Prevención de Fuga de Datos - ISACAm.isaca.org/chapters7/Monterrey/Events/Documents/20121025... ·...

Prevención de Fuga de Datos Un enfoque para el negocio

25-Oct-2012

Sergio Solís

IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA

[email protected] | [email protected]

Prevención de Fuga de Datos – Un Enfoque para el Negocio Página 2

Contenido

► Introducción

► Historias conocidas

► Acordemos las reglas

► Preguntas de reflexión

► Ruta hacia la solución

► Primero lo primero

► La mejor tecnología

► Ciclo de prevención

► Un poco de tecnología


Objetivos de un programa de DLP ► Prevenir la revelación intencional o

involuntaria de información sensitiva “en reposo”, “en uso” o “en movimiento” hacia partes no autorizadas.

► Mantener una seguridad adecuada y proveer usabilidad.

► Proteger la información de los clientes y la reputación de la organización.

► Proteger datos personales y propiedad intelectual.

► Reducir el riesgo de la organización y el costo de cumplimiento.

Fuentes de fuga de datos ► Amenazas externas: malware,

spam, spyware y hackers. ► Fuga intencional de información

por internos (empleados y proveedores) con malas intenciones.

► Fuga involuntaria por parte de internos.

► Políticas y procedimientos débiles sobre el uso adecuado de la información.

Introducción Prevención de Fuga de Datos – DLP (Data Leakage Prevention)

Es la práctica de detectar y prevenir que la información confidencial se “fugue” hacia afuera de los limites de la organización para un uso no autorizado, lo cual puede ser por medios físicos y/o lógicos.


Estas imágenes fueron tomadas de un documento en un folder público que contiene información de contacto y datos personales de los miembros del comité directivo de una COMPAÑÍA.

Introducción Incidentes de ejemplo


En el siguiente correo se observa que se está enviando información de tarjeta de crédito incluyendo datos sensibles de la misma.



En el siguiente correo se observa que se está enviando información sensitiva sobre un caso legal que incluye detalles sensibles sobre una investigación a un empleado



Email enviado desde la COMPAÑÍA a una cuenta externa con una hoja de cálculo que incluye nombres de empleados, salarios, etc.



Historias conocidas

¿Ha escuchado antes comentarios o “historias” similares a las siguientes?

► “Nuestra información está protegida, llevamos años sin haber sufrido un ataque a nuestros sistemas, y nuestro departamento de TI/Seguridad está listo para responder a cualquier incidente“

► “Contamos con excelentes sistemas de seguridad, por lo cual nuestra información está perfectamente protegida en nuestros centros de datos”

► O una frase aún más reciente sería “ya estamos cuidando la privacidad de la información, estamos cumpliendo con la Ley de Privacidad de Datos; emitimos nuestro aviso de privacidad y contamos con una oficina para atender los requerimientos”.

► Si no ha escuchado algo similar antes, seguramente es porque trabaja en una organización consciente de los riesgos que enfrenta, o cree no estar involucrado en el aseguramiento de la información de su empresa.


Acordemos las reglas

► Antes de adentrarnos en el tema, es importante acordar algunos puntos:

► Todos en una organización estamos involucrados (en mayor o menor medida) en el aseguramiento de la información de su empresa.

► La seguridad de la información no es responsabilidad única del área de sistemas (entiéndase Tecnología y/o Seguridad de Información).

► El hecho de no haber identificado un robo/fuga de información, no quiere decir que la información nunca haya sido robada; aceptémoslo, lo más probable es que ya haya sucedido.

► Cuidar la privacidad de la información es mucho más que cumplir con cláusulas de alguna ley, estándar o marco de referencia.

► Contar con los mejores sistemas de seguridad de información en los centros de datos, no quiere decir que la información esté bien asegurada.


Preguntas de reflexión

► ¿Qué sucede entonces con toda la información que se encuentra en los equipos de cómputo personales (y más aun si son portátiles)?

► ¿Cómo se protege la información en los dispositivos móviles?

► ¿Cómo se cuida la información que fluye en la red interna de la empresa (hacia otros equipos, servidores, impresoras, etc.)?

► ¿Está protegida la información que sale hacia Internet?

► ¿Los usuarios pueden llevarse información en medios móviles (discos externos, memorias USB, CD’s, etc.?

► La lista podría continuar… El mensaje no es tan complicado, lo primero que se debe asimilar es que la información jamás estará libre de riesgo.

► Lo que se debe hacer es entender el nivel de riesgo al que está expuesta y diseñar un plan que sea acorde a la situación de cada organización.


Ruta a la solución

► Entonces… ¿Cuál es el primer paso para prevenir la fuga de datos?

► ¿Cuáles son las mejores tecnologías que se pueden utilizar?

► ¿Qué es lo que indican las tendencias actuales?

► La ruta a tomar, sin duda, requiere más que un par de pasos.

► Tenga cuidado, en el camino encontrará varios que casi le firmen con sangre que los dispositivos / aplicaciones / servicios / etc. que ellos ofrecen son la mejor solución para protegerlo contra la fuga de datos.

► Lo que nunca le dirán es que realmente esas maravillosas soluciones no funcionan si antes no se hizo el trabajo interno en la organización.


Primero lo primero 1. Realizar un análisis de riesgos

► Antes de elegir qué va a proteger y cómo lo va a hacer, es importante realizar un análisis objetivo de los riesgos que enfrenta su información.

► Tomar en cuenta todos los activos de información

► Que participen todos los involucrados en su tratamiento.

► Elegir representantes de cada área para que participen en talleres.

► Identificar los controles existentes.

► Acordar en consenso los riesgos que se deberán atender en el corto, mediano y largo plazo.

► Resultado: lista de activos críticos de información y sus riesgos relacionados.


Primero lo primero 2. Definir/actualizar la política de clasificación de la información

► Una vez obtenido lo anterior, y antes de definir un plan específico, es importante trabajar en una política de clasificación de la información:

► Indicar nivel de protección a darle a los activos de información.

► Establecer criterios de clasificación objetivos y claros, acordados con los dueños de la información.

► Acordar los requerimientos mínimos para el tratamiento durante todo el ciclo de vida de la información:

► Obtención

► Uso

► Divulgación

► Almacenamiento


Primero lo primero 3. Establecer un plan de prevención de fuga de información

► Una vez que se sabe que riesgos enfrenta la información y se tiene una definición de cómo tratarla, es momento de planear.

► Se debe identificar alternativas para administrar los riesgos principales, de acuerdo a lo establecido en los pasos previos.

► Definir estrategias para reducir, mitigar y/o transferir los riesgos de la información.

► Realizar análisis de costo/beneficio.

► Hacer una definición formal de aquellos riesgos que se mantendrán (aceptada por los dueños de la información).

► Documentar en un plan las iniciativas para atender los demás riesgos.


Primero lo primero 4. Concientizar, concientizar, y volver a concientizar al personal

► Si no lo ha escuchado antes, es bueno que lo sepa (o al menos que lo recuerde):

► “El eslabón más débil en la cadena de la seguridad es el humano.”

► Si, las personas olvidamos fácilmente, es por ello que dentro del plan se deben incluir mecanismos de concientización que incluyan a todos los niveles de la organización.

► Si, todos, incluyendo a aquellos que están en los niveles directivos y que usualmente suelen pensar que los riesgos de seguridad de información no les aplican por alguna extraña y mítica razón.

► Los pasos 4 y 5 se podrán llevar en paralelo.


La mejor tecnología 5. Definir e implantar los controles adecuados

► Ahora sí, es momento de elegir las mejores tecnologías de prevención de fuga de datos, ¿cuáles son estas?

► La respuesta es clara:

► Las mejores tecnologías son las que se adaptan mejor a su plan.

► Existen mecanismos que pueden llegar a niveles complejos de análisis.

► Asimismo, existen mecanismos de seguridad que ayudan a identificar posibles ataques externos y/o internos.

► Sin embargo, todo debe responder a las definiciones realizadas:

► Los pasos iniciales (1 al 4).

► Inversión que su análisis costo/beneficio le permita.

► Lo que usted haya plasmado en su plan.

► Recuerde, las herramientas suelen ser buenas, pero estas no pueden hacer su misión si antes no se tomaron los pasos adecuados.


La mejor tecnología 6. Evaluar la eficacia de sus controles

► Existe una regla que generalmente a nadie le agrada, pero que a todos nos aplica:

► “Si algo no ha sido probado, lo más probable es que vaya a fallar”.

► Es crucial probar los controles implantados.

► Identificar las fallas existentes en su diseño y/u operación.

► Realizar los ajustes correspondientes a fin de que los controles funcionen adecuadamente.


Ciclo de prevención 7. Repetir periódicamente los pasos anteriores

► La tecnología evoluciona continuamente, y de igual forma evolucionan las amenazas.

► Debido a lo anterior y a otros factores similares, es muy importante entender que proteger la información debe ser un proceso organizacional y no un proyecto que tiene principio y fin.

► La frecuencia del ciclo de prevención puede variar de una organización a otra.

► Trabajar activamente en una estrategia de prevención de fuga de datos que ayude a proteger adecuadamente ese activo tan valioso llamado información.


Ciclo de Prevención de Fuga de

Información

Análisis de Riesgos

Política de Clasificación

de Información

Plan de Prevención de Fuga de

Información

Concientizar al Personal

Definir e Implantar Controles

Evaluar eficacia de

los Controles

1

2

3

4

6

5

Ciclo de prevención


Un poco de tecnología Modelo de seguridad centrado en datos

Gobierno de Datos

Políticas y estándares Evaluación de Riesgos Clasificación ArquitecturaIdentificación

Procesos de soporte para Seguridad de la Información

Control de DatosDatos estructurados

Datos no estructurados

Áre

as d

e E

nfo

qu

e

Datos en uso

Despersonalización de datos

Uso de datos de prueba

Monitoreo de usuarios privilegiados

Monitoreo de acceso/uso

Redacción de datos

Control de exportación/registro

Datos en movimiento

Seguridad del perímetro

Monitoreo de red

Control de acceso a Internet

Colección e intercambio de datos

Mensajería (Email, IM)

Acceso remoto

Datos en reposo

Seguridad en punto final

Encripción de host

Protección de datos móviles

Almacenamiento en red/intranet

Control de medios físicos

Deshecho y destrucción

Calidad

Administración de la configuración

Seguridad física

Investigación de historial de personal

Entrenamiento y concientización

Administración de terceros

Administración de vulnerabilidades

Respuesta a incidentes

Privacidad de datos

Administración de derechos digitales

Administración de activos

Administración de identidad/acceso Administración de eventos (seguridad)

Continuidad del negocio Recuperación de desastres Administración de cumplimiento Administración de cambios

Fuente: Ernst & Young


Un poco de tecnología Cuadrante de Gartner para DLP y Mobile Data Protection

Fuente: Gartner


Switch

Bases de Datos y Repositorios

McAfee NDLP Monitor

McAfee

HDLP

McAfee NDLP

Discover

Fuente: McAfee

Un poco de tecnología Ubicación de dispositivos


Preguntas

http://www.linkedin.com/groups?mostPopular=&gid=1774556




¡Gracias!

Sergio Solís

IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA

[email protected] | [email protected]

Prevención de Fuga de Datos - ISACAm.isaca.org/chapters7/Monterrey/Events/Documents/20121025... ·...

Documents

Transcript of Prevención de Fuga de Datos - ISACAm.isaca.org/chapters7/Monterrey/Events/Documents/20121025... ·...