SlideShare a Scribd company logo

Prevención de perdida de datos - Data Loss Prevention

Universidad Simon Bolivar
Universidad Simon Bolivar

Ing. Luis Fran Cardozo González y Ing. Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com). La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla. Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación.

1 of 5
Download to read offline
1  Resumen— En la actualidad, la mayor parte de las organizaciones pierden información valiosa por daños de los dispositivos electrónicos y en menor porcentaje por robo. Algunas organizaciones que usan ciertos dispositivos, como por ejemplo servidores de computo, que permiten almacenar gran cantidad de información, sincronizar el correo el electrónico, manejar agendas detalladas de actividades, conexiones bluetooth, que si bien facilitan el desarrollo de las actividades de los empleados, representan un riesgo en cuanto a la pérdida de confidencialidad en la información si no se tienen en cuenta las consecuencias de incorporar la tecnología y los posibles mecanismos para protegerla. Si esta información llegase a manos de personas no autorizadas, se expone a la organización a una situación de riesgo operacional, financiero y hasta reputacional que puede afectar a ésta gravemente. Actualmente las entidades gubernamentales y privadas le están dando mayor importancia al manejo de la información con la que cuentan estableciendo políticas, procedimientos, normas e inclusive leyes que la regulan. Y es que la información que posee una empresa es uno de los principales activos a proteger, en este artículo nos centraremos en algunas medidas de prevención para proteger dicha información. Palabras clave— Data loss Prevention(DLP), Perdida de datos, Prevención, Valor de los datos.  Ing. Luis Fran Cardozo González y Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com). La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla. Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación. I. INTRODUCCIÓN El mundo ha cambiado [1]. Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. Algunos se llevaban material de oficina (folios, grapas, etc.), otros documentos confidenciales originales o fotocopiados. En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos. La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar. La Prevención de Perdida de Datos tiene como objetivo identificar, monitorizar y proteger los datos de una organización. Los datos pueden ser tratados por usuarios en sus estaciones de trabajo, pueden transmitirse o pueden ser almacenados. II. DESARROLLO 1. ¿Qué es la Perdida de datos? La pérdida de datos es una condición de error en sistemas de información en el que la información se destruye por las fallas o negligencia en el almacenamiento, transmisión o procesamiento, o simplemente por fuga de la información. 1.1 El valor de los datos. Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad. Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son resistentes a dedicar recursos a esta tarea. 1.2 Información en las empresas u organizaciones. Respecto a la información en las organizaciones se han encontrado documentos que describen la valoración de la información y la administración de la información como herramienta básica en las organizaciones. En general, se detalla la propuesta de autores que consideran a la información como un activo. 1.2.1 La información como un activo. Respecto al valor de la información, [2] Oppenheim, Stenson, & Wilson (2003a), identifican los atributos de la información y concluyen que a ésta se le puede considerar, en Luis Fran Cardozo González, Bladimiro García Severiche Prevención de perdida de Datos (Data Loss Prevention)
2 el ámbito de las organizaciones, como activo informativo. En la misma línea temática, [3] Max F. Cohen (2002) analiza algunos aspectos del uso de la información en la economía de la información y al igual que Oppenheim, Stevenson & Wilson, considera que la información es un activo. Al considerar a la información como activo se encuentra una denotación económica, mejor dicho en la economía de la información, la cual concibe una preocupación de la cantidad de información procesada en una organización, mediante la interacción de sus integrantes, para la toma de decisiones (Cohen, 2002). Cohen, basado en un contexto de la teoría de la información, describe cómo las organizaciones utilizan la información, desde el control de inventarios —materia prima—, horas máquina disponibles, tiempo de entrega de productos, hasta el uso de información por parte de los clientes, con la finalidad última de reducir costos. Las cualidades que conforman la [4] seguridad de los activos de información de una organización son: La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena. La información sensible o valiosa que la organización custodia o maneja, necesita ser protegida mediante estrictas medidas de control. La verificación y la autorización son dos mecanismos que se emplean para asegurar la confidencialidad de la información. La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido ya sean intencionados, no autorizados o casuales. También es importante proteger los procesos o programas que se emplean para manipular los datos. La información se debe preservar y poner a disposición de sus propietarios y de los usuarios autorizados de una forma precisa, completa y oportuna. La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. 1.3 Tipos de pérdida de datos o información La pérdida de los datos [5] se produce muchas veces por acción intencional, como la eliminación de un archivo o programa, o de manera involuntaria, como la perdida de cd o tarjetas de memorias o la incapacidad de leer el formato de un archivo desconocido; o por otras causas, como error de Hardware, por ejemplo; un fallo del sistema principal en un disco duro, los errores de software o mala usabilidad; o por desastres naturales, terremotos, inundaciones y con un gran auge los delitos informáticos, como el robo, la piratería, el sabotaje, con actos maliciosos como gusanos, virus y hackers. Según el blog de penjana minda strategik[6] nos muestra un informe estadísticos de las causas de perdida de datos más frecuentes. Ver Figura 1. Figura 1. Causas más frecuentes de la perdida de datos. 1.4 Por qué se pierde la información July Calvo[7] en su artículo “Fuga de información en las organizaciones”, nos dice que algunas organizaciones usan ciertos dispositivos como por ejemplo celulares que permiten almacenar gran cantidad de información, sincronizar el correo electrónico, manejar agendas detalladas de contactos, conexiones bluetooth, conexiones wireless, que si bien facilitan el desarrollo de las actividades de los empleados, representan un riesgo en cuanto a la pérdida de confidencialidad de la información si no se tienen en cuenta las consecuencias de incorporar la tecnología y los posibles mecanismos para proteger la información. Eduardo Campos Segura [8] en su artículo “La fuga de información en las empresas” nos dice que “De acuerdo a estudios de mercado como lo muestra la Figura 2, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB”. Figura 2. Fuga de información anual en empresas públicas y privadas. Las personas en general utilizan sus computadoras portátiles en lugares públicos sin considerar que las actividades que realizan en ellas, pueden estar siendo observadas por alguna persona que
3 no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los dispositivos van a reasignarse, también es un elemento de protección. 1.5 Puntos de fuga y perdida de datos Como July Calvo[9] nos dice, existen diferentes amenazas y vulnerabilidades que pueden conllevar a la fuga y perdida de datos, a continuación se describen algunas de ellas. Redes sociales. Páginas como Facebook, Hi5, Twitter, Badoo, representan un riesgo para la pérdida de confidencialidad de la información si las organizaciones no realizan campañas de sensibilización que eviten que los empleados publiquen información de la compañía en dichos sitos. Publicación de videos. Las organizaciones realizan actividades al interior de sus instalaciones que son grabadas, en algunas ocasiones estas grabaciones son subidas a páginas como YouTube sin tener en cuenta la información que puede ser revelada, como por ejemplo nombre de áreas de acceso restringido, controles de seguridad existentes, nombres y cargos de empleados de la compañía, lo que puede poner en evidencia información que sólo es relevante para la compañía. Robo de dispositivos móviles. La información almacenada en estos dispositivos en la mayoría de las ocasiones transita dentro y fuera de la organización sin ningún mecanismo de protección, lo que puede ocasionar que personal ajeno a la compañía tenga acceso a información de carácter confidencial. Falta o inadecuada clasificación de activos de información. El hecho que las organizaciones no cuenten con una adecuada clasificación de activos de información, conlleva a que los empleados no tengan claro cuál es el nivel de protección de cada activo, lo que dificulta la protección de los mismos. Falta de sensibilización a los usuarios. Las compañías deben realizar en gran medida campañas de sensibilización, las cuales permiten involucrar a los empleados con la seguridad de la información, proporcionando herramientas que van a facilitar la toma de decisiones cuando se enfrenten ante un evento que pueda afectar su seguridad. Virus y Malware. Los virus y los programas maliciosos son una amenaza constante para los datos de las compañías, debido a su fácil propagación, y en algunas ocasiones su difícil detección. Falta de acuerdos de confidencialidad. Las organizaciones hoy en día tienen diversos proveedores y empleados que llegan a conocer información del funcionamiento de la compañía, como por ejemplo: información de clientes internos y externos, planes estratégicos, proyectos futuros, proyectos en ejecución, entre otra, la cual en algunos casos debe ser mantenida bajo reserva aun con los mismos empleados de la compañía. 2. Que es la Prevención de perdida de datos Es un término de seguridad [10] referente a un sistema que identifica, monitorea y protege datos en uso, datos en movimiento y datos en reposo por medio de mecanismos de inspección, análisis contextual de transacciones(origen, destino, medio, etc.), siendo administrado desde una consola central donde tiene la capacidad de detectar y prevenir uso no autorizado así como transmisión de información confidencial. 2.1 Factores Clave para prevenir la pérdida de datos A pesar de la aplicación de las nuevas tecnologías de seguridad, las empresas siguen siendo vulnerables, como muestran los siguientes datos del articulo Efficacy of Emerging Network Security Technologies[11];  El 64% de las empresas tuvo una brecha de seguridad el pasado año.  El 34% de las empresas tuvo más de un incidente.  El 62% de los responsables técnicos creen que los ataques más serios provienen de la web.  El 60% de los responsables técnicos apunta a ataques de denegación de servicio (DoS), el 47% a una inyección SQL. Ante este panorama[12], las compañías requieren tener una solución y procesos claros para evitar sufrir pérdidas o fugas de información. En el mercado existen ya varias tecnologías DLP que evitan la pérdida de datos en uno o más puntos del ciclo de vida de la información, ya sea mientras ésta se encuentra transitando la red, almacenada y sin movimiento, o bien, en un punto final. Adicionalmente, varias empresas están adoptando DLP como una forma de mitigar los riesgos de hacer negocios a través de conexiones de alta velocidad y comunicaciones móviles. Sin embargo, DLP es un asunto que va más allá de la tecnología. Proteger la información y evitar su pérdida requiere además de dos factores clave: tener procesos establecidos e involucrar al personal. Como parte de los procesos, es importante identificar los riesgos, establecer políticas, procesos y educar a los usuarios. En términos de capital humano, DLP requiere el respaldo de múltiples equipos y colaboración de varios departamentos que van desde planta física, jurídico, administración, gerentes de riesgo empresarial, recursos humanos, mercadotecnia y ventas. De esta manera podemos identificar tres factores claves para prevenir la perdida de datos: 2.1.1 Evaluando riesgos Es importante aclarar que el proceso de identificación de riesgos no significa clasificar toda la información que llega, sale o es almacenada en la organización. Por el contrario, significa identificar el tipo de información cuyas pérdidas generan mayor impacto negativo en la compañía y es ahí donde primero se debe aplicar DLP. Para algunas organizaciones, puede tratarse de códigos fuente, diseños de productos o propiedad. Para otras, podría ser información de los clientes o datos financieros. Otra buena práctica que siguen varias empresas es el uso de soluciones DLP que incluyen un componente de evaluación de riesgos y esto significa que la actividad en la red se supervisa durante dos o tres días y después se elabora un informe que muestra a la organización los datos que salen a través de la
4 red, así como los departamentos involucrados y la frecuencia. Este informe permite a las compañías determinar qué clase de datos están en mayor riesgo y los departamentos que generan los mayores riesgos. 2.1.2 Estableciendo políticas y procesos Una vez que la organización ha identificado la protección que necesita puede establecer políticas para prevenir y administrar la pérdida de datos. Posteriormente debe diseñar los procesos para controlar estos incidentes y medir su progreso con la consiguiente reducción de riesgos. Es crucial aclarar quién es el responsable de realizar las tareas establecidas en caso de una violación o pérdida de datos, para que cuando ocurra una crisis, el personal adecuado realice los procesos necesarios para mitigar los riesgos. Por ejemplo, el personal de seguridad de TI, así como los empleados involucrados y sus gerentes deberían ser notificados. Si se sospecha que hay un comportamiento malicioso, es necesario traer especialistas forenses y jurídicos. Si ocurre una gran fuga de datos, las relaciones públicas juegan un papel importante. Asimismo, los gerentes de las unidades de negocio deben rastrear los consiguientes riesgos de dicha pérdida. Es importante que se configuren las soluciones DLP más actuales para supervisar si los datos más importantes de la compañía salen a través de un Gateway, o bien, de un punto final en particular, por ejemplo. Las organizaciones también pueden utilizar la información real que saben que es importante, para definir las políticas y luego cumplirlas adecuadamente. Muchas soluciones DLP cuentan con funcionalidades inteligentes de respuesta a incidentes para que las organizaciones puedan automatizar el cumplimiento de las políticas con la flexibilidad necesaria. La inclusión de análisis y flujo de trabajo permiten al sistema calcular la gravedad de los incidentes y proporcionar el nivel de cumplimiento de manera automática. Aún mejor, estas soluciones pueden reducir significativamente el tiempo de configuración de TI al ofrecer plantillas basadas en las mejores prácticas del sector para dar respuesta a incidentes, así como mejorar el flujo de trabajo de las medidas correctivas. 2.1.3 Mayor Conciencia En ocasiones la eficacia de la mejor tecnología y los procesos pueden verse afectados si los empleados no entienden el valor de la información de la compañía y su papel en la disminución de riesgos. Teniendo una mayor conciencia, los empleados también pueden convertirse en la línea de defensa más fuerte de la compañía y en su recurso más valioso. Sin embargo, ¿cómo lo harían? los programas de entrenamiento para tomar conciencia de la protección pueden ayudar de la misma manera que la claridad en las políticas internas. Sin embargo, quizás la educación más eficaz se deriva de la intervención en el momento oportuno. Después de todo, muchas brechas de datos son el resultado de errores sencillos del usuario. Las personas cometen errores, pueden olvidar o entender mal las cosas, pero también corrigen los errores cuando saben que se equivocaron. Claramente, en el mundo de hoy, los directores de TI y seguridad de las empresas de todos los tamaños están comprometidos con la protección de la información, independientemente de donde es enviada, almacenada o utilizada. Con la ayuda de las soluciones DLP que involucran al personal, los procesos y la tecnología, las empresas no solamente pueden saber donde está la información, quién la está usando y a dónde va, también pueden administrar y controlar eficazmente los riesgos de la información ahora y en el futuro. III. CONCLUSIONES Una solución para la Prevención de Perdida de Datos [13] puede cubrir necesidades de seguridad importantes en las empresas. En los momentos que nos encontramos, la información es clave y las organizaciones no se pueden permitir el privilegio de tener fugas no controladas. De momento, las soluciones de Prevención de Perdida de Datos existentes no son triviales de desplegar y requieren de personal especializado para su integración en la organización. . REFERENCIAS [1] Introducción a la tecnología "Data Loss Prevention". | Florencio Cano. Disponible en Internet: http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia- data-loss-prevention-dlp [2] Studies on information as an asset I: Definitions. Journal of Information Science, 29(3), 159-166. | Oppenheim, C., Stenson, J. & Wilson, R. M. S. (2003a). [3] Algunos aspectos de la utilización de la información en la economía de la información. Ciencias de la Información 26- 36. | Cohen, M. F. (2002). [4] Seguridad de la información en las instituciones financieras | Ing. Paola Katherine Macías Anchundia. Disponible en Internet: http://repositorio.maeug.edu.ec/bitstream/123456789/183/2/10 3929998713387829484856861425577492026.pdf [5] Types of data loss. | From Wikipedia, the free encyclopedia. Disponible en Internet: http://en.wikipedia.org/wiki/Data_loss#Types_of_data_loss [6] PMS! 5 Ways to Prevent Data Loss. | Penjana Minda Strategik. Disponible en Internet: http://polimuadzamshah.blogspot.com/2012/04/pms-5-ways- to-prevent-data-loss.html [7] Fuga de información en las organizaciones. | Newnetsa - July Calvo. Disponible en Internet: http://www.newnetsa.com/2009/08/fuga-de-informacion-en-
5 las-organizaciones/ [8] La fuga de información en las empresas. | PROSEG Information Security - Eduardo Campos Segura. Disponible en Internet: http://www.liderempresarial.com/num175/10.php [9] Fuga de información en las organizaciones. | Newnetsa - July Calvo. Disponible en Internet: http://www.newnetsa.com/2009/08/fuga-de-informacion-en- las-organizaciones/ [10] Data Loss Prevention. Arame Seguridad para TI. ISACA. 9 - 12. | Karl-Heinz Holtschmit. [11] Efficacy of Emerging Network Security Technologies. editado por el Ponemon Institute. | February 2013. [12] Tres Factores Clave para prevenir la pérdida de datos. | Wilson Grava - vicepresidente de Symantec América Latina. Disponible en Internet: http://www.addictware.com.mx/index.php/blog/167-tres- factores-clave-para-prevenir-la-pida-de-datos [13] Introducción a la tecnología "Data Loss Prevention". | Florencio Cano. Disponible en Internet: http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia- data-loss-prevention-dlp

Recommended

Present mayo2009
Present mayo2009Present mayo2009
Present mayo2009
Marling Raquel Rosario Brito
 
Discriminación laboral a personas con discapacidad
Discriminación laboral a personas con discapacidadDiscriminación laboral a personas con discapacidad
Discriminación laboral a personas con discapacidad
paredesrosa
 
Modelos clasificación y situaciones de la discapacidad
Modelos clasificación y situaciones de la discapacidadModelos clasificación y situaciones de la discapacidad
Modelos clasificación y situaciones de la discapacidad
Jordi
 
Dificultades de aprendizaje, inclusión social.
Dificultades de aprendizaje, inclusión social.Dificultades de aprendizaje, inclusión social.
Dificultades de aprendizaje, inclusión social.
José María
 
Marco jaramillo tarea2,ppt
Marco jaramillo tarea2,pptMarco jaramillo tarea2,ppt
Marco jaramillo tarea2,ppt
ALCDUPE
 
Psu género lírico 2011
Psu género lírico 2011Psu género lírico 2011
Psu género lírico 2011
calulara
 
Derechos humanos
Derechos humanosDerechos humanos
Derechos humanos
Leonor Delgado
 
Escuela inclusiva
Escuela inclusivaEscuela inclusiva
Escuela inclusiva
Rafael Feito
 

Recommended

Present mayo2009
Present mayo2009Present mayo2009
Present mayo2009
Marling Raquel Rosario Brito
 
Discriminación laboral a personas con discapacidad
Discriminación laboral a personas con discapacidadDiscriminación laboral a personas con discapacidad
Discriminación laboral a personas con discapacidad
paredesrosa
 
Modelos clasificación y situaciones de la discapacidad
Modelos clasificación y situaciones de la discapacidadModelos clasificación y situaciones de la discapacidad
Modelos clasificación y situaciones de la discapacidad
Jordi
 
Dificultades de aprendizaje, inclusión social.
Dificultades de aprendizaje, inclusión social.Dificultades de aprendizaje, inclusión social.
Dificultades de aprendizaje, inclusión social.
José María
 
Marco jaramillo tarea2,ppt
Marco jaramillo tarea2,pptMarco jaramillo tarea2,ppt
Marco jaramillo tarea2,ppt
ALCDUPE
 
Psu género lírico 2011
Psu género lírico 2011Psu género lírico 2011
Psu género lírico 2011
calulara
 
Derechos humanos
Derechos humanosDerechos humanos
Derechos humanos
Leonor Delgado
 
Escuela inclusiva
Escuela inclusivaEscuela inclusiva
Escuela inclusiva
Rafael Feito
 
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Toñi Ricoy
 
Piel
PielPiel
Piel
Leslie Pascua
 
La visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digitalLa visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digital
Broadcaster
 
Que es la Masonería
Que es la MasoneríaQue es la Masonería
Que es la Masonería
Florencio Marchelli
 
8 mayo 2012 2
8 mayo 2012 28 mayo 2012 2
8 mayo 2012 2
Julia Nieto
 
Iberico con la gente 2
Iberico con la gente 2Iberico con la gente 2
Iberico con la gente 2
Juventudes APP
 
celia viñas
celia viñascelia viñas
celia viñas
Trinidad Rodriguez Gallardo
 
Oducia
OduciaOducia
Oducia
tocina
 
Portfolio Retoque 2012
Portfolio Retoque 2012Portfolio Retoque 2012
Portfolio Retoque 2012
dhcarrizo
 
2diccionariotecnologianuclear
2diccionariotecnologianuclear2diccionariotecnologianuclear
2diccionariotecnologianuclear
Darwin Aguilar Ascencio
 
Ley 527 colombia
Ley 527 colombiaLey 527 colombia
Ley 527 colombia
SamPinilla
 
Capitulo4
Capitulo4Capitulo4
Capitulo4
guest1f9b03a
 
La diversitat climàtica en espanya
La diversitat climàtica en espanyaLa diversitat climàtica en espanya
La diversitat climàtica en espanya
El Racó dels Exploradors
 
Syllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iipSyllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iip
Kary
 
Buscadores
BuscadoresBuscadores
Buscadores
johannasanchez
 
Iliana Romero - Médicos y pacientes
Iliana Romero - Médicos y pacientesIliana Romero - Médicos y pacientes
Iliana Romero - Médicos y pacientes
Carlos Alberto Morales Paitan
 
Píndola linkedin
Píndola linkedinPíndola linkedin
Píndola linkedin
Fundació CATIC
 
Ficha técnica
Ficha técnicaFicha técnica
Ficha técnica
Jenny Medel
 
MEX GTO ALI Segunda Presentación
MEX GTO ALI Segunda PresentaciónMEX GTO ALI Segunda Presentación
MEX GTO ALI Segunda Presentación
Ulises Ismael Perales Avila
 
BLOQUE 0 PACIE
BLOQUE 0 PACIEBLOQUE 0 PACIE
BLOQUE 0 PACIE
UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 

More Related Content

Viewers also liked

Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Toñi Ricoy
 
La visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digitalLa visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digital
Broadcaster
 
Portfolio Retoque 2012
Portfolio Retoque 2012Portfolio Retoque 2012
Portfolio Retoque 2012
dhcarrizo
 
Ley 527 colombia
Ley 527 colombiaLey 527 colombia
Ley 527 colombia
SamPinilla
 
Syllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iipSyllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iip
Kary
 

Viewers also liked (20)

Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
Estudio visibilidad de_las_galeras_de_arte_en_la_web_2.0
 
Piel
PielPiel
Piel
 
La visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digitalLa visión de Porter Novelli sobre la comunicación digital
La visión de Porter Novelli sobre la comunicación digital
 
Que es la Masonería
Que es la MasoneríaQue es la Masonería
Que es la Masonería
 
8 mayo 2012 2
8 mayo 2012 28 mayo 2012 2
8 mayo 2012 2
 
Iberico con la gente 2
Iberico con la gente 2Iberico con la gente 2
Iberico con la gente 2
 
celia viñas
celia viñascelia viñas
celia viñas
 
Oducia
OduciaOducia
Oducia
 
Portfolio Retoque 2012
Portfolio Retoque 2012Portfolio Retoque 2012
Portfolio Retoque 2012
 
2diccionariotecnologianuclear
2diccionariotecnologianuclear2diccionariotecnologianuclear
2diccionariotecnologianuclear
 
Ley 527 colombia
Ley 527 colombiaLey 527 colombia
Ley 527 colombia
 
Capitulo4
Capitulo4Capitulo4
Capitulo4
 
La diversitat climàtica en espanya
La diversitat climàtica en espanyaLa diversitat climàtica en espanya
La diversitat climàtica en espanya
 
Syllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iipSyllabus informática i 2014 semestre iip
Syllabus informática i 2014 semestre iip
 
Buscadores
BuscadoresBuscadores
Buscadores
 
Iliana Romero - Médicos y pacientes
Iliana Romero - Médicos y pacientesIliana Romero - Médicos y pacientes
Iliana Romero - Médicos y pacientes
 
Píndola linkedin
Píndola linkedinPíndola linkedin
Píndola linkedin
 
Ficha técnica
Ficha técnicaFicha técnica
Ficha técnica
 
MEX GTO ALI Segunda Presentación
MEX GTO ALI Segunda PresentaciónMEX GTO ALI Segunda Presentación
MEX GTO ALI Segunda Presentación
 
BLOQUE 0 PACIE
BLOQUE 0 PACIEBLOQUE 0 PACIE
BLOQUE 0 PACIE
 

Prevención de perdida de datos - Data Loss Prevention

  • 1. 1  Resumen— En la actualidad, la mayor parte de las organizaciones pierden información valiosa por daños de los dispositivos electrónicos y en menor porcentaje por robo. Algunas organizaciones que usan ciertos dispositivos, como por ejemplo servidores de computo, que permiten almacenar gran cantidad de información, sincronizar el correo el electrónico, manejar agendas detalladas de actividades, conexiones bluetooth, que si bien facilitan el desarrollo de las actividades de los empleados, representan un riesgo en cuanto a la pérdida de confidencialidad en la información si no se tienen en cuenta las consecuencias de incorporar la tecnología y los posibles mecanismos para protegerla. Si esta información llegase a manos de personas no autorizadas, se expone a la organización a una situación de riesgo operacional, financiero y hasta reputacional que puede afectar a ésta gravemente. Actualmente las entidades gubernamentales y privadas le están dando mayor importancia al manejo de la información con la que cuentan estableciendo políticas, procedimientos, normas e inclusive leyes que la regulan. Y es que la información que posee una empresa es uno de los principales activos a proteger, en este artículo nos centraremos en algunas medidas de prevención para proteger dicha información. Palabras clave— Data loss Prevention(DLP), Perdida de datos, Prevención, Valor de los datos.  Ing. Luis Fran Cardozo González y Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com). La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla. Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación. I. INTRODUCCIÓN El mundo ha cambiado [1]. Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. Algunos se llevaban material de oficina (folios, grapas, etc.), otros documentos confidenciales originales o fotocopiados. En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos. La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar. La Prevención de Perdida de Datos tiene como objetivo identificar, monitorizar y proteger los datos de una organización. Los datos pueden ser tratados por usuarios en sus estaciones de trabajo, pueden transmitirse o pueden ser almacenados. II. DESARROLLO 1. ¿Qué es la Perdida de datos? La pérdida de datos es una condición de error en sistemas de información en el que la información se destruye por las fallas o negligencia en el almacenamiento, transmisión o procesamiento, o simplemente por fuga de la información. 1.1 El valor de los datos. Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad. Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son resistentes a dedicar recursos a esta tarea. 1.2 Información en las empresas u organizaciones. Respecto a la información en las organizaciones se han encontrado documentos que describen la valoración de la información y la administración de la información como herramienta básica en las organizaciones. En general, se detalla la propuesta de autores que consideran a la información como un activo. 1.2.1 La información como un activo. Respecto al valor de la información, [2] Oppenheim, Stenson, & Wilson (2003a), identifican los atributos de la información y concluyen que a ésta se le puede considerar, en Luis Fran Cardozo González, Bladimiro García Severiche Prevención de perdida de Datos (Data Loss Prevention)
  • 2. 2 el ámbito de las organizaciones, como activo informativo. En la misma línea temática, [3] Max F. Cohen (2002) analiza algunos aspectos del uso de la información en la economía de la información y al igual que Oppenheim, Stevenson & Wilson, considera que la información es un activo. Al considerar a la información como activo se encuentra una denotación económica, mejor dicho en la economía de la información, la cual concibe una preocupación de la cantidad de información procesada en una organización, mediante la interacción de sus integrantes, para la toma de decisiones (Cohen, 2002). Cohen, basado en un contexto de la teoría de la información, describe cómo las organizaciones utilizan la información, desde el control de inventarios —materia prima—, horas máquina disponibles, tiempo de entrega de productos, hasta el uso de información por parte de los clientes, con la finalidad última de reducir costos. Las cualidades que conforman la [4] seguridad de los activos de información de una organización son: La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados, con independencia del lugar en que reside la información o la forma en que se almacena. La información sensible o valiosa que la organización custodia o maneja, necesita ser protegida mediante estrictas medidas de control. La verificación y la autorización son dos mecanismos que se emplean para asegurar la confidencialidad de la información. La integridad se refiere a la protección de información, datos, sistemas y otros activos informáticos contra cambios o alteraciones en su estructura o contenido ya sean intencionados, no autorizados o casuales. También es importante proteger los procesos o programas que se emplean para manipular los datos. La información se debe preservar y poner a disposición de sus propietarios y de los usuarios autorizados de una forma precisa, completa y oportuna. La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten. 1.3 Tipos de pérdida de datos o información La pérdida de los datos [5] se produce muchas veces por acción intencional, como la eliminación de un archivo o programa, o de manera involuntaria, como la perdida de cd o tarjetas de memorias o la incapacidad de leer el formato de un archivo desconocido; o por otras causas, como error de Hardware, por ejemplo; un fallo del sistema principal en un disco duro, los errores de software o mala usabilidad; o por desastres naturales, terremotos, inundaciones y con un gran auge los delitos informáticos, como el robo, la piratería, el sabotaje, con actos maliciosos como gusanos, virus y hackers. Según el blog de penjana minda strategik[6] nos muestra un informe estadísticos de las causas de perdida de datos más frecuentes. Ver Figura 1. Figura 1. Causas más frecuentes de la perdida de datos. 1.4 Por qué se pierde la información July Calvo[7] en su artículo “Fuga de información en las organizaciones”, nos dice que algunas organizaciones usan ciertos dispositivos como por ejemplo celulares que permiten almacenar gran cantidad de información, sincronizar el correo electrónico, manejar agendas detalladas de contactos, conexiones bluetooth, conexiones wireless, que si bien facilitan el desarrollo de las actividades de los empleados, representan un riesgo en cuanto a la pérdida de confidencialidad de la información si no se tienen en cuenta las consecuencias de incorporar la tecnología y los posibles mecanismos para proteger la información. Eduardo Campos Segura [8] en su artículo “La fuga de información en las empresas” nos dice que “De acuerdo a estudios de mercado como lo muestra la Figura 2, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB”. Figura 2. Fuga de información anual en empresas públicas y privadas. Las personas en general utilizan sus computadoras portátiles en lugares públicos sin considerar que las actividades que realizan en ellas, pueden estar siendo observadas por alguna persona que
  • 3. 3 no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los dispositivos van a reasignarse, también es un elemento de protección. 1.5 Puntos de fuga y perdida de datos Como July Calvo[9] nos dice, existen diferentes amenazas y vulnerabilidades que pueden conllevar a la fuga y perdida de datos, a continuación se describen algunas de ellas. Redes sociales. Páginas como Facebook, Hi5, Twitter, Badoo, representan un riesgo para la pérdida de confidencialidad de la información si las organizaciones no realizan campañas de sensibilización que eviten que los empleados publiquen información de la compañía en dichos sitos. Publicación de videos. Las organizaciones realizan actividades al interior de sus instalaciones que son grabadas, en algunas ocasiones estas grabaciones son subidas a páginas como YouTube sin tener en cuenta la información que puede ser revelada, como por ejemplo nombre de áreas de acceso restringido, controles de seguridad existentes, nombres y cargos de empleados de la compañía, lo que puede poner en evidencia información que sólo es relevante para la compañía. Robo de dispositivos móviles. La información almacenada en estos dispositivos en la mayoría de las ocasiones transita dentro y fuera de la organización sin ningún mecanismo de protección, lo que puede ocasionar que personal ajeno a la compañía tenga acceso a información de carácter confidencial. Falta o inadecuada clasificación de activos de información. El hecho que las organizaciones no cuenten con una adecuada clasificación de activos de información, conlleva a que los empleados no tengan claro cuál es el nivel de protección de cada activo, lo que dificulta la protección de los mismos. Falta de sensibilización a los usuarios. Las compañías deben realizar en gran medida campañas de sensibilización, las cuales permiten involucrar a los empleados con la seguridad de la información, proporcionando herramientas que van a facilitar la toma de decisiones cuando se enfrenten ante un evento que pueda afectar su seguridad. Virus y Malware. Los virus y los programas maliciosos son una amenaza constante para los datos de las compañías, debido a su fácil propagación, y en algunas ocasiones su difícil detección. Falta de acuerdos de confidencialidad. Las organizaciones hoy en día tienen diversos proveedores y empleados que llegan a conocer información del funcionamiento de la compañía, como por ejemplo: información de clientes internos y externos, planes estratégicos, proyectos futuros, proyectos en ejecución, entre otra, la cual en algunos casos debe ser mantenida bajo reserva aun con los mismos empleados de la compañía. 2. Que es la Prevención de perdida de datos Es un término de seguridad [10] referente a un sistema que identifica, monitorea y protege datos en uso, datos en movimiento y datos en reposo por medio de mecanismos de inspección, análisis contextual de transacciones(origen, destino, medio, etc.), siendo administrado desde una consola central donde tiene la capacidad de detectar y prevenir uso no autorizado así como transmisión de información confidencial. 2.1 Factores Clave para prevenir la pérdida de datos A pesar de la aplicación de las nuevas tecnologías de seguridad, las empresas siguen siendo vulnerables, como muestran los siguientes datos del articulo Efficacy of Emerging Network Security Technologies[11];  El 64% de las empresas tuvo una brecha de seguridad el pasado año.  El 34% de las empresas tuvo más de un incidente.  El 62% de los responsables técnicos creen que los ataques más serios provienen de la web.  El 60% de los responsables técnicos apunta a ataques de denegación de servicio (DoS), el 47% a una inyección SQL. Ante este panorama[12], las compañías requieren tener una solución y procesos claros para evitar sufrir pérdidas o fugas de información. En el mercado existen ya varias tecnologías DLP que evitan la pérdida de datos en uno o más puntos del ciclo de vida de la información, ya sea mientras ésta se encuentra transitando la red, almacenada y sin movimiento, o bien, en un punto final. Adicionalmente, varias empresas están adoptando DLP como una forma de mitigar los riesgos de hacer negocios a través de conexiones de alta velocidad y comunicaciones móviles. Sin embargo, DLP es un asunto que va más allá de la tecnología. Proteger la información y evitar su pérdida requiere además de dos factores clave: tener procesos establecidos e involucrar al personal. Como parte de los procesos, es importante identificar los riesgos, establecer políticas, procesos y educar a los usuarios. En términos de capital humano, DLP requiere el respaldo de múltiples equipos y colaboración de varios departamentos que van desde planta física, jurídico, administración, gerentes de riesgo empresarial, recursos humanos, mercadotecnia y ventas. De esta manera podemos identificar tres factores claves para prevenir la perdida de datos: 2.1.1 Evaluando riesgos Es importante aclarar que el proceso de identificación de riesgos no significa clasificar toda la información que llega, sale o es almacenada en la organización. Por el contrario, significa identificar el tipo de información cuyas pérdidas generan mayor impacto negativo en la compañía y es ahí donde primero se debe aplicar DLP. Para algunas organizaciones, puede tratarse de códigos fuente, diseños de productos o propiedad. Para otras, podría ser información de los clientes o datos financieros. Otra buena práctica que siguen varias empresas es el uso de soluciones DLP que incluyen un componente de evaluación de riesgos y esto significa que la actividad en la red se supervisa durante dos o tres días y después se elabora un informe que muestra a la organización los datos que salen a través de la
  • 4. 4 red, así como los departamentos involucrados y la frecuencia. Este informe permite a las compañías determinar qué clase de datos están en mayor riesgo y los departamentos que generan los mayores riesgos. 2.1.2 Estableciendo políticas y procesos Una vez que la organización ha identificado la protección que necesita puede establecer políticas para prevenir y administrar la pérdida de datos. Posteriormente debe diseñar los procesos para controlar estos incidentes y medir su progreso con la consiguiente reducción de riesgos. Es crucial aclarar quién es el responsable de realizar las tareas establecidas en caso de una violación o pérdida de datos, para que cuando ocurra una crisis, el personal adecuado realice los procesos necesarios para mitigar los riesgos. Por ejemplo, el personal de seguridad de TI, así como los empleados involucrados y sus gerentes deberían ser notificados. Si se sospecha que hay un comportamiento malicioso, es necesario traer especialistas forenses y jurídicos. Si ocurre una gran fuga de datos, las relaciones públicas juegan un papel importante. Asimismo, los gerentes de las unidades de negocio deben rastrear los consiguientes riesgos de dicha pérdida. Es importante que se configuren las soluciones DLP más actuales para supervisar si los datos más importantes de la compañía salen a través de un Gateway, o bien, de un punto final en particular, por ejemplo. Las organizaciones también pueden utilizar la información real que saben que es importante, para definir las políticas y luego cumplirlas adecuadamente. Muchas soluciones DLP cuentan con funcionalidades inteligentes de respuesta a incidentes para que las organizaciones puedan automatizar el cumplimiento de las políticas con la flexibilidad necesaria. La inclusión de análisis y flujo de trabajo permiten al sistema calcular la gravedad de los incidentes y proporcionar el nivel de cumplimiento de manera automática. Aún mejor, estas soluciones pueden reducir significativamente el tiempo de configuración de TI al ofrecer plantillas basadas en las mejores prácticas del sector para dar respuesta a incidentes, así como mejorar el flujo de trabajo de las medidas correctivas. 2.1.3 Mayor Conciencia En ocasiones la eficacia de la mejor tecnología y los procesos pueden verse afectados si los empleados no entienden el valor de la información de la compañía y su papel en la disminución de riesgos. Teniendo una mayor conciencia, los empleados también pueden convertirse en la línea de defensa más fuerte de la compañía y en su recurso más valioso. Sin embargo, ¿cómo lo harían? los programas de entrenamiento para tomar conciencia de la protección pueden ayudar de la misma manera que la claridad en las políticas internas. Sin embargo, quizás la educación más eficaz se deriva de la intervención en el momento oportuno. Después de todo, muchas brechas de datos son el resultado de errores sencillos del usuario. Las personas cometen errores, pueden olvidar o entender mal las cosas, pero también corrigen los errores cuando saben que se equivocaron. Claramente, en el mundo de hoy, los directores de TI y seguridad de las empresas de todos los tamaños están comprometidos con la protección de la información, independientemente de donde es enviada, almacenada o utilizada. Con la ayuda de las soluciones DLP que involucran al personal, los procesos y la tecnología, las empresas no solamente pueden saber donde está la información, quién la está usando y a dónde va, también pueden administrar y controlar eficazmente los riesgos de la información ahora y en el futuro. III. CONCLUSIONES Una solución para la Prevención de Perdida de Datos [13] puede cubrir necesidades de seguridad importantes en las empresas. En los momentos que nos encontramos, la información es clave y las organizaciones no se pueden permitir el privilegio de tener fugas no controladas. De momento, las soluciones de Prevención de Perdida de Datos existentes no son triviales de desplegar y requieren de personal especializado para su integración en la organización. . REFERENCIAS [1] Introducción a la tecnología "Data Loss Prevention". | Florencio Cano. Disponible en Internet: http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia- data-loss-prevention-dlp [2] Studies on information as an asset I: Definitions. Journal of Information Science, 29(3), 159-166. | Oppenheim, C., Stenson, J. & Wilson, R. M. S. (2003a). [3] Algunos aspectos de la utilización de la información en la economía de la información. Ciencias de la Información 26- 36. | Cohen, M. F. (2002). [4] Seguridad de la información en las instituciones financieras | Ing. Paola Katherine Macías Anchundia. Disponible en Internet: http://repositorio.maeug.edu.ec/bitstream/123456789/183/2/10 3929998713387829484856861425577492026.pdf [5] Types of data loss. | From Wikipedia, the free encyclopedia. Disponible en Internet: http://en.wikipedia.org/wiki/Data_loss#Types_of_data_loss [6] PMS! 5 Ways to Prevent Data Loss. | Penjana Minda Strategik. Disponible en Internet: http://polimuadzamshah.blogspot.com/2012/04/pms-5-ways- to-prevent-data-loss.html [7] Fuga de información en las organizaciones. | Newnetsa - July Calvo. Disponible en Internet: http://www.newnetsa.com/2009/08/fuga-de-informacion-en-
  • 5. 5 las-organizaciones/ [8] La fuga de información en las empresas. | PROSEG Information Security - Eduardo Campos Segura. Disponible en Internet: http://www.liderempresarial.com/num175/10.php [9] Fuga de información en las organizaciones. | Newnetsa - July Calvo. Disponible en Internet: http://www.newnetsa.com/2009/08/fuga-de-informacion-en- las-organizaciones/ [10] Data Loss Prevention. Arame Seguridad para TI. ISACA. 9 - 12. | Karl-Heinz Holtschmit. [11] Efficacy of Emerging Network Security Technologies. editado por el Ponemon Institute. | February 2013. [12] Tres Factores Clave para prevenir la pérdida de datos. | Wilson Grava - vicepresidente de Symantec América Latina. Disponible en Internet: http://www.addictware.com.mx/index.php/blog/167-tres- factores-clave-para-prevenir-la-pida-de-datos [13] Introducción a la tecnología "Data Loss Prevention". | Florencio Cano. Disponible en Internet: http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia- data-loss-prevention-dlp