Hoy voy a dejar a un lado la parte forense, para hablar de un tema que
seguro para muchos de los que trabajamos en el área de seguridad (informática |
información) es un dolor de cabeza.
Partiendo de la premisa que el uso de la tecnología genera un riesgo
inherente, para evitar o prevenir la fuga de información se debería partir
desde – según el esquema de defensa en
profundidad – los procedimientos, políticas, reglamentos (documentos, que
norman o gestionan la seguridad).
Clasificación de la Información
Aquí en este punto ya se van complica el asunto, hablar de un esquema de clasificación
de la información a nivel de procesos del negocio es un dolor de cabeza,
aprobar la política de clasificación es un parto de gemelos.
Supongamos que la política fue aprobada ¿y ahora que?, es fundamental
conocer el giro de negocio de la empresa, los usuarios son pieza clave; ellos
conocen el valor de su información, por lo tanto son o deberían ser los responsables de la clasificación
de la información, en ese momento es donde nosotros debemos (palabra que es considerada obligatoria en el campo de las
normas ISO) apoyar con talleres de clasificación de la información a los usuarios
expertos (usuarios considerados dueños de los procesos de negocio) para una
correcta clasificación.
DLP (Data Loss Prevention )
¡Felicidades! Ya tenes tú política de clasificación de la información, tu
matriz en Excel – para la clasificación y te leíste muchos pdf’s encontrados en
internet - , tu impecable presentación en
PowerPoint para el taller de clasificación.
Por experiencia propia los usuarios consideran todo “confidencial” | “reservada”
o como este categorizado en la política
de tu empresa, tenemos que eliminar la subjetividad, y esto nos sirve incluso cuando
estamos realizando un BIA, para el usuario todo es critico y todos los procesos
son importante.
Una vez clasificada la información ¿Qué sigue? Traducir y hacer que el DLP
lo entienda mediante expresiones regulares, políticas , control y seguimiento
(monitoreo), acciones y otras pilchas, el proceso es largo debido a que en las
primeras etapas el DLP genera muchos falsos positivos y se tiene que ir
ajustando las tuercas.
El problema con los DLP (software | hardware) dependiendo de la marca
tienen algunas limitaciones a nivel de protocolos de red, de aplicación y
otros.
En un caso particular utilice una herramienta que mediante peticiones DNS podíamos
enviar archivos “troceados” y que posteriormente serian re-construidos en el
punto de destino final.
 |
| Symantec - Leak sobre las aplicaciones utilizadas, versión del soft, usuario |
 |
| Checkpoint ofreciendo su solución DLP, nuestro amigo Klever y su manzana mordida. |
Usuarios (Capa 8)
¡Agárrate catalina!, es la parte más “estoica” de este proceso, sin duda
alguna y voy a coincidir con muchos de mis amigos de esta noble área, es la concienciación
y la capacitación sobre el uso de los activos, la importancia de la información,
la responsabilidad que conlleva el uso y manejo de la información.
Sin duda alguna existe un usuarios y “usuarios” (recuerdo la primera vez
que escuche el termino allá por los albores del 2005) – “Insider’s” lo mas
temible y riesgoso en una organización, de nada sirve tener una política (estar
certificados en ISO 27001), contar con un DLP con inteligencia artificial, heurística,
y lo que se te imagine, si nuestro usuario con un solo click desde su teléfono puede
“obtener información” diría robar – pero robar esta definido como “la ausencia
de “, Whatsapp es una de las aplicaciones mas utilizadas para el envió de imágenes
y en este caso para hacer un “leak” de la información que por cierto no tiene
un precio ¿o ustedes podrían decir cuanto vale la información de su empresa?
(si son los que la venden seguro tienen un precio/ si son los que la cuidan
seguro que no).
Para finalizar los agentes de seguridad física, su misión es controlar el
ingreso/salida de equipos de la organización, pero si entras o salís con un
fajo de “hojas” lamentablemente no controlan ese tema.
La yapa
¿Qué hacemos con la información considera reservada o confidencial, que es
transmitida de forma oral en cualquier espacio público? , si realmente estamos
jodidos.
Conclusión
Con esta entrada pretendo comentar algunas cosas vividas otras escuchadas
de colegas del mismo rubro, no existe una ecuación mágica que permita controlar
la seguridad en 100 % , es más seguridad al 100 % no existe, la seguridad no es
un producto que se entrega, es un proceso continuo que debería ser considerado
como un proceso más de negocio.
P = Procedimientos | Políticas (Clasificación de la Información, talleres)
D = Data Loss Prevention (Tecnología preventiva)
U = Usuarios (Concienciación, Capacitación, Talleres, Uso, transporte de la información)
A = Áreas seguras (Controles físicos, Guardas de Seguridad)
X = Alguna variable que me este olivando (jajaja)
NS = Nivel de Seguridad
NS = Σ [U*(P*D)+(A*X)] en ciclo que tiende a infinito
¿Y ustedes cómo gestionan la seguridad en su organización o que opinan
sobre la fuga de información?
Saludos,
I.A