Actualmente, uno de los activos más preciados para una empresa es la información, y especialmente la información sensible o confidencial. Pero, ¿qué es la información sensible?
Existen muchas definiciones, pero en el entorno empresarial una de las más completas, desde mi punto de vista, es la siguiente: “Aquella información, así definida por su propietario, cuya revelación, alteración, pérdida o destrucción puede producir daños importantes a la organización propietaria de la misma”.
Teniendo en cuenta que cada vez más cantidad de información está en formato electrónico, como profesionales del sector de las TI y, en concreto, de la Seguridad de la Información, nuestra misión fundamental es protegerla.
Como ya hemos oído o leído en multitud de ocasiones, la pérdida de información sensible puede producirse accidental o malintencionadamente, pero, en cualquier caso, puede y suele acarrear un daño económico y de prestigio, afectando a la empresa y su marca asociada.
Realmente es más sencillo de lo que parece perder información sensible o dejarla expuesta a diferentes riesgos y amenazas. ¿Quién, por ejemplo, no ha enviado algún correo electrónico a un destinatario erróneo? No es muy atrevido decir que puede ser una situación usual en cualquier persona que utilice de forma intensiva el correo electrónico, aunque sea enviando información poco relevante.
Pero, ¿qué sucedería si la información enviada en ese correo electrónico fuese confidencial para la empresa?, ¿y si la transmisión de esa información sin el consentimiento del propietario de la misma estuviera incumpliendo alguna ley? Pues probablemente tendríamos un serio problema, bien porque dicha información confidencial pudiera caer en manos de nuestra competencia o en las de posibles ciberdelincuentes.
Evidentemente, el problema se agrava en función del tipo de información que manejemos, pero, en cualquier caso, debemos tener en cuenta que somos humanos y, como tal, en ocasiones, cometemos errores.
Por otro lado, cada vez son más habituales las noticias relacionadas con las fugas de información intencionadas, casos de espionaje industrial o filtraciones de información por parte de trabajadores descontentos que se apropian de esta información sensible.
Un ejemplo que casi todos los aficionados a los deportes de motor recordarán se produjo hace aproximadamente tres años, cuando se destapó una trama de espionaje en uno de los deportes con mayor inversión económica, la Fórmula 1. Se trata del archiconocido caso McLaren–Ferrari. A pesar de que es uno de los deportes en los que se realizan inversiones millonarias, en este caso la motivación fue la frustración de un trabajador, que esperaba un ascenso que no se produjo. Parece un problema de índole menor, pero el impacto en cambio fue muy importante.
Como parte de las actividades de espionaje industrial, se están prodigando cada vez más los casos de ciberespionaje. Buen ejemplo de ello fue la bautizada como “Operación Aurora”, un sofisticado ataque a varias multinacionales de gran tamaño destapado en enero de este año.
Según algunas hipótesis, el objetivo de esta operación fue el robo de información confidencial de las distintas empresas atacadas, entre ellas, las tecnológicas Google y Adobe. Para ello, seleccionaron estratégicamente miembros de cada compañía y, mediante una vulnerabilidad de día cero, infectaron sus ordenadores con un malware con el que controlaban remotamente los sistemas informáticos infectados.
Otro ejemplo más reciente es Stuxnet, que infecta sistemas Windows explotando vulnerabilidades Zero day, al igual que en la “Operación Aurora”, pero en este caso está especialmente creado para espiar y reconfigurar sistemas de Supervisión, Control y Adquisición de Datos o SCADA (del inglés Supervisory Control And Data Acquisition), utilizados para la gestión y control de las infraestructuras críticas.
Con un simple vistazo sobre la realidad diaria de nuestro trabajo, y centrándonos en las tecnologías de la información, podemos ver cómo cada vez disponemos de más canales por los que gestionar y transferir la información. Algunos ejemplos muy recientes de ello son las redes sociales o los dispositivos móviles.
La protección y monitorización de estos canales y de la información que circula por ellos es uno de los grandes retos que tenemos los profesionales de la Seguridad TI. Para ello, es muy importante tener claro los distintos estados de la información en función de su ubicación:
- Información en reposo: Los datos que residen en los sistemas de archivos, bases de datos y cualquier otro medio de almacenamiento tradicional y normalmente alojados en los centros de datos de las empresas.
- Información en tránsito: Son los datos que se mueven hacia el exterior de la empresa a través de redes públicas, habitualmente Internet.
- Información en el punto final (endpoint): Se trata de datos almacenados en los terminales de los usuarios o en dispositivos de almacenamiento portables (por ejemplo: USB, CD o DVD, discos duros externos, reproductores MP3, portátiles o smartphones).
Para tratar de evitar la pérdida de información sensible, debemos identificar qué información es realmente vital para la empresa, antes de poder protegerla adecuadamente. Evidentemente, esta tarea no es sencilla y requiere un estudio pormenorizado en cada caso, pero siempre existe una base inicial sobre la que empezar a trabajar, como son el cumplimiento regulatorio o la protección de propiedad intelectual.
La tecnología DLP debe ser capaz de identificar y supervisar las acciones realizadas sobre la información sensible en cualquiera de sus estados: almacenada, en tránsito (vía web) o en el punto final (dispositivo)
En el momento en que hablamos de la protección de información, debemos tener en mente las tecnologías Data Loss Prevention (DLP) y Enterprise Data Right Management (EDRM) o Information Rights Management (IRM). Aunque el objetivo de ambas tecnologías es proteger la información, difieren bastante en cómo lo hacen.
Las tecnologías DLP pretenden proteger las fugas de información mediante un control de los repositorios y medios de transmisión dentro de la empresa; mientras que EDRM o IRM se centran en el control de acceso y uso de los archivos a proteger, independientemente del lugar en que se encuentren.
Las misiones de las tecnologías
Centrándonos en las tecnologías DLP, y como su propio nombre indica, su principal reto debe ser facilitar el trabajo de prevención y detección de fugas de información. Para ello, deben ser capaces de identificar, proteger y supervisar las acciones llevadas a cabo sobre la información sensible o confidencial. Estas capacidades debe realizarlas sobre los distintos estados de la información (almacenada, en tránsito o en el punto final o endpoint).
En cuanto a los EDRM o IRM, su principal misión es la protección de los derechos digitales, tanto de usuarios externos como internos a la organización, con independencia del lugar en el que se encuentre la información. Al no importar la ubicación de ésta, deben disponer de mecanismos de autenticación suficientemente robustos e interoperables con el resto de soluciones de la organización.
El uso de estas tecnologías debe ayudarnos a proteger la privacidad de los datos, la propiedad intelectual y el cumplimiento normativo, permitiendo en todo momento advertir sobre el acceso a información protegida y, en caso necesario, el bloqueo de las acciones realizadas, si existe incumplimiento de la política de seguridad de la empresa o de los derechos digitales.
Puesto que ambas tecnologías presentan puntos fuertes y débiles y que, desde una perspectiva empresarial, la protección de la información sensible debe tener un enfoque global, todo hace indicar que son tecnologías condenadas a entenderse y complementarse.
Pero, ¿son estas tecnologías la solución a todos nuestros problemas de fugas de información? ¿Realmente es tan sencillo como desplegar una serie de aplicaciones, configurarlas y que el resultado sea que nuestra información esté protegida?
Como casi siempre en el mundo de la Seguridad de la Información, la solución a los problemas planteados no podemos basarla en una herramienta o tecnología a utilizar, sino en una serie de políticas, procedimientos y buenas prácticas que, apoyándose en las distintas tecnologías, nos permita mejorar el nivel de protección de nuestra información sensible, sin olvidar que toda esta gestión se apoya también en el eslabón humano.
Una vez más, llegamos a la conclusión de que la Seguridad de la Información es un proceso en el que debemos combinar distintas medidas de seguridad para conseguir nuestro objetivo. A pesar de las bondades de las tecnologías DLP y EDRM o IRM, éstas no pueden cumplir su cometido si no tenemos en cuenta otros aspectos fundamentales:
- Disponer de una política de Seguridad de la Información.
- Contar con un sistema de identificación para la información específica que debe protegerse, incluyendo las revisiones periódicas, que lo mantengan lo más actualizado posible.
- Mantener procedimientos para la protección y el control de la información protegida, de modo que sólo sea accesible por aquéllos que tienen la necesidad de conocerla, trasladándole el deber de protegerla. Dicho deber, en algunas circunstancias, puede ser impuesto por Ley, pero, en cualquier caso, debe establecerse en la empresa como parte del acuerdo de confidencialidad con el empleado.
- Un sistema de alerta y aviso que advierta sobre la sensibilidad de la información y los requisitos establecidos para el manejo de la misma. Habitualmente, ésta es una de las funcionalidades del DLP, pero, de todas formas, es importante que el usuario sepa que está accediendo a información sensible y cómo debe actuar durante el tratamiento de la misma.
Por tanto, y puesto que no es muy recomendable empezar la casa por el tejado, lo que realmente tendremos que hacer es una correcta gestión de la seguridad de nuestra información.
Para ello, debemos apoyarnos en las normativas y buenas prácticas existentes, como las normas ISO 27001 y 27002, y, por supuesto, en las distintas soluciones tecnológicas que nos ayuden a cumplir nuestro objetivo final, que no es otro que proteger la información sensible en cualquier formato, evitando un posible mal uso de la misma o su extravío, ya sea de una manera accidental o intencionada.