Por Ricardo Martínez, gerente de Negocios y Alianzas para LATAM, jefe de la representación de SearchInform en América Latina
Según los cálculos de Gartner, el gasto global en seguridad informática para fines de 2017 superará los 86 mil millones de dólares. Mientras que para el año próximo las empresas habrán gastado en la defensa de los datos mínimamente 93 mil millones.
Los fabricantes, ofrecen a los clientes los últimos avances tecnológicos como la inteligencia artificial y el aprendizaje automático, mientras que los proveedores de servicios se inclinan por un modelo de servicios cada vez más personalizados, pero mientras esto ocurre los métodos básicos para la defensa informática se mantienen sin cambios.
Veamos en qué consisten dichos métodos y cuándo para su implementación son suficientes los instrumentos incorporados del sistema operativo.
Protección contra riesgos «humanos»
Desde el punto de vista de la seguridad de la información, la causa más probable de fuga desde dentro de la compañía es el usuario, ya que es quien tiene acceso regular a los recursos y datos de la compañía utilizando la red corporativa.
De acuerdo con los resultados de la investigación de IBM y Ponemon Institute, en un 74% de los incidentes el error del usuario ocupó un rol protagónico. Por lo tanto, podemos excluir de este resumen, las fallas y el mal funcionamiento de los equipos, epidemias de virus, protección de ataques de hackers, control de tráfico, análisis de registros de actividades y otros métodos para defenderse de las amenazas tecnológicas.
Entonces, nos centraremos en el usuario como un eslabón débil en la cadena de seguridad.
Concientizar al usuario
¿Por qué los usuarios cometen errores? Muy a menudo, es por ignorancia y negligencia. La estabilidad y confiabilidad de los sistemas de seguridad de la información es directamente proporcional a la conciencia y responsabilidad de los usuarios. Literalmente, empodere a los empleados y comprométalos para que aprendan las reglas para manipular y procesar información confidencial, para que puedan excluir la posibilidad de obtener privilegios «no oficiales» y no eludan las reglas de seguridad establecidas. Explíqueles claramente la gravedad de las pérdidas que se producirán y no solo las económicas, en caso de actuar con negligencia o ignorancia, hágalos responsables de la seguridad de la compañía.
Revisar los derechos de acceso
En primer lugar, es indispensable realizar una auditoría previa para establecer las áreas de trabajo y los niveles de acceso a documentos y archivos por los usuarios.
En las pequeñas empresas, un administrador de sistemas capaz, puede comprender y gestionar la jerarquía de los usuarios y los niveles de acceso. Cuenta con las herramientas básicas para monitorear privilegios y administrar los derechos de acceso a todos los recursos y programas.
Para controlar los derechos de acceso en las empresas medianas, es mejor utilizar herramientas centralizadas que supervisen la actividad de la red corporativa y determinen de manera automática el abuso de privilegios o las acciones potencialmente peligrosas de los usuarios con el manejo de la información. Entre estas herramientas se encuentran los sistemas SIEM (Security information and event management) que proporcionan un análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware de red.
En grandes compañías se recomienda una auditoría más profunda y la automatización de los controles de acceso y derechos utilizando instrumentos especializados del tipo IDM.
La implementación y mantenimiento de un sistema de administración y gestión de identidades es un proceso único, que considera las particularidades de cada industria y cliente.
Sin importar si el sistema de auditoría es automático o manual, El objetivo principal de la administración y gestión de identidades es garantizar que solo los usuarios autenticados tengan acceso a las aplicaciones, sistemas o entornos de TI específicos para los que están autorizados.
De lo contrario alguna vez encontraremos en la computadora de la secretaria una carpeta de uso compartido conteniendo el informe financiero de la compañía.
Limitación de los derechos de acceso
El siguiente paso es limitar los derechos. Mientras menos posibilidades tenga un usuario de cometer infracciones, de manera premeditada o accidental, tanto mayor será el nivel de protección de la información. Antes de delimitar los derechos a los usuarios se deben tener en cuenta previamente dos procedimientos importantes.
En primer lugar, se debe hacer una lista de los propietarios legítimos de la información crítica en la empresa.
En segundo lugar, reglamentar con precisión las responsabilidades de los empleados, identificar los recursos y documentos necesarios para el buen flujo de trabajo. Por ejemplo, que el contador no tenga acceso al departamento de desarrollo o no conozca la lista las tareas del departamento de soporte técnico, su trabajo no se detiene. De la misma manera, si el administrador accede al sitio de la compañía para editar las noticias, el proceso de producción no se ve afectado.
La elección de las herramientas para determinar los derechos de acceso es una cuestión de gustos. Para esto, tanto las herramientas de Active Directory como los servicios web y las configuraciones de aplicaciones integradas. Cualquier producto informático moderno ofrece posibilidades y maneras de organizar los niveles de acceso.
Lo importante es que en la determinación de los derechos de los usuarios adquiera cualidades de una operación cíclica. A medida que la empresa se desarrolla, los cambios en los procesos del negocio o el personal, es inevitable que los usuarios queden con pocos o demasiados derechos. Por lo tanto, la auditoría y la asignación de roles deben llevarse a cabo regularmente.
Cifrado
En cualquier empresa siempre existe información crítica y limitar el acceso no es suficiente protección. Un ejemplo simple y obvio son los datos personales de los empleados. Una protección adicional para estos datos es la encriptación.
El cifrado es un método simple y accesible para proteger la información. Facilita el traslado seguro de datos dentro de la empresa y a través de Internet cuando los empleados reenvían información por la red y por ejemplo cuando intercambian documentos a través de un servidor de archivos o cuando lo envían por correo.
El cifrado protege también de amenazas físicas, incluyendo hurtos, pérdidas de computadoras portátiles, dispositivos de conexión y de almacenamiento externo. En cualquiera de estos casos, la información codificada resulta inútil para los atacantes.
La gama de herramientas criptográficas va desde los elementos preinstalados en el sistema operativo y los dispositivos de red para el cifrado del tráfico en las puertas de enlace a herramientas de cifrado especializadas, como el cifrado de base de datos.
Casi todos los algoritmos de cifrado que se utilizan en los productos de TI son confiables y capaces de proteger los datos. Diferencias entre ellos existen sin duda, pero no son muy importantes en realidad. Los datos codificados, aún con los métodos más simples de encriptación, en la mayoría de los casos, siguen siendo inaccesibles a los intrusos.
Otra característica del empleo mecanismos de codificación está relacionada en como afecta la velocidad en los procesos de trabajo. El empleo de medidas extremas de codificación le restan rapidez al trabajo, por ejemplo, cuando se usan algoritmos excesivamente complejos para la copia de datos en unidades flash, el usuario puede tardar entre dos y tres veces más tiempo que cuando se usan algoritmos tradicionales.
Una medida adecuada para el cifrado es elegir un algoritmo discreto y rápido que no presente riesgos reales de acceso a los datos.
Desde el punto de vista de los negocios no es razonable frenar el trabajo de los empleados con algoritmos criptográficos complicados, sólo para que los intrusos pierdan decenas y no cientos de años en descifrarlos. Por lo tanto, la información en el endpoint a menudo se cifra mediante un software especializado no muy sofisticado o con las herramientas integradas de Windows.
A pesar de todas las ventajas que ofrece la encriptación, el cifrado no nos protege contra el factor humano. Los usuarios son los que tienen acceso a recursos y las claves para abrir los archivos encriptados. Para proteger la información corporativa de la actividad interna maliciosa se debe avanzar en el análisis de contenidos.
Análisis de contenidos
El análisis de contenidos responde preguntas sobre en qué información está trabajado el usuario y si esa información, un documento o un archivo, es crítica para la empresa.
Para ello es necesario llevar a cabo un “inventario” de los archivos y documentos que se encuentran en carpetas compartidas, en los discos duros de los computadores de los usuarios, en bases de datos, en los servidores de almacenamiento de la red, en SharePoint y otros dispositivos del sistema de tecnología informática.
Esto requiere de una herramienta con capacidad para descubrir información de acceso restringido en cualquier rincón olvidado de la infraestructura corporativa. Para estas tareas las herramientas con mejor desempeño son los sistemas DLP, que permiten además el control de los datos en reposo” (data at rest).
En resumen
La protección de la información confidencial un proceso cíclico que depende, en gran medida, de las organizaciones y no tanto de métodos técnicos.
La capacitación de los usuarios en las normas de seguridad informática, las revisiones periódicas, la delimitación de los derechos de acceso, la encriptación de los datos y la implementación de un sistema DLP, son todos métodos que ofrecen una protección confiable, en la medida que se tenga un enfoque razonable frente a lo complejo de mantener seguro los datos.
La adecuada combinación de métodos básicos aumenta en gran medida la seguridad de los datos corporativos e impiden cualquier oportunidad de filtraciones involuntarias de datos o la divulgación deliberada de información confidencial.
