Cuando se trata de proteger la información confidencial, nos encontramos que se requieren distintos enfoques o plantean diferentes necesidades de protección en función de su estado. Algunos necesitan proteger la información en los equipos móviles o portátiles, por si estos se pierden. Otros desean mantener su documentación protegida en servidores de ficheros, de forma que incluso pueda estar protegida de accesos indebidos por parte del personal de IT. En ocasiones, necesitan proteger la documentación cuando esta viaja adjunta en un email, ya que utilizan servidores de email gestionados o en la nube. Otros piden proteger la documentación cuando es enviada a terceros o incluso internamente de forma que se minimice la posibilidad de que se copie, desproteja o puedan acceder usuarios indebidos.
Los tres estados del dato
Podemos considerar tres estados para la información o los datos:
- Información en reposo: Con este término nos referimos a la información que no está siendo accedida, usada, ni procesada y que se encuentra almacenada en un medio físico o lógico. Ejemplos pueden ser ficheros almacenados en servidores de ficheros, registros en bases de datos, documentos en unidades flash, discos duros etc.
- Información en tránsito o movimiento: Información que viaja a través de un email, web, aplicaciones de trabajo colaborativo tipo Slack o Microsoft Teams, mensajería instantánea, o cualquier tipo de canal privado o público de comunicación. Se trata de información que se encuentra viajando de un punto a otro.
- Información en uso: Hablamos de información en uso cuando esta es accedida por una o varias aplicaciones para su tratamiento. Normalmente, detrás de la aplicación está un usuario que quiere acceder a los datos para visualizarlos, modificarlos, etc.
Protección de Información en Reposo
Se considera que la documentación está segura en reposo cuando se encuentra encriptada (de forma que requiera una cantidad inviable de tiempo en un ataque de fuerza bruta para ser desencriptada), la clave de encriptación no está presente en el mismo medio de almacenamiento, y que la clave tenga una longitud y nivel de aleatoriedad suficiente que la haga inmune a un ataque de diccionario.
En éste ámbito encontramos diferentes tecnologías de protección para la información. Por ejemplo:
- Cifrado de disco duro (full disk encryption) o dispositivo: El cifrado de disco duro permite que si el portátil o equipo se pierde por ejemplo, la información contenida en él no pueda ser accedida simplemente montando el disco duro o dispositivo en otra máquina. Tiene la ventaja de ser “transparente” para el usuario en la medida de que si se ha hecho login correctamente el usuario accede a los documentos de la misma forma que lo haría en un equipo no cifrado. Sin embargo, si se ha hecho login en el equipo o el servidor de ficheros es accesible por el administrador, nada impide a un usuario deshonesto acceder a los datos, copiarlos, reenviarlos, etc. Los datos están protegidos mientras residen en el dispositivo o disco duro, pero dejan de estarlo una vez son extraídos del mismo (copiados a otro dispositivo, reenviarlos, etc.).
- Cifrado a nivel de fichero: No se cifra una partición o disco duro sino sólo ficheros individuales. El cifrado de clave pública o simétrica permiten por ejemplo encriptar ficheros. Los ficheros cifrados no sólo lo están cuando se encuentran almacenados en el disco, sino que también pueden estar protegidos en tránsito, cuando son enviado por ejemplo como adjuntos en un email. En este caso se pierde el acceso transparente por parte de un usuario y también la protección transparente del mismo. Es decir por ejemplo, con PGP, es necesario disponer de la clave púbica de la persona con la que quiero compartir el fichero protegido, y por otro lado, ella deberá tener mi clave pública para poder descifrarlo. Además, una vez que el documento ha sido descifrado por el receptor, puede almacenarse desprotegido, reenviarse desprotegido, etc.
- Cifrado de base de datos: Sistemas de base de datos como SQL Server u Oracle utilizan TDE – Transparent Data Encryption para proteger los datos almacenados en bases de datos. Las tecnologías de TDE realizan operaciones de encriptación y desencriptación de datos y ficheros de log en tiempo real. Esto permite a los desarrolladores de aplicaciones por ejemplo trabajar con datos encriptados utilizando AES o 3DES sin necesitar modificar las aplicaciones existentes. Este tipo de encriptación protege los datos en reposo en base de datos, pero no cuando estos han sido ya accedidos por la aplicación correspondiente y han podido ser extraídos.
- Protección por medio de gestión de derechos digitales (IRM): Las tecnologías de IRM como SealPath (Information Rights Management) permiten la encriptación de documentación aplicando una protección persistente a los mismos. La documentación en reposo se encuentra cifrada y sólo está accesible a los usuarios que tengan derechos de acceso a la misma. A diferencia del cifrado a nivel de fichero el usuario receptor puede acceder a él para leerlo e incluso modificarlo pero no puede descifrar por completo el fichero (a no ser que se le hayan asignado permisos de Control Total sobre el mismo).
- MDM (Mobile Device Management): Una forma de controlar la información en dispositivos móviles es a través de herramientas MDM. Permiten limitar el acceso a determinadas aplicaciones corporativas, bloquear el acceso al dispositivo o cifrar la información en el móvil o Tablet. Al igual que con el cifrado estándar son útiles frente a la perdida de un dispositivo, pero cuando la información se envía al exterior del dispositiva, sale sin cifrar.
- DLPs (Data Leak Prevention): Un DLP, entre otras funciones, permite realizar una búsqueda o localización de información sensible en un endpoint o repositorio de red. Para el caso de información en reposo, pueden eliminar la información por ejemplo o bloquear el acceso a determinados usuarios en el caso de que esta incumpla alguna política de seguridad (Ej. se encuentra en un equipo en el que no debería de estar). Tienen validez mientras la información está dentro de la organización, pero no pueden actuar sobre la misma una vez que ha salido.
- CASB (Cloud Access Security Brokers): Son sistemas que permiten aplicar políticas de seguridad a la documentación que tenemos en sistemas de nube como Office 365, Box, Salesforce, etc. Se podría decir por simplificar que es un sistema DLP aplicado a una aplicación de nube en vez de al perímetro de la organización. En que respecta a información en reposo, los CASBs son capaces de detectar información sensible en determinados repositorios de información cloud y aplicar políticas de protección sobre la documentación, por ejemplo, eliminar un link público al documento y restringirlo a un grupo de usuarios en caso de que se determine que la información es sensible. Al igual que el DLP pueden actuar mientras la información esté en la nube (EJ. G-Suite), pero no una vez que el documento ha salido de ella.
Retos de la protección de información en reposo
Actualmente los departamentos de IT se encuentran con numerosos retos a la hora de proteger la documentación en reposo:
- La información puede estar almacenada en diferentes soportes y equipos: La documentación importante no sólo se encuentra en los servidores de ficheros, o gestores documentales sino que puede haber copias en los PCs de los usuarios, dispositivos USBs, etc.
- Se encuentra dispersa en dispositivos móviles: Los móviles y tablets son una herramienta de trabajo más que puede contener documentación importante en reposo que debe ser protegida. Hay que tener en cuenta que en muchos casos donde se gestiona información sensible, los dispositivos móviles en los que se encuentra no son corporativos sino personales y fuera del control de los departamentos de IT.
- Imposibilidad de controlar el almacenamiento de nube: Muchos proveedores de sistemas de almacenamiento ofrecen cifrado y protección de la información en reposo que gestionan. Sin embargo, las claves de encriptación son propiedad de quien da el servicio de almacenamiento y no de las empresas que lo contratan por lo que se pierde el control de la documentación almacenada en estas nubes.
- Necesidad de cumplir con las diferentes regulaciones de protección de datos: Dependiendo del vertical en el que opere nuestra empresa puede estar sujeto a regulaciones de datos exigentes en lo que respecta a la protección y control sobre la información. Por ejemplo los datos de pacientes en el sector salud o de clientes en el sector financieros están protegidos por regulaciones como la EU-GDPR, HIPAA, PCI, etc. dependiendo del territorio. Estas regulaciones imponen políticas de protección sobre los datos en reposo, independientemente de si se encuentran almacenados en una base de datos, en un servidor de ficheros o en dispositivos móviles.
Para superar estos retos, los Departamentos de IT deben analizar los riesgos principales a los que se enfrentan en lo que respecta a la gestión de su información en reposo y seleccionar la tecnología o tecnologías priorizando aquellas que permitan eliminar o mitigar aquellos más probables y/o de más impacto para su organización.
Protección de Información en Tránsito
Nos encontramos en la era de la colaboración digital y a día de hoy hay infinidad de medios para compartir nuestros datos con terceros. Uno de los más utilizados tradicionalmente ha sido el email. Con más de 3,9 billones de usuarios utilizando el email en la actualidad (Statista, 2020), se espera que estos números crezcan hasta los 4,3 billones de usuarios en 2023. Sin embargo, movemos información a través de otras plataformas como las de trabajo colaborativo tipo Slack o Microsoft Teams, a través de aplicaciones de almacenamiento de nube como Box, OneDrive, Dropbox, etc.
Entre las diferentes tecnologías para proteger la información en tránsito encontramos las siguientes:
- Cifrado de email: Proporciona protección para cuerpos de mensaje y adjuntos extremo a extremo. Hay una amplia variedad de herramientas para cifrar email. Una de ellas se basa en PKI (Public Key Infrastructure), una combinación de una clave privada (conocida únicamente por ti) y una clave pública (conocida por aquellos a quien deseas enviar el mensaje protegido). Se protege el email y adjuntos utilizando la clave pública de los destinatarios, y en la recepción, el destinatario utiliza su clave privada para descifrar el contenido. Una vez que se ha descifrado el email o adjuntos, se pierde el control sobre los mismos y se pueden reenviar, copiar, etc.
- Transferencia Gestionada de Archivos (MFT, Managed File Transfer): Es una alternativa segura a la transferencia de ficheros vía FTP por ejemplo. El fichero se sube a una plataforma y se genera un enlace para descargar el mismo. Este enlace se envía por email u otros medios al destinatario que realiza la descarga vía HTTPS. Es posible poner fechas de expiración al enlace, contraseña para acceder al mismo, etc. Al igual que sucede con el cifrado de email, una vez que el fichero se ha descargado, queda desprotegido y se puede hacer con el mismo lo que se desee.
- DLP (Data Leak Prevention): Las tecnologías de DLP ofrecen protección en tránsito o movimiento en el sentido que son capaces de detectar si se está intentando enviar información confidencial fuera de la organización (Ej. números de tarjetas de crédito) y bloquear el envío de la misma. Igualmente permiten bloquear copias de información a un USB, envíos a unidades de red, subidas a aplicaciones web o cloud, etc. El problema que plantean es que si la información se ha enviado ya no puede ser controlada. Adicionalmente, pueden ser propensas a dar falsos positivos y bloquear envíos válidos que deberían poder dejar pasar.
- CASB (Cloud Access Security Brokers): En lo que respecta a información en tránsito, pueden detectar si un usuario intenta descargarse información sensible, y si no cumple determinada política de seguridad (Ej. no es un usuario confiable para este tipo de información) pueden bloquear la descarga. Al igual que sucede con el DLP, si la información se ha descargado se pierde el control sobre la misma. Aplican seguridad en un número finito de aplicaciones de nube, normalmente las más conocidas.
- Protección en tránsito con derechos digitales: Por ejemplo con SealPath puede aplicarse en el email para, no sólo cifrar el cuerpo y adjuntos, sino para aplicar derechos de uso dejando sólo ver el contenido, o ver y editar pero no imprimir, etc. También permiten por ejemplo restringir el reenvío del email a los receptores en caso de que se desee. Como un fichero protegido con derechos digitales viaja con la protección, se ofrece protección en tránsito vía cualquier medio. También se integran con herramientas como DLP o CASB de forma que, si se detecta la salida de un documento sensible de la red o una descarga de documentación confidencial de una aplicación de nube, pueden protegerla de forma automática dependiendo de la política de seguridad.
Retos de la protección de información en tránsito
- Existen infinidad de medios y canales de comunicación: Estas herramientas están normalmente en proteger un determinado canal como los envíos por email, descargas web, etc. pero es complicado llegar a cualquier protocolo y medio de comunicación.
- Infinidad de aplicaciones Cloud a proteger: Si estamos hablando de una enfoque tipo CASB para securizar la información que se descarga de la nube, es muy complicado llegar a cualquier aplicación. Normalmente están disponibles opciones para las aplicaciones Cloud más conocidas tipo O365, G-Suite, Salesforce, Box, etc.
- Imposibilidad de mantener el control en el extremo receptor: En el caso del cifrado de email o MFT, una vez que el destinatario ha recibido el fichero y lo tiene para él descifrado se pierde el control. Ofrecen protección punto a punto, pero no más allá, a excepción de la protección con derechos digitales.
- Dificultad para determinar qué se deber proteger y que no: Para un sistema de DLP o de CASB es complicado determinar qué debe ser bloqueado o no. Se pueden poner ciertas reglas, pero pueden dar lugar a falsos positivos que bloquean la salida de información cuando es necesario. En ocasiones, un enfoque de “proteger todo” (salvo excepciones) es la mejor política, por ejemplo, en el caso del cifrado del email ya que si alguien compromete un buzón de email estaremos seguros de que accederá a datos cifrados, pero esto no siempre es posible dependiendo del tipo de organización.
Los departamentos de IT tienen que ver si con cubrir una parte de la información que está en tránsito vale para prevenir la mayor parte de problemas potenciales. Si cubriendo el 20% de los medios, ej. email o determinadas aplicaciones, prevengo un 80% de posibles problemas puede ser una buena aproximación, aunque desde luego no estará cubierto del todo.
Protección de Información en Uso
Como decíamos más arriba, hablamos de información en uso cuando ésta es accedida por una aplicación para su tratamiento. Normalmente detrás de la aplicación está un usuario que quiere acceder a los datos para visualizarlos, modificarlos, etc. En este estado, la información es más vulnerable, en el sentido de que para verla, el usuario tiene que haber podido acceder al contenido descifrado (en el caso de que estuviera cifrada).
Para proteger la información en uso, se deben poner controles normalmente “antes” de acceder al contenido. Por ejemplo, a través de:
- Herramientas de gestión de identidad: Para comprobar que el usuario que intenta acceder a los datos es quien dice ser y no ha habido robo de identidad. En estos casos es cada vez más importante proteger el acceso a los datos a través de un doble factor de autenticación.
- Herramientas de control de acceso condicional (Conditional Access) o basadas en rol (RBAC-Role Based Access Control): Permiten dejar acceso a la información en función del rol del usuario u otros parámetros como la IP, ubicación, etc.
Sin embargo, en estos casos, estamos protegiendo la información limitando de forma más precisa quién puede y quien no puede acceder, pero una vez se ha accedido a la base de datos o a un documento no podremos impedir que la persona haga con los datos lo que quiera.
- A través de la protección de derechos digitales o IRM,: sí podemos obtener una protección efectiva en uso de la información ya que podremos limitar que acciones puede hacer el usuario una vez que ha accedido a la información. Por ejemplo, podemos evitar que la edite, que la imprima, etc. Existen plataformas de colaboración Cloud o gestores documentales que permiten poner controles de derechos digitales tipo sólo visualizar, impedir, la descarga, etc. Sin embargo, si hemos descargado el documento, este queda completamente desprotegido.
Con una protección IRM aplicada directamente sobre el fichero (no en el propio gestor documental o plataforma de colaboración) sí podemos aplicar una protección que viaje con los documentos y que limite los permisos de apertura allí donde vaya. Tanto si la información se encuentra en la nube, como si se ha descargado, podré conseguir que un usuario pueda verla, pero no desprotegerla por completo, imprimirla, etc.
Retos de la protección de información en uso
- La mayor parte de las herramientas que controlan el acceso a la información lo hacen antes de permitir el acceso,pero una vez validado, como decíamos arriba, es más complejo controlar lo que se puede hacer con la información.
- Incluso aunque estemos limitando permisos sobre la documentación, si ésta está siendo mostrada al usuario en la aplicación, en un visor, siempre podrá sacar una foto, por ejemplo, aunque podemos mitigar esta acción a través de marcas de agua dinámicas sobre el documento abierto.
- Las plataformas de colaboración que limitan derechos tipo prohibir la descarga o sólo dejar ver el documento, pueden ser eficientes cuando sólo necesitamos acceder al documento, pero tienen limitaciones si se necesita modificar el documento por ejemplo con una herramienta ágil en el escritorio. Además, no debemos olvidar que la propia plataforma de nube tiene descifrado el documento en el momento del acceso y almacenado en sus sistemas por lo que es técnicamente posible acceder al contenido del mismo. Esto puede ser un problema cuando estamos hablando de información confidencial o sometida a estrictas regulaciones de protección de datos.
Sin entrar en cuestiones de protección de información en uso a través de cifrado de información en memoria mientras la aplicación la tiene abierta para evitar hacer volcados de la misma, la protección de derechos digitales o IRM es la protección en uso de información más eficiente ya que une cifrado + gestión de permisos + control de identidad.
Esta protección permite mantener la documentación segura en sus tres estados: En tránsito, en remoto y en uso. La protección viaja con el documento y le acompaña allí donde viaje permitiendo al usuario trabajar con la información, sabiendo que si es necesario, este no tendrá el control completo de la misma.