nivel” que los que comenté en un post anterior: “Intrusion Prevention Systems y Modern Malware for dummies”
  
Fundamentalmente, el libro, que se lee de un tirón, como casi todos los de esta serie, define qué es el DLP, establece la participación del concepto encuadrada dentro de normativas reguladoras como la US. Privacy Act, UK Data Protection Act, PCI-DSS, SOX, HIPAA, etc,.. 

Asimismo, apunta a identificar ciertos activos de una corporación: tarjetas de crédito, información financiera y de clientes, propiedad intelectual y secretos de marca, datos personales de contacto de clientes y proveedores, etc,… así como diversas medidas de seguridad a tomar para la protección de las comunicaciones en las que intercambiemos información sensible: cifrado, firma digital (para garantizar el no-repudio), DRM (Digital Rights Management) para controlar qué se puede hacer con la información contenida en un documento (imprimirla, enviarla por correo, copiar/pegar, etc,…), limitar el número de veces que alguien puede verlo, etc,…

Por otra parte se proponen varios criterios de clasificación de la información: Por valor,  por edad (o vida útil) o por requerimientos regulatorios.

Obviamente, y como el libro está patrocinado por Sophos, se destacan las virtudes de una buena solución de Endpoint Security, y cómo contribuye a aportar medidas de seguridad necesarias, así como mitigar los riesgos existentes en el robo o pérdida de datos: tests de verificación de la existencia de services packs y parches aplicados, firewall personal corriendo, antimalware actualizado, control de aplicaciones potencialmente peligrosas (Mensajería instantánea, P2P, juegos online, clientes VoIP, etc,…) cifrado de disco completo, y a nivel de ficheros (utilizando contraseñas para su acceso a nivel individual en aquellos cuya sensibilidad sea extrema), etc,…

Explica en un capítulo específico cómo gestionar determinados dispositivos como USBs, discos duros externos, CD/DVD, dispositivos móviles e inalámbricos, Bluetooth, IrDA,…. dando una pequeña introducción a MDM, algo de lo que podéis encontrar una guía más amplia en Gestión de Dispositivos Móviles.

Igualmente, hay un apartado destinado a hablar de cómo evitar la fuga de datos a través de la red, mediante dispositivos de control del correo corporativo y webmails, filtrando los diversos correos de molestias como el spam, y amenazas como el phishing, spear phishing y whaling (éste último término no lo conocía, y se refiere a campañas de phishing dirigido a famosos, celebridades o periodistas conocidos)... así como salida de datos de contenido inapropiado ("todo aquel no relacionado con trabajo exclusivamente", según mi punto de vista), fuga de información sensible para el negocio de la compañía, o botnets que extraen la información mediante sus propios canales, o mediante "covert channels". También se comentan (no da tiempo a extenderse mucho en tan pocas páginas) necesidades de control como mensajería instantánea y Network Access Control

El libro es entretenido de leer y siempre ayuda leer sobre conceptos, que aunque conozcas de antes, estén consolidados en una sesión de hora y media.   

3 comments :

Alcides dijo...

Interesantes temas, gracias por compartir

mony1 dijo...

http://www.kema-dammam.org

gnumax dijo...

Hola,


He gozado con los vídeos de la rooted14 ;) ..a ver para cuando el resto de las charlas.-


La del Fiscal está que se sale :) ..sin mencionar la de Pau que esta DPM. :)