Fugas de Información en la Empresa
Hoy vamos a hablar de uno de los problemas más serios y difíciles de tratar que puede haber en entornos que manejen información delicada, como puedan ser expedientes médicos o tarjetas de crédito (hospitales y bancos, por poner dos ejemplos): las fugas de información.
En cualquier empresa, una de las cosas más claras que debe tener el equipo de seguridad es qué es lo que debe proteger, cuál es la información realmente crítica de la empresa. Esta puede ser:
- patentes
- información personal delicada (marcada como «nivel alto» según la LOPD), como por ejemplo expedientes médicos
- contratos con terceros, nóminas, currículums de empleados
- números de tarjeta de crédito, operaciones bancarias en general.
Cualquier empresa, por pequeña que sea, tiene información que no desea que llegue a sus competidores.
El robo, y posterior venta, de datos confidenciales de una empresa se debe principalmente a dos cosas: venganza y motivos económicos. Un empleado resentido puede ser la herramienta perfecta para robar contratos de una empresa y pasárselos a una competencia.
Así pues, en primer lugar, debemos tener claro qué estamos protegiendo y, a partir de allí, tomar las medidas técnicas adecuadas para prevenir el robo de información. Estas medidas abarcarian distintas ramas:
A. PROBLEMAS DE SEGURIDAD EN LAS EMPRESAS
SEGURIDAD FÍSICA
Aquí entrarían temas como el control de acceso al edificio, cerraduras en todas las puertas, cámaras de video vigilancia, extintores, uso de materiales ignífugos en suelos y techos, salidas de emergencia, concesión y revocación de tarjetas de acceso, tornos para controlar el acceso de los empleados de uno en uno … y cualquier otra cosa de ésta índole que evite el robo o pérdida por accidente (incendio, terremoto, …) de la información clave de la empresa.
Hay que hacer especial hincapié en controlar el acceso físico a todos los datos críticos de la empresa, separándolos de los demás y permitiendo sólo su acceso a las personas responsables de ellos, siempre de una forma controlada y guardando un escrupuloso registro de cada acceso.
Respecto de la seguridad física, resultan realmente preocupantes cosas como éstas:
-
Cabe mencionar que, hoy en día, en casi todas las empresas no sería ningún problema instalar un keylogger por hardware en el teclado y recogerlo días después. Como veis en éste esquema, no son nada fáciles de detectar a simple vista:
-
Nada más fácil que darse una vuelta por la sala de reuniones y dejarles un micrófono instalado. En particular éste que pongo debajo es batante caro, pero los hay muy asequibles:
-
Huelga decir que un simple pendrive es más que suficiente para llevarse bases de datos en segundos.
SEGURIDAD LÓGICA
Esto es lo que uno entiende por «seguridad» cuando habla de servidores, bases de dato, … Una buena seguridad lógica debe controlar aspectos como una buena gestión de usuarios, hardening de los servidores, política de mantenimiento y parcheado de los servicios, topología de red, restricción de permisos …
COPIAS DE SEGURIDAD
Un error muy típico en las empresas pequeñas es guardar las copias de seguridad de todas las bases de datos en un cajón sin cerradura, encima de un armario o en la mesa del administrador de la red, donde resulta facilísimo llevárselas a casa, copiarlas y volverlas a dejar en su sitio.
No tiene ningún sentido establecer unos durísimos controles de seguridad lógica si luego dejamos los backups tirados encima de un armario.
Como poco, las copias de seguridad deberían estar en un armario ignífugo cerrado, dentro de un despacho también cerrado. Debería hacerse un rigurosísimo control del acceso a las mismas. También es conveniente que estas copias no estuvieran en el mismo edificio que los servidores de la empresa, ya que pudiera haber una catástrofe (incendio, inundación) y se perderían tanto la copia como el original.
Algunas empresas tienen el centro de backup en otra ciudad y graban los datos síncronamente a través de líneas dedicadas.
Otro concepto importante a mencionar en este punto es la continuidad de negocio. Esto viene a ser un plan a seguir ante un desastre natural – pongamos que se quema el edificio. Debe existir un plan detallado que cubra el procedimiento a seguir para levantar el servicio (reinicio de servidores, en qué órden, cabinas de discos, comunicaciones, …) y deben hacerse unas pruebas anuales de dicho plan, con su correspondiente informe. Todo esto lo piden en auditorías como la que hacen para la LOPD.
MOVILIDAD DE USUARIOS
En un mundo globalizado, donde nuestros usuarios se conectan con sus portátiles al CPD, cualquiera, desde cualquier lugar del mundo, puede estar robándonos datos.
Debe existir un estricto control de quién puede conectarse y con qué medios. Debe garantizarse que lo hagan desde un sistema operativo que cumple unos requisitos (firewall, antivirus, parches de seguridad, …),que se valida el usuario de forma segura (certificado + usuario/password), que todos los protocolos de conexión van cifrados …
Pero el problema es que el usuario, desde casa, puede pinchar un pendrive y copiarse toda la información sin dejar casi ningún rastro. Así pues, ante la posibilidad casi nula de controlar lo que hace el usuario, debemos hacer que firme una política de buen uso, donde se especifique la limitación del uso de los equipos de conexión al trabajo, etc, etc …
Aparte de poner difícil que nos roben, nuestra preocupación debería ser que siempre quede rastro de las acciones de los usuarios, y más en un entorno móvil, y tener las herramientas legales necesarias para empapelarle (léase política de buen uso).
REENVÍO DE FICHEROS POR MAIL
Clásico entre los clásicos. Todo usuario puede enviarse documentos por correo, y no habrá ningún tipo de rastro de lo que ha enviado si le pone un nombre cualquiera y lo envía comprimido con contraseña (como mucho el tamaño, y también puede comprimirse junto a otro archivo inútil para variarlo).
El acceso a los logs del servidor de correo no nos servirá de mucho en este caso.
B. AUDITORÍAS OBLIGATORIAS
Con objeto de reducir la posibilidad de un robo de información, las empresas tienen obligación de pasar auditorías obligatorias cada cierto tiempo. Entre ellas, hay dos que merecen mención especial: LOPD y PCI-DSS
La LOPD (Ley Orgánica de Protección de datos) se ocupa de velar por el derecho a la privacidad de las personas. Todas las empresas que manejen archivos (texto u ordenador) con datos personales tienen obligación de declarar estos archivos ante la AEPD (la Agencia de Protección de Datos) y de proteger dicha información. Como ejemplo de estos ficheros estaría el fichero de nóminas de la empresa y los historiales médicos de un hospital.
La auditoría de la LOPD se encarga de revisar el entorno en el que se encuentran dichos ficheros así como la existencia de controles adecuados para garantizar que esa información se trata de forma segura. Se miran cosas como los usuarios que tienen acceso, las políticas de renovación de usuarios, los accesos remotos a la empresa, la auditoría de accesos a dichos ficheros, la descripción de ficheros temporales (papel u ordenador)… y la existencia de una serie de procedimientos que describirían en detalle cómo se realizan todos estos puntos.
Las sanciones por incumplimiento de la LOPD son realmente duras.
Por otro lado, PCI-DSS se encarga de garantizar la seguridad de las operaciones realizadas con tarjetas de crédito. Esta auditoría trata de garantizar que todo punto por donde pasen tarjetas de crédito es seguro: seguridad física, cifrado de las comunicaciones, segmentación de la red, logs centralizados, gestión de usuarios y paswords, formación de empleados, existencia de WAPs, gestión de eventos de seguridad, detectores de intrusos, antivirus, … y un larguísimo etc de cosas.
La sanción por no pasar PCI-DSS es simplemente la retirada de los permisos de VISA, MASTERCARD, etc para procesar sus tarjetas (se les remite a ellos el resultado de la auditoría).
Desde luego, pasar estas auditorías no garantiza que nuestra información no será robada, pero al menos existe un estandard que seguir que pondrá las cosas mucho más difíciles.
C. CASOS REALES – DOS EJEMPLOS
Espero que entendáis que no puedo poner nombres de empresas, ya que ambos casos están en proceso judicial:
Comerciales que se llevan información de clientes: éste es uno de los casos más comunes hoy en día. Nos lo hemos encontrado bastantes veces. El comercial, por si le despiden, decide copiarse las bases de datos con todos los clientes, contratos, precios, … La empresa que deja tiene un grave perjuicio económico y lo normal es que demande a la otra y le pida daños y perjuicios. A partir de aquí, empieza un largo y complicado juicio en el que hay que demostrar que el comercial se copió los datos y que esto fue relevante para llevarse clientes a la nueva empresa.
Robo y extorsión a una pyme: alguien, desde Argentina, entra por sql-injection en uno de los servidores de la empresa y les roba toda la información de los clientes, contratos, … Tras esto, les manda un mail en el que les pide una importante cantidad de dinero bajo amenaza de publicarlo en internet. El proceso de detectar el atacante y darle caza para evitar el pago se vuelve realmente complicado cuando viene de otro país, y mucho más si este no tiene tratados internacionales con España (extradición, colaboración policial). Descubrir quién está detrás de una red TOR roza lo imposible.
Entradas relacionadas