1
Resumen— En la actualidad, la mayor parte de las
organizaciones pierden información valiosa por daños de los
dispositivos electrónicos y en menor porcentaje por robo. Algunas
organizaciones que usan ciertos dispositivos, como por ejemplo
servidores de computo, que permiten almacenar gran cantidad de
información, sincronizar el correo el electrónico, manejar agendas
detalladas de actividades, conexiones bluetooth, que si bien
facilitan el desarrollo de las actividades de los empleados,
representan un riesgo en cuanto a la pérdida de confidencialidad
en la información si no se tienen en cuenta las consecuencias de
incorporar la tecnología y los posibles mecanismos para
protegerla. Si esta información llegase a manos de personas no
autorizadas, se expone a la organización a una situación de riesgo
operacional, financiero y hasta reputacional que puede afectar a
ésta gravemente.
Actualmente las entidades gubernamentales y privadas le están
dando mayor importancia al manejo de la información con la que
cuentan estableciendo políticas, procedimientos, normas e
inclusive leyes que la regulan.
Y es que la información que posee una empresa es uno de los
principales activos a proteger, en este artículo nos centraremos en
algunas medidas de prevención para proteger dicha información.
Palabras clave— Data loss Prevention(DLP), Perdida de datos,
Prevención, Valor de los datos.
Ing. Luis Fran Cardozo González y Bladimiro García Severiche
pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la
siguiente investigación como parte del desarrollo de Seguridad en Redes
(Email: [email protected], [email protected]).
La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago
Chinchilla.
Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su
dedicación y muestra de apoyos en nuestra formación.
I. INTRODUCCIÓN
El mundo ha cambiado [1]. Hace un tiempo sustraer un
activo de una organización implicaba llevárselo materialmente.
Algunos se llevaban material de oficina (folios, grapas, etc.),
otros documentos confidenciales originales o fotocopiados. En
la actualidad, los datos y la información que manejan las
empresas son activos muy valiosos y no es necesario
esconderlos en la chaqueta cuando el jefe no mira para
robarlos. La información se puede enviar por correo
electrónico, mensajería instantánea, subir a una página de
Internet, imprimir o copiar en un dispositivo de
almacenamiento USB o de multitud de otras maneras
inventadas o por inventar.
La Prevención de Perdida de Datos tiene como objetivo
identificar, monitorizar y proteger los datos de una
organización. Los datos pueden ser tratados por usuarios en
sus estaciones de trabajo, pueden transmitirse o pueden ser
almacenados.
II. DESARROLLO
1. ¿Qué es la Perdida de datos?
La pérdida de datos es una condición de error en sistemas de
información en el que la información se destruye por las fallas o
negligencia en el almacenamiento, transmisión o procesamiento,
o simplemente por fuga de la información.
1.1 El valor de los datos.
Establecer el valor de los datos es algo totalmente relativo,
pues la información constituye un recurso que, en muchos casos,
no se valora adecuadamente debido a su intangibilidad. Además,
las medidas de seguridad no influyen en la productividad del
sistema por lo que las organizaciones son resistentes a dedicar
recursos a esta tarea.
1.2 Información en las empresas u organizaciones.
Respecto a la información en las organizaciones se han
encontrado documentos que describen la valoración de la
información y la administración de la información como
herramienta básica en las organizaciones. En general, se
detalla la propuesta de autores que consideran a la información
como un activo.
1.2.1 La información como un activo.
Respecto al valor de la información, [2] Oppenheim,
Stenson, & Wilson (2003a), identifican los atributos de la
información y concluyen que a ésta se le puede considerar, en
Luis Fran Cardozo González, Bladimiro García Severiche
Prevención de perdida de Datos (Data Loss Prevention)
2
el ámbito de las organizaciones, como activo informativo. En
la misma línea temática, [3] Max F. Cohen (2002) analiza
algunos aspectos del uso de la información en la economía de
la información y al igual que Oppenheim, Stevenson &
Wilson, considera que la información es un activo.
Al considerar a la información como activo se encuentra una
denotación económica, mejor dicho en la economía de la
información, la cual concibe una preocupación de la cantidad
de información procesada en una organización, mediante la
interacción de sus integrantes, para la toma de decisiones
(Cohen, 2002). Cohen, basado en un contexto de la teoría de la
información, describe cómo las organizaciones utilizan la
información, desde el control de inventarios —materia
prima—, horas máquina disponibles, tiempo de entrega de
productos, hasta el uso de información por parte de los
clientes, con la finalidad última de reducir costos.
Las cualidades que conforman la [4] seguridad de los activos
de información de una organización son:
La confidencialidad tiene relación con la protección de
información frente a posibles accesos no autorizados, con
independencia del lugar en que reside la información o la
forma en que se almacena.
La información sensible o valiosa que la organización custodia
o maneja, necesita ser protegida mediante estrictas medidas de
control. La verificación y la autorización son dos mecanismos
que se emplean para asegurar la confidencialidad de la
información.
La integridad se refiere a la protección de información,
datos, sistemas y otros activos informáticos contra cambios o
alteraciones en su estructura o contenido ya sean
intencionados, no autorizados o casuales.
También es importante proteger los procesos o programas que
se emplean para manipular los datos. La información se debe
preservar y poner a disposición de sus propietarios y de los
usuarios autorizados de una forma precisa, completa y
oportuna.
La disponibilidad es la garantía de que los usuarios
autorizados puedan acceder a la información y recursos
cuando los necesiten.
1.3 Tipos de pérdida de datos o información
La pérdida de los datos [5] se produce muchas veces por
acción intencional, como la eliminación de un archivo o
programa, o de manera involuntaria, como la perdida de cd o
tarjetas de memorias o la incapacidad de leer el formato de un
archivo desconocido; o por otras causas, como error de
Hardware, por ejemplo; un fallo del sistema principal en un
disco duro, los errores de software o mala usabilidad; o por
desastres naturales, terremotos, inundaciones y con un gran auge
los delitos informáticos, como el robo, la piratería, el sabotaje,
con actos maliciosos como gusanos, virus y hackers. Según el
blog de penjana minda strategik[6] nos muestra un informe
estadísticos de las causas de perdida de datos más frecuentes.
Ver Figura 1.
Figura 1. Causas más frecuentes de la perdida de datos.
1.4 Por qué se pierde la información
July Calvo[7] en su artículo “Fuga de información en las
organizaciones”, nos dice que algunas organizaciones usan
ciertos dispositivos como por ejemplo celulares que permiten
almacenar gran cantidad de información, sincronizar el correo
electrónico, manejar agendas detalladas de contactos,
conexiones bluetooth, conexiones wireless, que si bien
facilitan el desarrollo de las actividades de los empleados,
representan un riesgo en cuanto a la pérdida de
confidencialidad de la información si no se tienen en cuenta
las consecuencias de incorporar la tecnología y los posibles
mecanismos para proteger la información.
Eduardo Campos Segura [8] en su artículo “La fuga de
información en las empresas” nos dice que “De acuerdo a
estudios de mercado como lo muestra la Figura 2, 63% de las
empresas públicas y privadas pierden anualmente archivos de
información valiosa, pero solo 23% es por robo. De la pérdida
de información 57% se debe al extravío de equipos portátiles,
como computadoras, celulares, agendas electrónicas, o
dispositivos como discos compactos y memorias USB”.
Figura 2. Fuga de información anual en empresas públicas y
privadas.
Las personas en general utilizan sus computadoras portátiles en
lugares públicos sin considerar que las actividades que realizan
en ellas, pueden estar siendo observadas por alguna persona que
3
no debe tener acceso a dicha información. Tener mecanismos de
destrucción controlada de información una vez que los
dispositivos van a reasignarse, también es un elemento de
protección.
1.5 Puntos de fuga y perdida de datos
Como July Calvo[9] nos dice, existen diferentes amenazas y
vulnerabilidades que pueden conllevar a la fuga y perdida de
datos, a continuación se describen algunas de ellas.
Redes sociales. Páginas como Facebook, Hi5, Twitter,
Badoo, representan un riesgo para la pérdida de confidencialidad
de la información si las organizaciones no realizan campañas de
sensibilización que eviten que los empleados publiquen
información de la compañía en dichos sitos.
Publicación de videos. Las organizaciones realizan
actividades al interior de sus instalaciones que son grabadas, en
algunas ocasiones estas grabaciones son subidas a páginas como
YouTube sin tener en cuenta la información que puede ser
revelada, como por ejemplo nombre de áreas de acceso
restringido, controles de seguridad existentes, nombres y cargos
de empleados de la compañía, lo que puede poner en evidencia
información que sólo es relevante para la compañía.
Robo de dispositivos móviles. La información almacenada
en estos dispositivos en la mayoría de las ocasiones transita
dentro y fuera de la organización sin ningún mecanismo de
protección, lo que puede ocasionar que personal ajeno a la
compañía tenga acceso a información de carácter confidencial.
Falta o inadecuada clasificación de activos de
información. El hecho que las organizaciones no cuenten con
una adecuada clasificación de activos de información, conlleva a
que los empleados no tengan claro cuál es el nivel de protección
de cada activo, lo que dificulta la protección de los mismos.
Falta de sensibilización a los usuarios. Las compañías
deben realizar en gran medida campañas de sensibilización, las
cuales permiten involucrar a los empleados con la seguridad de
la información, proporcionando herramientas que van a facilitar
la toma de decisiones cuando se enfrenten ante un evento que
pueda afectar su seguridad.
Virus y Malware. Los virus y los programas maliciosos son
una amenaza constante para los datos de las compañías, debido a
su fácil propagación, y en algunas ocasiones su difícil detección.
Falta de acuerdos de confidencialidad. Las organizaciones
hoy en día tienen diversos proveedores y empleados que llegan a
conocer información del funcionamiento de la compañía, como
por ejemplo: información de clientes internos y externos, planes
estratégicos, proyectos futuros, proyectos en ejecución, entre
otra, la cual en algunos casos debe ser mantenida bajo reserva
aun con los mismos empleados de la compañía.
2. Que es la Prevención de perdida de datos
Es un término de seguridad [10] referente a un sistema que
identifica, monitorea y protege datos en uso, datos en
movimiento y datos en reposo por medio de mecanismos de
inspección, análisis contextual de transacciones(origen, destino,
medio, etc.), siendo administrado desde una consola central
donde tiene la capacidad de detectar y prevenir uso no
autorizado así como transmisión de información confidencial.
2.1 Factores Clave para prevenir la pérdida de datos
A pesar de la aplicación de las nuevas tecnologías de seguridad,
las empresas siguen siendo vulnerables, como muestran los
siguientes datos del articulo Efficacy of Emerging Network
Security Technologies[11];
El 64% de las empresas tuvo una brecha de seguridad el
pasado año.
El 34% de las empresas tuvo más de un incidente.
El 62% de los responsables técnicos creen que los
ataques más serios provienen de la web.
El 60% de los responsables técnicos apunta a ataques de
denegación de servicio (DoS), el 47% a una inyección
SQL.
Ante este panorama[12], las compañías requieren tener una
solución y procesos claros para evitar sufrir pérdidas o fugas
de información. En el mercado existen ya varias tecnologías
DLP que evitan la pérdida de datos en uno o más puntos del
ciclo de vida de la información, ya sea mientras ésta se
encuentra transitando la red, almacenada y sin movimiento, o
bien, en un punto final. Adicionalmente, varias empresas están
adoptando DLP como una forma de mitigar los riesgos de
hacer negocios a través de conexiones de alta velocidad y
comunicaciones móviles.
Sin embargo, DLP es un asunto que va más allá de la
tecnología. Proteger la información y evitar su pérdida
requiere además de dos factores clave: tener procesos
establecidos e involucrar al personal. Como parte de los
procesos, es importante identificar los riesgos, establecer
políticas, procesos y educar a los usuarios.
En términos de capital humano, DLP requiere el respaldo de
múltiples equipos y colaboración de varios departamentos que
van desde planta física, jurídico, administración, gerentes de
riesgo empresarial, recursos humanos, mercadotecnia y ventas.
De esta manera podemos identificar tres factores claves para
prevenir la perdida de datos:
2.1.1 Evaluando riesgos
Es importante aclarar que el proceso de identificación de
riesgos no significa clasificar toda la información que llega,
sale o es almacenada en la organización. Por el contrario,
significa identificar el tipo de información cuyas pérdidas
generan mayor impacto negativo en la compañía y es ahí
donde primero se debe aplicar DLP. Para algunas
organizaciones, puede tratarse de códigos fuente, diseños de
productos o propiedad. Para otras, podría ser información de
los clientes o datos financieros.
Otra buena práctica que siguen varias empresas es el uso de
soluciones DLP que incluyen un componente de evaluación de
riesgos y esto significa que la actividad en la red se supervisa
durante dos o tres días y después se elabora un informe que
muestra a la organización los datos que salen a través de la
4
red, así como los departamentos involucrados y la frecuencia.
Este informe permite a las compañías determinar qué clase de
datos están en mayor riesgo y los departamentos que generan
los mayores riesgos.
2.1.2 Estableciendo políticas y procesos
Una vez que la organización ha identificado la protección
que necesita puede establecer políticas para prevenir y
administrar la pérdida de datos. Posteriormente debe diseñar
los procesos para controlar estos incidentes y medir su
progreso con la consiguiente reducción de riesgos. Es crucial
aclarar quién es el responsable de realizar las tareas
establecidas en caso de una violación o pérdida de datos, para
que cuando ocurra una crisis, el personal adecuado realice los
procesos necesarios para mitigar los riesgos.
Por ejemplo, el personal de seguridad de TI, así como los
empleados involucrados y sus gerentes deberían ser
notificados. Si se sospecha que hay un comportamiento
malicioso, es necesario traer especialistas forenses y jurídicos.
Si ocurre una gran fuga de datos, las relaciones públicas
juegan un papel importante. Asimismo, los gerentes de las
unidades de negocio deben rastrear los consiguientes riesgos
de dicha pérdida.
Es importante que se configuren las soluciones DLP más
actuales para supervisar si los datos más importantes de la
compañía salen a través de un Gateway, o bien, de un punto
final en particular, por ejemplo. Las organizaciones también
pueden utilizar la información real que saben que es
importante, para definir las políticas y luego cumplirlas
adecuadamente.
Muchas soluciones DLP cuentan con funcionalidades
inteligentes de respuesta a incidentes para que las
organizaciones puedan automatizar el cumplimiento de las
políticas con la flexibilidad necesaria. La inclusión de análisis
y flujo de trabajo permiten al sistema calcular la gravedad de
los incidentes y proporcionar el nivel de cumplimiento de
manera automática. Aún mejor, estas soluciones pueden
reducir significativamente el tiempo de configuración de TI al
ofrecer plantillas basadas en las mejores prácticas del sector
para dar respuesta a incidentes, así como mejorar el flujo de
trabajo de las medidas correctivas.
2.1.3 Mayor Conciencia
En ocasiones la eficacia de la mejor tecnología y los
procesos pueden verse afectados si los empleados no entienden
el valor de la información de la compañía y su papel en la
disminución de riesgos. Teniendo una mayor conciencia, los
empleados también pueden convertirse en la línea de defensa
más fuerte de la compañía y en su recurso más valioso.
Sin embargo, ¿cómo lo harían? los programas de
entrenamiento para tomar conciencia de la protección pueden
ayudar de la misma manera que la claridad en las políticas
internas. Sin embargo, quizás la educación más eficaz se
deriva de la intervención en el momento oportuno. Después de
todo, muchas brechas de datos son el resultado de errores
sencillos del usuario. Las personas cometen errores, pueden
olvidar o entender mal las cosas, pero también corrigen los
errores cuando saben que se equivocaron.
Claramente, en el mundo de hoy, los directores de TI y
seguridad de las empresas de todos los tamaños están
comprometidos con la protección de la información,
independientemente de donde es enviada, almacenada o
utilizada. Con la ayuda de las soluciones DLP que involucran
al personal, los procesos y la tecnología, las empresas no
solamente pueden saber donde está la información, quién la
está usando y a dónde va, también pueden administrar y
controlar eficazmente los riesgos de la información ahora y en
el futuro.
III. CONCLUSIONES
Una solución para la Prevención de Perdida de Datos [13]
puede cubrir necesidades de seguridad importantes en las
empresas. En los momentos que nos encontramos, la
información es clave y las organizaciones no se pueden
permitir el privilegio de tener fugas no controladas. De
momento, las soluciones de Prevención de Perdida de Datos
existentes no son triviales de desplegar y requieren de personal
especializado para su integración en la organización.
.
REFERENCIAS
[1] Introducción a la tecnología "Data Loss Prevention". |
Florencio Cano. Disponible en Internet:
http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-
data-loss-prevention-dlp
[2] Studies on information as an asset I: Definitions. Journal
of Information Science, 29(3), 159-166. | Oppenheim, C.,
Stenson, J. & Wilson, R. M. S. (2003a).
[3] Algunos aspectos de la utilización de la información en la
economía de la información. Ciencias de la Información 26-
36. | Cohen, M. F. (2002).
[4] Seguridad de la información en las instituciones financieras
| Ing. Paola Katherine Macías Anchundia.
Disponible en Internet:
http://repositorio.maeug.edu.ec/bitstream/123456789/183/2/10
3929998713387829484856861425577492026.pdf
[5] Types of data loss. | From Wikipedia, the free
encyclopedia. Disponible en Internet:
http://en.wikipedia.org/wiki/Data_loss#Types_of_data_loss
[6] PMS! 5 Ways to Prevent Data Loss. | Penjana Minda
Strategik. Disponible en Internet:
http://polimuadzamshah.blogspot.com/2012/04/pms-5-ways-
to-prevent-data-loss.html
[7] Fuga de información en las organizaciones. | Newnetsa -
July Calvo. Disponible en Internet:
http://www.newnetsa.com/2009/08/fuga-de-informacion-en-
5
las-organizaciones/
[8] La fuga de información en las empresas. | PROSEG
Information Security - Eduardo Campos Segura. Disponible en
Internet: http://www.liderempresarial.com/num175/10.php
[9] Fuga de información en las organizaciones. | Newnetsa -
July Calvo. Disponible en Internet:
http://www.newnetsa.com/2009/08/fuga-de-informacion-en-
las-organizaciones/
[10] Data Loss Prevention. Arame Seguridad para TI. ISACA.
9 - 12. | Karl-Heinz Holtschmit.
[11] Efficacy of Emerging Network Security Technologies.
editado por el Ponemon Institute. | February 2013.
[12] Tres Factores Clave para prevenir la pérdida de datos. |
Wilson Grava - vicepresidente de Symantec América Latina.
Disponible en Internet:
http://www.addictware.com.mx/index.php/blog/167-tres-
factores-clave-para-prevenir-la-pida-de-datos
[13] Introducción a la tecnología "Data Loss Prevention". |
Florencio Cano. Disponible en Internet:
http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-
data-loss-prevention-dlp
Top Related