1Resumen— En la actualidad, la mayor parte de lasorganizaciones pierden información valiosa por daños de losdispositivos ...
2el ámbito de las organizaciones, como activo informativo. Enla misma línea temática, [3] Max F. Cohen (2002) analizaalgun...
3no debe tener acceso a dicha información. Tener mecanismos dedestrucción controlada de información una vez que losdisposi...
4red, así como los departamentos involucrados y la frecuencia.Este informe permite a las compañías determinar qué clase de...
5las-organizaciones/[8] La fuga de información en las empresas. | PROSEGInformation Security - Eduardo Campos Segura. Disp...
Próxima SlideShare
Cargando en…5
×

Prevención de perdida de datos - Data Loss Prevention

979 visualizaciones

Publicado el

Ing. Luis Fran Cardozo González y Ing. Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com).
La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla.
Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación.

0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
979
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
42
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Prevención de perdida de datos - Data Loss Prevention

  1. 1. 1Resumen— En la actualidad, la mayor parte de lasorganizaciones pierden información valiosa por daños de losdispositivos electrónicos y en menor porcentaje por robo. Algunasorganizaciones que usan ciertos dispositivos, como por ejemploservidores de computo, que permiten almacenar gran cantidad deinformación, sincronizar el correo el electrónico, manejar agendasdetalladas de actividades, conexiones bluetooth, que si bienfacilitan el desarrollo de las actividades de los empleados,representan un riesgo en cuanto a la pérdida de confidencialidaden la información si no se tienen en cuenta las consecuencias deincorporar la tecnología y los posibles mecanismos paraprotegerla. Si esta información llegase a manos de personas noautorizadas, se expone a la organización a una situación de riesgooperacional, financiero y hasta reputacional que puede afectar aésta gravemente.Actualmente las entidades gubernamentales y privadas le estándando mayor importancia al manejo de la información con la quecuentan estableciendo políticas, procedimientos, normas einclusive leyes que la regulan.Y es que la información que posee una empresa es uno de losprincipales activos a proteger, en este artículo nos centraremos enalgunas medidas de prevención para proteger dicha información.Palabras clave— Data loss Prevention(DLP), Perdida de datos,Prevención, Valor de los datos.Ing. Luis Fran Cardozo González y Bladimiro García Severichepertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan lasiguiente investigación como parte del desarrollo de Seguridad en Redes(Email: lucag2004@gmail.com, bgarcias18@hotmail.com).La investigación fue asesorada por el PhD(c) Ing. Enrique SantiagoChinchilla.Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por sudedicación y muestra de apoyos en nuestra formación.I. INTRODUCCIÓNEl mundo ha cambiado [1]. Hace un tiempo sustraer unactivo de una organización implicaba llevárselo materialmente.Algunos se llevaban material de oficina (folios, grapas, etc.),otros documentos confidenciales originales o fotocopiados. Enla actualidad, los datos y la información que manejan lasempresas son activos muy valiosos y no es necesarioesconderlos en la chaqueta cuando el jefe no mira pararobarlos. La información se puede enviar por correoelectrónico, mensajería instantánea, subir a una página deInternet, imprimir o copiar en un dispositivo dealmacenamiento USB o de multitud de otras manerasinventadas o por inventar.La Prevención de Perdida de Datos tiene como objetivoidentificar, monitorizar y proteger los datos de unaorganización. Los datos pueden ser tratados por usuarios ensus estaciones de trabajo, pueden transmitirse o pueden seralmacenados.II. DESARROLLO1. ¿Qué es la Perdida de datos?La pérdida de datos es una condición de error en sistemas deinformación en el que la información se destruye por las fallas onegligencia en el almacenamiento, transmisión o procesamiento,o simplemente por fuga de la información.1.1 El valor de los datos.Establecer el valor de los datos es algo totalmente relativo,pues la información constituye un recurso que, en muchos casos,no se valora adecuadamente debido a su intangibilidad. Además,las medidas de seguridad no influyen en la productividad delsistema por lo que las organizaciones son resistentes a dedicarrecursos a esta tarea.1.2 Información en las empresas u organizaciones.Respecto a la información en las organizaciones se hanencontrado documentos que describen la valoración de lainformación y la administración de la información comoherramienta básica en las organizaciones. En general, sedetalla la propuesta de autores que consideran a la informacióncomo un activo.1.2.1 La información como un activo.Respecto al valor de la información, [2] Oppenheim,Stenson, & Wilson (2003a), identifican los atributos de lainformación y concluyen que a ésta se le puede considerar, enLuis Fran Cardozo González, Bladimiro García SeverichePrevención de perdida de Datos(Data Loss Prevention)
  2. 2. 2el ámbito de las organizaciones, como activo informativo. Enla misma línea temática, [3] Max F. Cohen (2002) analizaalgunos aspectos del uso de la información en la economía dela información y al igual que Oppenheim, Stevenson &Wilson, considera que la información es un activo.Al considerar a la información como activo se encuentra unadenotación económica, mejor dicho en la economía de lainformación, la cual concibe una preocupación de la cantidadde información procesada en una organización, mediante lainteracción de sus integrantes, para la toma de decisiones(Cohen, 2002). Cohen, basado en un contexto de la teoría de lainformación, describe cómo las organizaciones utilizan lainformación, desde el control de inventarios —materiaprima—, horas máquina disponibles, tiempo de entrega deproductos, hasta el uso de información por parte de losclientes, con la finalidad última de reducir costos.Las cualidades que conforman la [4] seguridad de los activosde información de una organización son:La confidencialidad tiene relación con la protección deinformación frente a posibles accesos no autorizados, conindependencia del lugar en que reside la información o laforma en que se almacena.La información sensible o valiosa que la organización custodiao maneja, necesita ser protegida mediante estrictas medidas decontrol. La verificación y la autorización son dos mecanismosque se emplean para asegurar la confidencialidad de lainformación.La integridad se refiere a la protección de información,datos, sistemas y otros activos informáticos contra cambios oalteraciones en su estructura o contenido ya seanintencionados, no autorizados o casuales.También es importante proteger los procesos o programas quese emplean para manipular los datos. La información se debepreservar y poner a disposición de sus propietarios y de losusuarios autorizados de una forma precisa, completa yoportuna.La disponibilidad es la garantía de que los usuariosautorizados puedan acceder a la información y recursoscuando los necesiten.1.3 Tipos de pérdida de datos o informaciónLa pérdida de los datos [5] se produce muchas veces poracción intencional, como la eliminación de un archivo oprograma, o de manera involuntaria, como la perdida de cd otarjetas de memorias o la incapacidad de leer el formato de unarchivo desconocido; o por otras causas, como error deHardware, por ejemplo; un fallo del sistema principal en undisco duro, los errores de software o mala usabilidad; o pordesastres naturales, terremotos, inundaciones y con un gran augelos delitos informáticos, como el robo, la piratería, el sabotaje,con actos maliciosos como gusanos, virus y hackers. Según elblog de penjana minda strategik[6] nos muestra un informeestadísticos de las causas de perdida de datos más frecuentes.Ver Figura 1.Figura 1. Causas más frecuentes de la perdida de datos.1.4 Por qué se pierde la informaciónJuly Calvo[7] en su artículo “Fuga de información en lasorganizaciones”, nos dice que algunas organizaciones usanciertos dispositivos como por ejemplo celulares que permitenalmacenar gran cantidad de información, sincronizar el correoelectrónico, manejar agendas detalladas de contactos,conexiones bluetooth, conexiones wireless, que si bienfacilitan el desarrollo de las actividades de los empleados,representan un riesgo en cuanto a la pérdida deconfidencialidad de la información si no se tienen en cuentalas consecuencias de incorporar la tecnología y los posiblesmecanismos para proteger la información.Eduardo Campos Segura [8] en su artículo “La fuga deinformación en las empresas” nos dice que “De acuerdo aestudios de mercado como lo muestra la Figura 2, 63% de lasempresas públicas y privadas pierden anualmente archivos deinformación valiosa, pero solo 23% es por robo. De la pérdidade información 57% se debe al extravío de equipos portátiles,como computadoras, celulares, agendas electrónicas, odispositivos como discos compactos y memorias USB”.Figura 2. Fuga de información anual en empresas públicas yprivadas.Las personas en general utilizan sus computadoras portátiles enlugares públicos sin considerar que las actividades que realizanen ellas, pueden estar siendo observadas por alguna persona que
  3. 3. 3no debe tener acceso a dicha información. Tener mecanismos dedestrucción controlada de información una vez que losdispositivos van a reasignarse, también es un elemento deprotección.1.5 Puntos de fuga y perdida de datosComo July Calvo[9] nos dice, existen diferentes amenazas yvulnerabilidades que pueden conllevar a la fuga y perdida dedatos, a continuación se describen algunas de ellas.Redes sociales. Páginas como Facebook, Hi5, Twitter,Badoo, representan un riesgo para la pérdida de confidencialidadde la información si las organizaciones no realizan campañas desensibilización que eviten que los empleados publiqueninformación de la compañía en dichos sitos.Publicación de videos. Las organizaciones realizanactividades al interior de sus instalaciones que son grabadas, enalgunas ocasiones estas grabaciones son subidas a páginas comoYouTube sin tener en cuenta la información que puede serrevelada, como por ejemplo nombre de áreas de accesorestringido, controles de seguridad existentes, nombres y cargosde empleados de la compañía, lo que puede poner en evidenciainformación que sólo es relevante para la compañía.Robo de dispositivos móviles. La información almacenadaen estos dispositivos en la mayoría de las ocasiones transitadentro y fuera de la organización sin ningún mecanismo deprotección, lo que puede ocasionar que personal ajeno a lacompañía tenga acceso a información de carácter confidencial.Falta o inadecuada clasificación de activos deinformación. El hecho que las organizaciones no cuenten conuna adecuada clasificación de activos de información, conlleva aque los empleados no tengan claro cuál es el nivel de protecciónde cada activo, lo que dificulta la protección de los mismos.Falta de sensibilización a los usuarios. Las compañíasdeben realizar en gran medida campañas de sensibilización, lascuales permiten involucrar a los empleados con la seguridad dela información, proporcionando herramientas que van a facilitarla toma de decisiones cuando se enfrenten ante un evento quepueda afectar su seguridad.Virus y Malware. Los virus y los programas maliciosos sonuna amenaza constante para los datos de las compañías, debido asu fácil propagación, y en algunas ocasiones su difícil detección.Falta de acuerdos de confidencialidad. Las organizacioneshoy en día tienen diversos proveedores y empleados que llegan aconocer información del funcionamiento de la compañía, comopor ejemplo: información de clientes internos y externos, planesestratégicos, proyectos futuros, proyectos en ejecución, entreotra, la cual en algunos casos debe ser mantenida bajo reservaaun con los mismos empleados de la compañía.2. Que es la Prevención de perdida de datosEs un término de seguridad [10] referente a un sistema queidentifica, monitorea y protege datos en uso, datos enmovimiento y datos en reposo por medio de mecanismos deinspección, análisis contextual de transacciones(origen, destino,medio, etc.), siendo administrado desde una consola centraldonde tiene la capacidad de detectar y prevenir uso noautorizado así como transmisión de información confidencial.2.1 Factores Clave para prevenir la pérdida de datosA pesar de la aplicación de las nuevas tecnologías de seguridad,las empresas siguen siendo vulnerables, como muestran lossiguientes datos del articulo Efficacy of Emerging NetworkSecurity Technologies[11]; El 64% de las empresas tuvo una brecha de seguridad elpasado año. El 34% de las empresas tuvo más de un incidente. El 62% de los responsables técnicos creen que losataques más serios provienen de la web. El 60% de los responsables técnicos apunta a ataques dedenegación de servicio (DoS), el 47% a una inyecciónSQL.Ante este panorama[12], las compañías requieren tener unasolución y procesos claros para evitar sufrir pérdidas o fugasde información. En el mercado existen ya varias tecnologíasDLP que evitan la pérdida de datos en uno o más puntos delciclo de vida de la información, ya sea mientras ésta seencuentra transitando la red, almacenada y sin movimiento, obien, en un punto final. Adicionalmente, varias empresas estánadoptando DLP como una forma de mitigar los riesgos dehacer negocios a través de conexiones de alta velocidad ycomunicaciones móviles.Sin embargo, DLP es un asunto que va más allá de latecnología. Proteger la información y evitar su pérdidarequiere además de dos factores clave: tener procesosestablecidos e involucrar al personal. Como parte de losprocesos, es importante identificar los riesgos, establecerpolíticas, procesos y educar a los usuarios.En términos de capital humano, DLP requiere el respaldo demúltiples equipos y colaboración de varios departamentos quevan desde planta física, jurídico, administración, gerentes deriesgo empresarial, recursos humanos, mercadotecnia y ventas.De esta manera podemos identificar tres factores claves paraprevenir la perdida de datos:2.1.1 Evaluando riesgosEs importante aclarar que el proceso de identificación deriesgos no significa clasificar toda la información que llega,sale o es almacenada en la organización. Por el contrario,significa identificar el tipo de información cuyas pérdidasgeneran mayor impacto negativo en la compañía y es ahídonde primero se debe aplicar DLP. Para algunasorganizaciones, puede tratarse de códigos fuente, diseños deproductos o propiedad. Para otras, podría ser información delos clientes o datos financieros.Otra buena práctica que siguen varias empresas es el uso desoluciones DLP que incluyen un componente de evaluación deriesgos y esto significa que la actividad en la red se supervisadurante dos o tres días y después se elabora un informe quemuestra a la organización los datos que salen a través de la
  4. 4. 4red, así como los departamentos involucrados y la frecuencia.Este informe permite a las compañías determinar qué clase dedatos están en mayor riesgo y los departamentos que generanlos mayores riesgos.2.1.2 Estableciendo políticas y procesosUna vez que la organización ha identificado la protecciónque necesita puede establecer políticas para prevenir yadministrar la pérdida de datos. Posteriormente debe diseñarlos procesos para controlar estos incidentes y medir suprogreso con la consiguiente reducción de riesgos. Es crucialaclarar quién es el responsable de realizar las tareasestablecidas en caso de una violación o pérdida de datos, paraque cuando ocurra una crisis, el personal adecuado realice losprocesos necesarios para mitigar los riesgos.Por ejemplo, el personal de seguridad de TI, así como losempleados involucrados y sus gerentes deberían sernotificados. Si se sospecha que hay un comportamientomalicioso, es necesario traer especialistas forenses y jurídicos.Si ocurre una gran fuga de datos, las relaciones públicasjuegan un papel importante. Asimismo, los gerentes de lasunidades de negocio deben rastrear los consiguientes riesgosde dicha pérdida.Es importante que se configuren las soluciones DLP másactuales para supervisar si los datos más importantes de lacompañía salen a través de un Gateway, o bien, de un puntofinal en particular, por ejemplo. Las organizaciones tambiénpueden utilizar la información real que saben que esimportante, para definir las políticas y luego cumplirlasadecuadamente.Muchas soluciones DLP cuentan con funcionalidadesinteligentes de respuesta a incidentes para que lasorganizaciones puedan automatizar el cumplimiento de laspolíticas con la flexibilidad necesaria. La inclusión de análisisy flujo de trabajo permiten al sistema calcular la gravedad delos incidentes y proporcionar el nivel de cumplimiento demanera automática. Aún mejor, estas soluciones puedenreducir significativamente el tiempo de configuración de TI alofrecer plantillas basadas en las mejores prácticas del sectorpara dar respuesta a incidentes, así como mejorar el flujo detrabajo de las medidas correctivas.2.1.3 Mayor ConcienciaEn ocasiones la eficacia de la mejor tecnología y losprocesos pueden verse afectados si los empleados no entiendenel valor de la información de la compañía y su papel en ladisminución de riesgos. Teniendo una mayor conciencia, losempleados también pueden convertirse en la línea de defensamás fuerte de la compañía y en su recurso más valioso.Sin embargo, ¿cómo lo harían? los programas deentrenamiento para tomar conciencia de la protección puedenayudar de la misma manera que la claridad en las políticasinternas. Sin embargo, quizás la educación más eficaz sederiva de la intervención en el momento oportuno. Después detodo, muchas brechas de datos son el resultado de erroressencillos del usuario. Las personas cometen errores, puedenolvidar o entender mal las cosas, pero también corrigen loserrores cuando saben que se equivocaron.Claramente, en el mundo de hoy, los directores de TI yseguridad de las empresas de todos los tamaños estáncomprometidos con la protección de la información,independientemente de donde es enviada, almacenada outilizada. Con la ayuda de las soluciones DLP que involucranal personal, los procesos y la tecnología, las empresas nosolamente pueden saber donde está la información, quién laestá usando y a dónde va, también pueden administrar ycontrolar eficazmente los riesgos de la información ahora y enel futuro.III. CONCLUSIONESUna solución para la Prevención de Perdida de Datos [13]puede cubrir necesidades de seguridad importantes en lasempresas. En los momentos que nos encontramos, lainformación es clave y las organizaciones no se puedenpermitir el privilegio de tener fugas no controladas. Demomento, las soluciones de Prevención de Perdida de Datosexistentes no son triviales de desplegar y requieren de personalespecializado para su integración en la organización..REFERENCIAS[1] Introducción a la tecnología "Data Loss Prevention". |Florencio Cano. Disponible en Internet:http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-data-loss-prevention-dlp[2] Studies on information as an asset I: Definitions. Journalof Information Science, 29(3), 159-166. | Oppenheim, C.,Stenson, J. & Wilson, R. M. S. (2003a).[3] Algunos aspectos de la utilización de la información en laeconomía de la información. Ciencias de la Información 26-36. | Cohen, M. F. (2002).[4] Seguridad de la información en las instituciones financieras| Ing. Paola Katherine Macías Anchundia.Disponible en Internet:http://repositorio.maeug.edu.ec/bitstream/123456789/183/2/103929998713387829484856861425577492026.pdf[5] Types of data loss. | From Wikipedia, the freeencyclopedia. Disponible en Internet:http://en.wikipedia.org/wiki/Data_loss#Types_of_data_loss[6] PMS! 5 Ways to Prevent Data Loss. | Penjana MindaStrategik. Disponible en Internet:http://polimuadzamshah.blogspot.com/2012/04/pms-5-ways-to-prevent-data-loss.html[7] Fuga de información en las organizaciones. | Newnetsa -July Calvo. Disponible en Internet:http://www.newnetsa.com/2009/08/fuga-de-informacion-en-
  5. 5. 5las-organizaciones/[8] La fuga de información en las empresas. | PROSEGInformation Security - Eduardo Campos Segura. Disponible enInternet: http://www.liderempresarial.com/num175/10.php[9] Fuga de información en las organizaciones. | Newnetsa -July Calvo. Disponible en Internet:http://www.newnetsa.com/2009/08/fuga-de-informacion-en-las-organizaciones/[10] Data Loss Prevention. Arame Seguridad para TI. ISACA.9 - 12. | Karl-Heinz Holtschmit.[11] Efficacy of Emerging Network Security Technologies.editado por el Ponemon Institute. | February 2013.[12] Tres Factores Clave para prevenir la pérdida de datos. |Wilson Grava - vicepresidente de Symantec América Latina.Disponible en Internet:http://www.addictware.com.mx/index.php/blog/167-tres-factores-clave-para-prevenir-la-pida-de-datos[13] Introducción a la tecnología "Data Loss Prevention". |Florencio Cano. Disponible en Internet:http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-data-loss-prevention-dlp

×