Detener la fuga de datos: Aprovechando su inversin existente en seguridad

A medida que las actitudes respecto al trabajo y la informacin evolucionan alejndose del pasado, las empresas son cada vez ms conscientes de la creciente necesidad de controlar la informacin que fluye hacia fuera, hacia adentro y a travs de sus redes. Este documento demuestra que es preciso contar con una poltica de alto perfil aceptable, que evite las fugas de datos, ofrezca una orientacin prctica de cmo utilizar las inversiones existentes en seguridad TI en el acceso y en las estaciones de trabajo, para apoyar esta poltica, y describe dnde deberan hacerse nuevas inversiones realistas.

Monogrficos de Sophos

Junio 2008

Un monogrfico de Sophos

Detener la fuga de datos: Aprovechando su inversin existente en seguridad

Detener la fuga de datos:

Despus de aos de lucha contra intrusiones, virus, y spam, las empresas se enfrentan ahora a otro creciente problema de seguridad: la fuga de datos - exposicin de informacin intencionada o accidental que va de la informacin personal protegida legalmente, a la propiedad intelectual y los secretos comerciales. Hoy las brechas en seguridad de datos no slo provienen de ataques de piratas en Internet sino que abarcan el ms amplio entorno de Tecnologas de la Informacin, incluyendo prdida o robo de ordenadores porttiles, llaves USB y otros dispositivos, correo electrnico y aplicaciones Web 2.0 como la mensajera instantnea. En una encuesta reciente llevada a cabo por el analista IDC, la exposicin inadvertida de informacin confidencial de la empresa se cit como la amenaza numero uno, por encima de virus, troyanos y gusanos. El tipo de informacin desaparecida ms comn fue la propiedad intelectual y el 81% de los encuestados vieron la proteccin y control de la informacin (PCI) - definida como la vigilancia, encriptacin, filtrado, y bloqueo de informacin sensible contenida en datos en reposo, datos en movimiento y datos en uso - como una parte importante de la estrategia general de proteccin de datos. La solucin PCI de ms alta prioridad fue la prevencin contra fuga de datos (Data Leakage Prevention - DLP) desplegada en el permetro de la organizacin y en las estaciones de trabajo.(1) Un estudio del Instituto Ponemon concluy de forma similar que la prevencin de prdida de datos y las soluciones de encriptacin encabezaban la lista de las medidas tecnolgicas nombradas desplegadas

Aprovechando su inversin existente en seguridad

con ms frecuencia tras una brecha para ayudar a evitar una futura grieta en la seguridad. (2)

La creciente importancia de la DLP

Existen diversas razones para que la prevencin de fuga de datos se haya trasladado a la vanguardia de la seguridad de la empresa. Fugas de datos de alto perfil que daan la reputacin La mala publicidad causada por la fuga de datos puede conllevar daos en la reputacin, clientes perdidos, y a veces incluso la ruina para las empresas que son vctimas de ella. El nmero de ejemplos de brechas de seguridad en datos hechos pblicos, est creciendo significativamente. Algunos incidentes recientes de alto perfil: Los piratas informticos robaron 4.2 millones de nmeros de tarjetas de crdito y dbito de Hannaford bros, cadena de supermercados de Estados Unidos con 165 tiendas de comestibles en la zona de Nueva Inglaterra (Dic 2007 - Mar 2008) (3) Documentos secretos del gobierno sobre Al Qaeda e Irak quedaron olvidados en un tren de cercanas en el Reino Unido. (Jun 2008) (4) La Agencia de Ingresos y Aduanas de Su Majestad (HMRC) en el Reino Unido extravi datos personales de 25 millones de personas - incluidas las fechas de nacimiento, nmeros del Seguro Nacional y detalles bancarios - cuando dos CDs desaparecieron en el correo interno. (Nov 2007) (5) Un correo electrnico que contena nombres, cargos, sueldos, y nmeros de la seguridad social de 192 profesores y funcionarios fue enviado por accidente a alumnos del Instituto Tcnico Agrcola de la Universidad Estatal de Ohio. (Mayo 2008) (6)

Corporate email 56% Lost/stolen laptop 51% Web email or web posting 37% Instant messaging 33% Lost/stolen mobile device 33% Media devices 19% Other 12%

% choosing 4 or 5 on a 5-point scale Importancia de monitorizar la utilizacin de los empleados1

Un monogrfico de Sophos

Detener la fuga de datos: Aprovechando su inversin existente en seguridad

Regulacin La legislacin del Gobierno

Los gobiernos de todo el mundo han introducido legislacin cada vez ms estricta sobre proteccin de datos para proporcionar controles adecuados sobre informacin sensible de las empresas, como por ejemplo en EEUU la Ley Sarbanes-Oxley, HIPAA, y la Ley Gramm-Leach-Bliley y en el Reino Unido, la Ley de Proteccin de Datos. Las empresas que violen la legislacin pueden ser multadas y se les obliga a poner en marcha soluciones para evitar que se repita. La Norma del Estado de California 1386, introducida en 2003, fue la primera en exigir que las organizaciones notificaran a todos los afectados si sus datos personales o confidenciales haban sido perdidos, robados, o comprometidos. Esta revelacin pblica de informacin se exige ahora en 35 estados. Muchos reglamentos tambin exigen auditoras peridicas, que una organizacin puede no aprobar si no se han establecido los controles adecuados.

Cost
Adems del coste legal, las organizaciones tienen que hacer frente a otros costes menos tangibles de recuperacin y reveses comerciales, tales como prdida de negocio, o retirada de la condicin de comerciante por tarjeta de crdito. Todos estos costes han ido aumentando de manera constante.

Coste de una brecha de datos

Incremento del 43% desde 2005 Coste medio por incumplimiento 6.3 millones de dlares Coste medio por registro $197 para empresas financieras $239

Coste de prdida de negocio

Incremento del 30% desde 2005 65% del coste total (en comparacin con el 54% en un estudio similar de 2006)

PCI DSS
Junto a la legislacin del gobierno se sita PCI DSS (Payment Card Industry Data Security Standard: Estndar de Seguridad de Datos de la Industria de Pago por Tarjeta). Creado por multinacionales, se exige a los comerciantes como parte de los trminos para ser autorizado a aceptar transacciones por medio de tarjeta de crdito. Las empresas que no puedan demostrar el cumplimiento con la Industria de Pago por Tarjeta por medio de una auditora estn sujetas a sancin aunque no se haya llegado a producir fuga de datos. La Industria de Pago por Tarjeta va ms all de las fronteras internacionales y su capacidad para responder rpidamente a los cambios hace que constituya un estndar de seguridad tan importante como cualquier legislacin local o nacional.

La disolucin del permetro y la Web 2.0

A medida que los negocios se han trasladado a la red y se han convertido en mucho ms mviles, la estrategia de seguridad del siglo veinte de proteger el permetro de la organizacin mediante cortafuegos, deteccin de intrusos, y otras herramientas similares se ha convertido en insuficiente. Simplemente existen demasiados puntos de entrada y salida de datos. Si bien el bloqueo del permetro sigue siendo importante, la proteccin debe centrarse en controlar el acceso a la informacin. Esta necesidad est creciendo exponencialmente con la perspectiva totalmente diferente introducida por los usuarios de la Web 2.0. Este nueva fuerza laboral empleado 2.0 tiene una mentalidad altamente en sintona con el intercambio de informacin, publicacin en blogs, y envo de correos electrnicos y mensajera instantnea a los amigos, teniendo poco o nada en cuenta si esto es apropiado en un contexto de negocios.

Hoy, la proteccin debe centrarse en controlar el acceso a la informacin, no en bloquear el permetro.

Un monogrfico de Sophos

Detener la fuga de datos: Aprovechando su inversin existente en seguridad

El reto para las soluciones actuales de DLP

Varios proveedores de soluciones DLP para empresas han desarrollado soluciones innovadoras para evitar la fuga de informacin empresarial sensible. Muchos de estos productos se centran en la identificacin y categorizacin de todos los datos de la empresa y, a continuacin, la aplicacin de polticas corporativas de DLP para realizar un seguimiento de la informacin sensible a travs de la empresa, aplicando controles cuando sea necesario. Estas soluciones tienen mucho sentido en teora, pero en la prctica se enfrentan a varios escollos en su implementacin. Demasiados datos, poco tiempo. Para muchas organizaciones los datos estn tan dispersos, desorganizados y son tan voluminosos que clasificarlos completamente representa una tarea demasiado pesada y consumidora de recursos para que pueda llevarse a cabo por la mayora de departamentos de Tecnologas de la Informacin. Resistencia a las TI. Muchos productos DLP disponibles son relativamente nuevos y todava sufren de problemas como frecuentes falsos positivos. Los departamentos de TI pueden ser reacios a invertir sus cada vez ms exprimidos recursos en el despliegue de otra infraestructura compleja a nivel empresarial, sacrificando la dotacin de valor estratgico para la organizacin. Resistencia del usuario. Hay una desconfianza acerca del despliegue de un nuevo agente en cada estacin de trabajo y porttil que podra interferir con el negocio legtimo acaparando recursos del procesador, requiriendo actualizaciones frecuentes y ralentizando la ejecucin de otras aplicaciones del usuario. Complejidad del mbito de aplicacin. Concebir y aplicar una poltica global y viable que sea apoyada por soluciones DLP puede interferir en las prcticas comerciales habituales, necesitando la participacin tanto de recursos de TI como de recursos humanos, equipos financieros y jurdicos y directores de unidades de negocio.

El enfoque equivocado. Muchas de estas soluciones se centran en gran medida en la prdida intencionada de datos, cuando en realidad la fuga de datos es difcil de detener. Por ejemplo, alguien puede alterar deliberadamente los archivos para evitar la deteccin o existe el problema ms comn de las personas que simplemente intercambian informacin de forma inadecuada en el transcurso de una conversacin.

Necesidades reales de las empresas

La verdad es que, con la excepcin de las mayores empresas con los ms estrictos requisitos de seguridad, la mayor parte de las organizaciones simplemente carecen de los fondos, recursos de personal y de la necesidad de implementar esfuerzos de DLP a gran escala. Sus necesidades ms apremiantes e inmediatas se dividen en tres categoras. Detener al estpido El 98 por ciento de los incidentes de fuga de datos se debe en realidad a un accidente o a la estupidez 7 - como demuestran tres de los cuatro ejemplos de la pgina 1. La prdida de porttiles y llaves USB, el mal uso involuntario de correo electrnico, el irreflexivo intercambio de informacin en mensajera instantnea, el correo web, los sitios de redes sociales y los lugares de intercambio de archivos representan una amenaza mucho ms importante para las empresas que los piratas informticos. Cumplimiento de los requisitos normativos La necesidad ms apremiante para la mayora de las empresas es implementar una solucin efectiva que satisfaga a los auditores proporcionando la proteccin y el control necesarios para cumplir la normativa vigente sin necesidad de enormes cantidades de fondos, personal y recursos en su implementacin y gestin. Sacar provecho de las inversiones existentes Sobre todo cuando existen recursos limitados de TI, la mejor solucin es no invertir una gran cantidad de tiempo y dinero en una infraestructura completamente nueva, sino aprovechar al mximo las caractersticas DLP de la infraestructura que ya poseen (examinadas ms detalladamente a continuacin).

Un monogrfico de Sophos

Detener la fuga de datos: Aprovechando su inversin existente en seguridad

Permitiendo DLP
Ejecucin de una poltica de uso aceptable
Crear y ejecutar una poltica de uso aceptable (PUA) debera utilizarse como base para cualquier intento de detener la fuga de datos de una organizacin. Debido a la naturaleza cambiante tanto de la infraestructura organizativa como de las expectativas de los empleados de que la informacin debera estar disponible libremente para acceder a ella y compartirla, el xito de una PUA depende en gran medida de la creacin de una conciencia por parte del empleado del hecho de que la amenaza es interna, accidental en una abrumadora mayora de los casos y est en sus manos el evitarla. Adems de hacer hincapi en la importancia del sentido comn, la PUA debera establecer exactamente cmo se espera que los empleados usen la informacin de la empresa, contener consejos a seguir sobre buenas prcticas y definir claramente los comportamientos prohibidos. Debera cubrir cuestiones como las siguientes: Qu informacin es aceptable enviar por email

Aprovechamiento de las soluciones existentes

Most organizations already have a variety of tools with features that can address their most pressing DLP requirements without a major new investment. Otra ventaja es que a medida que la DLP crece como preocupacin corporativa estas mismas soluciones pueden probablemente mejorar sus caractersticas relativas a DLP, bsicamente del mismo modo que la prevencin del spyware, la deteccin de spam, y la deteccin de intrusos comenzaron como categoras e infraestructuras de seguridad separadas, pero fueron rpidamente incorporadas en otras categoras, tales como proteccin anti-virus y cortafuegos. Acceso a correo electrnico y proteccin de servidores Gran parte de la funcionalidad disponible en los productos de correo electrnico puede impedir que los datos sensibles o inadecuados se enven fuera de la empresa o a usuarios no autorizados dentro de la organizacin. Las herramientas incluyen: Escaneo del contenido de los mensajes y archivos adjuntos para controlar y bloquear informacin sensible, mediante la identificacin de, por ejemplo, nmeros de la seguridad social o palabras clave relacionadas con la confidencialidad de la informacin corporativa Controlar el acceso a determinados archivos Compatibilidad con soluciones de cifrado para evitar que los usuarios no autorizados puedan leer los mensajes de correo electrnico Verdadera identificacin del tipo de archivo para evitar que los usuarios disimulen y camuflen tipos de archivo no autorizados en mensajes de correo electrnico

La poltica de la empresa sobre el envo a foros o descargas de la web La poltica sobre el uso de llaves USB y CDs para el almacenamiento de informacin sensible de la empresa La poltica sobre alteracin de las configuraciones de seguridad

Las repercusiones de no adherirse a la poltica tambin deberan ser enunciadas.

Muchas organizaciones ya han puesto en marcha un nmero de herramientas con caractersticas que pueden hacer frente a las necesidades DLP ms apremiantes sin una nueva e importante inversin.

Un monogrfico de Sophos

Detener la fuga de datos: Aprovechando su inversin existente en seguridad

Proteccin en el acceso a Web Herramientas en soluciones web pueden aplicar polticas de empresa que: Eviten que los usuarios accedan a los tipos de sitio web y aplicaciones que se utilizan normalmente para eludir los controles corporativos y difundir informacin sensible de la empresa, incluyendo intercambio de archivos, sitios FTP, y sitios de correo web tales como Googlemail y Yahoo! Controlen y bloqueen el uso no autorizado de mensajera instantnea y trfico FTP Protejan contra descargas maliciosas que instalan spyware de manera secreta en el ordenador del usuario

proporcionar un importante grado de proteccin siempre y cuando se lleven a cabo actualizaciones y mantenimiento. Pero hay una solucin aadida que puede proporcionar un nivel adicional de proteccin crucial - el control de acceso a red (NAC). NAC garantiza que todos los ordenadores conectados a red - ya sea ubicados en la oficina o remotos, propiedad de la empresa o que pertenecen a usuarios invitados - cumplen la poltica de seguridad de la empresa. Con una buena solucin NAC, cualquier ordenador terminal que se conecte a la red es escaneado de forma automtica a fin de garantizar que: El cortafuegos y la proteccin anti software malicioso estn actualizados y activos Se han aplicado los parches ms recientes del sistema operativo No hay aplicaciones no autorizadas

Proteccin en estaciones de trabajo La proteccin en estaciones de trabajo va mucho ms all de la necesidad imperiosa de no dejar los ordenadores porttiles en los trenes: Bloquear la utilizacin de aplicaciones no esenciales, tales como intercambio de archivos, mensajera instantnea, clientes FTP, clientes de correo electrnico no autorizados, conexiones inalmbricas de red y herramientas de sincronizacin de smartphone y PDA Gestionar el acceso de escritura para dispositivos de almacenamiento porttiles tales como las llaves USB Cifrar los datos de almacenamiento porttiles para que no puedan leerse si caen en las manos equivocadas

Corrigiendo o bloqueando de inmediato cualquier ordenador que no cumpla con las polticas corporativas, NAC se asegura de que las caractersticas de DLP de otra soluciones se encuentran activas y actualizadas. Resumen La fuga de datos se ha convertido en uno de los ms apremiantes problemas a los que las empresas han de enfrentarse hoy en da. Sin embargo, la implementacin de una nueva estrategia compleja y global para detener la fuga de informacin no es en general una estrategia viable ni eficaz. Por el contrario, la mejor solucin de DLP es crear una PUA, hacerla cumplir mediante la aplicacin de los controles adecuados ya disponibles en el terminal, servidor, e infraestructura de seguridad de acceso existentes, e invertir en una solucin de NAC para garantizar que todos los ordenadores estn actualizados y en conformidad con las polticas

Invertir en nueva tecnologa Todas estas herramientas existentes pueden

Solucin Sophos

Sophos Enterprise Security and Control proporciona una proteccin completa para los ordenadores de sobremesa, ordenadores porttiles, dispositivos mviles, servidores de archivos, acceso a correo electrnico e infraestructura de grupos, y todas las necesidades de navegacin web de la empresa. El motor unificado de Sophos defiende cada punto, controlando no slo el software maligno y las actividades maliciosas sino tambin evitando la fuga de datos y el uso indebido de aplicaciones de software, incluyendo telefona por Internet, mensajera instantnea, intercambio de archivos, buscadores de Internet, reproductores multimedia y juegos. Una licencia por usuario permite proteger todos los terminales Windows, Mac y Linux, posibilita la proteccin de software o dispositivos en el acceso a correo electrnico y web y proteje los servidores para grupos de Microsoft Exchange y Lotus Notes.


A Sophos white paper

Stopping data leakage: Exploiting your existing security investment

Fuentes
1. 2. 3. 4. 5. 6. 7. IDC, Information Protection and Control Survey: Data Loss Prevention and Encryption Trends, Doc # 211109, March 2008 www.ponemon.org/press/06-25-07-Ponemon_Consumer_Survey_FINAL.pdf www.sophos.com/pressoffice/news/articles/2008/03/hannaford.html edition.cnn.com/2008/WORLD/europe/06/11/alqaeda.documents.ap/index.html?iref=newssearch www.sophos.com/pressoffice/news/articles/2007/11/hmrc-id-theft.html www.columbusdispatch.com/live/content/local_news/stories/2008/05/06/wooster.html?sid=101 www.networkworld.com/news/2007/091107-data-leak-prevention.html

| Oxford, UK Boston, USA

Copyright 2008. Sophos Plc All registered trademarks and copyrights are understood and recognized by Sophos. No part of this publication may be reproduced, stored in a retrieval system, or transmitted by any form or by any means without the prior written permission of the publishers.