España
Reino Unido
Italia
Portugal
Autor/a: SealPath
En prácticamente cualquier tipo de organización se gestiona información importante y confidencial que si llega a manos de quien no debe, puede suponer un perjuicio para la organización. Esta información puede contener datos de dirección, información financiera, datos estratégicos de la organización o incluso secretos industriales. También puede suponer un perjuicio para la empresa perder datos sujetos a una regulación como EU-GDPR en lo que respecta a datos de terceros. Esto es especialmente importante en sectores como el de Salud donde Centros Médicos u Hospitales gestionan datos de pacientes, donde deben ponerse las medidas de seguridad adecuadas para que no haya fugas de información.
Esto normalmente es asumido por todas las organizaciones: Saben que gestionan datos sensibles, propios o de terceros y entienden que deben ser protegidos para evitar posibles fugas. Por otro lado, los equipos de IT o Seguridad de las empresas saben que una de las mejores formas de proteger la información es a través del cifrado y de hecho a nivel de comunicaciones la encriptación es un requisito indispensable vía HTTPS/TLS.
De hecho, según un informe de Ponemon Institute para IBM, una de las formas más efectivas para reducir el coste de una fuga de datos es el cifrado o encriptación de datos.
Sin embargo, llama la atención que en la mayor parte de las fugas de información que se producen, en la información extraída el cifrado brillaba por su ausencia. De hecho, sólo en un 3% de las fugas de información, los datos extraídos estaban cifrados y eran inusables. Esto está siendo aprovechado recientemente en los ataques de ransomware donde ya no sólo se cifra la información para pedir un rescate, sino que se extraen los datos no cifrados de la organización y se pide un rescate por no hacerlos públicos.
Los creadores de ransomware se han dado cuenta que esto está siendo más efectivo que pedir un rescate por los datos encriptados, ya que en muchos casos las organizaciones recurren a las copias del backup para recuperar sus datos. Veíamos recientemente la noticia de un hospital que había pagado un cuantioso rescate a los atacantes que a través de un ransomware habían extraído 240 GB de datos no encriptados de la organización y amenazaban con hacerlos públicos.
Cuando hablamos de información desestructurada (ficheros, documentos, etc.) no está ya tan claro quién debe cifrarla y qué información cifrar. La gestión de la información cifrada no es tan sencilla como la gestión de la no cifrada y al utilizarlo supone un cambio de mentalidad en la organización que hay que saber gestionar.
Los principales impedimentos que aparecen en las organizaciones para la utilización del cifrado son:
Hemos hablado antes de acompañar con guías sencillas de cuándo proteger la información. Los usuarios deben saber cuándo proteger un fichero y cuándo no. Como el modelo de seguridad de Zero-Trust indica (ver “Forrester Five Steps for a Zero-Trust Network”) es importante identificar los datos que necesitas proteger.
Hay organizaciones que recurren a soluciones de búsqueda o identificación de información sensible, o a soluciones de etiquetado o clasificación de datos como primer paso para determinar qué se debe proteger o qué no. Sin embargo, no debemos olvidar que identificar información sensible o etiquetarla no significa protegerla. En este artículo hablamos sobre dos tecnologías que ayudan a clasificar y a proteger: DLP e IRM.
Muchas organizaciones disponen de políticas muy sencillas de clasificación de información con niveles tipo “Público”, “Uso Interno”, “Confidencial”, etc. Sobre el papel, parecen perfectas, pero ¿De qué valen si no podemos luego aplicarlas y proteger la información de “Uso Interno” o “Confidencial”?
Una aproximación práctica para decidir qué proteger y qué no proteger viene explicada en la siguiente figura:
Dependiendo de la “toxicidad de los datos”, entendida como la medida en la que una posible pérdida o fuga de la misma puede perjudicar a clientes, empleados o la propia organización, debo aplicar una restricción o cifrado más restrictivo. Por ejemplo, si estoy gestionando información que puede suponer incumplimiento de regulaciones, deberé aplicar una protección restrictiva limitando el acceso a la misma a determinados usuarios de un determinado departamento y con permisos de sólo ver. Si la información puede tener valor para un competidor debería restringir su acceso o uso dentro de nuestra organización, pero no hacerla accesible a usuarios externos.
Llevando este modelo más al extremo y simplificándolo más, podría dar a los usuarios internos la siguiente guía: Si dispongo de datos que pueden perjudicar a la compañía, a empleados o clientes, esta información debe protegerse. Más adelante es posible diferenciar en el nivel de protección a aplicar, pero puede ser una buena guía para empezar.
Para aplicar este tipo de guías es necesario disponer de soluciones de cifrado o protección que puedan ir más allá que el cifrado tradicional: Debo poder limitar quién puede acceder o no a mi información e incluso los permisos con los que puede acceder. No es válida una contraseña o sistema basado en certificados donde cualquiera que tenga la clave puede acceder o que una vez desprotegido, puedo hacer con el fichero lo que considere. En este sentido es clave disponer de una “protección en uso” de la información y no sólo protección en tránsito o en reposo.
Como decíamos anteriormente, proteger o cifrar la información requiere un cambio de mentalidad en la organización, pero este cambio de mentalidad es necesario si queremos extender una cultura de protección dentro de la organización.
De hecho, al implantar un sistema de gestión documental en la empresa nos habremos enfrentado a algo similar. En la siguiente figura ponemos un símil del cambio que supone la implantación de un sistema de gestión documental con el cambio que supone cifrar la información o aplicar una estrategia de seguridad centrada en los datos.
Sin embargo, a pesar de este cambio de mentalidad en lo que respecta a la implantación de un sistema de gestión documental, todas las empresas que lo han implantado han observado sus beneficios.
Si hablamos de la posibilidad de evitar una fuga de datos el retorno de inversión o ROI (Return Of Investment) que obtenemos por la implantación de un sistema de protección centrado en los datos es aún mayor. En la siguiente figura mostramos el ROI relacionado de una solución de protección de información. Hay empresas que directamente han cerrado por el impacto de una fuga de información.
Viendo este Retorno de Inversión y los beneficios de reporta, todos los usuarios de la organización deben tener la capacidad de proteger sus datos a través de herramientas sencillas de utilizar. Si alguien en la organización dispone de un fichero con información sensible que debe proteger, debe saber que tiene que protegerlo y tener a su alcance la herramienta que le permita protegerlo sin tener que consultar con IT para entender cómo realizar la operación de cifrado.
Siempre que sea posible debo poner las cosas lo más fáciles posibles a los usuarios de mi organización. Por ejemplo, protegiendo de forma automática la información sensible cuando:
En el siguiente artículo explicamos cómo automatizar la clasificación y protección de los datos de forma efectiva.
Cifrar la información, como decíamos antes, ha demostrado ser una de las prácticas más útiles para proteger nuestros datos frente a una posible brecha de seguridad. Sin embargo, cifrar los datos no tiene por qué ser algo complicado, sino un medio útil para extender una cultura de protección en la empresa.
Desde SealPath recomendamos un ciclo de gestión segura de información basado en los siguientes pilares:
Puedes leer el artículo original en la web de SealPath.