La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a factores internos y externos. Es necesario tomar las medidas de seguridad necesarios ante empleados infieles y/o descontentos que buscarán perjudicar a la organización y beneficiarse a sí mismos. Ante los incrementos y perfeccionamiento de los ataques externos y dirigidos es necesario contar con personal que piense como un atacante. La presentación hace un análisis de estos factores y de las formas de prevención para evitar fugas de información.
Presentación inteligencia artificial en la actualidad
Fuga de información - segu-info
1. Fuga de Información - 06/11
Fuga de Información
El nuevo desafío de las organizaciones
Lic. Cristian Borghello CISSP – MVP
www.segu-info.com.ar
@seguinfo
Licencia de uso
Creative Commons 2.5
Ud. puede:
Copiar, distribuir, exhibir, y ejecutar la obra
Hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debe atribuir la obra en la forma especificada por el autor
No Comercial. No puede usar esta obra con fines comerciales.
Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre
esta obra, sólo podrá distribuir la obra derivada resultante bajo una
licencia idéntica a ésta.
http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
www.segu-info.com.ar 1
2. Fuga de Información - 06/11
Agenda a tratar:
• Evolución de la información
• Fuga de información
• Casos actuales
• Controles y medidas de seguridad
• Conclusiones
www.segu-info.com.ar 2
3. Fuga de Información - 06/11
Hechos…
En 2006, la cantidad de información digitalizada
fue 3 millones de veces mayor que la de todos
los libros
La cantidad de información digital creada,
capturada y replicada fue mayor que la
generada en los 5.000 años anteriores
Entre 2009 y 2020 la información digital
crecerá en un factor de 44 veces
El número de archivos crecerá
en un factor de 67
www.emc.com/collateral/demos/microsites/idc-digital-universe/iview.htm
Hechos…
www.segu-info.com.ar 3
4. Fuga de Información - 06/11
Hechos…
Fuga de información
• Un sistema debe ser diseñado para
que la información y las tareas
sensibles no puedan ser observadas
por un atacante y no se debería
poder revelar parte de esa
información debido a errores en los
procedimientos
• Si no se implementan controles
adecuados, se producen Suministrar diferentes versiones de
información sensible a cada grupo
fugas de información sospechoso y observar que versión se
filtra para identificar al atacante
www.segu-info.com.ar 4
5. Fuga de Información - 06/11
Los papeles del Pentágono: “informe secreto”
del DoD EE.UU. sobre su invasión militar y
política en Vietnam entre 1945 y 1967
El documento se publicó en junio de 1971 en
el NYT, generando un gran escándalo
En 2010, 250 mil documentos
(cables diplomáticos) fueron
filtrados por Wikileaks
www.segu-info.com.ar 5
6. Fuga de Información - 06/11
El 85% de las organizaciones han
sufrido fugas de información por
parte de sus empleados, clientes o
proveedores en los últimos dos años
Ponemon Institute
www.segu-info.com.ar 6
7. Fuga de Información - 06/11
Fugas importantes
02/05 - Intrusión en Sony PlayStation Network: se roban 77
millones de cuentas de usuarios de su plataforma
02/05 - Intrusión en Sony Online Entertainment: 25 millones
de cuentas más y 12.000 tarjetas de crédito
05/05 - Deface a Sony BMG Grecia (ver luego)
05/05 - Archivos públicos (en buscadores) con información
sensible en subdominios de Sony
17/05 - Robo de cuentas mediante sistema de recuperación de
contraseña recién “solucionado”
19/05 - Phishing alojado en Sony Tailandia
20/05 - Acceso a cuentas de So-Net Entertainment y robo de dinero
virtual y puntos de usuarios
21/05 - Deface a Sony Music Indonesia
22/05 - Publicación de información de la intrusión Sony BMG Grecia y
publicación de 8.000 cuentas de usuarios
23/05 - Inyección SQL en Sony Music Japón
24/05 - Inyección SQL en eShop de Sony Canadá
02/06 – Publicación de bases de datos e infraestructura interna de la red
de Sony: un millón de cuentas de usuarios y 3,5 millones de cupones de
música
www.segu-info.com.ar 7
8. Fuga de Información - 06/11
Hasta ahora Sony ha perdido 3,7 mil
millones de dólares (sin incluir juicios)
Cada registro de Citigroup se cosn
http://blog.segu-info.com.ar/2011/06/perdidas-de-sony-luego-de-la-fuga-de.html
http://blog.segu-info.com.ar/2011/06/13-millones-de-datos-de-clientes-de.html
• A principios de mayo ingresaron a 360.083
cuentas de EE.UU.
• Se robó dinero al 1% de las cuentas
• No se consiguió acceso al sistema de
En promedio en las empresas cada
procesamiento crediticio
registro tiene un costo de $20
• Se robó información de usuarios y números
de tarjeta de crédito
Ponemon Institute
• El banco esperó tres semanas para enviar
cartas de notificación
• Se considera que cada registro robado
cuesta U$S 214
www.segu-info.com.ar 8
14. Fuga de Información - 06/11
Más información: “Viagra.gob.ar”
http://segu.info/art4
Tipos de controles
• Administrativos: políticas y procedimientos
definidos por la organización
• Controles Lógicos y Técnicos: controles que
requieren mecanismos de soft y hard.
Implican la restricción lógica de acceso a los
sistemas y la protección de la información
• Controles Físicos: barreras físicas para evitar
el contacto con los sistemas. Incluye
guardias, seguridad física del edificio en
general, etc.
www.segu-info.com.ar 14
15. Fuga de Información - 06/11
Privilegios
• Mínimo Privilegio: limita a sujetos y objetos a acceder
sólo a los recursos necesarios para ejecutar una tarea.
Un proceso tiene sólo los privilegios necesarios para
realizar sus tareas
• Separación de tareas: asegura que un individuo no
puede realizar tareas completas por sí mismo
• Conocimiento distribuido y control dual: son
requeridos dos o más individuos para realizar una
tarea
• Control de cambios: registrar cada cambio de cada
documento (responsable, motivo, fecha, versión, etc.)
Tipos de Autenticación
Algo que conoces Algo que tienes
Algo que eres
físicamente
www.segu-info.com.ar 15
16. Fuga de Información - 06/11
Identificación y Autenticación
• Identificación: acto de proveer credenciales que
permitan determinar la identidad de un sujeto
• Autenticación: comprobación de las credenciales
recibidas con el objetivo de determinar si el sujeto es
quien dice ser
• Autorización: determinación de los permisos de
acceso de un sujeto identificado y autenticado sobre
un objeto
Identificación Autenticación Autorización
Más información: “Viagra.gob.ar”
http://segu.info/art4
www.segu-info.com.ar 16
17. Fuga de Información - 06/11
Metadatos
• Metadatos: datos que describen a otros datos
• Los archivos contienen información “oculta”
que los describe y caracteriza
• Dicha información puede ser utilizada para
obtener información sensible del archivo
Metadatos
http://www.computerbytesman.com/privacy/blair.htm
www.segu-info.com.ar 17
18. Fuga de Información - 06/11
Metadatos
Controles (I)
• Clasificación de la información: proceso por
el cual la organización define los niveles de
clasificación de su información y decide qué
proteger en base al costo/beneficio
• Antivirus/Firewall/IDS: herramientas que
permiten identificar cualquier tipo de
programa dañino o tráfico anómalo desde y
hacia la red corporativa
www.segu-info.com.ar 18
19. Fuga de Información - 06/11
Controles (II)
• Marcas de agua: texto, imágenes o audio que
aparecen detrás o encima de un documento
impreso o digital, perceptible o no
• Causan sombras, luces, variaciones o reflejos
que facilitan la identificación y autenticación y
dificultan la copia o duplicación
Controles (III)
• Logs: el proceso de autorización tiene como
objetivo que cada usuario, tarea y fecha sea
identificado y rastreable (pistas de auditoria)
• Backup: las copias de seguridad son la única
solución cuando todo lo demás ha fallado
www.segu-info.com.ar 19
20. Fuga de Información - 06/11
Controles (IV)
• Firmado de documentos: proceso que mediante
el uso de la criptografía permite identificar y
autenticar mensajes o documentos
• Data Loss Prevention (DLP): aplicaciones que
permiten registrar, monitorear y controlar los
datos digitales en una infraestructura tecnológica
“Sony utilizaba software
sin actualizar y no tenía
Firewall”
Gene Spafford
www.segu-info.com.ar 20
21. Fuga de Información - 06/11
Qué NO hacer
1. Negar el incidente
2. Ocultar el incidente a los clientes
3. Mentir sobre las aptitudes del atacante
4. Crear “nuevas” políticas de seguridad (que ya
deberían haber estado implementadas) a partir
del incidente
5. Contratar al atacante ☺
6. Hacer marketing con los errores y ofrecer
“promociones” a los afectados
7. “Ahorrar” en seguridad (y su personal)
8. Solucionar un incidente en particular pero
continuar sin gestionar la seguridad
Conclusiones
• Anualmente se pierden millones U$S por falta
de previsión y protección
• La información es un activo que puede valuarse,
conocerse y clasificarse
• Cuando los usuarios salen de la organización,
los datos también
• Existen controles que deben ser implementados
para conservar la confidencialidad de la
información y evitar su fuga
www.segu-info.com.ar 21
22. Fuga de Información - 06/11
Referencias
• Estadísticas
http://bit.ly/icQgbK
• Base de datos sobre fuga de información
http://datalossdb.org/
• Firmado de documentos
http://www.xolido.com/
• DLP Open Source
http://www.mydlp.org/
• Metadatos de documentos
http://www.informatica64.com/foca/
• Metadatos de imágenes
http://regex.info/exif.cgi
• DLP: Prevención de fuga de información
http://bit.ly/kq1lYC
http://bit.ly/ldQgLi
Gracias… ¿Preguntas?
Lic. Cristian Borghello CISSP – MVP
www.segu-info.com.ar
@seguinfo
www.segu-info.com.ar 22