Las medidas de seguridad sobre la información, o más concretamente, los controles de ciberseguridad centrados en los datos se basan en un enfoque de seguridad que enfatiza la protección de los propios datos sobre la seguridad de los dispositivos, aplicaciones, servidores, o las redes.

La transformación digital de las organizaciones y el incremento de las empresas que confían más que nunca en los datos (data-driven organizations, McKinsey) para dirigir sus operaciones de negocio, está haciendo que la seguridad centrada en los datos esté creciendo más que nunca. Con los datos corporativos almacenados en diferentes localizaciones como la nube, sistemas locales, bases de datos distribuidas, etc., se refuerza la necesidad de marcos y estrategias de seguridad como Zero-Trust (promovida por Forrester) o SASE (promovida por Gartner).

En este artículo vamos a hablar de las medidas de seguridad centradas en los datos desde un enfoque principalmente tecnológico frente al de procesos u organizacional. Concretamente:

Índice

Incremento del riesgo sobre la  información de las empresas. Resumen 2020.

 
Según el informe publicado por Risk-Based Security 2020 Year End Report Data-Breach, durante el año 2020 hubo un 141% de incremento respecto al año anterior de registros comprometidos por fugas de datos. El incremento de las fugas debidas a un ataque de ransomware crecieron un 100%, siendo el sector salud el más atacado con un 12,5% de los robos de datos reportados, seguido de cerca en una tercera posición por el sector financiero y seguros.

Suben también los grupos organizados que, tras perpetrar ataques y robos de datos sobre organizaciones, hacen públicos estos datos, como el caso de “ShinyHunters” que en el último trimestre de 2020 publicaron los datos sensibles extraídos de unas 17 compañías de diferentes sectores.

En el 62% de las fugas reportadas, se confirmó el acceso a datos sensibles. Un 77% de los robos se debieron a ataques de origen externo y un 16% a origen interno. De estos últimos, un 69% fue debido a errores y fallos.

Según el informe de Verizon “2020 Data Breach Investigations Report”, los robos de datos donde el ataque da una mayor cantidad de pasos para lograr su objetivo, que son principalmente ocasionados por Hacking y Malware, comprometen en su mayor parte la Confidencialidad y la Integridad de los datos frente a la Disponibilidad. Los atacantes trabajan de forma persistente abriéndose camino a través de la red corporativa para llegar a su objetivo, los datos y comprometer la Confidencialidad de los mismos.

En muchos casos los atacantes pasan desapercibidos como usuarios internos por lo que las medidas de control de red o perimetral dejan de ser efectivas.
 

Elementos clave y beneficios de aplicar medidas de seguridad para proteger la información

 
Existen diferentes elementos clave para que un sistema de seguridad centrado en los datos sea efectivo:

  • Identificación, descubrimiento y clasificación de la información sensible: El objetivo de un atacante, sea interno o externo, suele ser la información más sensible y valiosa, datos a través de los cuales de forma directa o indirecta puede obtener beneficios. Por otro lado, también existen datos relacionados con algún tipo de regulación como EU-GDPR, PCI, u otras. En algunas organizaciones esta se almacenan en determinados repositorios conocidos por los equipos, sin embargo, también puede estar distribuida, y en estos casos las herramientas que permiten identificar dónde se encuentran, pueden ser de utilidad para una organización que quiere implantar controles de seguridad sobre los datos.
  • Protección centrada en los datos: Los controles de seguridad centrados en los datos se centran en securizar el contenido valioso de la organización de forma que pueda estar protegido frente a una posible salida no autorizada de la red, nube o frente a una fuga de datos. Podemos conocer donde está la información sensible de la organización, pero de poco valdrá, si no ponemos medidas para proteger esta información allí donde viaje.
  • Auditoría y seguimiento de accesos a los datos: Para determinar el nivel de riesgo sobre los datos corporativos, es importante poder analizar el uso de los mismos y determinar si los patrones de comportamiento de los usuarios sobre los datos se salen de un estándar determinado.
  • Administración y gestión de políticas sobre los datos: Quién debe o no debe tener permisos de acceso a los datos, no es algo que se establezca de forma estática y duradera. Se deben poder aplicar políticas dinámicas sobre los datos, de forma que si se deja de colaborar con alguien o si se detecta que un determinado puede estar en riesgo podamos revocar el acceso al mismo o intentar impedir que salga de la red corporativa.

 

Los controles de seguridad intentan ofrecer a las empresas los siguientes beneficios

 

  • Mitigar o evita fugas de datos derivadas de acciones inapropiadas por parte de empleados, ya se sea de forma accidental o maliciosa: Intenta bloquear la salida de la red de datos sensibles o, dependiendo de la tecnología, la información viaja protegida y sólo los usuarios que tengan permisos sobre la misma podrán acceder a ella.
  • Facilitar la colaboración segura estableciendo diferentes medidas de acceso o colaboración dependiendo del nivel de sensibilidad de la información. Puedo dejar compartirla con terceros o no, o dejar un control de acceso limitado dependiendo de si es altamente confidencial o no.

 
benefits of data protection security controls business
 

  • Ayudar al cumplimiento de regulaciones de protección de datos: Regulaciones como EU-RGPD, obligan a empresas que tengan datos personales de terceros a tenerlos controlados. Cifrándolos, bloqueando la salida de la red, y auditando su uso, se intenta facilitar el cumplimiento de este tipo de regulaciones.
  • Proteger frente a brechas de seguridad en la red que supongan una posible exfiltración de datos: Son continuas las noticias en prensa de ataques de todo tipo, como el ransomware, donde se exfiltran documentos, emails y datos internos de las compañías y se extorsiona a las mismas con la publicación de estos datos. Existen múltiples vías de entrada de este tipo de amenazas en la red corporativa, y en este caso aquellas que cifran los datos añaden un nivel de control adicional, que protege los datos frente a una posible brecha en la red.

Para implementar una estrategia de seguridad centrada en los datos encontramos en el mercado diferentes tecnologías y controles de seguridad con diferentes objetivos. A continuación, se resumen algunas de las más conocidas.
 

Tecnologías en el ámbito de la seguridad centrada en los datos

 

Tecnologías de cifrado

 
Las tecnologías de cifrado protegen la información en reposo y tránsito. Sin embargo, una vez descifrada el usuario tiene un control completo de la misma y ya no se puede garantizar el control de acceso. Existen diferentes tipos de tecnologías de cifrado destacando las siguientes en cuanto a implantación en las empresas:

  • Cifrado de disco: Se han ido incorporando en fabricantes de hardware o incluso en el propio sistema operativo (Windows, fabricantes de móviles, etc.) donde es posible cifrar el disco. Se limita a evitar la pérdida de datos en el caso de que se haya perdido el dispositivo.
  • Cifrado de email: Se incorpora una capa de SMIME/TLS sobre el email para transmitirlo cifrado extremo a extremo. Proporciona protección en transporte básicamente.
  • Cifrado de ficheros: Hay múltiples herramientas basadas en la gestión de passwords o certificados como PGP (clave pública/privada). Proporcionan protección en reposo y tránsito, pero no en uso.

 

 

Tecnologías de DLP (Data Loss Prevention)

 
Un sistema de protección de datos tipo DLP intenta bloquear la salida de información confidencial de la red enviada por email, copias a USB, etc. Están centradas en un modelo de seguridad perimetral y no se ajustan bien al nuevo contexto de empresa sin perímetro. Se centran en que la información sensible no salga del “castillo”.

La rápida adopción por parte de las empresas de la nube y la llegada de las plataformas móviles (iOS, Android) ha supuesto un reto para este tipo de tecnologías que han tenido dificultades para adaptarse a la realidad. Esto ha hecho que hayan emergido productos específicos para controlar la seguridad en dispositivos móviles como las plataformas EMM (Enterprise Mobile Management) o MDM (Mobile Device Management), las plataformas CASB (Cloud Access Security Brokers), y haya habido una evolución mayor de las tecnologías de E-DRM / IRM hacia lo que se denomina IPC (Information Protection and Control) con el objetivo de securizar la información en cualquier ubicación.

Los sistemas de DLP se dividen en dos áreas según Gartner:

  • Enterprise DLP: Ofrecen una consola central de gestión de políticas y monitorización, y controlan la salida de información a través de diferentes escenarios como endpoint o puesto de los usuarios, o red. También realizan descubrimiento de información.
  • DLP Integrado: Son soluciones integradas de forma nativa con algunos productos ya extendidos en el mercado. Un ejemplo podría ser el servidor de correo Microsoft Exchange que en los últimos años ha incorporado reglas de DLP para detectar y bloquear la salida de información a través del Email.

estado información DLP

 

Estas tecnologías trabajan en el ámbito del descubrimiento de datos, protección (intentando bloquear la salida de información de la red) y la monitorización sobre la información mientras esté dentro del perímetro. Eso sí, una vez que la información ha salido de la red, ya no pueden hacer nada para protegerla o monitorizar su uso a no ser que se integren con tecnologías de IRM/E-DRM/IPC. Por otro lado, para evitar falsos positivos suelen combinarse con herramientas de etiquetado o clasificación de información.

 

Identificación, descubrimiento y clasificación de datos

 
Permiten identificar y catalogar los datos según el nivel de confidencialidad (confidencial, interno, público, etc). También permiten descubrir datos dentro de la organización que pueden estar ligados al cumplimiento de una determinada regulación como PCI, EU-GDPR, regulaciones en el ámbito del sector salud, etc.

Podemos diferenciarlas en dos tipos:

  • Descubrimiento, identificación y clasificación automática: Localizan información sensible en la red y la clasifican de forma automática en base a diferentes patrones sin intervención del usuario. A través del escaneo de determinados repositorios, y en base a diccionarios ligados a regulaciones específicas, permiten discriminar y clasificar los datos.
  • Clasificación manual realizada por el usuario: Es el usuario el que etiqueta los documentos según el nivel de confidencialidad (ej. público, confidencial, etc.). En este caso no hay realmente identificación, sin simplemente un etiquetado o clasificación, que al ser realizado por el usuario y no por un sistema automático puede ayudar a evitar falsos positivos.

Classified information groups
 

Son herramientas que permiten catalogar la información presente en la red corporativa, pero por si solas no protegen la información ni auditan su uso. Realmente, en lo que a protección respecta, no dejan de ser un complemento a un DLP o una tecnología de IRM/E-DRM/IPC, ya que no protegen la información y sólo la clasifican.
 

Tecnologías CASB (Cloud Access Security Brokers)

 
Gartner define el mercado de CASB, o agentes de seguridad de acceso a la nube, como productos y servicios que abordan las brechas de seguridad en el uso de los servicios en la nube por parte de una organización. Esta tecnología es el resultado de la necesidad de proteger los servicios en la nube que se están adoptando a un ritmo significativamente alto y el acceso a ellos por parte de los usuarios tanto dentro como fuera del perímetro empresarial tradicional, además de un creciente acceso directo de nube a nube.

Los proveedores de CASB entienden que para los servicios en la nube el objetivo de protección para la organización es el siguiente: siguen siendo sus datos, pero procesados ​​y almacenados en sistemas que pertenecen a otra persona. Los CASB brindan una ubicación central para las políticas y la gobernanza al mismo tiempo en múltiples servicios en la nube para usuarios y dispositivos, y visibilidad granular y control sobre las actividades de los usuarios y los datos confidenciales.

Un CASB tiene cuatro funciones destinadas a proteger los datos de la compañía:

  • Visibilidad: proporciona información sobre qué servicios en la nube se están utilizando.
  • Cumplimiento: garantizar que los datos en la nube cumplan con los requisitos de retención y cumplimiento.
  • Seguridad de datos: control de acceso y administración de privilegios, pero mientras los datos se encuentren en la nube.
  • Protección contra amenazas: identifica a personas y cuentas comprometidas

El CASB se sitúa entre los usuarios y la nube comprobando y monitorizando quién accede, si tiene privilegios para acceder, etc. Impide descargas dependiendo de las políticas de seguridad de la empresa o alerta de posibles amenazas por tener “enlaces públicos” a información almacenada en la nube.

DLP CASB information protection

Sin embargo, el enfoque del CASB es controlar el acceso a la información en la nube y la identidad de quién accede, pero presentan determinadas limitaciones:

  • Si se intercepta todo el tráfico de una empresa y se hace pasar por el CASB no se aprovechan las grandes inversiones en disponibilidad y distribución geográfica por parte de los proveedores de nube apareciendo puntos de fallo en la arquitectura ya que los recursos de los proveedores CASB son inferiores a los de las plataformas de nube.
  • Sólo hay control mientras la información está en la nube, pero no una vez que ha sido descargada y está fuera de la misma.
  • La remediación se basa en el bloqueo de descargas únicamente o en el control de permisos y cifrado de los datos de la información cuando está almacenada. Una vez que la documentación sale de la nube, no pueden hacer nada para protegerla, controlarla o bloquear el acceso a la misma.

 

Information Rights Management (IRM) / Enterprise Digital Rights Management (E-DRM) / Information Protection and Control (IPC)

 
La capacidad de controlar la información incluso fuera de la nube, sí está al alcance de la mano con las tecnologías de IPC, o IRM/E-DRM que permiten proteger la información allí donde viaje:

  • La protección viaja con la documentación allí donde se encuentre.
  • Se pueden limitar los permisos sobre la documentación (Sólo Ver, Editar, Imprimir, etc.).
  • Es posible monitorizar accesos a la documentación, esté donde esté.
  • Es posible revocar el acceso a los ficheros, independientemente de dónde se encuentren.
  • Se une control de identidad + cifrado + auditoría + control remoto yendo más allá de las capacidades de un cifrado tradicional.

En el caso de un enfoque de seguridad centrada en los datos, la protección debe partir del usuario o ser gestionada por el administrador para proteger determinadas carpetas.

Si hablamos de entorno Cloud, se cifran carpetas o repositorios de documentación en sistemas con O365, Box, etc. de forma que todo lo que se almacene en estas carpetas quede automáticamente protegido.

DLP vs IRM cómo proteger información sensible
 
Estas tecnologías pueden trabajar integradas con herramientas de clasificación, protegiendo de forma automática datos clasificados dependiendo del nivel de confidencialidad, de DLP o CASB, haciendo que la información que viaje dentro o fuera de la red corporativa, o nube, viaje siempre protegida y bajo control.
 

¿Qué medidas de seguridad sobre la información me pueden ayudar mejor a cubrir mis objetivos de protección?

 
Tenemos que revisar dentro de la organización cuál es la prioridad a la hora de implementar una estrategia de seguridad centrada en los datos:

  • ¿Quiero empezar protegiendo la información que almaceno en determinados repositorios y equipos sin empezar un proceso de clasificación o identificación?
  • ¿Tengo protegidos determinados datos críticos, pero deseo localizar dónde se encuentran otros datos que pueden estar filtrándose fácilmente?
  • ¿Tengo la mayor parte de mis datos dentro del perímetro y quiero bloquear a toda costa la salida de los mismos?
  • ¿He hecho una transición rápida a la nube, y me interesa tener controles de seguridad adicionales a los que me ofrecen las propias plataformas de nube?
  • ¿El perímetro de mi organización está más difuminado que nunca, con datos dentro y fuera de la red y deseo controlar los datos allí donde viajen?

Las respuestas a estas preguntas, nos harán priorizar una determinada tecnología y solución y decantarnos por ella.