Las tres bases de la protección avanzada contra robo de datos

Escrito por Ricardo Alemán el . Posteado en datos, Seguridad, servicios administrados

La protección de la información sensible de las empresas contra ataques y amenazas provenientes de la red se ha vuelto más compleja, de esta necesidad ha surgido el concepto de protección contra la pérdida de datos (DLP en inglés). Durante décadas los sistemas de seguridad han creado barreras que limitan el contacto de los equipos con exterior, para impedir que los contactos peligrosos tengan acceso a la información de la empresa. Sin embargo, la forma en que las empresas utilizan la red se ha transformado y las nuevas aplicaciones, a la vez que ofrecen una mayor productividad a las empresas, plantean retos de seguridad para los cuales los antiguos “muros” no están preparados: las organizaciones necesitan un nuevo enfoque en sus medidas de protección.

¿Cómo es la red actual?

Las aplicaciones que utilizan internet tienen entre sus prioridades garantizar para sí un flujo ágil y continuo; por eso, desde los programas que permiten a una empresa mantener actualizados los inventarios de decenas de bodegas hasta los videojuegos, los desarrolladores dotan a sus herramientas de mecanismos que permitan evitar cualquier barrera, incluidas las que están destinadas a proteger a las computadoras y a las redes organizacionales de intrusiones indeseadas. Entre las tácticas empleadas, éstas son las más comunes:

  • “Hopping” de puertos: La aplicación cambia de puertos y protocolos de manera aleatoria durante una sesión.
  • Uso de puertos distintos de los asignados de manera estándar.
  • Túnel o “tunneling”: La aplicación encapsula sus protocolos con otros protocolos que sí son aceptados por la red receptora.
  • Ocultamiento del tráfico de la aplicación mediante el encriptado de SSL.

Mediante estas técnicas las aplicaciones consiguen mantener su flujo de información sin que sufra el firewall tradicional, la barrera que debe impedir accesos no autorizados a los equipos o a las redes de las empresas. En su origen, estas defensas identificaban a qué aplicación pertenecía cada paquete antes de permitir su acceso a la red interna, de modo que era posible rechazar los de aplicaciones no deseadas. Como esta intervención también puede entorpecer el tráfico de las aplicaciones, una gran parte de éstas emplea las técnicas mencionadas para evadir el examen; ya en 2010, un reporte señalaba que el 65% de las aplicaciones empleaba alguna de estas técnicas; la edición de 2014 del mismo estudio mostró que 34% de las aplicaciones utilizan encriptado SSL.

Por supuesto, estas técnicas de evasión también son utilizadas por programas maliciosos.

La defensa hoy: los tres pilares

Un evento de pérdida de información puede dañar severamente la economía de una empresa, además de que puede perjudicar permanentemente su reputación y afectar su operatividad por periodos considerables. Como se ha visto, en la protección contra la fuga de datos no es posible “aislar” la red de la empresa, la protección de la información requiere un enfoque más amplio, en el que intervengan la tecnología, los procesos de la empresa y las personas que intervienen en ellos.

Para empezar, las organizaciones deben mantener los elementos básicos de protección de sus redes, pero dentro de los estándares actuales de la tecnología; un firewall next generation, por ejemplo, además de efectuar una inspección profunda sobre los paquetes que acceden a la red, permite establecer políticas de acceso basadas en las jerarquías y las necesidades de los usuarios. Por otra parte, los dispositivos más avanzados contribuyen a la prevención contra el robo de datos mediante el monitoreo inteligente de la actividad de la red. Las técnicas evasivas pueden enmascarar las actividades de un intruso de modo que sean leídas por los sistemas de defensa como parte del intercambio de las aplicaciones permitidas. Mediante el análisis especializado es posible detectar comportamientos anómalos, por ejemplo, cuando el transgresor ya ha instalado malware dentro de la red y lo utiliza para extraer información sensible. Cuando esta información es procesada adecuadamente, es posible identificar canales que han sido alterados por el transgresor para extraer a través de ellos, “de caballito”, información crítica.

Por otra parte, las empresas requieren revisar los procesos en los que manejan información sensible; es decir, deben identificar las actividades que elevan riesgos y modificarlas o eliminarlas para constituir modelos de operación seguros. Es posible, también, considerar opciones como el manejo de una nube privada para la información relevante, con medidas especiales de acceso, tanto físico como informático y de procedimientos. También es posible implementar candados de seguridad: una “marca de agua” en la lista de precios, por ejemplo, evitará que ésta sea enviada a un competidor sin que dicho movimiento sea detectado, reportado y bloqueado.

Finalmente, el tercer pilar de la protección de la información corresponde a las personas que trabajan con ella: un manejo seguro de los datos requiere una revisión a conciencia del historial laboral de los colaboradores que están en contacto con ellos y una actualización constante sobre los grados de riesgo que cada persona puede generar.

¿Cómo empezar?

Estas preguntas permitirán a tu organización una primera valoración ante el robo de información:

  • ¿Has identificado cuál es la información delicada de tu empresa?
  • ¿Cuentas con una estimación de los daños que produciría una fuga de datos en tu organización?
  • ¿Qué tipo de barrera utilizas? ¿Cuentas con un firewall next generation?
  • ¿Has evaluado el grado de riesgo correspondiente al personal que opera la información crítica?
  • ¿Monitoreas el comportamiento de tu red? ¿Te es posible identificar flujos anómalos?

Pérdida de datos en tu empresa: 4 pasos

Escrito por Ricardo Alemán el . Posteado en datos, Respaldo, Seguridad, servicios administrados

1. Los datos que no quieres perder
Números de cuenta, registros fiscales, ¡contraseñas!, información personal de directivos. Éstos son ejemplos clásicos de información que las empresas buscan resguardar, datos cuya dispersión podría ocasionar pérdidas económicas considerables e inmediatas. Por otra parte, el entorno tecnológico se ha vuelto más complejo y existen nuevas formas en que una compañía puede resultar afectada por el robo de información.
Los datos de tus clientes —información bancaria, de contacto o de las operaciones cotidianas— son otro botín buscado por la ciberdelincuencia. En algunos casos, números de tarjetas de crédito, por ejemplo, resulta evidente el propósito del infractor; en otros, el criminal busca comercializar la información o definir nuevos objetivos de ciberataques. Las repercusiones para la empresa trasgredida pueden ser igual de graves ante las reclamaciones sus clientes, proveedores o socios.
Sería maravilloso que siempre pudieras resguardar esta información valiosa en un servidor aislado sin apenas contacto con internet, equipado sólo con aplicaciones de seguridad garantizada y con un registro detallado de los empleados que acceden a ella. Sin embargo, las empresas demandan operaciones cada vez más complejas, en las que intervienen diversos equipos de la red interna y de otras redes, aplicaciones de proveedores externos (como las que reciben pagos de tarjetas de crédito) y dispositivos móviles, entre otros agentes variados. Proteger la información en este entorno incierto es el reto que enfrentan las organizaciones del presente.
2. ¿Quién amenaza la información?
La ciberdelincuencia tiene muchas formas. Los virus con su potencial destructivo siguen siendo una amenaza importante que siempre deberás considerar en tu empresa; sin embargo, el peligro más grande son los delincuentes más sofisticados, quienes han desarrollado herramientas que evaden las barreras con que las empresas suelen resguardar su información relevante. A veces su objetivo es un robo directo: identifican descuidos en el manejo de información bancaria y con ésta realizan operaciones fraudulentas o robos de identidad, una práctica muy común en México; otras veces tienen fines de largo plazo, como mantener abierta la fuga de información de manera indefinida. En la actualidad, la información misma (nombres, edades, grados de escolaridad, direcciones, fechas de compra) es una prenda atractiva que permite la integración de big data, bases de datos inteligentes que revelan hábitos de consumo y que permiten orientar estrategias de márketing o de desarrollo. Muchos delincuentes despreciarán el riesgo que implica robar la información bancaria de tu compañía o de tus clientes y conseguirán también beneficios importantes si, mediante el uso de software malicioso (malware), convierten tu red en una mina silenciosa de datos personales sin despertar ninguna alarma.
3. La pérdida de datos hoy

  • Mientras en 2011 se reportaron en México 4 564 casos de robo de identidad, en 2015 se reportaron 28 258 casos, ¡seis veces más!
  • Entre abril y septiembre de 2014, una intrusión permitió extraer información de las tarjetas de crédito de 56 millones de clientes de Home Depot.
  • En diciembre de 2015 Hyatt detectó una intrusión que permitió que se insertara en su sistema malware diseñado para robar información de las tarjetas de crédito de sus clientes.
  • Entre febrero y marzo de 2014, los datos de 145 millones de usuarios de Ebay quedaron expuestos cuando un ataque permitió a los delincuentes obtener los datos de acceso de empleados de la empresa y copiar la información.
  • El 20 de julio de 2015 la base de datos de la página de citas ashleymadison.com, especializada en encuentros extramaritales sufrió una intrusión y los perpetradores publicaron un mes después información personal de 32 millones de usuarios: datos de tarjetas de crédito, nombres, teléfonos, contraseñas y direcciones.

4. Tu empresa ante la pérdida de datos
La red contemporánea ofrece opciones de conectividad e interacción sumamente atractivas para tu empresa; dejar pasar estas oportunidades dejaría a cualquier negocio en franca desventaja frente a sus competidores. Al mismo tiempo, estos canales abiertos también son las rutas que los cibercriminales modernos exploran constantemente en busca de beneficiarse a costa de las empresas.
Esto no quiere decir que las medidas básicas de resguardo resulten obsoletas: tu información estará más segura si utilizas software contra virus e intrusiones actualizado y adecuado para el tamaño y el tipo de tu red; además, tus empleados deben observar prácticas seguras en sus operaciones informáticas. Sin embargo, ésta es sólo la primera línea de defensa, en la siguiente publicación de este blog se abordarán las técnicas avanzadas de prevención de pérdida de datos (o DLP, por sus siglas en inglés), en ella conocerás los mecanismos que podrán llevar la protección de tu entorno tecnológico al máximo.

¿Ya cuentas con un DRP?

Escrito por Ricardo Alemán el . Posteado en datos, drp, Seguridad, servicios administrados

Bases para una buena elección de plan de recuperación de desastre

tecnico-preocupado-en-data-center-copia

Los datos de una empresa representan dinero y recursos muy valiosos: la cartera de clientes, la facturación, los sistemas y las aplicaciones que soportan las operaciones cotidianas. La cultura de las organizaciones modernas tiene como uno de sus ejes la valoración del riesgo y la formulación de planes de emergencia, como el Plan de Recuperación tras Desastre (DRP). Las cosas, sin embargo, son menos claras cuando esta preocupación se traduce en programas de uso constante, en la modificación de prácticas y en la asignación de nuevas responsabilidades al equipo del trabajo.

¿Qué hace exitosa la elección de un DRP? ¿Cómo debe la empresa valorar a su proveedor de servicios de recuperación? No hace falta padecer un desastre para valorar el plan de rescate, por eso estas líneas presentan los detalles finos que permiten a la organización, desde las primeras semanas, sentirse satisfecha con su servicio de DRP.

El plan y las características de la empresa

El Plan de Recuperación de Desastre (o DRP por sus siglas en inglés) es una herramienta que permite articular intervenciones, nuevas prácticas y recursos para minimizar las consecuencias de una pérdida de información. La adquisición de este servicio requiere que las empresas tengan una visión clara de lo que implica este programa y que examinen con detenimiento las ofertas de sus proveedores.

Cada empresa tiene particularidades muy específicas, no sólo porque la naturaleza de la información o de sus riesgos puede ser muy variada, sino porque las dimensiones y la estructura organizacional pueden imponer requerimientos considerables para cualquier programa de contingencia. El diagnóstico de la empresa es un proceso complejo y lleno de decisiones relevantes que además exige una interacción fluida y eficiente con el proveedor. Éste no sólo debe implementar un análisis de las necesidades de la empresa y de los riesgos a los que está expuesta, también debe identificar los procedimientos apropiados que se adaptan a las condiciones y las prácticas de la organización.

Por supuesto, la parte medular del plan son, por una parte, los protocolos que serán integrados a las operaciones cotidianas de la empresa y los que serán implementados para la toma de decisiones tras un desastre, y por otra, la infraestructura en la que se resguardará la información de la empresa, y desde la que se lanzaría la recuperación en caso de desastre. Para este fin, el proveedor debe ofrecer un programa que permita a la empresa integrar las prácticas de DRP sin comprometer su propia viabilidad, a la vez que ambas partes deben identificar con nitidez los mecanismos y el personal que participarán en el plan. El proveedor ofrece un aparato de procedimientos estandarizados, y aunque la coherencia y el esmero de éstos son vitales, la experiencia y la habilidad del personal cobra la mayor importancia, pues éste identificará las pautas en que el plan será programado y asesorará al cliente de acuerdo con las características concretas staff de la empresa para distribuir las responsabilidades del DRP.

El aterrizaje del DRP

El DRP es un servicio que se alojará permanentemente en la empresa, impactará especialmente las operaciones más cruciales y requerirá la participación de sus mandos superiores. Por esta razón las empresas deben valorar en su proveedor la experiencia y las habilidades específicas para aterrizar los protocolos, así como para generar procedimientos viables y acordes a la organización.

Las siguientes preguntas pueden optimizar la contratación de un DRP, o permitir que la empresa saque más provecho del que ya tiene:

• ¿Cuál es la experiencia en desastres del personal que aplicará el DRP?

• ¿Con qué frecuencia se debe revisar el DRP de la empresa?

• ¿Qué componentes del DRP corresponden a las características particulares de la empresa?

• ¿Sobre qué miembros de la empresa recaen las responsabilidades del DRP?

• ¿Cómo cambiarán las actividades cotidianas de la empresa tras adoptar el DRP?

Para una asesoría y solución profesional, te invitamos a conocer nuestro servicio de DRP administrado
(DRaaS).

Servicio DRP

planeando2