Embed Size (px)
Citation preview
METODOLOGÍA PARA PREVENIR LA FUGA DE INFORMACIÓN APLICANDO
UN SISTEMA DLP EN LAS EMPRESAS DEL SECTOR FINANCIERO
MÓNICA ANDREA CASTRILLÓN CADAVID
MARCOS LEZCANO GALLEGO
UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
MEDELLIN
2013
2
METODOLOGÍA PARA PREVENIR LA FUGA DE INFORMACIÓN APLICANDO
UN SISTEMA DLP EN LAS EMPRESAS DEL SECTOR FINANCIERO
MÓNICA ANDREA CASTRILLÓN CADAVID
MARCOS LEZCANO GALLEGO
Proyecto presentado para optar al título de Especialista Seguridad Informática
Asesor
Manuel Humberto Santander
UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
MEDELLIN
2013
3
A nuestras familias totalmente
agradecidos…. Dios los bendiga
Marcos y Andrea
4
CONTENIDO
RESUMEN…………………………………………………………………… 9
INTRODUCCION……………………………………………………………. 10
1. PLANTEAMIENTO Y FORMULACION DEL PROBLEMA…………….. 12
2. JUSTIFICACION……………………………………………………………. 14
3. OBJETIVOS…………………………………………………………………. 15
3.1 OBJETIVO GENERAL…………………………………………………….. 15
3.2 OBJETIVOS ESPECIFICOS…………………………………………….. 15
4. PROPUESTA…… ………………………………….…………………….. 16
5. ANTECEDENTES..……………………………………………………….. 17
5.1 ANALISIS COSTO BENEFICIO…………..……………………………… 20
5.2 CASOS DE FUGA DE INFORMACION………...……………………….. 21
6. MARCO TEORICO………………………….……………………………… 22
6.1 CLASIFICACION DEL DATO EN ENTIDADES
FINANCIERAS……………………………………………………………….
23
6.2 GESTION INTEGRAL DE LOS ACTIVOS INFORMATICOS
(DATOS)……………………………………...……………………..………..
24
6.3 RIESGO: AMENAZA Y VULNERABILIDAD DE LA INFORMACION
EN ENTIDADES FINANCIERAS………………………..…………………
25
6.3.1 La divulgación o exposición inadvertida…………………….……..…….. 25
6.3.2 Ataques/violaciones Externas……………………....…………………….. 25
6.3.3 Clasificación de Riesgos…………………………………………………… 27
6.3.4 Como mitigar el riesgo de fuga de información …………………………. 30
6.3.5 Clasificación de Amenazas………………………………………………… 31
6.3.6 Clasificación de Vulnerabilidades………………………………………… 31
7. METODOLOGIA PARA PREVENIR LA FUGA DE INFORMACION 33
7.1 DESARROLLO METODOLOGICO…..…………………………………... 33
7.2 PROPUESTA METODOLOGICA…………………………………………. 34
7.2.1 Procesos: identificación, caracterización y evaluación……..………….. 34
5
7.2.2 Recolección de documentos o datos…………………......……………… 36
7.2.3 Información confidencial a proteger……………………………….……… 38
7.2.4 Riesgos de acuerdo a la información confidencial o sensible a proteger………………………………………………………………………
39
7.2.5 Permisos de usuarios con la información confidencial o sensible…….. 46
7.2.6 Resultado final de la configuración y revisiones de indicadores………. 47
7.2.7 Como implementar un Piloto DLP o Controles DLP(Pruebas)………… 50
7.2.8 Resultado Final…………………..……………………………………….. 51
7.2.9 Riesgos y Amenazas en la implementación….…………………………. 54
7.2.10 Evaluación de Sistemas DLP……………………………………………… 55
7.2.10.1 Aspectos DLP Symantec…………………………………………………... 57
7.2.10.2 Aspectos DLP McAfee………….………………………………………….. 62
7.2.10.2.1 Clasificación de marcado de documentos según el tipo………………. 66
7.2.10.2.2 Etiquetas estándar………………………………………………………….. 68
7.2.10.2.3 Etiquetas de contenido…………………………………………………….. 68
7.2.10.2.4 Clasificación de los datos………………………………………………… 68
7.2.10.2.5 Diccionario de Texto……….………………………………………………. 69
7.2.10.2.6 Nivel de Bloqueo……………………………………………………………. 69
7.2.10.3 Aspectos DLP WebSense…………………………………………………. 70
8. ESTANDARES, REFERENTES, NORMAS, MARCO LEGAL Y
MEJORES- BUENAS PRACTICAS….........................................
76
8.1 CONFIDENCIALIDAD DE LA INFORMACION…………………. 79
9. CONCLUSIONES Y RECOMENDACIONES…………………….. 81
10. BIBLIOGRAFÍA……………………………………………………… 84
6
LISTA DE FIGURAS
Figura 1. Actividades para el tratamiento del riesgo. Fuente [NTC-
ISO/IEC 27005]…………………………………………………
28
Figura 2. Metodología Propuesta………………………………………… 34
Figura 3. Ejemplo MAPA de procesos de una Entidad Sector
Financiero……………………………………………………….
35
Figura 4. Descubrimiento del Modelo de Referencia. Fuente [10]…… 34
Figura 5. Estructura de Permisos de Usuarios Entidad Financiera…… 46
Figura 6. Diagrama resumido de las Etapas Metodología Propuesta… 54
Figura 7. Esquema Módulos DLP Symantec. [46]……………………… 58
Figura 8. Pantalla de autenticación Consola Symantec. [46]…………. 59
Figura 9. Dashboard Symantec. [46]……………………………………. 60
Figura 10. Arquitectura para implementar DLP Network Monitor
Symantec. [46]…………………………………………………..
61
Figura 11. Maduración y etapas post implementación Symantec. [46]… 61
Figura 12. DashBoard McAfee. [33-35]…………………………………… 63
Figura 13. Implementación DLP NETWORK McAfee. [33-35]………….. 63
Figura 14. Etapas Administrativas e implantación DLP NETWORK
McAfee. [33-35]………………………………………………….
64
Figura 15. Diagrama sobre los Datos en Uso, reposo y movimiento
McAfee [33-35] Dlp Discover, Dlp Prevent, DLP Monitor,
Gateway Mail, McAfee Epo……………………………………
64
Figura 16. Componentes de McAfee Host Data Loss Prevention y sus
relaciones[33-35]………………………………………………..
65
Figura 17. Diagrama de red de la implementación.[33-35]…………….. 66
Figura 18. DashBoard y opción para adicionar Reglas.[33-35………… 67
Figura 19. Categorías y etiquetas en McAfee.[33-35]………………….. 67
Figura 20. Diccionario para texto, números, palabras y permisos para
determinar a quién le aplica.[33-35]…………………………..
69
7
Figura 21. Actividad a ejecutar y nivel de criticidad (Monitoreo, Bloqueo,
Notifique al usuario o jefe, Almacene evidencia).[33-35]….
70
Figura 22. Comparación de los diferentes entornos ofrecidos por
WebSense [32]…………………………………………………
72
Figura 23. Arquitectura WebSense para protección de Mail [32]…….. 73
Figura 24. Consola Triton WebSense [32]……………………………… 74
Figura 25. Proceso de Funcionamiento de un Sistema DLP [1]……… 74
Figura 26. Propuesta Arquitectura para cualquier DLP [1]……………. 75
8
LISTA DE CUADROS
Cuadro 1. Propiedad intelectual vs. Impacto en el negocio……………… 18
Cuadro 2. Hipótesis de tiempo, costo y rendimiento en la
implementación del un DLP……………………………………
20
Cuadro 3. Categorías de los Activos, Datos o información................... 24
Cuadro 4. Escenarios de Riesgo…………………………………………. 28
Cuadro 5. Listado de documentos y procesos para su continuación.…. 36
Cuadro 6. Registro para listo de Activos con los criterios de
Confidencialidad, Integridad Y Disponibilidad = Impacto……
38
Cuadro 7. Listado de Información ejemplo entidad financiera…………. 38
Cuadro 8. Tablas de probabilidad/frecuencia e impacto………………… 40
Cuadro 9. Matriz de Probabilidad vs Valor sin DLP……………………… 41
Cuadro 10 Distribución de los porcentajes de acuerdo a los riesgos...... 43
Cuadro 11 Matriz de Probabilidad vs Valor Aplicando DLP……………… 43
Cuadro 12 Distribución de los porcentajes de acuerdo a los riesgos……. 44
Cuadro 13 Nivel y estado de la información. Fuente [28]………………… 45
Cuadro 14 Definición de Datos en Entidad Financiera…………………… 45
Cuadro 15 Reglas de políticas que aplican sobre un DLP………………. 49
Cuadro 16 Comparativo de Sistemas DLP (Data Loss o leak
Prevention)………………………………………………………..
51
Cuadro 17 Evaluación y Aspectos DLP Symantec.[46]………………….. 55
Cuadro 18 Evaluación y Aspectos DLP McAfee.[33-35]…………………. 62
Cuadro 19 Evaluación y Aspectos DLP WebSense Data Security Suite.
[32]……………………………………………………………….
70
Cuadro 20 Normatividad relacionada para implementación de controles
que ayudan a prevenir la fuga de información......................
77
9
RESUMEN En este proyecto se plantean problemas conceptuales, relacionados con el riesgo que se presenta en la gestión de los datos electrónicos, en entidades del sector financiero, como son evaluados los riesgos antes de implementar controles, bien sea utilizando un DLP (Sistema para prevención de fuga de información) u otro control. Se introducen definiciones de los factores generadores del riesgo necesarias en el estudio de la metodología, se enumeran los tratamientos para prevenir y mitigar los riesgos, Finalmente se incluye un comparativo de los principales DLP del mercado con su respectivo piloto, y la reglamentación, leyes y normas que aplican.
PALABRAS CLAVES: DLP, Amenaza, Vulnerabilidad, Riesgo, Datos, impacto, Controles, Clasificación.
10
INTRODUCCION La Seguridad Informática ha introducido nuevos conceptos relacionados al análisis de vulnerabilidades, modelamiento de redes de datos complejos, mapas interactivos de información y la integración de gran variedad de datos con información como: dataware house y minería de datos (Bases de datos, Sistemas Operativos, Aplicaciones), esto se ha convertido en una herramienta poderosa de gran alcance dentro de la infraestructura tecnológica de hoy, proporcionando un marco alrededor del cual podemos analizar y entender mejor el mundo de la seguridad [28]. La Protección de los datos confidenciales e información de clientes, es uno de los principales desafíos en cuestión de seguridad de las tecnologías de la información, al que deben hacer frente las entidades financieras en Colombia. A este inconveniente se le suma que los directores de información y los directores de seguridad deben proteger la información, bajo la presión de los requisitos de cumplimiento, circulares de la Superintendencia Financiera de Colombia, normas y políticas reglamentarias. La seguridad no solo se basa en la implementación de controles que permitan mitigar, transferir o evitar los riesgos asociados a los activos informáticos, sino en la concientización a los empleados internos de las amenazas y vulnerabilidades que pueden presentarse en eventos espontáneos o frecuentes. Acontecimientos tales como perdida de medios de extraíbles, perdida de discos en portátiles, filtro de información a través de unidades de almacenamiento, divulgación de información a través de ingeniería social, datos filtrados por ftp externos, paginas diferentes a la entidad, datos filtrados por conexiones inseguras, datos que pueden filtrarse a través de intercambio de archivos, robo de datos a través de cuentas comprometidas, violación de sistemas de red por ataques, virus, malware o botnets, robo de bases de datos por falta de controles de monitoreo, ataque de aplicaciones web con el fin de explotar fallas lógicas, información comprometida por usuarios, entre otros. Estos pueden afectar no solo a nivel de infraestructura la organización sino también afectar la imagen y credibilidad de una entidad del sector financiero. Dichos fenómenos pueden presentarse y varían significativamente tanto en la magnitud como en la frecuencia, pueden ocasionar daños en la instalaciones tecnológicas de una compañía, a las actividades económicas y financieras, y en ocasiones incluso desaparecer por completo una organización. Se han desarrollado una gran cantidad de aplicaciones, para el análisis de riesgo y la gerencia de los activos informáticos en las empresas del sector financiero. La seguridad informática bien estructurada, puede beneficiar mitigando la perdida de
11
activos de información, en este proyecto se tratará una metodología que permita la valoración de los activos y la alteración que puedan sufrir a nivel de Confidencialidad, Integridad y Disponibilidad, la toma de decisiones sobre cada valor del activo bien sea cuantitativo o cualitativo, y el manejo adecuado de cada uno de ellos.
12
1. PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA La pérdida de información en una empresa del sector financiero se podría presentar en cualquier momento cuando no se tienen controles adecuados, generando un evento de fuga de información impactando negativamente la misma. Esto podría no ser detectado por las altas directivas a futuro. La metodología planteada pretende solucionar los problemas que las empresas del sector financiero presentan, para esto se tomará como base la implementación de un programa DLP que permita sopesar y tomar medidas para evitar este tipo de eventos/incidentes de seguridad de la información con los correctivos necesarios.
Los datos poseen una tendencia a riesgo de desprotección, si se tiene un sistema DLP, pero este no fue bien específico en la implementación se pueden presentar niveles de fuga de información. El objetivo es proteger la información estratégica, de clientes, propia del negocio, o que por políticas internas, del cliente, proveedores, aliados o de ley no pueda darse a conocer por personas ajenas o terceros. En un contexto determinado es necesario para una empresa del sector financiero mantener su reputación y la ventaja competitiva.
La confidencialidad de la información sensible en las empresas del sector financiero corre riesgos que pueden significar pérdida de dinero en grandes proporciones ejemplo las últimas campañas de mercadeo antes de ser llevado a publicación, o que pasaría si un empleado envía de forma equivocada un archivo confidencial, a personal que no debe tener conocimiento del mismo, este es uno de los mayores eventos presentados en fuga de información, de forma accidental.
El problema de la perdida de los datos se hace más urgente si se tiene en cuenta que aproximadamente el 80% de los datos no es estructurado, tales como documentos de texto o correos electrónicos. El problema radica en que muchas veces no se tiene ni conocimiento, ni claridad, sobre la ubicación de los datos, por otro lado se debe tener en cuenta que los datos crecen de forma exponencial, esto ocurre no sólo cuando se crean nuevos documentos, sino también cuando los documentos se copian en diferentes versiones o diferentes lugares, por ejemplo, copias de los correos electrónicos almacenados en diferentes servidores, contingencia sobre servidores de almacenamiento, acceso a información que se encuentra en la nube [2] movimiento o copia a dispositivos móviles o estaciones de trabajo para facilitar su edición. Ya existen muchas medidas de seguridad, tales como las tecnologías de cifrado, las cuales son incorporadas en los productos que pueden proteger la confidencialidad de los datos de las empresas del sector financiero. Por lo tanto, el problema no es ¿cómo podemos proteger los datos en una entidad financiera?, sino más bien saber qué datos deben ser protegidos. No
13
todos los datos tienen igual valor, por lo tanto, no todos los datos deben ser manejados y protegidos de la misma manera sobre un Sistema DLP o sobre un programa DLP.
Con el fin de lograr controles de seguridad, se debe conocer los datos que son sensibles y deben ser confidenciales, esto se logra mediante la clasificación de los datos en función de su sensibilidad y el daño que podrían ser causados por un ente no autorizado para la divulgación, no se debe subestimar la importancia de esta clasificación inicial. Actualmente, el método más común de clasificar los datos para fines de seguridad es llevar a cabo esta clasificación manualmente. Por ejemplo, el autor o propietario de un documento o activo informático (dato electrónico) puede asignar una clasificación, habilitar o completar algunos otros metadatos en el momento de la creación, Sin embargo, este proceso manual puede sufrir varias deficiencias con respecto a la velocidad y consistencia. La velocidad de una clasificación manual depende del tiempo necesario para leer el texto, entender la seguridad, las implicaciones y luego clasificar el documento en consecuencia. La consistencia de una clasificación manual depende de muchos otros factores, tales como la formación y la atención del clasificador. Incluso en circunstancias ideales, la clasificación apropiada requiere tiempo y esfuerzo para leer detenidamente cada documento y comprender los problemas de seguridad a la mano.
Aquí es donde las metodologías ordenadas de clasificación de datos puede jugar un papel crucial, muchos aplicativos de herramientas DLP, realizan el descubrimiento de forma automática, o muchos aplicativos de riesgos acompañados con una buena clasificación, pueden llegar a indicar si realmente se debe o no implementar controles a dicho documento electrónico, de acuerdo a un PTR (Plan de tratamiento de riesgos). Si se trata completamente, o incluso parcialmente, de automatizar un proceso de clasificación de manera precisa para los datos, basado en la sensibilidad de su contenido.
La regulación de fuga de información esta materializada en leyes, normas de protección y privacidad de la información personal contenida en base de datos, de empresas del sector público y privado, tarjetas de crédito, información médica, información de fórmulas, producto alimenticio, precios u otras, una de las leyes que ampara el mal uso de la información es la Ley 1581 Del 17 De Octubre De 2012.
14
2. JUSTIFICACIÓN
Debido a que la información digital ha tomado gran relevancia en todas las Compañías del sector financieros, se ve la necesidad de evaluar una metodología para la implementación de una herramienta DLP, o controles para la protección de los datos electrónicos que permita evitar la fuga o perdida de estos, apoyando la gestión de la información y trazabilidad de la misma.
Este proyecto está enfocado a dirigir a las empresas del sector financiero que pretendan realizar una implementación de prevención de fuga de información, con un Sistema DLP y no tengan el suficiente conocimiento de cómo iniciar el reconocimiento de los factores relevantes a tener en cuenta, el valor o peso de los riesgos que corren los datos, para luego obtener los resultados esperados y lograr un control de la fuga de información considerada confidencial o secreta.
La metodología se apoya en el tema de procesos, clasificación, riesgos, amenazas, impacto y vulnerabilidades, luego se traducen que controles se deben aplicar a esos datos electrónicos sensibles de acuerdo a los pasos iniciales del método, lo cual permitirá tomar medidas para la protección de los mismos, al final se realiza un comparativo de tres herramientas de fuga de información conocidas en el mercado, obteniendo unos resultados que aportan a las diferentes necesidades de protección y control requeridos para el problema de fuga de información.
La importancia de la utilización de los Sistemas DLP como herramienta para la gestión de la información se ve reflejada dentro y fuera de la compañía, esto permite realizar trazabilidad de la información sensible que viaja por la red corporativa, realizar informes o consultas que muestren a dónde van los datos, o archivos y que impacto genera en la entidad financiera el destino de los mismos. Así, el DLP suministra información, para el proceso de toma de decisiones a los directores o gerentes, observando las políticas, programas, funcionamiento de las alerta, resultados con el monitoreo y permanente actualización de datos electrónicos.
15
3. OBJETIVOS
Desarrollar una metodología para realizar la implementación de un sistema de fuga de información en las empresas del sector financiero, llevando un método organizado.
3.1. OBJETIVOS ESPECÍFICOS
Comparar diversas herramientas propuestos por los fabricantes de DLP aplicados a la protección de fuga de información en las organizaciones.
Analizar los resultados antes y después de aplicar las soluciones metodológicas de manejo del riesgo de fuga de información en las organizaciones financiera.
Evaluar los activos de información sensible que pueden ser protegidos mediante un sistema DLP, teniendo en cuenta los riesgos y la metodología planteada.
16
4. PROPUESTA
Es necesario definir qué tipo de información se va trabajar (solo aquella información sensible considerada realmente importante para el negocio) del sector financiero. Así es que la información tomada en este proyecto es aquella que tiene un valor específico para la compañía, de manera tal que se facilite la tarea de recolección y unificación al momento de vaciarla sobre un formato o formulario especifico, luego proceder a configurarla en una herramienta que establece una protección de acceso, cifrado, contraseña, u otro control técnico que ayude la prevención de fuga de información. Luego de recolectada la información que se considera sensible, es requerido un esfuerzo mínimo para unificar las reglas y concluir el tiempo de configuración, ya que un documento o archivo, puede ser confidencial por un periodo de tiempo específico o determinado, esto podría ocasionar alertas innecesarias, y generar falsos positivos. De esta manera, se procede a realiza un levantamiento previo de la información de forma adecuada y siguiendo las directrices establecidas por la propuesta metodología que se plantea en este proyecto.
17
5. ANTECEDENTES
El robo de información ha sido uno de los mayores temores que enfrentan las compañías hoy en día, no solo se ha visto afectado el sector financiero sino otros sectores, por esto es necesario revisar los controles, preventivos y disuasivos que se incorporan a un Sistema de Seguridad de información en las organizaciones del sector financiero, teniendo claras las políticas que controlen, monitoreen y midan el rendimiento de las directrices. Los controles detectivos nos ayudan con la visibilidad para disminuir las fugas de datos bien sea accidentales o intencionales. El término DLP, por sus siglas DLP (Data Loss Prevention o Data Leak Prevention) Prevención de pérdida o fuga de datos, primero golpeó el mercado en 2006 y ha adquirido cierta popularidad en la primera parte de 2007. Así como hemos sido testigos del crecimiento de los firewalls, sistemas de detección de intrusos (IDS) y numerosos productos de seguridad, DLP esta mejorado considerablemente y está empezando a influir en la industria de la seguridad informática. DLP está siendo conocido por varios acrónimos, en términos simples, es verdaderamente una tecnología que proporciona visibilidad a nivel de contenido en la red. [1] Por lo tanto DLP es un software que nos ayuda sustancialmente a disminuir o a prevenir las fugas o pérdidas de datos a través de diferentes vectores o salidas (Correo, USB, unidades de red, móviles, Almacenamiento en la nube, internet, Impresión, copiado (Print Screen), Control de archivos P2P, mensajería instantánea u otros). Es de aclarar que un DLP no es lo último en prevención de fuga de información, es uno de tantos controles que puede ser tenido en cuenta e implementado para prevenir estos riesgos, y en la mayoría de los casos como defensa de la fuga de información al interior de la organización. Los distintos acrónimos por los cuales puede ser conocida la herramienta son:
Prevención / Protección de Pérdida de Datos
Fuga de Datos Prevención / Protección
Información de Prevención de Pérdidas / Protección
Prevención de Fugas de Información / Protección
Prevención de extrusión
Supervisión y filtrado de contenidos
Seguimiento de contenido y de la protección El interés real de las herramientas DLP es la identificación de los datos realmente sensibles y evitar la violación de los datos por intrusos. La búsqueda, el contenido y el establecimiento de una política o mecanismos claros de clasificación de información en los procesos críticos del negocio. Ejemplo: El desconocimiento de
18
datos sensibles en portátiles de empleados no autorizados, comerciales o gerentes. Según estudios de (Francis Bacon) [31], se presentan los siguientes datos a nivel de fugas:
73% de las fugas de información provienen de fuentes internas.
80% de los responsables de seguridad ve a los empleados como la mayor amenaza.
77% de las empresas son incapaces de auditar o cuantificar la pérdida tras una fuga de información.
En otras investigaciones como la de Gartner: “Las amenazas a la seguridad “desde dentro” no son nuevas, aunque están ganando peso en nuestra sociedad. [7], los usuarios maliciosos usan técnicas no sofisticadas, provocando serios daños en las entidades, a continuación se muestra un cuadro de la información de propiedad intelectual, e impacto en el negocio.
Cuadro 1. Propiedad intelectual vs.Impacto en el negocio
Propiedad Intelectual Impacto en el Negocio
- Campaña previa a salida mercadeo
- Listado de clientes - Maestros de precios/costes - Documentos de diseño - Códigos fuentes aplicativos - Formulas de alimentos, químicos - Temas comerciales - Diseño de procesos,
procedimientos, formatos, instructivos.
- Imagen corporativa - Números de Tarjeta de crédito
- Información de salarios - Estrategia - Informes financieros - Adquisiciones/fusiones - Planes de productos - Planes de despidos/EREs - Gastos/Inversiones
El DLP es considerado una tecnología en vías de evolución y mejora, capaz de dar valor a las organizaciones, aun cuando sus productos no han alcanzado la madurez que tienen actualmente otras áreas de las Tecnologías de la Información, de acuerdo a la Revista Seguinfo, el rápido crecimiento de las tecnologías DLP es evidente año tras año. Según cifras de la consultora Gartner, el volumen de negocios pasó de 50 millones de dólares en 2006 a 120 millones en 2007 y a 250 millones en 2008; Las previsiones de ventas de soluciones de protección de datos para 2009 fueron de entre 400 y 500 millones de la divisa americana. [7]
19
A medida que las entidades financieras se robustecen en el mercado, se exige proteger los datos, dentro de esos están;
Garantizar la protección de la información sin importar los datos que sean.
Virtualización, SaaS, y “cloud-basedcomputing”, Se refiere a todos los servicios y transacciones que se ofrecen a través de Internet.
Instalar controles para evitar, mitigar o transferir el riesgo
Green Computing. También conocida como Green IT. Se refiere al uso eficiente de los recursos computacionales minimizando el impacto ambiental ofrece el desarrollo de productos informáticos ecológicos y promueve el reciclaje computacional.
Evolución en la Gobernabilidad, Riesgo y Cumplimiento de TI. Se refiere a la garantía de que los procesos que tenga la Organización tengan la madurez suficiente para pensar en nuevas implementaciones.
Administración del punto final y flujos de trabajo. Se refiere a la administración de seguridad que se le asigna a los endpoints, esto con el fin de evitar vulnerabilidades que afecten todo el sistema.
Servicios y tercerización. Que permita que el outsourcing administre sus sistemas sin riesgos de pérdida de información
Conocer que es un DLP, que función tiene y las características del mismo, serán la base para el desarrollo del presente proyecto, con esto se garantiza que la información no se pierda y que exista un mayor control para la fuga de Información, es importante también conocer hacia donde se dirige esta tecnología ya que así se puede ofrecer la mejor opción que hay en el mercado de acuerdo a la necesidad de cada Organización.
20
5.1 ANÁLISIS COSTO BENEFICIO Cuadro 2. Hipótesis de tiempo, costo y rendimiento en la implementación del
un DLP
La unificación de tener un DLP da lo mejor al menor costo. Los paquetes DLP ofrecen no sólo una buena seguridad actualizada contra los riesgos entrantes y salientes, sino también el menor costo total. Las consolas y el DLP como tal puede reducir los gastos de capital y gastos operativos, el secreto de los principales DLP para que sean exitosos es que han unificado todos los aspectos de los sistemas en una infraestructura típica en cualquier entidad financiera:
El análisis unificado permite sacar el poder de las herramientas de comunicación de la Web dinámica como Facebook, LinkedIn, Twitter y las aplicaciones Web sin temer ataques basados en la Web. [32-35]
La administración unificada dentro de las consolas proporciona visibilidad clara de lo que sucede con la seguridad de los datos. Con reglas incorporadas para elegir, poder establecer políticas granulares para los datos confidenciales. [32]
Una plataforma unificada DLP nos permite aplicar las mismas políticas sin importar cómo configuremos la implementación. Se conoce y administra quién puede enviar qué datos adónde, cómo y porqué sin complicaciones, independientemente de la configuración que posea: servidor, en la nube o híbrida. [32]
Ayudar al cumplimiento de la normatividad alineada con las políticas, directrices y procedimientos, es decir, acompañar los procesos que no son tecnológicos con un DLP. Sin embargo, es cada vez más clara la necesidad de que se brinde a los clientes una protección adecuada contra el posible mal uso de la información que le concierne, sin que esto implique un intento de limitar o restringir los beneficios que pueden aportar las tecnologías de información.
HIPÓTESIS 1: La implementación de un DLP puede tener efectos positivos en el tiempo del proceso de gestión de riesgos. [28] HIPÓTESIS 2: La implementación de un DLP tiene efectos positivos sobre el costo del proceso de gestión de riesgos. [28] HIPÓTESIS 3: La implementación de un DLP tiene efectos positivos sobre el rendimiento del proceso de gestión de riesgos. [28]
21
5.2 CASOS DE FUGA DE INFORMACIÓN
Renault, Victima del espionaje industrial
Los escándalos detrás del Vaticano.
Agosto 2008: Intrusión a cadena hotelera compromete información de más de 8 millones de tarjetas de crédito.
Un atacante de la India sustrajo información de todos los huéspedes de los últimos 12 meses de la cadena Best Western Hotel. La información de las tarjetas fue vendida por una mafia rusa, además de los datos de las tarjetas de crédito, se comprometió la identidad de los clientes (Nombres, Direcciones, números telefónicos y lugar de trabajo).
2005: CardSystems (Procesador de operaciones de tarjetas de crédito) compromete más de 40 millones de números de tarjetas de crédito luego que se instalara un script en uno de los servidores de la organización.
2005: DSW (retail) compromete 1.4 M de números de tarjetas de crédito y debito.
Un soldado de 23 años molesto en Irak tuvo acceso a toda la información durante meses.
Un falso CD de Lady Gaga permitió a Wikileaks la mayor filtración de documentos clasificados de la historia.
Por 30 millones de pesos, la superintendencia Financiera multo al Banco de Bogotá por videos aparecidos en la página de YouTube. La sanción se origino en los cargos imputados por el ente de control por las publicaciones aparecidas en las páginas de internet “YOUTUBE” en una de las cuales se ofrecían en venta, por parte de terceros, supuestas bases de datos de varias entidades financieras dentro de las cuales se encontraban máximo 96 cedulas y direcciones que correspondían a cedulas de los 2.700.000 clientes de ese banco.
Sony ha tenido perdida de números de tarjeta de crédito.
22
6. MARCO TEÓRICO Para el desarrollo conceptual se definirán los siguientes términos [46]: Activo de Información: Es algo que tiene valor para la Organización y están clasificados según su tipo en: información (bases de datos, archivos de datos, soportes impresos), aplicaciones, activos físicos (servidores, equipos de comunicación), servicios (Servicios de Hosting), custodia externa de medios de backup, servicios de administración de infraestructura) y recurso humano. Amenaza: Situación que tiene el potencial de causar un incidente no deseado que puede resultar en un daño a un sistema u organización y sus activos. Confidencialidad: Garantizar que la información sólo es revelada a las personas con la autorización adecuada. (Previene contra la divulgación no autorizada de la información). Datos: En ocasiones se puede llegar a pensar que hablar de Datos es igual a mencionar la palabra información, pero estas no significan lo mismo; Ralph M define a los datos como una representación simbólica (numérica, alfabética, algorítmica, etc.), un atributo o una característica de una entidad. El dato no tiene valor semántico (sentido) en sí mismo, pero si recibe un tratamiento (procesamiento) apropiado, se puede utilizar en la realización de cálculos o toma de decisiones. Es de empleo muy común en el ámbito informático y en general prácticamente en cualquier disciplina científica. Por ejemplo, el dato puede ser tan simple como el número de cedula de una persona, el nombre o dirección de la casa. Los datos pueden venir de varios puntos internos como externos en la Organización, por ejemplo de los terceros, clientes, proveedores, generada por los usuarios o personal interno y pueden ser medibles o no medibles. Cuando los datos se encuentran almacenados y organizados en algún medio físico o lógico que permita luego su consulta y ayuda a la toma de decisiones, si se encontraran por fuera, no tomarían tal sentido, en esta etapa los medios de seguridad y las tecnologías de la información has ayudado bastante en el almacenamiento y control de la misma. Disponibilidad: Garantizar que los usuarios autorizados tienen acceso a la información cuando lo necesiten. (Previene contra la denegación no autorizada de Información). Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
23
Integridad: Garantizar que la información y sus métodos de proceso son exactos y completos. (Previene contra la modificación o destrucción no autorizadas de información). Riesgo: Combinación de la probabilidad de un evento y sus consecuencias (Impacto). Matemáticamente, el riesgo se expresa como R = Probabilidad x Impacto. Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización Vulnerabilidad: Debilidades asociadas a los activos o datos de de información en medio electrónico (Datos), o Medios externos de almacenamiento. Se definen otros términos de manera más amplia:
6.1 CLASIFICACION DEL DATO EN ENTIDADES FINANCIERAS El manejo de información confidencial debería ayudar a los funcionarios de la Organización y de los terceros, aliados, proveedores a determinar qué información puede ser vista y utilizada por personal interno o externo, al igual que ofrecer algunos parámetros para la clasificación de la confidencialidad relativa de la información. La información sobre la cual se debe tratar es la que es puesta en medio electrónico o digital y la información que se intercambia por correo, backups u otra información que la podemos representar o encontrar por toda la infraestructura de la red. La idea es que la organización realice capacitaciones y/o programas de concientización, con el fin de que el empleado se encuentre enterado de los procedimientos que se tienen establecidos en el momento para manejo y clasificación de la información. Es importante resaltar que las definiciones de nivel de confidencialidad y las recomendaciones presentadas en este proyecto son elaboradas como guía y que siempre debe aplicarse el sentido común y/o las políticas dependiendo del entorno de la organización. La siguiente tabla muestra otras categorías de activos que pueden ser tenidas en cuenta para una Clasificación de activos de información más granular.
24
Cuadro 3. Categorías de los Activos, Datos o información. OTRAS CATEGORIAS QUE PODEMOS ENCONTRAR EN LA CLASIFICACION DE
ACTIVOS INFORMATICOS
TIPO DESCRIPCION
Aplicaciones Software propietario o comprado
Datos Información que se encuentra en medio magnético
Enlaces de comunicación Infraestructura y equipos de comunicación para transmisión e intercambio de los datos
Hardware Infraestructura que soporta los sistemas de información de la organización. Incluye el elemento físico y el sistema operativo nativo del dispositivo(Firmware, Sistema operativo)
Información Impresa Información que se encuentra en medio impreso
Infraestructura Sitios de almacenamiento de los equipos como centros de cómputos, de refrigeración u otros.
Medios Externos de almacenamiento Dispositivos utilizados para almacenar de manera temporal información electrónica como USB’s, DVD’s, CD’s, Tapes, discos duros, Pen Drives, etc.
Recurso Humano Personal que trabaja en el área y que tiene acceso a la infraestructura para el procesamiento de la información y a la información.
Servicios Internos Servicios prestados a las áreas de negocio por un departamento interno de la organización, ejemplo: TI, Seguridad Física, mantenimiento, etc
Servicios de Terceros Servicios de diferentes propósitos prestados por empresas particulares externos a la organización. Ejemplo: Outsourcing de desarrollo, redes, custodia de backups, etc.
6.2 GESTION INTEGRAL DE LOS ACTIVOS INFORMATICOS (DATOS) La gestión integral, implica la planeación y cobertura de las actividades relacionadas con la gestión de los activos (datos electrónicos) y similares desde la generación hasta su disposición final. La gestión integral de los datos incluye los aspectos de generación, manipulación, acondicionamiento, recolección, movimiento, almacenamiento, disposición, tratamiento y uso final de los datos.
25
6.3 RIESGO: AMENAZA Y VULNERABILIDAD DE LA INFORMACIÓN EN ENTIDADES FINANCIERAS Los riesgos en las entidades del sector financiero, son evidentes la cantidad de riesgos que se evidencia en dicho sector, se enfocan en su gran mayoría en la importancia de la información que se maneja, se podrían enumerar para tener una idea de los que pueden impactar más en las empresas financieras. Riesgo de Integridad, Riesgo de Acceso, Riesgo de Gestión, Riesgo de Infraestructura, Riesgo de Seguridad, Riesgo de Utilidad, entre otros 6.3.1 La Divulgación ó Exposición Inadvertida Los datos accidentalmente se filtran a través de correo electrónico (engaños, Dirección equivocada, el borrado inadecuado de los metadatos en el documento). Control Sugerido: Los productos y/o Dispositivos de seguridad y filtrado de correo electrónico, así como el definir flujos de correo electrónico. Establecer puentes de enlace para la comunicación segura con los asociados. Datos filtrados por la exposición involuntaria: (Publicado en la Web, Archivos Compartidos Abiertos, FTP sin protección, o colocados en un lugar inseguro). Control Sugerido: Políticas y controles de flujo de trabajo, y para algunos tipos de eventos, el uso de DLP. Los datos filtrados por una conexión no segura. Control Sugerido: La Configuración adecuada del acceso seguro de puenteo y Enrutamiento de la correspondencia en los servicios de seguridad de servidores de correo electrónico y plataformas web. Cambios de los procesos a fin de incluir un escaneo periódico del enrutamiento de redes seguras. Los datos se pueden filtrar a través de intercambio de archivos. Control Sugerido: Políticas para impedir la instalación y uso de programas para compartir archivos vía web. Utilizar Plataformas de seguridad Web Seguras. [12,18] 6.3.2 Ataques / Clasificación de datos Robo de datos a través de la cuentas comprometida (contraseñas débiles). Control Sugerido: Exigencia políticas de contraseñas seguras. Cambio de contraseñas periódicamente. Bloqueo de acceso a la cuenta después de X número de registro de no acceso. Automatizar la aplicación de designación de contraseñas seguras. Pruebas de Penetración, a razón de verificar periódicamente la seguridad de las mismas.
26
Violación de sistemas de Red. Control Sugerido: Implementación de sistemas de Defensa tradicionales de seguridad que incluyan controles de perímetro, como, Anti-Virus, Anti-Spyware, Anti-Spam, Anti-Malware, Firewalls, Gateway, y de salida de datos de seguridad, como DLP. Violación de bases de datos. Control Sugerido: Supervisión de aplicaciones de bases de datos para detectar los ataques y el uso indebido. Evaluación de la vulnerabilidad Base de datos. Utilización de herramientas Database Activity Monitoring (DAM) que se utilizan para controlar el uso de la base de datos y es un control de detección por naturaleza. DAM examina las consultas realizadas a la base de datos, compara cada consulta en los patrones de riesgo conocidos y las mejores prácticas de las empresas, y reacciona a los acontecimientos sospechosos. Evaluación de la vulnerabilidad es una metodología de prevención que examina la base de datos de vulnerabilidades conocidas y debilidades en la configuración, instalación y uso de la base de datos. Violación de aplicaciones Web (explotar fallas lógicas). Control Sugerido: Evaluación vulnerabilidades y pruebas de penetración para la detección de los defectos de seguridad en la programación. Protección de infraestructura, así como la modificación del código de la aplicación web. Violación a través de información comprometida por usuarios finales. Control Sugerido: Políticas para no permitir que se instalen o utilicen programas para compartir archivos. Implementar Plataformas de seguridad Web, como; prevención de intrusiones (IPS), soporte de red privada virtual (VPN), firewall de inspección de estado de paquetes, administración de ancho de banda de aplicación, routing IP multicast para audio/vídeo, y filtrado de contenidos web. INSIDERS MALICIOSOS Violación de los datos a través de almacenamiento portátil (Memorias USB, CD / DVD, Unidades Externas). Control Sugerido: Administrar el uso extremo de DLP (No-Entradas/No-Salidas) o herramientas basadas en el control de dispositivos portátiles. Violación de los datos personales a través de Correo Electrónico / Web. Control Sugerido: Implementación de Filtrado web (Gateway) y herramientas DLP. Violación de Base de datos por algún Insider (Empleado, Socio, Contratista). Control Sugerido: Herramientas de pruebas de penetración para la evaluación de la vulnerabilidad, Análisis de control de accesos a fin de evitar el exceso de permisos. Implementación de herramientas y tecnologías de monitoreo de la actividad y detección de mal uso. [12,18]
27
6.3.3 Clasificación de Riesgos
Captura de PC desde el exterior
Robo-Hurto de información en movimiento, reposo o en uso.
Violación de e-mails
Spamming
Destrucción de equipos
Violación de contraseñas
Intercepción y modificación de e-mails
Virus
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
Ingeniería Social
Fraudes Informáticas
Programas Bomba
Empleados Deshonestos
Interrupción de Servicios
Acceso Clandestino a Redes
Robo o extravió de Pc portátiles, smartphones, tablets
Destrucción de soportes electrónicos
Software ilegal números de serial hurtados
Falsificación de información para terceros
Agujeros de seguridad de redes conectadas La evaluación de riesgo es un proceso sistemático para estimar la magnitud y probabilidad de ocurrencia de efectos adversos derivados de los activos informáticos. Los riesgos asociados a los activos informáticos puede estar presente en cualquiera de las etapas de su manejo: generación, almacenamiento, transporte, tratamiento y disposición final o almacenamiento. El objetivo de la evaluación de riesgo es proporcionar una estimación cuantitativa o cualitativa de los riesgos asociados a una determinada situación, a efectos de ayudar a la toma de decisiones sobre la aceptabilidad del riesgo y a establecer las medidas a adoptar para su prevención y minimización, aspecto que se denomina “gestión del riesgo".
28
Figura 1. Actividades para el tratamiento del riesgo. Fuente [NTC-ISO/IEC 27005]
Los riesgos asociados al manejo de activos informáticos se pueden agrupar en las siguientes categorías:
Riesgo para la el cambio de los procesos
Riesgo de afectación de Almacenamiento
Riesgos para los bienes información en reposo, en uso o en movimiento. En general se debe tener en cuenta que la evaluación de riesgo es un proceso complejo que involucra un trabajo multidisciplinario y que está sujeto a un grado de incertidumbre que en algunos casos puede ser muy importante. En función del tipo riesgos se han desarrollado diferentes metodologías para su evaluación. Teniendo en cuenta que la protección de los datos internos y la organización tiene por objetivo la seguridad de todos y cada uno de los individuos de una población,
29
la evaluación de riesgo deberá centrarse en aquellos grupos más sensibles o vulnerables de información, a continuación se ilustra una tabla de los posibles escenarios que pueden presentarse en la fuga de información, la probabilidad, el impacto y el resultado.
Cuadro 4. Escenarios de Riesgo
ESCENARIO PROBABILIDAD
Impacto Información
Criterio Disponibilidad
Riesgo P*Impacto
Hurto de información – Recurso Humano – Virus o información cifrada Casi
seguro 4 4 16
Hurto de Información -- Estaciones de trabajo servidores por administradores del sistema Probable 5 5
25
Hurto de Información -- otros activos no conocidos camaras de celular Probable 5 5 25
Hurto de Información -- Por red Celulares, Unidades de red, archivos compartidos, Bases de datos, Desktop u otro (Datos en reposo)
Casi seguro 4 5
20
Hurto de Información --correo corporativo , por web, ftp, Chat, Facebook, IM (Datos en Movimiento)
Casi seguro 5 5
25
Hurto de Información --- Celulares u otro Casi
seguro 4 4 16
Hurto de Información propia de la compania -- Trafico de red Probable 4 3 12
Hurto de Informacion - Por print screen, ctrl + c, clipboard, impresoras, usb´s u otros dispositivos de medios extraible (Datos en uso)
Casi seguro 5 5 25
Hurto de Informacion - Recurso Humano - Capacitación concientización concienciación probable 3 5
15
Error en la documentación de la ruta crítica -- Recurso Humano Posible 3 2 6
Error en la planeación -- Recurso Humano Posible 3 2 6
Phishing -- Sistemas HTML3 Improbable 2 2 4
Phishing -- Bases de Datos Raro 1 2 2
Phishing -- Celulares de Alta Gama Raro 1 2 2
Sniffer -- Celulares de Alta Gama Improbable 2 3 6
Abuso de Privilegios -- Switch Cisco Posible 3 1 3
Abuso de Privilegios -- Router Improbable 3 1 3
Abuso de Privilegios -- Celulares de Alta Gama Posible 3 1 3
DoS -- Servidores Web Cloud con Amazon Raro 1 1 1
Copias de Seguridad Incompletas -- Servidores Web Cloud con Amazon Raro 1 3 3
Copias de Seguridad Incompletas -- Bases de Datos Raro 1 3 3
Uso software Inseguro -- Celulares de Alta Gama Improbable 2 3 6
Uso software Inseguro -- Enlaces de Comunicación Casi
seguro 1 1 1
Falencias control de accesos -- Servidores Web Cloud con Amazon Probable 2 2 4
Falencias control de accesos -- Celulares de Alta Gama Casi
seguro 3 2 6
Falencias control de accesos -- Enlaces de Comunicación Probable 1 2 2
Asignación errada de los derechos de acceso -- Servidores Web Cloud con Amazon
Casi seguro 2 2
4
Asignación errada de los derechos de acceso -- Router Probable 2 2 4
30
Asignación errada de los derechos de acceso -- Enlaces de Comunicación Posible 2 2
4
Secuestros -- Recurso Humano Posible 1 1 1
Licencias /Salud -- Recurso Humano Posible 2 2 4
Chantajes -- Recurso Humano Improbable 3 2 6
Chantajes -- Acuerdos de Confidencialidad Raro 3 2 6
Instrucción -- Enlaces de Comunicación Raro 3 3 9
Suplantación -- Servidores Web Cloud con Amazon Improbable 2 2 4
Suplantación -- Información Posible 2 2 4
Falsificación Documentos electronicos -- Recurso Humano probable 4 4 16
6.3.4 Como mitigar el riesgo de la fuga de información ● Fomente una cultura consciente de la seguridad en la que la protección de la información sea una parte normal y natural del trabajo de cada empleado, y no una tarea adicional percibida como una carga o en conflicto con otros objetivos. ● Proporcione las herramientas y la educación que los empleados necesitan para mantener la información segura, comenzando por la capacitación de empleados nuevos y luego mediante reforzamiento verbal en vez de por correos electrónicos que pueden perderse o ser ignorados. ● Evalúe la conducta de los empleados y los riesgos asociados basándose en factores tales como el país y el panorama de amenazas. Luego de acuerdo con dicha evaluación, diseñe planes de educación sobre amenazas, capacitación en seguridad y procesos comerciales. ● Analice continuamente los riesgos de cada interacción entre usuarios y redes, puntos terminales, aplicaciones, datos y, por supuesto, otros usuarios para siempre tener presente el entorno de amenazas. ● Formule, divulgue y haga cumplir políticas de seguridad sensatas. Simplifique el cumplimiento creando un número limitado de políticas de seguridad fáciles de comprender que estén integradas en los procesos comerciales y concuerden con los requisitos laborales. ● Proporcione un liderazgo claro mediante el compromiso y el ejemplo de la plana ejecutiva, para que los empleados vean que los ejecutivos están comprometidos y se hacen responsables. [45] ● Fije expectativas en relación con la seguridad [45]
31
6.3.5 Clasificación de las Amenazas En las empresas del sector financiero se manejan muchos tipos de datos llamativos para un atacante, además sensibles al manejo de personal interno y externo de la misma institución. Se presentan muchos tipos de amenazas para la información ya sean físicas o virtuales entre ellas se enumeraran a continuación una lista que debe ser tenida en cuenta cuando se proceda a realizar la evaluación de las amenazas y vulnerabilidades asociadas el riesgo: Estas Amenazas afectan directamente los pilares de la seguridad de la información, La integridad, disponibilidad y confidencialidad de los datos.
Hurto de Información Confidencial o Sensible.
Modificación de Información o Bases de Datos.
Venta de Información sensible a la competencia.
Uso no autorizado de equipos
Cambio de Políticas de la entidad financiera 6.3.6 Clasificación de las Vulnerabilidades Para las empresas del sector financiero existen sin número de vulnerabilidades, la vulnerabilidad es la capacidad y posibilidad de un sistema de reaccionar a una amenaza o de recuperarse de un daño, las vulnerabilidades se interrelacionan con las amenazas, estas se basan en un contexto que puede ser Ambiental, Física, Económica, Social, Educativa, Institucional, Política y tecnológica. Por ser un control tecnológico nos podemos encontrar con vulnerabilidades, tales como:
Uso no especificado de Esteganografia y/o camuflaje de archivos.
Se debe evitar el establecimiento de reglas innecesarias sobre el DLP.
No saber que se monitorea o donde se encuentra la información.
Incompatibilidad del DLP con otros agentes existentes y que se encuentran en operación. Ejemplo: Antivirus Symantec con Agente DLP McAfee.
Se debe alinear la política de actualizaciones de la compañía, con la política de actualizaciones sobre el aplicativo DLP, tanto para los agentes de las maquinas como para servidores. Esto con el fin de evitar alguna falla sobre los clientes que tienen el agente instalado y puedan saltarse el control por falta de actualizaciones.
El caso que los usuarios de la maquina tengan permisos para deshabilitar el agente.
32
Los usuarios no deben tener privilegios sobre la carpeta donde quedan las evidencias de DLP.
Más que una vulnerabilidad y limitante es que la mayoría solo funcionan en sistemas Operativos Windows.
33
7. METODOLOGIA PARA PREVENIR LA FUGA DE INFORMACIÓN APLICANDO UN SISTEMA DLP EN LAS EMPRESAS DEL SECTOR FINANCIERO
El presente proyecto pretende definir una metodología práctica en la implementación de un sistema DLP en entidades del sector financiero, se desarrolla con el fin de tener claros unos pasos para el inicio, el proceso y la ejecución del proyecto de implantación.
A continuación se presentaran una seria de pasos a seguir.
7.1 DESARROLLO METODOLÓGICO Si la compañía decide abordar esta metodología y ya cuenta con un Sistema de Gestión de Seguridad de la Información, iniciaría con el cuestionario que le permitirá saber cómo la información debe ser configurada sobre el Sistema DLP, con dicha metodología se podrá inventariar los activos de información (Datos) y una valoración de cada uno (Nivel de Riesgo). Sino debe iniciar con la identificación de los procesos críticos o claves de la organización, para luego realizar el inventario de los activos de forma tal que se pueda llevar a cabo el cuestionario de valoración que permitirá saber cuándo la información es Confidencial o Sensible.
34
7.2 PROPUESTA METODOLÓGICA A continuación se muestra el orden de los pasos que deben ser tenidos en cuenta para la prevención de fuga de información:
Figura 2. Metodología Propuesta
7.2.1 Procesos: Identificación, caracterización y evaluación. Una empresa del sector financiero debe empezar por analizar todos los procesos de negocio, con el fin de entender el flujo de los datos o delimitar el alcance de dónde quiere llegar con los controles para prevención de fuga de información. De esta manera, la empresa del sector financiero puede determinar el tipo de datos de su propiedad y donde se encuentran ubicados, tales como los servidores internos, información en un concepto de Confidencialidad de la información, seguridad y calidad, ejemplo Concepto 2009063757-001 del 1 de septiembre de
35
2009 SFC. Esto permitirá a la empresa clasificar los equipos de usuarios, CDs o cintas de copia de seguridad. Una buena estrategia para hacer esto es crear un diagrama de flujo de datos, como se muestra en el cuadro a continuación, para ver cómo los datos pueden fluir dentro y fuera de la organización, desde el punto de creación, origen de los datos, a la transformación. Una vez hecho esto, la empresa o entidad del sector financiero tiene que tener una comprensión de las regulaciones gubernamentales que afectan los datos que son propios de una persona, por ejemplo: “reserva bancaria”, Criterio especifico, Política interna o datos basados en diferentes categorías: los datos sensibles que pueden resultar en multas reglamentarias, si incumplido, inteligencia de negocios, información privada e información pública. Como se dijo anteriormente, una organización puede optar por comprar herramientas DLP que ayude a realizar un rastreo por las bases de datos corporativas y redes informáticas para localizar todos los datos importantes, sin embargo, esto sólo puede hacerse después que se ha creado una lista de definiciones de los datos sensibles a fin de ser programados en la herramienta DLP seleccionada o adquirida. A continuación se muestra un ejemplo de mapa de procesos:
Figura 3. Ejemplo MAPA de procesos de una Entidad Sector Financiero
36
Cuando ya se ha obtenido el mapa de procesos de la organización se acude a estudiar cada uno de los procesos, con los coordinadores, directores o líderes de procesos, identificando cuales son los procesos más críticos y delicados en cuanto al manejo de la información para luego tomar de cada proceso y/o procedimiento los datos de mayor relevancia. 7.2.2 Recolección de documentos o datos
Esta etapa consiste en la ejecución de entrevistas con los responsables del proceso o procesos identificados anteriormente, con el fin de identificar los activos (datos electrónicos) confidenciales o secretos, tomando como referencia las entradas (partes interesadas) y salidas del proceso (formatos. Información electrónica), donde se puede llegar a procesar la información o dato electrónico. Esta actividad debe ser realizada por con los líderes del proceso de acuerdo a las instrucciones de la Dirección.
Como resultado de esta etapa, se obtiene un listado de activos, solo datos electrónicos, que es lo que nos interesa en este momento. El cuadro 1 es un e2jemplo o muestra de los documentos que podemos encontrar en un proceso específico y que podrían ser candidatos para ser revisados como información “importante” a proteger de la empresa del sector financiero.
Cuadro 5. Listado de documentos y procesos para su continuación.
NOMBRE DEL DOCUMENTO
PROCESO
Elaboración de Documentos
Mejoramiento continuo del Sistema Integrado de Gestión
Control de documentos
Mejoramiento continuo del Sistema Integrado de Gestión
Se procede a relacionar por cada uno de los procesos clasificados en el paso anterior como sensibles la información correspondiente a cada uno teniendo como referente los puntos o datos críticos.
37
Figura 4. Descubrimiento del Modelo de Referencia. Fuente [10]
7.2.3 Información confidencial a proteger Esta etapa consiste en que la entidad financiera valore la criticidad de los datos electrónicos en términos de su confidencialidad, integridad y disponibilidad. En este sentido, los valores asignados están relacionados con el impacto que podría tener la pérdida del activo en el desarrollo normal de las actividades del proceso bajo análisis, afectando entre otros: la imagen de la entidad financiera, incumplimiento de requerimientos legales y regulatorios, pérdidas financieras, o los costos asociados con la recuperación del activo, su mantenimiento y operación. Como resultado de esta actividad se obtiene el primer componente para la estimación del nivel de riesgo de cada uno de los datos electrónicos, y para calcularlo se suma cada uno de los valores dados por el líder del proceso a la pérdida de confidencialidad, integridad y disponibilidad de acuerdo con la escala y valores mostrados a continuación: En el cuadro que se muestra a continuación se enumeran una lista de parámetros para la recolección de información sensible o confidencial.
38
Cuadro 6. Registro para listo de Activos con los criterios de Confidencialidad, Integridad Y Disponibilidad = Impacto
Se realiza la pregunta por cada activo (dato electrónico) de ese proceso. Como una pérdida o una falla en ese dato afecta la confidencialidad, la integridad y la disponibilidad. Y/o que tan importante es para el usuario final ese dato electrónico? Puedo trabajar sin ningún inconveniente? Afecta imagen u otros temas de riesgo operativo? De acuerdo a Norma NTC ISO 5254-ISO 31000. En el cuadro que se presenta a continuación, se evidencian parámetros de configuración con los pilares de la información, si se llena el cuadro, podríamos definir dependiendo del valor, o peso que se le dé, se configura en la herramienta DLP. Si tiene un nivel bajo o no afecta ninguno de los pilares de Seguridad no es necesario incorporarlo, de lo contrario representaría un nivel bajo en el impacto de información o dato a proteger
Cuadro 7. Listado de Información ejemplo entidad financiera
PARAMETROS DE RECOLECCION DE DATOS DE INFORMACIÓN SENSIBLE O CONFIDENCIAL
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD IMPACTO O RESULTADO
SI APLICA
1 Programas o software Propios de cada proceso
2
Archivos considerados confidenciales o sensibles generados con el software
3
Archivos generados ajenos al software o programa ejemplo: PDF,
ACTIVO UBICACIÓN / PROCESO
RESPONSABLE $ C I D IMPACTO VALOR
El $ podríamos utilizarlo como valor entre 1 y 10 de acuerdo al costo para la organización Nota: Califique el impacto ($,C,I,D) con 1 a 10, siendo 10 = alto,
6 = intermedio y 1 = bajo o inferior Califique el valor en la escala (muy alto > 25, alto > 20, medio > 15 y bajo.
39
Microsoft,
4
Documentos considerados confidenciales por formato de títulos (según norma)
5
Contenido considerado confidencial o sensible por palabras
6
Contenido considerado confidencial o sensible por patrones
7
Documentos considerados confidenciales por autor.
8
Carpetas compartidas con información confidencial o sensible.
9 Utilización de dispositivos de almacenamiento
10 Manejo de repositorios de Información o datos
11 Manejo de documentos encriptados
12 Manejo de documentos comprimidos
13
Código Fuente de Aplicativos en herramientas. Ejemplo: Aldon, subversión
7.2.4 Riesgos de acuerdo a la información confidencial o sensible a proteger
Hasta este punto se debe revisar el tema de riesgo mencionado en los numerales anteriores o siguientes, de acuerdo al acompañamiento de un área que mida y este apalancada directamente por la organización. Para eso podemos utilizar unas tablas de probabilidad de frecuencia, para la fuga de información.
40
Para el ejemplo tomaremos los pilares de la Seguridad de la Información: DISPONIBILIDAD, INTEGRIDAD Y CONFIDENCIALIDAD.
Cuadro 8. Tablas de probabilidad/frecuencia e impacto
TABLAS DE PROBABILIDAD/FRECUENCIA
Nivel Rangos Ejemplo detallado de la descripción
1 Raro Puede ocurrir solo bajo circunstancias excepcionales
2 Improbable Podría ocurrir algunas veces
3 Posible Puede ocurrir en algún momento
4 Probable Probabilidad de ocurrencia en la mayoría de las circunstancias
5 Casi seguro La expectativa de ocurrencia se da en la mayoría de circunstancias
TABLAS DE IMPACTO
FRECUENCIA DE FUGA DE INFORMACION POR PERIODO
Impacto de la FUGA INFORMACIÓN (Confidencialidad,
Integridad, Disponibilidad)
Nivel Rangos Ejemplo detallado de la descripción-Confidencialidad, Integridad, Disponibilidad
1 Insignificante La cantidad de activos de información que se fuga es del 1%
2 Menor La cantidad de activos de información que se fuga es del 2% al 5%
3 Intermedio La cantidad de activos de información que se fuga es del 5% al 10%
4 Mayor La cantidad de activos de información que se fuga es del 10% al 20%
5 Superior La cantidad de activos de información que se fuga es mayor al 20%
La siguiente es la evaluación de riesgos en una matriz 5x5, de acuerdo al Cuadro 4. Escenarios de Riesgo, antes de llevar a cabo la implementación de la metodología para un sistema DLP completo en una entidad financiera, “sin controles”:
41
Cuadro 9. Matriz de Probabilidad vs Valor sin DLP
TABLA DE RIESGOS ANTES DE IMPLEMENTAR LA METODOLOGIA APLICANDO UN SISTEMA DLP
Probabilidad
valor
1 2 3 4 5
Casi seguro
5
Hurto de Información -- Estaciones de
trabajo servidores por
administradores del sistema ||
Hurto de Información -- otros activos no
conocidos camaras de celular || Hurto de Información --correo corporativo
, por web, ftp, Chat, Facebook, IM
(Datos en Movimiento) ||
Hurto de Informacion - Por print screen, ctrl +
c, clipboard, impresoras, usb´s u otros dispositivos
de medios extraible (Datos
en uso) ||
Probable
4
Hurto de Información propia de la compania --
Trafico de red ||
Hurto de información –
Recurso Humano –
Virus o información
cifrada || Hurto de
Información --- Celulares u
otro || Falsificación Documentos
electronicos -- Recurso
Humano ||
Hurto de Información -- Por
red Celulares, Unidades de red,
archivos compartidos, Bases de datos, Desktop u otro (Datos en
reposo) ||
42
Posible
3
Abuso de Privilegios -- Switch Cisco || Abuso de Privilegios --
Router || Abuso de
Privilegios -- Celulares de Alta Gama ||
Error en la documentación de
la ruta crítica -- Recurso Humano
|| Error en la planeación --
Recurso Humano || Falencias control
de accesos -- Celulares de Alta
Gama || Chantajes -- Recurso Humano
|| Chantajes -- Acuerdos de
Confidencialidad ||
Instrucción -- Enlaces de
Comunicación ||
Hurto de Informacion -
Recurso Humano - Capacitación
concientización concienciación ||
Improbable
2
Phishing -- Sistemas HTML3 || Falencias control de
accesos -- Servidores Web
Cloud con Amazon || Asignación errada de los
derechos de acceso -- Servidores Web Cloud con Amazon
|| Asignación errada de los
derechos de acceso -- Router ||
Asignación errada de los derechos de acceso -- Enlaces de Comunicación
|| Licencias /Salud -- Recurso Humano || Suplantación --
Servidores Web Cloud con Amazon || Suplantación --
Información ||
Sniffer -- Celulares de Alta
Gama || Uso software
Inseguro -- Celulares de Alta
Gama ||
Raro
1
DoS -- Servidores Web Cloud
con Amazon || Uso
software Inseguro -- Enlaces de
Comunicación ||
Secuestros -- Recurso
Humano ||
Phishing -- Bases de Datos || Phishing --
Celulares de Alta Gama || Falencias control de accesos
-- Enlaces de Comunicación ||
Copias de Seguridad
Incompletas -- Servidores Web
Cloud con Amazon || Copias de Seguridad
Incompletas -- Bases de Datos
||
Se espera que con la implementación de la metodología aplicando un sistema DLP se mitigue en gran medida los riesgos encontrados, en la matriz sin controles (Ver cuadro 9) (“Plan de tratamiento de Riesgos”).
43
Cuadro 10. Distribución de los porcentajes de acuerdo a los riesgos.
En la siguiente Matriz con controles (Ver cuadro 11), después de la implementación aplicando un sistema DLP, teniendo en cuenta los escenarios y matriz anterior Cuadro 9, se pueda observar la disminución en los porcentajes de riesgos que quedaron como inaceptable e inadmisible, específicamente para los Datos en reposo, en movimiento, y en uso.
Cuadro 11. Matriz de Probabilidad vs Valor Aplicando DLP
TABLA DE RIESGOS ANTES DE IMPLEMENTAR LA METODOLOGIA APLICANDO UN SISTEMA DLP
Probabilidad
valor
1 2 3 4 5
Casi seguro
5
Hurto de Información -- otros activos no conocidos camaras de celular ||
Probable
4
Hurto de Información propia de la compania
-- Trafico de red ||
Posible
3
Abuso de Privilegios --
Switch Cisco || Abuso de
Privilegios -- Router || Abuso de Privilegios -- Celulares de Alta
Gama ||
Hurto de Información -- Estaciones de trabajo servidores por
administradores del sistema || Error en la documentación de la ruta crítica
-- Recurso Humano || Error en la planeación -- Recurso Humano ||
Falencias control de accesos -- Celulares de Alta Gama || Chantajes -
- Recurso Humano || Chantajes -- Acuerdos de Confidencialidad ||
Instrucción -- Enlaces de
Comunicación ||
44
Improbable
2
Hurto de información – Recurso Humano – Virus o información cifrada || Hurto de Información --- Celulares
u otro || Hurto de Informacion - Recurso Humano - Capacitación
concientización concienciación || Phishing -- Sistemas HTML3 || Falencias control de accesos --
Servidores Web Cloud con Amazon || Asignación errada de los derechos de acceso -- Servidores Web Cloud con Amazon || Asignación errada de los
derechos de acceso -- Router || Asignación errada de los derechos de
acceso -- Enlaces de Comunicación || Licencias /Salud -- Recurso Humano || Suplantación -- Servidores Web
Cloud con Amazon || Suplantación -- Información ||
Sniffer -- Celulares de Alta Gama || Uso
software Inseguro -- Celulares de Alta
Gama ||
Raro
1 DoS -- Servidores Web Cloud con Amazon || Uso
software Inseguro -- Enlaces de
Comunicación || Secuestros --
Recurso Humano ||
Hurto de Información -- Por red Celulares, Unidades de red, archivos
compartidos, Bases de datos, Desktop u otro (Datos en reposo) || Hurto de Información --correo corporativo , por
web, ftp, Chat, Facebook, IM (Datos en Movimiento) || Hurto de
Informacion - Por print screen, ctrl + c, clipboard, impresoras, usb´s u otros
dispositivos de medios extraible (Datos en uso) || Phishing -- Bases de Datos || Phishing -- Celulares de Alta Gama || Falencias control de accesos
-- Enlaces de Comunicación ||
Copias de Seguridad Incompletas --
Servidores Web Cloud con Amazon || Copias
de Seguridad Incompletas -- Bases
de Datos || Falsificación Documentos
electronicos -- Recurso Humano ||
La disminución se da en los riesgos inaceptables(2), con un 5% e inadmisibles(1) con un 2,7%. Otro de los riesgos inadmisibles es la toma de fotografías a las pantallas con celulares, para lo cual se necesitaría otra implementación independiente, para dispositivos móviles como Movile Device Manager.
Cuadro 12. Distribución de los porcentajes de acuerdo a los riesgos.
45
Nota: En el ejemplo anterior no se tiene en cuenta la importancia de la información sino la frecuencia con que se presenta por un periodo determinado.
Cuadro 13. Nivel y estado de la información. Fuente [28]
INFORMACIÓN ELECTRÓNICA
NIVEL DE RIESGO ACCIÓN A TOMAR SOBRE LAS HERRAMIENTA APLICA
REGLA EN DLP
Secreta
Medio
Notifique Bloquee – Audite
Confidencial Alto Remueva – Notifique – Genere Alertas y
tratamiento para control En este numeral la entidad financiera debe validar si es necesario revisar de cual proceso es cada uno de los documentos. Se hace énfasis en que estos documentos electrónicos con información electrónica/ e-mails o información que se mueve por la red de la compañía financiera).
Cuadro 14. Definición de Datos en Entidad Financiera
DATO CONTENIDO TÍTULO PATRON O EXTENSIÓN
Nómina de empleados
Plan Estratégico de Negocio
Actas de Reunión Gerencia
Información estructurada
Contratos proveedores estratégicos
Numero de Cuentas de Debito/Crédito
Información personal empleados
Base de Datos Aplicativo Core de la Organización
Claves del sistema
Productos como: CDTs, Prestamos, Libranzas, etc.
Planes de mercadeo
Propuestas externas
Carpetas de archivo confidencial
Procedimientos críticos
Base de datos aplicativo Nomina
Acuerdos de confidencialidad
Registros de Procesos críticos
Reportes gerenciales
46
Archivos que contengan la palabra XXX
Palabras claves de la compañía
La información mencionada anteriormente debe ser muy bien estructurada y definida, ya que de esta depende la excelente implementación y funcionamiento de un sistema DLP para una entidad financiera.
7.2.5 Permisos de usuarios con la información confidencial o sensible. Durante la ejecución de las actividades el usuario maneja formatos o formularios de confidencialidad, documento que se van generando con información sensible, y deben ser definidos, que reglas de manejo se le van a aplicar a dichos documentos y que perfiles de usuario van a ser incluidos en dichas reglas de manejo. Si se está trabajando con la ISO 27001 es importante validar los controles que tratan las Políticas y procedimientos para el intercambio de información. Respecto al manejo de la información es importante que se cuente con una cláusula de manejo de la información confidencial y de propiedad intelectual sobre los derechos de la información contenida en los equipos de una organización determinada.
47
A continuación se adjunta un ejemplo por grupo de directorio activo:
Figura 5. Estructura de Permisos de Usuarios Entidad Financiera
Los permisos son asignados según el tipo de información que se maneje o según el directorio activo, normalmente se recomienda, según las reglas y políticas decidir cuáles son los privilegios que va a manejar un perfil específico, ejemplo: el área de contabilidad no tiene acceso al correo externo, solo al envío de correos internos, desde el mismo correo internos debido al tipo de información que manejan. Propietario de la Información: Es una parte designada de la entidad financiera, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen acceso y que pueden hacer con la información y de determinar cuáles son los requisitos para que la misma se salvaguarde ante accesos no autorizados, modificación, pérdida. Tomado de NTC ISO/IEC 27001. Custodio Técnico: Es una parte designada de la entidad financiera, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los
48
controles de seguridad (Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el propietario de la información haya definido, con base en los controles de seguridad disponibles en la organización. Usuario: Es un conjunto de permisos y de recursos (o dispositivos) a los cuales se tiene acceso. Es decir, un usuario puede ser tanto una persona como una máquina, un programa, etc. 7.2.6 Resultado final de la configuración y revisiones de indicadores
Después de haber recolectado los parámetros de información o datos de la entidad financiera, a continuación se procede a realizar una lista de reglas y políticas que se van a aplicar sobre los datos obtenidos
Se puede ver como un marco natural para la idea de la Data en uso y va a ser llevada o configurada para evitar su fuga sobre un software para propósito exclusivo de la fuga de información DLP, ya que tiene por objeto regular el uso de Información (confidencial) de acuerdo con las políticas de seguridad especificadas y por lo tanto también permite prohibir a eventos no deseados de las fugas de datos. Sin embargo, es más expresivo con respecto a impedir la divulgación de datos donde la mayoría trata de impedir el robo, según lo permitido o denegado el tratamiento de los datos puede ser definido de una manera más granular. Mientras que un típico sistema de protección contra la pérdida de datos(DLP Data Loss o Leak Prevention) permite o no permite, por ejemplo, la copia de datos de un sistema de confianza a uno de confianza por ejemplo: llevar de forma natural información a una Memoria USB, una solución de control de uso de datos podría especificar par este proceso especifico, la copia únicamente o el bloqueo. El control de uso ofrece la posibilidad de un uso granular más el control de los usos y de los movimientos de datos que los datos típicos de los sistemas de prevención de pérdidas o sistemas para prevenir la fuga de información, lo que permite la aplicación de políticas más complejas, en contextos específicos, y escenarios cada día más sofisticados para el hurto de la información, por lo tanto el establecimiento de controles de una manera más flexible para la protección contra divulgación de datos de forma inadvertida. Nuestro trabajo muestra cómo un control del uso DLP(Data loss prevention) se hace cada día mas necesario. Para efectos de pruebas en una entidad financiera, a continuación se procede a enumerar una lista de reglas y políticas generales que pueden ser tenidas en cuenta para la información recolectada anteriormente, bien sea en un sistema DLP u otros controles con herramientas diferentes.
49
Cuadro 15. Reglas de políticas que aplican sobre un DLP
REGLAS O POLITICAS GENERALES APLICABLES
Bloquear, monitorear, notificar y almacenar evidencia de transferencia de archivos adjuntos con datos confidenciales desde correo interno y correo externo
Bloquea, monitorea, notifica y almacena evidencia de transferencia de archivos adjuntos con datos confidenciales desde afuera al correo externo y correo interno.
Bloquea, monitorea, notifica y almacena evidencia de transferencia de datos confidenciales en el cuerpo del mensaje del correo electrónico interno y correo
externo
Bloquea, monitorea, notifica y almacena evidencia de Transferencia de archivos adjuntos con datos confidenciales en carpetas comprimidas (Con clave y sin clave)
del correo interno y correo externo
Bloquea, monitorea, notifica y almacena evidencia de copiado de archivos con información confidencial en medios extraíbles (CD, USB, discos duros, etc.).
Bloquea, monitorea, notifica y almacena evidencia copiada de fragmentos de archivos con información sensible en medios extraíbles.
Bloquea, monitorea, notifica y almacena evidencia la transferencia de información y datos confidenciales a través aplicaciones web (redes sociales, blogs, otras páginas)
Bloquea, monitorea, notifica y almacena evidencia la transferencia de información y datos confidenciales a través de aplicaciones web o ftp desde fuera de la red
interna
Bloquea, monitorea, notifica y almacena evidencia la transferencia de información confidencial o sensible a través de aplicaciones IM (Google Talk, MSN, skype, OCS,
etc)
Valida que los archivos con información sensible o confidencial generados por un usuario solo los pueda leer un grupo determinado de usuarios.
Verificar que un archivo con información sensible o confidencial pueda ser leído por una persona, modificado por otra diferente a quien lo creo e impreso solo por otra
más.
Bloquea, monitorea, notifica y almacena evidencia la transferencia de información y datos los archivos contenidos en una carpeta o repositorio específico (Http, FTP, NFS,
SharePoint y demás).
Bloquea, monitorea, notifica y almacena evidencia datos de información que salga de un archivo a otro tipo de archivo del mismo tipo
Bloquea, monitorea, notifica y almacena evidencia de los archivos generados por un usuario solo los pueda leer un grupo determinado de personas
Bloquea, monitorea, notifica y almacena evidencia la transferencia de un archivo vía VPN de un equipo en la red
Bloquea, monitorea, notifica y almacena evidencia que una porción tanto del archivo como de una base de datos determinado no pueda ser impreso
Bloquea, monitorea, notifica y almacena evidencia permisos para la impresión de archivos.
50
Bloquea, monitorea, notifica y almacena evidencia la impresión de pantalla de la información sensible o confidencial
Registra y controla el cifrado de información sensible o confidencial.
Se conservan las reglas y políticas fuera de red (Bypass)
Existe integración con el AD o LDAP
Permite definir roles de acceso a la aplicación
Almacena los eventos para al análisis forense
Se tienen notificaciones claras al usuario de las respuestas del DLP (Bloqueo/Monitoreo)
El Agente es compatible con las siguientes versiones de Windows ( XP, Vista y 7 , 32 y 64 bits)
El Agente cuenta con seguridad para prevenir ser desinstalado por un administrador
7.2.7 Como Implementar un Piloto DLP O Controles DLP (Pruebas)
Después de seguir los pasos anteriores, se recomienda iniciar con un piloto antes de la instalación en caliente del sistema DLP o del control seleccionado, es necesario acordar con el personal implicado en dicha implementación lo siguiente:
Crear diversos usuarios con perfiles diferentes para efectos de prueba
Contar con máquinas de prueba
Si no es posible lo anterior entonces:
¿Cuál va ser el grupo o los usuarios que se van a incluir en el piloto?
¿Están disponibles para pruebas dichos usuarios?
Cantidad de usuarios para las pruebas?
Definir acciones sobre las reglas que se van a implementar (que regla voy a bloquear, monitorear o supervisar (Ver cuadro anterior)
La introducción de pilotos DLP, facilitan el estudio de la viabilidad y el tipo de soluciones e integración a sistemas de seguridad de la información, respecto a las amenazas internas de fuga, esto permite realizar un sondeo y promedio de los datos son más vulnerables a la fuga. Para la implementación de los pilotos se debe contar con el apoyo de la alta dirección, la disposición para brindar información sobre políticas actuales de seguridad y nuevos controles o sistemas implementados en grupos primarios o en comités de cambios.
51
Se recomienda un tiempo prudente para la implementación y ejecución de un piloto de DLP, logrando así una recopilación de datos para validar cuales son los culpables reales y documentos asociados, después de esto se recomienda realizar una evaluación de todo el proceso y la recolección de información. Después de recibir la evaluación en aproximadamente el 80% de los casos, la dirección de un proyecto piloto tiene éxito, y casi inmediatamente se pone en funcionamiento el sistema. Los oficiales de seguridad juegan un papel fundamental en la implementación y acompañamiento de la instalación, para lo cual es importante que tanto el oficial de seguridad como el personal implicado en el piloto tengan un conocimiento claro de la metodología y los pasos para dicha implementación, definir liderazgos disposición y apoyos.
7.2.8 Resultado Final Después de realizar cada uno de los pasos de la metodología para la implementación de un sistema DLP, se recomienda realizar una evaluación de las diferentes herramientas de DLP, para efectos comparativos, se tomaron tres marcas de dichos sistemas que serán evaluadas a continuación en un cuadro comparativo.
Cuadro 16. Comparativo de Sistemas DLP (Data Loss o leak Prevention)
Symantec Websense McAfee
LISTA DE CHEQUEO DLP
CUMPLE CUMPLE CUMPLE
SI NO SI NO SI NO
Almacena y supervisa, y controla la transferencia de archivos adjuntos
con datos confidenciales a través del correo electrónico comercial
(Hotmail, gmail, yahoo, etc) e interno de la compañía al interior de la red
corporativa.
X X X
Almacena, supervisa, y controla la transferencia de datos confidenciales
en el cuerpo del mensaje del correo electrónico interno y correo
electrónico comercial (Hotmail, gmail, yahoo, etc) al interior de la red
corporativa.
X X X
Almacena, supervisa, y controla la transferencia de archivos adjuntos con
datos confidenciales en carpetas comprimidas (Con clave y sin clave) a
través del correo electrónico comercial (Hotmail, gmail, yahoo, etc) y
del correo interno al interior de la red corporativa y al exterior
X X X
Almacena, supervisa y controla la transferencia de archivos adjuntos con
datos confidenciales a través del correo electrónico comercial (Hotmail,
gmail, yahoo, etc) y correo interno desde fuera de la red corporativa.
X X X
52
Almacena, supervisa y controla la transferencia de archivos adjuntos con
datos confidenciales en carpetas comprimidas (Con clave y sin clave) a
través del correo electrónico comercial (Hotmail, gmail, yahoo, etc)
desde fuera de la red corporativa.
X X X
Registra y controla el copiado de archivos con información confidencial
en medios extraíbles (CD, USB, discos duros, etc). X x X
Almacena, supervisa y controla el copiado de fragmentos de archivos
con información sensible en medios extraíbles. X x X
Almacena, supervisa y controla la transferencia de datos confidenciales a
través aplicaciones web (redes sociales, blogs, otras páginas) X X X
Almacena, supervisa y controla la transferencia de archivos con datos
confidenciales a través de aplicaciones web o ftp desde fuera y dentro
de la red corporativa.
X X X
Almacena, supervisa y controla la transferencia de información sensible
a través de aplicaciones IM (Google Talk, MSN, skype, OCS, etc) X X X
Supervisar que los archivos generados por un usuario solo los pueda leer
un grupo determinado de usuarios. X X X
Supervisar que un archivo pueda ser leído por una persona, modificado
por otra diferente a quien lo creo e impreso solo por otra más. X X X
Bloquear que salgan los archivos contenidos en una carpeta o repositorio
específico (Http, FTP, NFS, SharePoint y demás). X X X
Bloquear que salga información exportando dicha información a otro
archivo del mismo tipo X X X
Supervisar que los archivos generados por un usuario solo los pueda leer
un grupo determinado de personas X X X
Supervisar que un archivo no pueda salir vía VPN de un equipo en la red X X X
Supervisar que una porción tanto del archivo como de una base de datos
determinado no pueda ser impreso X X X
Supervisar que un archivo solo pueda ser impreso por una persona
específica X X X
Supervisar que no se pueda realizar impresión de pantalla de la
información sensible y guardar una registro forense de dicho incidente,
con una imagen de lo que se trato de imprimir
X X X
Registra y controla o el cifrado de información sensible X X X
Detecta spyware, troyanos y otros tipos de malware para el robo de datos X X X
Se cuenta con un mecanismo para excepciones fuera de red (Bypass) X X X
53
Integración de herramienta con la infraestrutura de la compañía o
empresa X X X
Instalación Remota X X X
Filtros Predefinidos de Info Sensible (Tarjetas de Crédito, SSN, etc…) X X X
Filtros personalizados por expresiones regulares, Diccionario Y
Procesamiento Natural del Lenguaje X X X
Integración con el Directorio Activo X X X
Cuenta con métodos claros de identificación y monitoreo de uso de
información X X X
Se pueden configurar el envío de alertas para Syslog en cuestión de
correlación de Eventos X X X
Se pueden definir roles de acceso a la aplicación
(Admin/Operativos/Consulta, etc..) X X X
Se pueden exportar los incidentes a otro tipo de archivos (HTML, CSV,
Excel) X X X
En caso de requerir replicar reglas en otros servidores es posible
(Importar y Exportar) las configuraciones existentes. X X X
Se pueden programar escaneos de información (BD, Compartidos de
Red, Puntos Finales, etc..) X X X
Se pueden generar expresiones regulares para el análisis de información
en el Endpoint X X X
Existen notificaciones claras al usuario de las respuestas del DLP
(Bloqueo/Monitoreo) X X X
El cliente es compatible con las siguientes versiones de Windows ( XP,
Vista y 7 , 32 y 64 bits) X X X
Se puede definir cuantos recursos ocupará del equipo un endpoint al
realizar un escaneo de información de forma local X X X
El cliente cuenta con seguridad para prevenir ser desinstalado por un
administrador X X X
Se encuentra alineado con normas y cumple con requisitos a nivel de
circulares de la SFC X X X
Su funcionamiento utiliza Heuristica y algoritmos discretos X X X
La forma de almacenar las evidencias lo hace utilizando metodos de
encripcion fuerte X X X
54
7.2.9 Riesgos y Amenazas en la Implementación.
El resumen de la metodología que se mencionó, trato varios ciclos, donde se especifican los controles que se considera deben ser implementados en cada paso. Tener en cuenta que podría existir una Etapa 0 donde se tenga la clasificación de activos (información electrónica) y los riesgos asociados no solo a los activos sino al proyecto, bien sea un software DLP u otro control compensatorio. Dentro de los activos tecnológicos encontrados que puede surgir algún tipo de Riesgo o Amenaza están:
Capa Física
Dispositivos De Networking Y Comunicación
Sistemas Operativo
Bases De Datos
Correo Electrónico Y Mensajería
Servidores Web
Aplicaciones De Negocio
Otras Tecnologías Relacionadas El siguiente es un diagrama resumen el riesgo y amenazas presentadas en la implementación de un sistema DLp para una entidad del sector financiero:
Figura 6. Diagrama resumido de las Etapas Metodología Propuesta
55
Son los pantallazos de ambas herramientas y como capturamos las evidencias con las reglas programadas. Por ejemplo:
- Cuando se copia información a una USB - Cuando tratan de imprimirla - Parametrización de Mensajes en pantalla - Cuando se mueve de una unidad de red a otra - Cuando la envían anexa en un correo electrónico - Cuando toman un Pantallazo Print Screen. - Cuando le dan Ctrl C. - Cuando se envía cifrada y se requiere generar una alertamiento.
7.2.10 Evaluación De Sistemas Dlp
Sobre la evaluación de las propuestas actuales con respecto a la protección de fugas de información. Se puede identificar las principales debilidades de las mismas que pueden ser implementadas en una empresa de un sector financiero. Se debería comprender los conceptos de seguridad de la información, confidencialidad, integridad y disponibilidad y adicionalmente tener presente que al momento de cualquier implementación o consultoría, es importante validar cual herramienta es la más adecuada según las necesidades. 7.2.10.1 Aspectos DLP Symantec [46]
Cuadro 17. Evaluación y Aspectos DLP Symantec.
FABRICANTE SOLUCION
Symantec Data Loss Prevention
Ocupa el primer lugar entre los proveedores de soluciones DLP (Data Loss prevention) para las llamadas Fortune 500. Se trata de una suite completa de prevención de fuga de información confidencial. La solución de Symantec DLP, tiene varias maneras de detectar la información confidencial y evitar su fuga por cualquier medio. (E-mail, Navegación, Publicación en recursos compartidos, extracción hacia dispositivos removibles o medios magnéticos.)
56
Ofrece una solución unificada para detectar, supervisar y proteger la información confidencial sin importar dónde se almacene o cómo se utilice. Desventajas de Symantec a nivel de Endpoint es que no funciona o corre en Sistemas Operativos para Mac Os. La base de datos Oracle y por lo tanto la licencia del enforcer debe ser usada exclusivamente para tal fin. Si la maquina que tiene el Endpoint y esta es desconectada de la red y el disco duro de la maquina se encuentra con poca capacidad, estos se comienzan a almacenar sobre la misma. Y no se recomienda montarlo sobre servidores. Están más orientadas a X86. No funciona en Sistemas basados en Unix, Iseries o Pseries. Oracle 11g versión 11.2.0.2 (32-bit o 64-bit) con la actualización de parches críticos más recientes. Symantec Data Loss Prevention incluye Oracle 11g y los parches necesarios. Oracle 11g se puede ejecutar en los siguientes sistemas operativos: Windows Server 2003 (cualquier versión de 32 bits), Windows Server 2008 (Standard o Enterprise Edition) R2 (versión de 64 bits) y Red Hat Enterprise Linux 5.2 o posterior (32-bit o 64-bit) No se recomienda instalar el agente sobre servidores. Para este se debe o recomienda implementar el Modulo de Storage a fin de revisar el tema de la información que es llevada a los respaldos por personal no autorizado. Symantec ofrece una cobertura integral de la información confidencial en el endpoint, la red y los sistemas de almacenamiento, tanto si los usuarios están conectados a la red corporativa o como si no. Al reducir el riesgo sensiblemente, Symantec brinda a las organizaciones una confianza renovada para demostrar el cumplimiento, mientras protegen la marca, la propiedad intelectual y los clientes Symantec™ Data Loss Prevention for Endpoint Agent Management Symantec ™ Data Loss Prevention Se encarga de la protección de datos en medios portátiles con el fin de descubrir datos confidenciales de los laptop, de escritorio y de estaciones de trabajo. También proporciona a los clientes de punto final completa cobertura de los datos en cuanto a perdida ya que protege la información confidencial evita: Copiado al USB, tarjetas SD, u otros medios extraíbles, Grabar en un CD / DVD. Transferencias a través de correo
57
electrónico, web, mensajería instantánea o FTP. Para propósitos de laboratorio si se puede implementar el Mail Prevent DLP, y Web Prevent DLP (VMWARE) en el mismo servidor, pero para propósitos reales es necesario implementarlo en servidores independientes, así como el servidor Enforcer, el Discovery y Storage. Para el caso de archivos enviados via correo y se encuentren cifrados, es necesario revisar en los procesos de la compañía, como mencionábamos anteriormente, lo necesario de establecer políticas o reglas que nos ayuden a determinar quien puede o debe tener permisos para enviar información cifrada por correo. Y que alertas requiero generar tanto para el caso que un usuario copie un texto, del cual tiene reglas preconfiguradas. Por ejemplo: Ctrl + C. Se puede integrar con una Consola de PGP MAIL Gateway. Para envió de correos. Sobre el servidor de políticas de Symantec (ENFORCER) se definen una seria de reglas y estas se propagan a todos los demás servidores Symantec de la organización. Hay un servidor quien es el encargado de realizar inventario (discovery) y controla la información en los Enpoints, otro llamado Network Monitor que analiza todo el tráfico de mensajería instantánea e-mail, asi como navegación y demás protocolos de red. Basta definir una Regla y esta aplica a todos los servidores de detección de fuga de información. Las reglas pueden tener asociadas unas acciones de respuesta o remediación dependiendo del grupo al que pertenezcan, para poder responder a una fuga, bien sea con alertas vía correo a su jefe o a quien convenga. Existen varios métodos de detección, uno de ellos para datos “estructurados” (EDM= Estructured Data Matching) que identifica datos que están almacenados en bases de datos. Otro método es el (DCM= Described Content Matching) para contenidos descritos, ellos son números de tarjetas de crédito, Nits u otros que por su estructura pueden ser reconocidos por el sistema tales como, gracias a digitos de verificación, longitud y formato. Para proteger “la información realmente importante y core de la organización” es posible indexar algunos documentos (IDM= indexed Document
58
Matching), el sistema hace un hash, los encrypta y almacena de tal forma que cuando ese documento o una parte de el se mueve hacia un medio diferente o no seguro o sea enviado a un dominio no autorizado genera un incidente de seguridad. A continuación descripción de los módulos implementados: Symantec DLP Enforcer: Como mencionamos anteriormente allí corren la consola de administración y la base de datos Oracle, adicionalmente se podría instalar el software de Notificaciones Altiris, o un software de mesa de ayuda como un Aranda u otro que permita realizar deployments o despliegues del cliente de Endpoint Prevent y Endpoint Discover. Otra función que realiza este servidor es el control de Endpoint Prevent y Endpoint Discover. Dependiendo del tamaño de la organización estos 2 ultimos ser podría integrar. E-Mail Prevent. Este recibe todo el correo electrónico y lo analiza contra las políticas de DLP. Es necesario implementar Symantec Messaging Gateway(SMG), un MTA de correo, Ironport u otra solución interna, ya que el servidor de correo de la organización debe tirarle todo los correos a este servidor. En este punto se debe tener especial cuidado ya que se podría generar un loop, el servidor de correo entregárselos al servidor de DLP, el Servidor DLP los devuelve después de analizarlo de acuerdo a las políticas al servidor de correo, pero el servidor de Correo podría volvérselos a entregar al servidor de DLP. Web Prevent: Este recibe todo el trafico de la navegación y lo analiza contra las políticas de DLP. Otros de los modulos del DLP de Symantec son: El DLP Discovery y Storage los cuales no se detallaron en el alcance del presente proyecto. Figura 7. Esquema Módulos DLP Symantec. [46]
59
El siguiente es el pantallazo para autenticarse sobre la consola DLP Symantec:
Figura 8. Pantalla de autenticación Consola Symantec. [46]
Se pueden configurar las políticas y accesos tan granulares como queramos: El siguiente es un pantallazo del Dashboard o pantalla inicial de la consola de Symantec, donde podemos ver, el Home, los incidentes presentados, Administración y configuración del sistema. Así como Detección, Grupos, respuesta. Administración, Sistema. Symantec DLP incluye 70 plantillas predefinidas con reglas para agilizar el arranque de su proyecto, estas plantillas vienen predefinidas para diferentes entornos u organizaciones, por ejemplo: sector Salud, manufactura, financiero, entre otros y basadas en diferentes normas de seguridad pero el usuario puede y debe ajustarlo de acuerdo a las políticas definidas por la organización.
60
Figura 9. Dashboard Symantec. [46]
A continuación se muestra la Arquitectura de una solución DLP Symantec con tres servidores dedicados para E-mail Prevent, Web Prevent, Symantec DLP Enforcer. En esta arquitectura de laboratorio no se implemento el Discovery ni Storage.
61
Figura 10. Arquitectura para implementar DLP Network Monitor de Symantec. [46]
Figura 11. Maduración y etapas post implementación Symantec. [46]
62
7.2.10.2 Aspectos DLP McAfee
Cuadro 18. Evaluación y Aspectos DLP McAfee.[33-35] FABRICANTE SOLUCION
McAfee DLP Endpoint ofrece una protección incomparable frente al robo y divulgación accidental de los datos confidenciales. Esta protección afecta a todas las redes, las aplicaciones y los dispositivos de almacenamiento extraíbles.
Compatibilidad mejorada con la virtualización: aplica la directiva por usuario de sesiones múltiples y la infraestructura de escritorios virtuales, lo que ofrece flexibilidad y un mejor control de los datos que se transmiten a los terminales compartidos.
Etiquetado de archivos para ahorrar tiempo: ayuda a las organizaciones a establecer directivas que ahorran tiempo en función de la ubicación y de los tipos de aplicación. Las directivas de seguridad se preservan de la manipulación y modificación de los archivos.
Protección acorazada frente a los intrusos: protege el diseño de los productos y los códigos fuente frente a pérdidas de datos intencionales o inadvertidos al aplicar la protección a las acciones "copiar y pegar", además de nuevas herramientas de protección de captura de pantalla (por ejemplo, SnagIt).
Cifrado de datos sencillo: se integra con McAfee Endpoint Encryption para automatizar la aplicación de las directivas de cifrado de datos según el contenido.
Consola de administración centralizada: saca partido de la consola de McAfee ePolicy Orchestrator (ePO) para definir directivas, desplegar y actualizar agentes, supervisar eventos en tiempo real y elaborar informes para cumplir los requisitos de las normativas.
A continuación la imagen de acceso desde la consola antivirus a DLP Monitor:
63
Figura 12. DashBoard McAfee. [33-35]
Figura 13. Implementación DLP NETWORK McAfee. [33-35]
64
Figura 14. Etapas Administrativas e implantación DLP NETWORK McAfee. [33-35]
Figura 15. Diagrama sobre los Datos en Uso, reposo y movimiento McAfee[33-
35] Dlp Discover, Dlp Prevent, DLP Monitor, Gateway Mail, McAfee Epo
En la prueba con McAfee a nivel de Endpoint, Red y Web se logro lo siguiente:
65
Figura 16. Componentes de McAfee Host Data Loss Prevention y sus relaciones[33-35]
66
Figura 17. Diagrama de red de la implementación.[33-35] Se muestra el diagrama de red de la implementación.
7.2.10.2.1 Clasificación de marcado de documentos según el tipo Inicialmente el Tags se utiliza para darle un método de clasificación de contenido, son normas de etiquetado que permiten asignar etiquetas a los contenidos de las aplicaciones, sitios específicos, o por el contenido predefinido, patrones o palabras clave. Una vez asignada, la etiqueta se mantiene marcada a medida que se mueve o se copia. En el caso de McAfee existen otros tipos de etiquetas disponibles: • Las etiquetas estándar - usados para las reglas de etiquetado de localización y aplicación • Las etiquetas de Contenido - usados para las reglas de etiquetado basados en contenido.
67
Figura 18. DashBoard y opción para adicionar Reglas.[33-35]
Después de tener la clasificación de la información, se procede a realizar la creación de etiquetas para cada clasificación de los datos y luego la creación de reglas de etiquetado de etiquetado asociado a la etiqueta apropiada. Las normas de etiquetado asocian los archivos y datos con las etiquetas apropiadas.
Figura 19. Categorías y etiquetas en McAfee.[33-35]
68
7.2.10.2.2 Etiquetas estándar Las etiquetas estándar se asocian con las reglas simples de marcado de aplicaciones basadas en monitorear o bloqueo de todos los archivos creados por una aplicación específica o grupo de aplicaciones. Las reglas simples de marcado se basan en la localización monitoreo o bloqueo de todos los archivos en una ubicación especifica. Tipos de archivo y extensiones están predefinidos en el sistema y no pueden ser modificados por el administrador. La adición de un tipo de archivo específico o la extensión a una aplicación se basa en la ubicación. La etiqueta con la restricción de patrón de texto basado en aplicaciones o basado en localización permite combinar una etiqueta basada en el contenido con una etiqueta estándar. Una vez que una etiqueta se adjunta a un archivo, la etiqueta se mantiene con el contenido, incluso cuando se copia el contenido de en un archivo de diferente tipo o ubicación. Una etiqueta específica puede ser utilizada por más de una regla de marcado. Por ejemplo, la aplicación basada en una regla de marcado puede adjuntar una etiqueta llamada "Contabilidad" para determinados tipos de archivos, independientemente de su ubicación. 7.2.10.2.3 Etiquetas de contenido Las etiquetas basadas en el contenido se realizan utilizando un monitoreo del contenido como tal del archivo, con dichas etiquetas no se puede agregar condiciones para limitar más las reglas, como se puede hacer con las reglas basadas en aplicaciones y servicios de localización. 7.2.10.2.4 Clasificación de los datos Patrones de texto garantizados La creación de clasificación de patrones de texto organizado se hace haciendo una lista de la información que cumple con un patrón específico dentro de un documento ejemplo: se va a realizar una implementación de DLP para una entidad bancaria donde se maneja un patrón de tarjetas de crédito, donde son cuatro bloques cada uno con números de cinco dígitos. Creación de etiquetas y grupos de variables, las etiquetas de contenido se pueden crear por grupos de variables o diccionarios.
69
Figura 20. Diccionario para texto, números, palabras y permisos para determinar a quién le aplica.[33-35]
7.2.10.2.5 Diccionario de texto. Las etiquetas basadas en contenido utilizan patrones de texto para clasificar los datos de acuerdo a las palabras o patrones determinados. Pueden identificar secuencias conocidas, como "Empresa clasificada" o "Sólo para uso interno", o regular expresiones para permitir la coincidencia de patrones complejos, como una palabra repetitiva en un documento sensible. 7.2.10.2.6 Nivel de Bloqueo
Según las reglas se definen el nivel de severidad de cada uno de los ítems Monitoreo, Bloqueo, Notificación al usuario y Almacenamiento de Evidencia
70
Figura 21. Actividad a ejecutar y nivel de criticidad(Monitoreo, Bloqueo, Notifique al usuario o jefe, Almacene evidencia).[33-35]
Cuadro 19. Evaluación y Aspectos DLP WebSense Data Security Suite. [32] 7.2.10.3 Aspectos DLP WebSense
FABRICANTE SOLUCION
WEBSENSE DATA SECURITY SUITE incluye cuatro módulos integrados, gestionados mediante un único sistema de definición de políticas, que juntos ofrecen visibilidad y control sobre la fuga de información en la red y en los puestos de usuario, así como un descubrimiento de información exhaustivo a lo largo de los sistemas de almacenamiento de la empresa.
• Websense Data Monitor: controla la fuga de información en la red.
• Websense Data Protect: Aplica controles automatizados basados en políticas para bloquear, poner en cuarentena, redireccionar, auditar y registrar o notificar las infracciones a los usuarios.
• Websense Data Endpoint: Aplica controles automatizados basados en políticas para identificación de información en uso de aplicaciones, dispositivos periféricos y en puestos
71
de usuario; descubrimiento y clasificación local de información confidencial
• Websense Data Discover(Web Security Gateway Anywhere): descubre y clasifica información confidencial almacenada en depósitos de la empresa, con medidas correctivas personalizables, incluida la eliminación de archivos HTTP, HTTPS,SMTP, lo que elimina la necesidad de soluciones de proxy de terceros adicionales y caras.
- Email Security Gateway anywhere - Mobile Security - WebSecurity proxy.
Es necesario un servidor llamado Protector.( El CD solo contiene el O.S. y el DSS Protector. La otra parte del software de la Suite completa, es decir, el DSS Server tiene un instalador diferente y sería instalado en un servidor para este escenario debe revisarse muy bien las características, los temas de Bases de datos y rendimiento en la red y/o cambios de arquitectura a nivel de red.
Una de las bondades de WebSense es que ofrece Appliances “propietarios”.(appliances V5000, V10000 o superiores)
Adicionalmente tiene un Motor de clasificación de análisis de contenido, entendiéndose como contenido, todas aquellas actividades que realizan los usuarios a internet desde sus estaciones típicas, dispositivos móviles o acceso a la nube.
Tiene otros 2 productos muy interesantes como Data Mobile y Cloud Web Security Gateway.
72
Figura 22. Comparación de los diferentes entornos ofrecidos por WebSense [32]
El siguiente es un diagrama de flujo básico para ilustrar la capacidad de ESGA (Email Security Gateway Anywhere) de controlar la información en los clientes que están fuera de tu organización pero que envían correos a través de su correo corporativo.
73
Figura 23. Arquitectura WebSense para protección de Mail [32]
Se aclara que las personas q estén fuera de la red de la compañía y utilicen por ejemplo el OWA para enviar información confidencial por el correo de la misma quedarían cubiertas con el producto Email Security Gateway Anywhere.
74
Figura 24. Consola Triton WebSense [32]
Figura 25. Proceso de Funcionamiento de un Sistema DLP [1]
75
Figura 26. Propuesta Arquitectura para cualquier DLP [1]
76
8. ESTÁNDARES, REFERENTES, NORMAS, MARCO LEGAL Y MEJORES-BUENAS PRACTICAS
En las entidades del sector Financiero se rigen la Ley Estatutaria 1266 De 2008 “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones” La Ley de Hábeas Data ey 1581 de 2012, fijó finalmente un marco normativo que establece el tiempo de permanencia de la información negativa de los colombianos, así como la forma en que se deben hacer reclamos por errores e inconsistencias, y las sanciones para bancos, empresas de telefonía celular u administradores de la información si no hacen las correcciones pertinentes. Esta Ley es de suma importancia, ya que tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y todos los derechos y libertades constitucionales consagrados particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países. Otras: DECRETO 663 DE 1993 (Abril 2 de 1993), Circular 052/022/042, Circular 002, 041/038 de control interno, 17 de octubre de 2012 Diario Oficial 48587, LEY 1273/2009.
El uso de la información a través de canales que procesan los datos en los sistemas de forma electrónica, ha permitido nuevas y eficientes formas de prestar servicios a las organizaciones, usuarios, clientes y público en general con elementos tales como: compras por internet, los servicios que ofrecen diferentes entes del gobierno, sistemas de información, bases de datos, almacenamiento en la nube, etc. Sin embargo, es cada vez más clara la necesidad de que se brinde a las personas y empresas una mayor protección contra el posible mal uso de la información que le compete, sin que esto implique un intento de limitar o restringir los beneficios que pueden aportar las tecnologías de información. A continuación se habla acerca de las legislaciones, tanto nacional como internacional relacionada con la prevención de pérdida de datos, así como las mejores prácticas con un enfoque hacia diferentes controles de la familia ISO27000 y las tecnologías aplicadas.
77
Sobre la legislación de protección de los datos se han establecido Política y el programa Global de Protección de la Privacidad, con el fin de asegurar que el respeto de la privacidad de las personas es un punto clave de la cultura de la compañía y de sus operaciones. En la tipificación de leyes de índole informática, también se crearon en el mundo normas conocidas como “Mejores Prácticas”, igualmente las cuales son modelos a seguir para trabajar de manera segura, en orden y efectivamente. Cuadro 20. Normatividad relacionada para implementación de controles que
ayudan a prevenir la fuga de información.
NORMA EXPIDE DESCRIPCIÓN
ISO/IEC 27001
ISO
Requisitos para los Sistemas de Gestión de Seguridad de la Información, norma que permite certificar la implantación de un Sistema de gestión de Seguridad de la Información en un organización. Es la norma principal de requisitos del sistema de gestión de seguridad de la Información. Es la norma a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, para que sean seleccionados por las Organizaciones en el desarrollo de sus SGSI.
ISO 27005 ISO
Establece las directrices para la gestión del riesgo en la seguridad de la Información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la Seguridad de la información basada en un enfoque de gestión de riesgos. Es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la Información.
MAGERIT
Ministerio de
Hacienda y
Administraciones
Públicas Español
Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica que estima que la gestión de los riesgos es una piedra angular en las guías de buen gobierno.
OCTAVE Cert
(Evaluación de Vulnerabilidades, Activos y Amenazas criticas), del Software Engineering Institute(SEI) de la Universidad Carnegie Mellon. Se trata de una metodología propuesta para facilitar la evaluación y la gestión de riesgos
78
NORMA EXPIDE DESCRIPCIÓN
en una organización.
ISO 31000 ISO
La norma UNE- ISO 31000:2010 denominada "Gestión del riesgo. Principios y directrices" es un estándar que proporciona principios y directrices genéricas sobre la gestión del riesgo. Se trata de una norma general de aplicación a cualquier organización independientemente del tamaño o sector.
BS 7799-3 British Standar
Institute
"Information security management systems. Guidelines for information security risk management".Proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
BASILEA II COMITÉ DE BASILEA
Es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicado inicialmente en junio de 2004, es la creación de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios para asegurar la protección de las entidades frente a los riesgos financieros y
operativos.
PCI-DSS 2.0
PCI Security
Standards Council
LLC
Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito.
pa-dss_es-la_v2 [3]
PCI Security
Standards Council
LLC
El objetivo de la PA-DSS es ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguro que no almacenen datos prohibidos, como la banda magnética completa, datos de PIN o de CVV2 (Valor de verificación de la tarjeta), y cerciorarse de que sus aplicaciones de pago admitan el cumplimiento de la PCI DSS. Las aplicaciones de pago que se venden, distribuyen o autorizan bajo licencia a terceros están sujetas a los requisitos de la PA-DSS.
HIPAA Congreso de los
Estados Unido
La meta fundamental de la ley es facilitar a las personas el mantener, protección sobre la confidencialidad y la seguridad de la información del cuidado médico y ayudar a la industria del cuidado de la salud a controlar los costos administrativos.
GLBA Congreso de los
Estados Unidos
La ley Gramm-Leach-Bliley de 1999 y el proyecto de ley del Senado de California de 1386 tienen serias consecuencias para las entidades que recopilan información de sus clientes. En líneas generales los datos personales consisten en cualquier combinación del nombre (o inicial) y los apellidos
79
NORMA EXPIDE DESCRIPCIÓN
con algún número de identificación, ya sea de la seguridad social, de tarjetas de crédito o relacionado con cuentas bancarias. Las instituciones financieras y educativas son las que se enfrentan a una labor más compleja a la hora de cumplir con estas normativas
COSO, COSO 1 Y
COSO2
Comité de
Organizaciones
Patrocinadoras de la
Comisión Treadway
Es un informe en donde se detallan los puntos de Control interno que se manejan en las empresas.
ITIL ITIL Está compuesto por una serie de mejoras a la administración de procesos para la mejora del servicio.
COBIT ISACA
Requerimientos de seguridad establecidos por la ISACA (Information Systems Audit and Control Association, Asociacion para el Control y la Auditoria de los Sistemas de Información, www.isaca.org.)
El siguiente es un Ejemplo de una cláusula para confidencialidad de información con terceros, asociados o proveedores que participen en alguna entidad del sector financiero:
8.1 CONFIDENCIALIDAD DE LA INFORMACIÓN Los datos, procesos y en general toda la información suministrada por la organización a un tercero, a la cual ésta o su personal tenga acceso directo o indirecto, es de propiedad exclusiva de la organización origen a propi, y será tratada como información confidencial por un periodo indefinido. En consecuencia, el TERCERO se obliga a mantener estricta confidencialidad sobre la documentación e información que conozca o reciba en desarrollo del presente convenio y en particular se obliga a: (i) Proteger la confidencialidad de la información verbal, escrita o que por cualquier otro medio reciba, restringiendo su uso exclusivamente a los interesados o que tengan absoluta necesidad de conocerla, para los efectos del desarrollo del objeto del presente contrato o archivo, (ii) Garantizar que las personas que tengan acceso a la información conozcan su carácter de confidencial. En consecuencia, se obligan a mantener mecanismos internos adecuados para proteger la confidencialidad de la misma, (iii) Utilizar la información única y exclusivamente para los fines comerciales del presente convenio, (iv) No publicar, comunicar, divulgar, revelar, utilizar, ni permitir que otras personas o intermediarios u otro tercero que haya tenido acceso a la información, publique, comunique, divulgue, revele o utilice la información para fines diferentes a los previstos en un documento de acuerdo a la presente clausula, (v) Cumplir la obligación de confidencialidad, de conformidad con el
80
presente archivo, de la misma forma y con el mismo cuidado con que se realiza la protección de la información confidencial propia. No obstante lo anterior, son excepciones a esta obligación de confidencialidad, las siguientes: (i) Información que en el momento de la revelación ya fuera del dominio público o que después de la revelación se publique o llegue a pertenecer al dominio público, salvo que ello ocurra como consecuencia de la violación de el Tercero o de sus directores, empleados o intermediarios, a sus obligaciones de confidencialidad establecidas en el presente convenio, (ii) Información que pueda demostrarse que ha sido independientemente desarrollada por el Tercero o adquirida de un tercero que a su vez hubiese recibido dicha información sin restricciones directas o indirectas, sobre su posterior divulgación, y (iii) En aquellos casos en que la divulgación de la información sea requerida por la ley o autoridad competente. El Tercero garantizará la confidencialidad, integridad y conservación de la información en condiciones de seguridad y calidad, garantizando, cuando así se solicite, la devolución de la misma a la organización origen en la forma que establezcan las Partes.
81
9. CONCLUSIONES Y RECOMENDACIONES
Todas las entidades incluyendo las del sector financiero, son vulnerables en algún grado a las amenazas constantes que se presentan contra la información importante y que pueden comprometer cualquiera de sus principales propiedades: Confidencialidad, Integridad y Disponibilidad. Para poder establecer de forma adecuada un sistema DLP de manera que proteja correctamente la información confidencial de la compañía, es necesario que se conozca de manera adecuada cual es la que contiene información sensible de la Organización (Metodología propuesta), quién es el responsable de dicha información, el valor de la información, ubicación y si aplica alguna política interna, legal o del cliente para la Organización y cuáles son las amenazas y vulnerabilidades que pueden materializarse y comprometer la misma.
Con la propuesta de esta metodología, se concluye que el objetivo que se diseñó al inicio de este proyecto, el cual consiste en proponer un modelo de seguridad para la implementación de soluciones, políticas, buenas-mejores prácticas, protección y control de acceso lógico orientados a la prevención de pérdida de datos en la organización, se cumplió de forma satisfactoria.
Esta metodología toma el ciclo de vida de los datos electrónicos dentro de la organización, iniciando desde la etapa de creación, almacenamiento, tratamiento, identificación, movimiento y la disposición final de esos datos hasta su destrucción.
La metodología toma los elementos principales que consideramos importantes pensando en la posibilidad de ser implementado en cualquier organización, del sector financiero, ayudando a una gestión segura de los activos, datos electrónicos que fue el caso de estudio en el que nos concentramos.
Cuando se inicie un plan de implementación de un sistema DLP, en un empresa del sector financiero se deben tener presente los principales, riesgos, amenazas y vulnerabilidades a las que se están expuestas y como se beneficiará, una entidad de este sector cuando se culmine dicho proyecto.
Los pasos que se mostraron toman importancia, ya que; actualmente muchas organizaciones de diversas índoles le están dando cada día más importancia al manejo, tratamiento y evolución de la información en tránsito que comparten o intercambian con sus terceros,
82
clientes o asociados, estableciendo políticas, estándares, líneas bases, acuerdos, procedimientos, normas e inclusive leyes que la regulan.
Es importante mencionar que la correcta ejecución de la metodología va en la mismo vía a nivel de las directivas. La organización debe ser consciente, que con base al análisis propuesto, pueden salir a luz todas sus debilidades y riesgos con los que cuenta, y como puede ayudar a minimizarlos con la implementación bien sea del mejor DLP o de otros controles adicionales que ayudan a prevenir la perdida de información.
La mayoría de fabricantes de sistemas DLP ofrecen metodologías para la implementación de sus herramientas, de igual forma las empresas que las comercializan tienen consultores especializados que evalúan el riesgo sobre qué información debe configurarse y que reglas deben establecerse en la configuración inicial del sistema. Esto permite identificar claramente que se puede disminuir considerablemente el problema de los errores de configurar o monitorear erróneamente información que no tiene relevancia para la compañía (Falsos positivos – Falsos negativos.). Pero por otro lado están los costos para una Organización que no cuenten con un SGSI o de tomar estas consultorías propias de clasificación de datos para la implementación de un DLP de forma obligatoria por el desconocimiento de o por no tener una metodología, cualquier organización que quiera tomar esta metodología podría implementarla y adaptarla a la misma. La recomendación es saber realmente que es lo importante o que podría hacer que pueda tener multas o perdidas en caso de ser conocida por personas no autorizadas.
La gestión del riesgo acompañada de una correcta clasificación de información en conjunto con los usuarios líderes de los procesos es una herramienta de decisión y de administración que facilita a los propietarios y/o directores de la compañía a analizar situaciones específicas cuando se presenta fuga de información y esta es detectada por medio de la herramienta y tomar de manera consciente las decisiones que permitan que un proceso avance por el camino correcto y no por el camino de la conveniencia. Es decir convertir las amenazas y los factores de vulnerabilidad en oportunidades de cambio positivo.
La rigurosidad con la que se quería plantear esta metodología propuesta pretende definir una gran cantidad de tópicos relacionados de forma directa o indirecta con los datos electrónicos (donde se encuentran?). Desde un análisis de riesgos, un valor de clasificación, para luego ser configurado como política en un Sistema DLP dependiendo del resultado de un Plan de tratamiento de riesgos, sus vulnerabilidades y amenazas presentes, o como definir un correcto control de accesos, permisos sobre
83
datos electrónicos(Lectura, escritura, copiar/pegar, mover, imprimir, copiar a Cd, subir a la Nube) esto para el caso de la información o datos electrónicos no estructurados, y para el caso de los estructurados, la vista, modificación, el borrado y la extracción pueden ser tratados tan profundamente como sea necesario.
Se muestran los pantallazos de las consolas de las tres (3) herramientas para prevención de fuga de información lideres por Gartner [7] (Symantec, McAfee y WebSense).Se documentan las imágenes y sus alertas del caso práctico de la implementación de algunas de las políticas resultantes de la metodología, sin embargo, lo que se puede mencionar de esta experiencia es que la implementación de las soluciones propuestas frente a que mira una organización del acompañamiento del modelo no es factible de forma total, debido a como se menciona en algún aparte del trabajo debido a que esto implica y tiene un costo alto. Lo que se recomienda y puede hacer para iniciar es implementar otros de los controles mencionados (antivirus, bloqueo de usb, cifrado, entre otros).
Las tres herramientas revisadas pueden adaptarse a cualquier tipo de compañía, dependiendo de las necesidades, si revisamos el cuadrante de Gartner [7] existen otras herramientas que pueden llegar a prestar el mismo servicio. Estas dependen de las decisiones o evaluaciones que se realicen al interior. El evaluar una herramienta de estas, los controles adicionales de seguridad, productos o fabricantes puede ser similar a la evaluación de otro hardware o software que requiera la compañía para evitar la fuga de información. (Evaluación técnica, operativa, de proveedor, usuario y piloto.)y los costos administrativos que puede acarrear.
La Metodología para Prevenir la fuga de información aplicando un sistema DLP.que ayuda a la prevención de perdida de datos electrónicos dentro de una organización puede tener un alcance mayor, por ejemplo con la implementación completa de un Sistema de Gestión de Seguridad de la Información, o con algún otro estándar que lo exija. Como se ha mencionado, esta metodología recopila otros temas relativos a la prevención de fuga de información que puede ser el punto inicial para otros temas de investigación más allá de un análisis de riesgo, clasificación y políticas, e incluso como propuestas de otros trabajos futuros.
De nada sirve clasificar los activos si posteriormente no implementamos medidas para su protección.
Debido a la emisión de la Ley 1581 y las multas que se han impuesto en algunas organizaciones, muchas compañías han optado por implementar muy seriamente controles como los presentados en el presente proyecto. Cabe mencionar que el cumplimiento de esta no solo son controles tecnológicos.
84
10. BIBLIOGRAFIA
[1] Kim, J, Kim, Hyung (2010), Design of Internal Information Leakage Detection System Considering the Privacy Violation. IEEE. (pp.480-481) [2] GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN CLOUD COMPUTING V3.0 [3] PCI Data Security Standard (PCI DSS Febrero 2013 Cloud Special Interest Group PCI Security Standards Council [4] NTC-5411-1 [5] GTC-169 [6] INCIDENTES FUGA DE INFORMACION IRM11-FugaDeInformacion-OEA [7] Proctor P, Mogull R.. and Oullet E., Magic Quadrant for Content Monitoring and Filtering and Data Loss Prevention, 2Q07 Gartner Inc. [8] CONFIDENCIALIDAD DE LA INFORMACIÓN, SEGURIDAD Y CALIDAD Concepto 2009063757-001 del 1 de septiembre de 2009 Superintendencia Financiera de Colombia. [9] M. S. Shin & K. J. Jeong. “Alert Correlation Analysis in Intrusion Detection”. Proceedings of the Second international conference on Advanced Data Mining and Applications ADMA'06, pp. 1049-1056, 2006. [10] Kim, Y., Park, N., Hong, D., (2011), Enterprise Data Loss Prevention System Having a Function of Coping with Civil Suits. Computers, Networks, Systems, & Industrial Eng. SCI 365, (pp. 201–208)
[11] GÓMEZ Vieites, Álvaro. Seguridad Informatica Basica. 1era Edición.Bogota DC, Ecoe Ediciones Ltda., 2011. pp. 5- 15. ISBN: 978-958-648-721-4 978-970-15-1266-1 [12] ACEITUNO Canal. Vicente. Seguridad de la Informacion: Expectativas, riesgos y técnicas de protección. Limusa Noriega Editores, 2006. ISBN 84-933336-7-0. [13] INFOSEC Glossary 2000 [14] An ISACA White Paper Data Leak Prevention P.P (3-7)
85
[15] Daltabuit Hernandez [16] TALLER INTERNACIONAL Seguridad de la Información, ANALISIS DE RIESGO Y CLASIFICACION DE INFORMACION Martin Vila 2009 [17] Libro Diseño de un Sistema de Gestión de Seguridad de Información. Alberto G. Alexander AlfaOmega [18] Cormick, M., (2008), Data Theft: A Prototypical Insider Threat, Minneapolis, MN, (pp, 53-68). [19] Blasco, J., (2012), Information Leakage and Steganography Detecting and Blocking Covert Channels. (pp. 1-157). [20] Bishop, M., Gollmann, D., Hunker, J., W. Probst, C., (2008), Countering Insider Threats. (pp, 1-18) [21] Clark, K., (2008), Automated Security Classification. Consulting Technology Outsourcing. (pp. 1-80) [22] Gomez-Hidalgo J, Igor Santos J, Martın-Abreu J, Brezo F, BringaS, P (2010), Data Leak Prevention through Named Entity Recognition, IEEE International Conference on Social Computing / IEEE International Conference on Privacy, Security, Risk and Trust,.(pp. 1129-1134). [23] Hashimoto, G., Rosa P., Filho, E., Machado, J., (2010), A Security Framework to Protect Against Social Networks Services Threats. IEEE,.(pp.189-194). [24] Hart, M., Manadhata, P., Johnson, R., (2011), Text Classification for Data Loss Prevention. S. Fischer-H¨ubner and N. Hopper (Eds.): PETS 2011, LNCS 6794, pp. 18–37. [25] Johnson, M., (2009), Data Hemorrhages in the Health care Sector, [26] Ley 1581 17 de Octubre 2012 Colombia. Superintendencia de Industria y Comercio. [27] Proctor, P., Mogull, R,. and Oullet E.,(2013) Magic Quadrant for Content Monitoring and Filtering and Data Loss Prevention, Gartner Inc.(pp. 1-1) [28] Teymouri, M., Ashoori, M, (2010) The impact of information technology on risk management. 2010 Published by Elsevier Ltd. doi:10.1016/j.procs.2011.01.056
86
[29] W¨uchner, T., Pretschner, A,.(2012). Data Loss Prevention based on data-driven Usage Control. IEEE 23rd International Symposium on Software Reliability Engineering (pp. 151-160) [30] Xue, C., Liu, J., Cao, H., (2011), Study on Risk Evaluation of Enterprise Information Systems. Procedia Engineering. Vol 15 (pp, 1889-1893). [31] http://el-observatorio-politico.blogspot.com/2009/06/el-saber-es-poder-dijo-francis-bacon.html
[32] http://www.websense.com/assets/webinars/2013-Threat-Report/LAT-AM-ES-2013-Threat-Report/index.htm [33] McAfee HDLP Proof of Concept – SE Guide [34]McAfee Host Data Loss Prevention 9.1-Guía de instalación [35]McAfee Host Data Loss Prevention 2.2- Product Guide
[36]http://www.superfinanciera.gov.co/
[37] http://www.actualidadextereo.com/2013/02/nueva-ley-de-habeas-data.html [38]http://www.sans.org/reading_room/whitepapers/dlp/data-loss-prevention_32883 [39]http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionAlexanderRodriguez-ClasificacionyPrevencionFugadeInformacion [40]2007 ARO/FSTC Workshop on Insider Attack and Cyber Security (IACS07), http://www.cs.dartmouth.edu/~insider [41]http://cert.societegenerale.com [42] http://www.websense.com/content/Regional/latam/Home.aspx [43]U.S. InterAmerican Community Affairs. Recuperado: Diciembre de 2009. Disponible en: http://www.interamericanusa.com/index.htm [44] http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/ [45] http://auditoriadesistemas.galeon.com/productos2223863.html
87
[45]http://www.cisco.com/web/offer/em/pdfs_innovators/LATAM/data_threat_sp.pdf [46] Data Theft: A Prototypical Insider Threat. Michael McCormick, CISSP
