Your SlideShare is downloading. ×

Fuga de información - segu-info

2,703

Published on

La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a …

La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a factores internos y externos. Es necesario tomar las medidas de seguridad necesarios ante empleados infieles y/o descontentos que buscarán perjudicar a la organización y beneficiarse a sí mismos. Ante los incrementos y perfeccionamiento de los ataques externos y dirigidos es necesario contar con personal que piense como un atacante. La presentación hace un análisis de estos factores y de las formas de prevención para evitar fugas de información.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,703
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Fuga de Información - 06/11 Fuga de Información El nuevo desafío de las organizaciones Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar @seguinfo Licencia de uso Creative Commons 2.5 Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales. Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta. http://creativecommons.org/licenses/by-nc-sa/2.5/ar/www.segu-info.com.ar 1
  • 2. Fuga de Información - 06/11 Agenda a tratar: • Evolución de la información • Fuga de información • Casos actuales • Controles y medidas de seguridad • Conclusioneswww.segu-info.com.ar 2
  • 3. Fuga de Información - 06/11 Hechos… En 2006, la cantidad de información digitalizada fue 3 millones de veces mayor que la de todos los libros La cantidad de información digital creada, capturada y replicada fue mayor que la generada en los 5.000 años anteriores Entre 2009 y 2020 la información digital crecerá en un factor de 44 veces El número de archivos crecerá en un factor de 67 www.emc.com/collateral/demos/microsites/idc-digital-universe/iview.htm Hechos…www.segu-info.com.ar 3
  • 4. Fuga de Información - 06/11 Hechos… Fuga de información • Un sistema debe ser diseñado para que la información y las tareas sensibles no puedan ser observadas por un atacante y no se debería poder revelar parte de esa información debido a errores en los procedimientos • Si no se implementan controles adecuados, se producen Suministrar diferentes versiones de información sensible a cada grupo fugas de información sospechoso y observar que versión se filtra para identificar al atacantewww.segu-info.com.ar 4
  • 5. Fuga de Información - 06/11 Los papeles del Pentágono: “informe secreto” del DoD EE.UU. sobre su invasión militar y política en Vietnam entre 1945 y 1967 El documento se publicó en junio de 1971 en el NYT, generando un gran escándalo En 2010, 250 mil documentos (cables diplomáticos) fueron filtrados por Wikileakswww.segu-info.com.ar 5
  • 6. Fuga de Información - 06/11 El 85% de las organizaciones han sufrido fugas de información por parte de sus empleados, clientes o proveedores en los últimos dos años Ponemon Institutewww.segu-info.com.ar 6
  • 7. Fuga de Información - 06/11 Fugas importantes 02/05 - Intrusión en Sony PlayStation Network: se roban 77 millones de cuentas de usuarios de su plataforma 02/05 - Intrusión en Sony Online Entertainment: 25 millones de cuentas más y 12.000 tarjetas de crédito 05/05 - Deface a Sony BMG Grecia (ver luego) 05/05 - Archivos públicos (en buscadores) con información sensible en subdominios de Sony 17/05 - Robo de cuentas mediante sistema de recuperación de contraseña recién “solucionado” 19/05 - Phishing alojado en Sony Tailandia 20/05 - Acceso a cuentas de So-Net Entertainment y robo de dinero virtual y puntos de usuarios 21/05 - Deface a Sony Music Indonesia 22/05 - Publicación de información de la intrusión Sony BMG Grecia y publicación de 8.000 cuentas de usuarios 23/05 - Inyección SQL en Sony Music Japón 24/05 - Inyección SQL en eShop de Sony Canadá 02/06 – Publicación de bases de datos e infraestructura interna de la red de Sony: un millón de cuentas de usuarios y 3,5 millones de cupones de músicawww.segu-info.com.ar 7
  • 8. Fuga de Información - 06/11 Hasta ahora Sony ha perdido 3,7 mil millones de dólares (sin incluir juicios) Cada registro de Citigroup se cosn http://blog.segu-info.com.ar/2011/06/perdidas-de-sony-luego-de-la-fuga-de.html http://blog.segu-info.com.ar/2011/06/13-millones-de-datos-de-clientes-de.html • A principios de mayo ingresaron a 360.083 cuentas de EE.UU. • Se robó dinero al 1% de las cuentas • No se consiguió acceso al sistema de En promedio en las empresas cada procesamiento crediticio registro tiene un costo de $20 • Se robó información de usuarios y números de tarjeta de crédito Ponemon Institute • El banco esperó tres semanas para enviar cartas de notificación • Se considera que cada registro robado cuesta U$S 214www.segu-info.com.ar 8
  • 9. Fuga de Información - 06/11www.segu-info.com.ar 9
  • 10. Fuga de Información - 06/11 ¿Información pública? ¿Información pública?www.segu-info.com.ar 10
  • 11. Fuga de Información - 06/11 ¿Información pública?www.segu-info.com.ar 11
  • 12. Fuga de Información - 06/11 ¿Hackers o negligencia? Fuente: Ponemon Institute2010 http://bit.ly/kq1lYCwww.segu-info.com.ar 12
  • 13. Fuga de Información - 06/11 ¿Y Argentina? http://blog.segu-info.com.ar/2011/05/se-prepara-gran-ataque-contra.html http://blog.segu-info.com.ar/2011/05/el-ataque-de-optaringa-las-editoriales.htmlwww.segu-info.com.ar 13
  • 14. Fuga de Información - 06/11 Más información: “Viagra.gob.ar” http://segu.info/art4 Tipos de controles • Administrativos: políticas y procedimientos definidos por la organización • Controles Lógicos y Técnicos: controles que requieren mecanismos de soft y hard. Implican la restricción lógica de acceso a los sistemas y la protección de la información • Controles Físicos: barreras físicas para evitar el contacto con los sistemas. Incluye guardias, seguridad física del edificio en general, etc.www.segu-info.com.ar 14
  • 15. Fuga de Información - 06/11 Privilegios • Mínimo Privilegio: limita a sujetos y objetos a acceder sólo a los recursos necesarios para ejecutar una tarea. Un proceso tiene sólo los privilegios necesarios para realizar sus tareas • Separación de tareas: asegura que un individuo no puede realizar tareas completas por sí mismo • Conocimiento distribuido y control dual: son requeridos dos o más individuos para realizar una tarea • Control de cambios: registrar cada cambio de cada documento (responsable, motivo, fecha, versión, etc.) Tipos de Autenticación Algo que conoces Algo que tienes Algo que eres físicamentewww.segu-info.com.ar 15
  • 16. Fuga de Información - 06/11 Identificación y Autenticación • Identificación: acto de proveer credenciales que permitan determinar la identidad de un sujeto • Autenticación: comprobación de las credenciales recibidas con el objetivo de determinar si el sujeto es quien dice ser • Autorización: determinación de los permisos de acceso de un sujeto identificado y autenticado sobre un objeto Identificación Autenticación Autorización Más información: “Viagra.gob.ar” http://segu.info/art4www.segu-info.com.ar 16
  • 17. Fuga de Información - 06/11 Metadatos • Metadatos: datos que describen a otros datos • Los archivos contienen información “oculta” que los describe y caracteriza • Dicha información puede ser utilizada para obtener información sensible del archivo Metadatos http://www.computerbytesman.com/privacy/blair.htmwww.segu-info.com.ar 17
  • 18. Fuga de Información - 06/11 Metadatos Controles (I) • Clasificación de la información: proceso por el cual la organización define los niveles de clasificación de su información y decide qué proteger en base al costo/beneficio • Antivirus/Firewall/IDS: herramientas que permiten identificar cualquier tipo de programa dañino o tráfico anómalo desde y hacia la red corporativawww.segu-info.com.ar 18
  • 19. Fuga de Información - 06/11 Controles (II) • Marcas de agua: texto, imágenes o audio que aparecen detrás o encima de un documento impreso o digital, perceptible o no • Causan sombras, luces, variaciones o reflejos que facilitan la identificación y autenticación y dificultan la copia o duplicación Controles (III) • Logs: el proceso de autorización tiene como objetivo que cada usuario, tarea y fecha sea identificado y rastreable (pistas de auditoria) • Backup: las copias de seguridad son la única solución cuando todo lo demás ha falladowww.segu-info.com.ar 19
  • 20. Fuga de Información - 06/11 Controles (IV) • Firmado de documentos: proceso que mediante el uso de la criptografía permite identificar y autenticar mensajes o documentos • Data Loss Prevention (DLP): aplicaciones que permiten registrar, monitorear y controlar los datos digitales en una infraestructura tecnológica “Sony utilizaba software sin actualizar y no tenía Firewall” Gene Spaffordwww.segu-info.com.ar 20
  • 21. Fuga de Información - 06/11 Qué NO hacer 1. Negar el incidente 2. Ocultar el incidente a los clientes 3. Mentir sobre las aptitudes del atacante 4. Crear “nuevas” políticas de seguridad (que ya deberían haber estado implementadas) a partir del incidente 5. Contratar al atacante ☺ 6. Hacer marketing con los errores y ofrecer “promociones” a los afectados 7. “Ahorrar” en seguridad (y su personal) 8. Solucionar un incidente en particular pero continuar sin gestionar la seguridad Conclusiones • Anualmente se pierden millones U$S por falta de previsión y protección • La información es un activo que puede valuarse, conocerse y clasificarse • Cuando los usuarios salen de la organización, los datos también • Existen controles que deben ser implementados para conservar la confidencialidad de la información y evitar su fugawww.segu-info.com.ar 21
  • 22. Fuga de Información - 06/11 Referencias • Estadísticas http://bit.ly/icQgbK • Base de datos sobre fuga de información http://datalossdb.org/ • Firmado de documentos http://www.xolido.com/ • DLP Open Source http://www.mydlp.org/ • Metadatos de documentos http://www.informatica64.com/foca/ • Metadatos de imágenes http://regex.info/exif.cgi • DLP: Prevención de fuga de información http://bit.ly/kq1lYC http://bit.ly/ldQgLi Gracias… ¿Preguntas? Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar @seguinfowww.segu-info.com.ar 22

×