Modelo de seguridad para la prevención de perdida de datos en las organizaciones.

INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y

ADMINISTRATIVAS

“MODELO DE SEGURIDAD PARA LA PREVENCIÓN DE PÉRDIDA DE DATOS EN LAS ORGANIZACIONES”

T E S I N A

Q U E P A R A O B T E N E R E L T Í T U L O D E :

P R E S E N T A N :

D A N I E L G O N Z Á L E Z R O M E R O A I D E D I A N A M A R T Í N E Z G A L I N D O T A N I A D O L O R E S P É R E Z C R U Z J O S É L U I S Z Á R A T E O L A L D E

Q U E P A R A O B T E N E R E L T Í T U L O D E :

P R E S E N T A :

C R U Z A D Á N S Á N C H E Z G O N Z Á L E Z

MÉXICO, D.F. 2010.

ÍNDICE RESUMEN INTRODUCCIÓN

CAPÍTULO 1. MARCO METODOLÓGICO

1.1 Descripción de la Problemática 1.2 Objetivo General

1.3 Tipo de Investigación 1.4 Técnica de Investigación 1.5 Justificación

CAPÍTULO 2. MARCO TEÓRICO Y REFERENCIAL

2.1 Dato

2.1.1 Clasificación de Dato 2.2 La Información

2.2.1 Conocimiento 2.2.2 Tipos de Información

2.2.3 Amenazas a la información 2.3 Seguridad Informática

2.3.1 Alcance de la Seguridad Informática

2.3.2 Seguridad de la Información 2.3.2.1 Controles de Seguridad de la Información 2.3.3 Riesgos

2.3.3.1 Análisis de Riesgos 2.3.3.2 Calcificación de Riesgos 2.3.3.3 Control de Riesgos 2.3.3.4 Metodología de Riesgos 2.3.4 Prevención de Perdida de Datos 2.3.5 Políticas de Seguridad

2.4 Modelos de Seguridad 2.4.1 La Matriz de Acceso 2.4.2 Los Modelos Multinivel

2.4.2.1 Modelo de La Bell-Padula 2.4.2.2 Modelo de Biba

2.4.2.3 Modelo de Celosía 2.5 ¿Qué es un DLP?

2.5.1 ¿Qué función tiene DLP?

2.5.2 Características del DLP 2.5.3 Aplicaciones DLP

2.5.4 Tendencias

CAPÍTULO 3. LA PÉRDIDA DE DATOS EN LAS ORGANIZACIONES

3.1 Información en las organizaciones 3.1.1 El Valor de la Información 3.1.2 Porque se pierde la información

3.1.2.1 Puntos de fuga de información

3.1.2.2 Factores de fuga y pérdida de información 3.2 Riesgos de la información sensible o confidencial

i iv 1

1 2 3 3 4

6

6 6 8 9 9 10 10 11 12 13 16 16 17 21 21 22 23 24 25 26 26 26 27 27 28 29 30 31

34

34 35 36 38 39 43

3.2.1 Consecuencias

CAPÍTULO 4. LEGISLACIÓN, MEJORES PRÁCTICAS Y TECNOLOGÍAS

APLICADAS PARA LA PREVENCIÓN DE PÉRDIDA DE DATOS (DLP)

4.1 Legislación Internacional Relacionada con la Prevención de Perdida de Datos 4.1.1 Ley Sarbanes-Oxley (SOX)

4.1.1.1 Antecedentes de la Ley 4.1.1.2 Objetivo de la Ley 4.1.1.3 Importancia de la Ley

4.2 Legislación Nacional Relacionada con la Prevención de Perdida de Datos 4.2.1 Leyes Gubernamentales

4.2.1.1 Código Penal Federal 4.2.1.2 Ley Federal del Derecho de Autor 4.2.2 Ley Federal de Transparencia y acceso a la información Pública

Gubernamental

4.2.3 Ley de Protección de Datos Personales dentro de la República Mexicana 4.2.3.1 Código Civil del Estado de Jalisco

4.2.3.2 Ley de Protección de Datos Personales del Estado de Colima 4.2.3.3 Ley de Acceso a la Información Pública Y Protección

de Datos Personales para el Estado de Tlaxcala

4.2.3.4 Ley de Protección de Datos Personales del Estado de Oaxaca 4.2.4 Leyes en el Distrito Federal

4.2.4.1 Ley de Protección de Datos Personales en el Distrito Federal 4.2.4.2 Código Penal para el Distrito Federal

4.3 Mejores Practicas Relacionadas con la Prevención de Perdida de Datos 4.3.1 ISO 27000

4.3.1.1 Estructura de ISO 27000 4.3.1.2 Enfoque basado en Procesos 4.3.1.3 ISO 27001

4.3.1.3.1 Antecedentes Históricos de la Norma 4.3.1.3.2 Características de la norma

4.3.1.4 ISO 27002: 2005

4.3.1.4.1 Antecedentes y características de la Norma 4.4 Tecnologías Aplicadas para la Prevención de Perdida de Datos 4.4.1 Encripción de Datos

4.4.2 Sistemas Biométricos 4.4.3 Borrado Seguro 4.4.4 Filtrado de Correo Electrónico 4.4.5 Firewall y Gateway 4.4.6 AntiVirus, AntiSpam y AntiSpyware

4.4.7 Herramientas DLP

CAPÍTULO 5. MODELO DE SEGURIDAD PARA LA PREVENCIÓN DE PÉRDIDA DE DATOS EN LAS ORGANIZACIONES.

5.1 Descripción General del Modelo

5.2 Identificación de la Información y Evaluación de Riesgos 5.2.1 Datos / Información en Medios Electrónicos

5.2.1.1 Identificación y clasificación de la información 5.2.1.2 Valor de la información

5.2.2 Tecnología Aplicada

5.2.2.1 Infraestructura Tecnológica en Hardware 5.2.2.2 Infraestructura Tecnológica en Software

46

49

49 50 50 50 51 51 51 51 53 55 56 56 57 58 59 60 60 62 63 64 64 67 68 68 69 72 72 75 75 77 79 80 81 83 85

88

89 92 92 92 93 95 95 96

5.2.3 Riesgos

5.2.3.1 Revisión de Vulnerabilidades Técnicas 5.2.3.2 Análisis de Riesgos

5.2.3.3 Nivel de seguridad requerida 5.2.3.4 Gestión de Incidentes de Seguridad 5.3 Políticas y Procedimientos a Establecer

5.3.1 Acuerdos de Confidencialidad 5.3.2 Difusión y Concientización

5.3.3 Ciclo de vida de la información en la Organización 5.3.3.1 Creación y Uso de la información

5.3.3.1.1 Condiciones de Uso, Almacenamiento y Borrado 5.3.3.1.2 Monitoreo de la Seguridad de la Información 5.3.3.1.3 Gestión de Derechos sobre la Información 5.3.3.2 Almacenamiento de la Información

5.3.3.2.1 Distribución de la Información 5.3.3.2.2 Controles de Acceso

5.3.3.2.3 Manejo de Respaldos Internos y Externos 5.3.3.3 Cesión o Destrucción de la Información

5.3.3.3.1 Cesión de la información

5.3.3.3.2 Borrado seguro y Destrucción del Medios 5.3.4 Plan de Recuperación

5.4 Implementación de Soluciones Tecnológicas 5.4.1 Soluciones orientadas a la Seguridad Física

5.4.1.1 Sistemas Biométricos

5.4.2 Soluciones orientadas a la Seguridad Lógica

5.4.2.1 Antivirus, Antispam, Antispyware y Filtrado de Correo Electrónico 5.4.2.2 Gateway y Firewall

5.4.3 Soluciones orientadas a la Protección y Acceso a la Información 5.4.3.1 Plataformas de Encripción de Datos

5.4.4 Soluciones para la Administración de seguridad y prevención de pérdida de datos de manera centralizada (DLP)

5.4.4.1 Garantizar la eficacia y cobertura completa 5.4.4.2 Establecer soluciones discretas

5.4.4.3 Establecer el flujo de trabajo, administración y reportes 5.4.5 Soluciones orientadas a la Destrucción de la Información

5.4.5.1 Destrucción por Software (Borrado Seguro) 5.4.5.2 Destrucción por hardware

Conclusiones Bibliografía Anexos

97 97 98 100 101 102 102 103 105 105 105 108 109 111 112 114 115 117 118 118 120 122 122 122 123 123 124 125 126 127 127 129 130 131 131 132

133

135

139

i RESUMEN

En la actualidad, la mayor parte de las organizaciones pierden información valiosa por el extravío de los dispositivos electrónicos y en menor porcentaje por robo. Algunas organizaciones que usan ciertos dispositivos, como por ejemplo laptops, que permiten almacenar gran cantidad de información, sincronizar el correo el electrónico, manejar agendas detalladas de actividades, conexiones bluetooth y wireless, que si bien facilitan el desarrollo de las actividades de los empleados, representan un riesgo en cuanto a la pérdida de confidencialidad en la información si no se tienen en cuenta las consecuencias de incorporar la tecnología y los posibles mecanismos para protegerla. Si esta información llegase a manos de personas no autorizadas, se expone a la organización a una situación de riesgo operacional, financiero y hasta reputacional que puede afectar a ésta gravemente.

En esta tesina se tiene el objetivo de proponer un modelo de seguridad para la implementación de soluciones orientadas a la prevención de pérdida de datos en las organizaciones, con base a las buenas prácticas. La propuesta que se hace en este modelo es relevante porque disminuye el riesgo de perder la información sensible dentro de la organización apoyándose en las políticas y los procedimientos propuestos, así como en la tecnología existente en el mercado.

Actualmente las entidades gubernamentales y privadas le están dando mayor importancia al manejo de la información con la que cuentan estableciendo políticas, procedimientos, normas e inclusive leyes que la regulan. Es por esto que la propuesta que se realiza en esta tesina también toma en cuenta la necesidad de cumplir con las leyes nacionales e internacionales respecto al manejo de la información.

La ley internacional más acorde al modelo de esta tesina es la Ley Sarbanes Oxley, ya que ésta ley se aplica a aquellas organizaciones que cotizan en la bolsa americana de valores, siendo de gran importancia cumplir con las normas y procedimientos establecidos por ésta para continuar compitiendo en este mercado.

En México también existen leyes que van orientadas a proteger y resguardar la información en los medios electrónicos, siendo un ejemplo de éstas las tipificadas en el Código Penal Federal, la Ley Federal del Derecho de Autor, la Ley Federal de Transparencia y acceso a la información Pública Gubernamental, el Código Civil del Estado de Jalisco, la Ley de Protección de Datos Personales del Estado de Colima, la Ley de Protección de Datos Personales para el Distrito Federal, entre otras. Puede que a simple vista parezca que no son suficientes, sin embargo son una base para construir en un futuro leyes que abarquen estos temas de manera general.

Junto con la tipificación de leyes de índole informática, también existen en el mundo normas conocidas como Mejores Prácticas, las cuales son modelos a seguir para trabajar de manera

ii

La información con la que cuente la organización puede ser almacenada en diferentes medios, para los fines de esta tesina solo se contempla a los datos e información que se encuentren almacenados en los medios electrónicos, como discos duros, dispositivos de almacenamiento portátil, correos electrónicos, entre otros.

El modelo desarrollado cuyo nombre es “Modelo de Seguridad para la Prevención de Pérdida de Datos en las Organizaciones” consta de tres fases.

La primera fase contempla el análisis de la Información que tiene la organización en medios electrónicos para su identificación, clasificación y valoración, acorde a la importancia que tiene para la organización, así como revisar la infraestructura de hardware y software con la que cuenta.

En base a este análisis se obtienen los posibles riesgos que pueden presentarse, así como su impacto.

Una vez realizado el análisis de los riesgos a los que la organización puede estar expuesta, en la segunda fase se establecen las políticas y los procedimientos de seguridad en informática que garantizan la protección de la información de la organización de acuerdo a su valor crítico. Estas medidas se establecen en relación al ciclo de vida de la información (creación, uso, almacenamiento, cesión o destrucción de la información).

Para concluir, en la tercera fase se propone la implementación de una serie de soluciones tecnológicas que apoyen a las políticas y los procedimientos establecidos por la organización. De entre las soluciones propuestas se encuentran la implementación de sistemas biométricos, la implementación de Gateway‟s, Firewall‟s, Antivirus, Antispam, Antispyware y de Filtrado de correo electrónico, la implementación de soluciones de encriptación de datos dentro de la organización y la implementación de soluciones que ayuden a la organización a eliminar la información que ya no es útil a la organización. De manera especial se propone el uso de soluciones especializadas que le ayudan a la organización la prevención de pérdida de datos (DLP).

El modelo de seguridad presentado en esta tesina puede resultar tedioso al momento de implementarlo, ya que es necesario analizar una gran cantidad de información. Sin embargo, si la organización no descubre los riesgos latentes que se identifiquen en base al análisis de los riesgos propuesto en el modelo, existe gran probabilidad de que el objetivo no se cumpla completamente.

La organización debe estar consciente de sus deficiencias y de los riesgos a los que se encuentra expuesta para poder solucionarlas con la implementación del modelo.

iii

iv INTRODUCCIÓN

En este trabajo se crea un Modelo de seguridad que ayude a la prevención de pérdida de datos en las organizaciones, ya que hoy en día se vive en una era en la cual la información es uno de los activos principales de cualquier organización, por tal motivo no deben existir omisiones para la protección de la misma, dejar un punto al descubierto en su flujo representa abrir una vulnerabilidad y una puerta a amenazas. Para su resguardo hay que considerar su importancia, las etapas de su ciclo de vida y alternativas adecuadas para mantenerla segura en cada fase.

El objetivo de esta tesina es proponer un modelo de seguridad para la implementación de soluciones orientadas a la prevención de pérdida de datos (DLP, por sus siglas en ingles) en las organizaciones, en base a las buenas prácticas, a fin de proponer soluciones que incorporen un sistema completo de seguridad de datos empresarial

Para lograr este fin se elabora un trabajo de investigación compuesto por seis capítulos. En el Capítulo I denominado Marco Metodológico se encuentra definido el Objetivo general y los Objetivos específicos de la Tesina así como el alcance que tiene, a través del planteamiento y justificación del problema. En el Capítulo II. Marco Teórico y Referencial se definen los conceptos a utilizar en la Tesina, con el fin de dar una visión del tema tratado durante el desarrollo del mismo.

Por su parte el Capítulo III. La Pérdida de datos en las organizaciones se resalta la problemática que causa la pérdida de datos y las consecuencias que conlleva dicha pérdida a las organizaciones. El Capítulo IV Legislación, Mejores Prácticas y Tecnologías Aplicadas para la Prevención de Pérdida de Datos (DLP), se abordan las leyes y normas (nacionales e internacionales) que protegen la información, así como las mejores prácticas y tecnologías utilizadas en la prevención de pérdida de datos en las organizaciones.

Por último, en el Capitulo V. Modelo de Seguridad para la Prevención de Pérdida de Datos en las Organizaciones, se lleva a cabo la propuesta del modelo de seguridad de prevención de pérdida de datos en las organizaciones, el cual contribuirá a la disminución de incidencias en la perdida de información. Todo esto con base a la investigación que se realizó para identificar los principales y más comunes riesgos que existen en la pérdida de información.

Con el desarrollo de esta tesina se observa la importancia que tiene la protección y prevención de pérdida de información en cualquier organización, así como el ciclo de vida que lleva la información desde su creación hasta su destrucción y lo relevante que es protegerla durante este ciclo contra cualquier tipo de ataque.

1

CAPÍTULO 1. MARCO METODOLÓGICO

El uso de la tecnología en las organizaciones a dado lugar a que año con año se presenten problemas con la perdida de la información, activo vital dentro de una organización, es por esto que se han creado soluciones integradas y herramientas que prevengan está perdida de información en las organizaciones, conocidas como DLP (data loss prevention, por sus siglas en inglés).

En el presente capitulo se define la problemática y la metodología a utilizar para el desarrollo de esta tesina con base en los objetivos planteados.

1.1 Descripción de la Problemática

El rápido crecimiento que ha presentado el uso de las tecnologías informáticas en México para el manejo de la información en las organizaciones, ha dado lugar a que año con año se incremente el número de incidentes relacionados con la pérdida de información referente a datos de clientes, información financiera, etc.; de acuerdo a la Revista BSecure, en cuyo contenido publico que:

“aunado a la perdida de información las grandes brechas en seguridad dentro de las organizaciones, están motivando a las mismas organizaciones la implementación de soluciones de Prevención de Pérdida de Datos (Data Loss Prevention - DLP) en sus sistemas generales de seguridad para usuarios finales, y evitar la fuga de información que se considera critica en la organización”.¹

Teniendo en cuenta estrictamente el entorno competitivo actual de reglamentación basados en normas como ISO, la prevención de pérdida de datos (DLP) es uno de los temas más críticos que enfrentan los CEO‟s, CIO‟s y los CISO‟s. Para ellos la creación y aplicación de una estrategia DLP puede parecer desalentadora.

De acuerdo al artículo “La perdida de datos no tiene precio”, publicado en Bsecure “Las fugas de datos son el mayor desafío actual de IT, pero es complicado saber cómo empezar. Una estadística de Gartner señala que de 85 a 90% de las fugas de información son por accidente o resultado de procesos mal ejecutados, por ejemplo, mandarle un mensaje a un destinatario equivocado porque coincide su correo al ser completado automáticamente con el de otra persona. Según estas estadísticas, el costo promedio de los datos es de $182 dólares por registro. Además, los requisitos de cumplimiento de normativas son cada vez más estrictos”.²

La Revista Information Week comenta: “Las aplicaciones DLP son costosas, pero también lo es cualquier incidente de pérdida de datos. Cuando ocurre, la pérdida de datos puede tener

1 BSecure. “La Perdida de Datos no tiene precio”. Recuperado: Octubre de 2009. Disponible en: http://www.bsecure.com.mx/ultimos- articulos/websense-“la-perdida-de-datos-no-tiene-precio”/

2 BSecure. “La Perdida de Datos no tiene precio”. Recuperado: Octubre de 2009. Disponible en: http://www.bsecure.com.mx/ultimos- articulos/websense-“la-perdida-de-datos-no-tiene-precio”/

2 consecuencias devastadoras para una compañía, extraviar una computadora portátil cuesta en promedio casi $50,000 dólares para las organizaciones, debido a la importancia de los datos almacenados en el equipo, valor que rebasa por mucho el costo del hardware. Según un estudio independiente encargado por Intel, la valuación responde a los costos asociados con el reemplazo, detección, violación de datos, pérdida de propiedad intelectual, pérdida de productividad y los gastos legales, de consultoría y de regulación. De hecho, según el estudio únicamente la violación de los datos representa ya 80% del costo total”.³

Las organizaciones se encuentran en el dilema sobre su accionar ya que por una parte, deben poner los datos a disposición de los trabajadores, socios y proveedores, pero por otro deben evitar que los datos caigan en malas manos, ya sea por hechos malintencionados o bien se traten de un error involuntario, la pérdida de información puede provocar gastos extraordinarios, juicios legales por incumplimiento de obligaciones contractuales o responsabilidades individuales, incluido el cese de las actividades, son algunas de las consecuencias más extremas, mismas que reducen el valor de marca, disminuye el precio de sus acciones, y daña la reputación y prestigio de toda la compañía.

Por esta razón, las soluciones orientadas a la prevención de pérdida de datos (DLP) se han vuelto más importantes que los AntiVirus, los AntiSpyware o los AntiSpam; y han tomado mucha mayor relevancia que el solo hecho de implementar un Sistema de Prevención y Detección de Intrusos, un Firewall u otras tecnologías de seguridad que deben incorporar las organizaciones en la búsqueda de un sistema completo de seguridad empresarial.

Puesto que más organizaciones buscan como incorporar este modelo en su infraestructura, es crucial entender qué hace a algunas soluciones DLP más eficaces que otras. En la actualidad, las organizaciones mexicanas requieren de modelos de implementación enfocados a la prevención de pérdida de datos que les permitan Descubrir, Monitorear, Proteger y Administrar los Datos de manera eficaz.

1.2 Objetivo General

Proponer un modelo de seguridad para la prevención de pérdida de datos (DLP, por sus siglas en ingles) en las organizaciones, en base a las buenas prácticas, a fin de proponer soluciones que incorporen un sistema completo de seguridad de datos empresarial

Objetivos Específicos

 Analizar la importancia que tiene el término DLP para las organizaciones.

3 Revista Information Week. Recuperado: Octubre de 2009. Disponible en:http://www.informationweek.com.mx

3

 Analizar e identificar las principales causas de pérdida de datos en las organizaciones.

 Identificar la importancia de la Normatividad Mexicana para la prevención de pérdida de datos.

 Identificar las mejores aplicaciones orientadas al DLP que existen actualmente en el mercado.

 Dar a conocer las tendencias, en cuanto a prevención de pérdida de datos se refiere.

 Proponer un modelo basado en las mejores prácticas establecidas en la norma ISO 27002 para la prevención de pérdida de datos, ayudando a la vez a las organizaciones a cumplir con la Normatividad Mexicana.

1.3 Tipos De Investigación

La investigación descriptiva trabaja sobre realidades de hecho y su característica fundamental es la de presentar una interpretación correcta de los hechos que se están analizando, de acuerdo con Marco Bersanelli este tipo de investigación “busca desarrollar una imagen o fiel representación (descripción) del fenómeno estudiado a partir de sus características“.⁴

Miden variables o conceptos con el fin de especificar las propiedades importantes de comunidades, personas, grupos o fenómeno bajo análisis.

Deobold B. Dalen Y William J. Meyer en su Libro Estrategia de la Investigación Descriptiva dice: “El énfasis está en el estudio independiente de cada característica, es posible que de alguna manera se integren las mediciones de dos o más características con el fin de determinar cómo es o cómo se manifiesta el fenómeno. Pero en ningún momento se pretende establecer la forma de relación entre estas características.

Este tipo de investigación descriptiva incluye, encuestas, casos, exploratorios, descriptivos, correlaciónales y experimentales y responde a las preguntas: quién, qué, dónde, cuándo y cómo”⁵. Se utilizara en el proyecto este tipo de investigación descriptiva, ya que nos va a permitir realizar un análisis de la información obtenida de los hechos o casos de estudio que existen en la actualidad con el fin de proponer un modelo de prevención de pérdida de datos (DLP) que se adapte a las necesidades de las organizaciones y que cumpla con las mejores prácticas de la Norma ISO 27002.

1.4 Técnica de Investigación

La investigación documental se realiza a través de la consulta de documentos (libros, revistas, periódicos, memorias, anuarios, registros, códices, constituciones, etc.). De acuerdo a Zorrilla, (1993:43).⁶

4 Wikipedia. Investigación. Recuperado: Octubre de 2009. Disponible en: http://es.wikipedia.org/wiki/Investigaci%C3%B3n

5 Noemagico. Estrategia de la Investigación Descriptiva- Recuperado: Octubre de 2009. Disponible en:

http://noemagico.blogia.com/2006/091301-la-investigacion-descriptiva.php

4 De acuerdo a Lauro Soto la Investigación Documental “Se caracteriza por la utilización de documentos; recolecta, selecciona, analiza y presenta resultados coherentes. Utiliza los procedimientos lógicos y mentales de toda investigación; análisis, síntesis, deducción, inducción, etc.”⁷

Es una investigación que se realiza en forma ordenada y con objetivos precisos, con la finalidad de ser base a la construcción de conocimientos.

Con este tipo de técnica se recabara la información necesaria para la investigación, ya nos permite tener un amplio criterio de la información existente, así como de las soluciones DLP que hay en el mercado.

Cuya información recabada será utilizada en el proyecto para fundamentar la propuesta del Modelo de implementación de soluciones DLP para las organizaciones.

1.5 Justificación

La información es un activo vital para el éxito y la continuidad en el marco de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo primordial para las organizaciones.

Las pérdidas de información que se han sufrido en las organizaciones han demostrado en los últimos años la importancia de las estrategias y soluciones para garantizar la seguridad y disponibilidad de los datos. Encuestas recientes nos dicen que las fugas de información ocurren de manera más frecuente y causan más estragos a las organizaciones que las actividades maliciosas.

Según la investigación realizada por la firma IDC, 52% de quienes respondieron catalogaron sus incidentes de seguridad como predominantemente accidentales, mientras que solo 19% asegura que las amenazas fueron provocadas deliberadamente, esto nos indica que las políticas de seguridad aplicadas a la información de la organización son ignoradas la mayor parte del tiempo, tanto por el nivel ejecutivo como por los empleados

Otro estudio realizado por Ponemon Institute nos dice que lo complicado de una estrategia interna de seguridad en una organización no es definir las políticas y los controles de seguridad, sino cumplirlos. De acuerdo a Efraín Ocampo de BSecure “El estudio Tendencias del cumplimiento interno con las políticas de seguridad de la información” del Instituto, halló que más de la mitad (61%) de los cerca de 1,000 ejecutivos y usuarios finales encuestados descargan información a dispositivos móviles no seguros como parte de su rutina de trabajo. Además, 47% de los encuestados dijo compartir sus contraseñas, 43% admitió extraviar dispositivos que contienen

6 Grajales Tipos de Investigación. Recuperado: Octubre de 2009. Disponible en: http://tgrajales.net/investipos.pdf

7 Mi Tecnológico Investigación Documental. Recuperado: Octubre de 2009. Disponible en:

http://www.mitecnologico.com/Main/InvestigacionDocumental

5 información de la compañía y 21% dijo desactivar los controles de seguridad de sus dispositivos móviles.”⁸

Actualmente, las organizaciones tienen a su disposición Estándares Internacionales muy bien aceptados que proporcionan mecanismos de seguridad muy eficientes. De entre los estándares existentes, las normas ISO son las más reconocidas mundialmente, haciendo énfasis en la Norma ISO/IEC 27002, la cual está orientada a dar soporte para la seguridad de la información y cumple con los requerimientos comerciales, así como con las leyes y regulaciones existentes en cuanto al manejo de la información. La dificultad que tienen las organizaciones es ajustar una solución de prevención de pérdida de datos a su situación actual. Aparte de adecuarse a normas de la industria y del gobierno, deben ajustar su presupuesto para adquirir soluciones que les ayuden a combatir estos males. Actualmente existen soluciones orientadas a la prevención de pérdida de datos en el mercado, pero como demuestran los estudios anteriores, los usuarios finales no tienen muy en claro las políticas de seguridad de la organización. Es por esto que se considera importante la existencia de un modelo que le ayude a las organizaciones a implementar de manera eficaz una o varias soluciones DLP que reduzcan la fuga de información, permitiéndoles identificar dónde residen sus datos más sensibles, monitorearlos durante su proceso y hacer cumplir las políticas establecidas para su protección.

8 BSecure. Artículo: Mayoría de Empleados Desobedecen Políticas. Recuperado: Noviembre de 2009. Disponible en:

http://www.bsecure.com.mx/en-linea/mayoria-de-empleados-desobedecen-politicas/

6

CAPÍTULO 2. MARCO TEÓRICO Y REFERENCIAL

En el presente capitulo se definen los conceptos utilizados en esta investigación, se dan a conocer los tipos de información, la seguridad y las políticas para el uso adecuado de la información, así como los riesgos que pude sufrir la misma.

Se define que es una herramienta DLP, así como las características y las tendencias de estas herramientas.

2.1 Dato

En el día a día se llegan a confundir los términos datos e información de manera recurrente, sin embargo no son lo mismo del todo; Ralph M. Stair define a los datos como “realidades concretas en su estado primario”⁹. Por ejemplo, un dato puede ser tan simple como el nombre de pila de una persona, una marca de automóvil o el nombre de una canción. Según su importancia.

Los datos pueden provenir de fuentes tanto internas como externas a la organización y pueden ser cualitativos o cuantitativos

Los conceptos que se muestran a continuación se basan en las definiciones de Davenport y Prusak (1999).

Los datos son la mínima unidad semántica, y se corresponden con elementos primarios de información que por sí solos son irrelevantes como apoyo a la toma de decisiones. También se pueden ver como un conjunto discreto de valores, que no dicen nada sobre el por qué de las cosas y no son orientativos para la acción.

Un número telefónico o un nombre de una persona, por ejemplo, son datos que, sin un propósito, una utilidad o un contexto no sirven como base para apoyar la toma de una decisión. Los datos pueden ser una colección de hechos almacenados en algún lugar físico como un papel, un dispositivo electrónico (CD, DVD, disco duro...), o la mente de una persona. En este sentido las tecnologías de la información han aportado mucho a recopilación de datos.

Como cabe suponer, los datos pueden provenir de fuentes externas o internas a la organización, pudiendo ser de carácter objetivo o subjetivo, o de tipo cualitativo o cuantitativo, etc.

2.1.1 Clasificación de Dato

Stephen Cobb¹⁰ propone la siguiente clasificación de datos:

9 STAIR, Ralph M. Principios de Sistemas de Información: enfoque administrativo. México DF, Internacional Thompson Editores, 2000.

Recuperado: Noviembre de 2009. Disponible en:

http://books.google.com.mx/books?id=k_sKKIF0iCgC&dq=informacion&source=gbs_navlinks_s. ISBN: 968-7529-97-0

10 COBB, Stephen. Manual de Seguridad para PC y Redes Locales. 1era Edición. México DF, McGraw Hill., 1994. pp. 114.

7

 Críticos en las decisiones: son aquellos datos que se utilizan como base en la toma de decisiones.

 Operacionales: son aquellos datos que forman parte importante de las operaciones.

 A Archivar: son aquellos datos que se guardan para fines históricos.

 Convenientes: son aquellos datos que se guardan por su utilidad en algún momento futuro.

Dentro de la Organización también podemos clasificar a los datos en dos tipos, de acuerdo las políticas de cada Organización y al nivel de seguridad que se les asigne a los mismos, estos se dividen en:

 Datos Confidenciales. Son creados por el procesamiento de las transacciones propias de la Organización. De acuerdo al Manual de Control Interno Informático “Los datos son considerados confidenciales ya que tienen acceso restringido según las políticas de la Organización”.¹¹ Un ejemplo de dato confidencial, un Banco cuenta con bases de datos de sus clientes y que solo personal autorizado puede tener acceso a este tipo de datos personales., el mal uso de estos datos puede ocasionar desprestigio para la Organización.

 Datos Públicos. Son datos producidos por los Sistemas de Información de la Organización, Recopilados por la misma, o Producidos específicamente para su divulgación pública. No tienen ninguna restricción de acceso de tipo lectura, ni para el personal de la Organización, ni para el Público externo. Un ejemplo de Dato público son los datos que tiene una página Web de alguna Organización que es más informativa y no perjudica a la Organización.

El valor de los datos dentro de cada Organización depende del giro de la misma y de las políticas con las que cuente la Organización. El conjunto de Datos puede convertirse en Información añadiéndoles valor de acuerdo a Davenport y Prusak¹²:











11 MANUAL DE CONTROL INTERNO INFORMÁTICO SUPERINTENDENCIA DE BANCOS. Recuperado: Diciembre de 2009. Disponible en:

http://www.bcp.gov.py/supban/DNP/Diccionario.htm

12 Davenport y Prusak. Pirámide negocio. Recuperado: Diciembre de 2009. Disponible en:

http://www.sinnexus.com/business_intelligence/piramide_negocio.aspx

8 2.2 La información

Los datos por sí solos no son de mucho valor para las personas, por ejemplo un nombre propio; sin embargo, al relacionar este dato con otros como apellidos, edad, salario, intereses, etc., su valor incrementa. Ralph M. Stair define a la información como “conjunto de datos organizados de tal manera que adquieren valor adicional más allá del que poseen por sí mismos”¹³.

Los datos se organizan e integran, obteniendo la información necesaria para generar conocimiento, que es el que finalmente permite la toma de decisiones.

De acuerdo a Gonzalo Alonso Rivas¹⁴, la información cuenta con un conjunto de características o propiedades como son:

 Precisión: expresa la idea de información correcta sobre el total de la información.

 Oportunidad: es la inversa del tiempo transcurrido desde que se produce el hecho hasta que se tiene conocimiento del mismo.

 Integridad: condición de suficiencia para cumplir los objetivos. Ha de ser, por tanto, exacta y debe corresponder con las necesidades del usuario de esa información. Se podría también entender esta integridad como coherencia entre los datos.

 Significación: la información ha de ser comprensible, interesante y útil para aquel que va a manejarla.

La información se puede definir como un conjunto de datos procesados y que tienen un significado (relevancia, propósito y contexto), y que por lo tanto son de utilidad para quién debe tomar decisiones, al disminuir su incertidumbre. Los datos se pueden transforman en información añadiéndoles valor:

 Contextualizando: se sabe en qué contexto y para qué propósito se generaron.

 Categorizando: se conocen las unidades de medida que ayudan a interpretarlos.

 Calculando: los datos pueden haber sido procesados matemática o estadísticamente.

 Corrigiendo: se han eliminado errores e inconsistencias de los datos.

 Condensando: los datos se han podido resumir de forma más concisa (agregación).

13 STAIR, Ralph M. Principios de Sistemas de Información: enfoque administrativo. México DF, Internacional Thompson Editores, 2000.

Recuperado: Noviembre de 2009. Disponible: http://books.google.com.mx/books?id=k_sKKIF0iCgC&dq=informacion&source=gbs_navlinks_s ISBN: 968-7529-97-0

14 ALONSO Rivas, Gonzalo. Auditoria Informática. Madrid, Ediciones Díaz de Santos S.A., 1988. Recuperado: Noviembre de 2009.

Disponible:

http://books.google.com.mx/books?id=gh_jwmkssdYC&printsec=frontcover&source=gbs_v2_summary_r&cad=0#v=onepage&q=&f=false ISBN: 84-87189-13-X

9 Por tanto, la información es la comunicación de conocimientos o inteligencia, y es capaz de cambiar la forma en que el receptor percibe algo, impactando sobre sus juicios de valor y sus comportamientos.

Información = Datos + Contexto (añadir valor) + Utilidad (disminuir la incertidumbre) 2.2.1 Conocimiento

El conocimiento es una mezcla de experiencia, valores, información y know-how que sirve como marco para la incorporación de nuevas experiencias e información, y es útil para la acción. Se origina y aplica en la mente de los conocedores. En las organizaciones con frecuencia no sólo se encuentra dentro de documentos o almacenes de datos, sino que también esta en rutinas organizativas, procesos, prácticas, y normas.

El conocimiento se deriva de la información, así como la información se deriva de los datos. Para que la información se convierta en conocimiento es necesario realizar acciones como:

 Comparación con otros elementos.

 Predicción de consecuencias.

 Búsqueda de conexiones.

 Conversación con otros portadores de conocimiento.

2.2.2 Tipos de Información

Es recomendable clasificar u ordenar la información para proporcionar el nivel de protección necesaria relacionada al nivel de su clasificación. Esto ayudará a las organizaciones a fijar prioridades si no se pudiera lograr la protección que éstas desean. Lauro Soto en su Sitio de Internet; Mi Tecnológico¹⁵, la clasifica en dos diferentes tipos:

 La Información Pública es la información a la que cualquier persona puede acceder. Todos los integrantes de una Organización o de un proyecto deben estar al corriente sobre la información que cualquier usuario puede obtener.

 La Información Privada es la información que no puede ir más allá de las personas que deban manejarla. Datos concretos como nombre, domicilio, fecha de nacimiento, nacionalidad, número de seguridad social, números de cuentas bancarias, nombres de usuario y contraseñas para acceso a servicios son un ejemplo de información privada o datos personales.

15 Mi Tecnológico – Lauro Soto. Tipos de Información. Recuperado: Noviembre de 2009. Disponible en:

http://www.mitecnologico.com/Main/TiposDeInformacion

10 2.2.3 Amenazas a la información

INTECO-CERT¹⁶ en su apartado sobre la Seguridad de la Información, clasifica a las distintas amenazas en que la información puede ser sometida, en tres rubros principales que son:

 Las amenazas intencionadas: Las ejercen usuarios no autorizados que acceden de forma indebida a los datos o información sensible. Los usuarios no autorizados pueden ser externos o pertenecientes a la propia organización y se pueden clasificar como curiosos o maliciosos. Los curiosos normalmente ojean un poco y no siempre entran con unas pretensiones concretas, ni saben lo que van a encontrar. Los maliciosos entran a los sistemas para apropiarse de datos o información por intereses económicos, o bien con ánimo de dañar o destruir recursos. El acceso no autorizado de usuarios ya sean curiosos o maliciosos significa siempre una violación de la confidencialidad y con frecuencia acarrea violaciones de la integridad y de la disponibilidad.

 Las amenazas no intencionadas: Provienen típicamente de empleados con poca formación o negligentes que no han seguido los pasos para proteger sus contraseñas, asegurar adecuadamente sus ordenadores o actualizar con la frecuencia debida el programa antivirus. Las amenazas no intencionadas también implican a veces a los programadores o personal de proceso de datos cuando no se siguen las normas y procedimientos de seguridad establecidos, cuando existen. Este entorno operativo es especialmente sensible ya que sencillos errores en un programa pueden afectar a la integridad de la aplicación global y de cualquier otra aplicación con la que comparta información en común.

 Las amenazas naturales: Incluyen fallos de equipos y calamidades tales como incendios, inundaciones y terremotos que pueden causar la pérdida de equipos y datos. Las amenazas naturales suelen afectar a la disponibilidad de los recursos y de la información.

2.3 Seguridad Informática

Los sistemas de información incluyen el universo de datos de la organización y también los recursos de software que le permiten almacenar y procesar estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

La proliferación de códigos maliciosos y su rápida distribución a través de medios como Internet, así como miles de ataques e incidentes de seguridad que se producen todos los años han contribuido a despertar un mayor interés por la seguridad informática.

16INTECO-CERT. Recuperado: Octubre de 2009. Disponible en: http://www.inteco.es/Seguridad/

11 La Real Academia Española define a la seguridad como “un mecanismo que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente”¹⁷. Con base en esta definición, se entendería que la seguridad en informática protege los recursos informáticos con los que cuentan las organizaciones.

En una definición más completa, Álvaro Gómez Vieites define a la Seguridad Informática como

“cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios no autorizados al sistema”¹⁸.

Entre los principales objetivos de la Seguridad en Informática, propuestos por Álvaro Gómez Vieites, destacan los siguientes:

 Minimizar y administrar los riesgos y detectar los posibles problemas y amenazas de seguridad dentro de la organización.

 Garantizar el uso adecuado de los recursos y de las aplicaciones del sistema.

 Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

 Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos.

También es necesario considerar otros aspectos que se relacionan a la Seguridad Informática, como lo son el cumplimiento de las regulaciones legales aplicables al giro de la organización, controlar los accesos a la información que se resguarda en el sistema informático de la organización y control en el acceso y uso de archivos protegidos por la ley, por mencionar algunos.

La Seguridad Informática debe ser responsabilidad de todo el personal que compone la Organización realizando en cada uno de los niveles, las acciones pertinentes para proteger de la forma más adecuada el uso de los datos, la información y los recursos informáticos asociados.

2.3.1 Alcance de la Seguridad Informática

El alcance de la Seguridad Informática lo define cada Organización, de acuerdo a la información que posee y el nivel de protección que requiere asignarle a dicha información.

17 Real Academia Española. Seguridad. Recuperado: Noviembre de 2009. Disponible en:

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=seguridad

18 GÓMEZ Vieites, Álvaro. Enciclopedia de la Seguridad Informática. 1era Edición. México DF, Alfaomega Grupo Editor S.A. de C.V., 2007.

pp. 4, 7. ISBN: 978-970-15-1266-1

12 De acuerdo a Panda Security¹⁹ para que la seguridad Informática cumpla con el alcance que tiene y cubra todos los rubros a proteger debe tener las siguientes características:

 Políticas, normas, procedimientos y estándares de seguridad informática.

 Administración de usuarios y recursos de los diferentes sistemas informáticos y de comunicación.

 Seguridad interna de acceso a las aplicaciones.

 Normas y procedimientos de operaciones del centro de cómputos.

 Metodología de desarrollo, mantenimiento y control de cambios.

 Procedimiento de backup y recovery.

 Definición, desarrollo y mantenimiento de un plan de contingencias.

 Seguridad física de accesos, contra incendio y problemas eléctricos de centro de cómputos y lugar de resguardo de la información.

2.3.2 Seguridad de la Información

Como se mencionó al principio del capítulo, la información es importante para los diversos procesos de la organización. La necesidad de disponer de ella de manera oportuna la expone a un sin número de vulnerabilidades y amenazas. Alexander Larrahondo, especialista en seguridad de redes, define a la seguridad de la información como “la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, transferir, mitigar o minimizar los riesgos para el negocio, protegiendo de esta manera a los dueños de la información y al negocio que sobrevive gracias a ella”²⁰.

Para la correcta administración de la seguridad de la información, se deben establecer y mantener acciones que busquen cumplir con los tres requerimientos de mayor importancia para la información, estos son:

 Confidencialidad: Característica o propiedad por la que la información no está disponible o revelada a individuos, entidades o procesos no autorizados. Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

19 PANDA SECURITY. Recuperado: Diciembre de 2009. Disponible en:

http://www.pandasecurity.com/spain/homeusers/media/pressreleases/viewnews?noticia=5714&ver=20&pagina=9&numprod=&entorno=

20 LARRAHONDO N, Alexander. inseguridadinformatica.blogspot.com. Junio de 2008. Recuperado: Noviembre de 2009. Disponible en:

http://inseguridadinformatica.blogspot.com/2008/06/qu-es-la-seguridad-de-la-informacin.html

13

 Integridad: Propiedad o característica de salvaguardar la exactitud y completitud de los activos. Busca asegurar que no se realicen modificaciones por personas no autorizadas a los datos o procesos y que los datos sean consistentes tanto interna como externamente.

 Disponibilidad: Característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada. Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado.

La seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y controles establecidos para la protección de la información deberán revisarse y adecuarse, de ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan reducirlos y en el mejor de los casos eliminarlos.

2.3.2.1 Controles de Seguridad de la Información

Los controles no son uniformes para todos los sistemas. El nivel del riesgo debiera determinar el nivel de control adecuado. Cada riesgo se puede tratar mediante la aplicación de uno o varios controles de seguridad.

Los controles se pueden clasificar en tres principales categorías:

 Administrativos

 Físicos

 Técnicos

Los controles administrativos incluyen las políticas y procedimientos de seguridad. Las políticas establecen lo que los usuarios pueden y no pueden hacer al utilizar los recursos informáticos de la organización. También incluyen procedimientos para la renovación de claves de acceso, autorizaciones para acceder a sus recursos, la revisión y validación periódica de la vigencia del tipo de acceso, la asignación de responsabilidades, conocimientos de la seguridad y formación técnica, gestión y supervisión de las tecnologías y soluciones aplicadas, la recuperación tras averías o fallos y la realización y aplicación de planes de contingencia. Los controles administrativos también incluyen la revisión de seguridad e informes de auditoría, que se utilizan para identificar si los usuarios siguen las políticas y procedimientos. Finalmente, los controles administrativos incluyen la

14 asignación de propiedad de los datos y los recursos. Cada persona de la organización debe de tener claras sus responsabilidades relativas a la seguridad de cada componente a su cuidado, y estas responsabilidades se deben incluir en los objetivos de cada persona para asegurar que se les valore por la responsabilidad asignada y se les evalúe según el cumplimiento de sus obligaciones.

Los controles físicos limitan el acceso físico directo a los equipos. Consisten en cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo. Los controles físicos también incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida (UPS).

Los controles técnicos son controles que se implantan a través de soportes físicos o lógicos que típicamente son difíciles de vencer y, una vez implantados, pueden funcionar sin la intervención humana. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, herramientas de gestión de red, contraseñas, tarjetas inteligentes, control de acceso de llamadas, sistemas de re-llamada, seguimiento de huellas o trazas de auditoría y sistemas expertos de detección de intrusiones.

Los controles de acceso protegen contra la utilización o manipulación no autorizada de recursos mediante la verificación y la autorización. La verificación asegura la identidad del usuario o sistema que solicita acceso. Los controles de autorización aseguran que el acceso a la información y los recursos informáticos se limiten de acuerdo con las directrices de la dirección. Otro término relacionado a la seguridad es el no-repudio. El no-repudio previene la posibilidad de que una de las partes de un intercambio o transacción niegue en falso después que haya tenido lugar la misma. El control técnico que se emplea para garantizar el no-repudio es la firma digital. Las operaciones comerciales celebradas a través de redes internas e Internet se han vuelto corrientes. Allí donde antes se empleaba una firma manuscrita para verificar que se había hecho una compra o celebrado un determinado contrato, ahora existe una alternativa digital para verificar que una persona cumplirá con sus obligaciones. La firma digital consiste en una clave privada que sólo conoce o puede duplicar el dueño de la clave, parecida a su firma y rúbrica manuscrita. Las firmas digitales verifican la fuente, autenticidad e integridad de mensajes electrónicos.

Los controles administrativos, físicos y técnicos se pueden subdividir en preventivos y correctivos.

Los preventivos intentan evitar la ocurrencia de acontecimientos indeseados, mientras que los controles correctivos intentan identificar los incidentes y reducir sus efectos después de que hayan sucedido. Es siempre preferible evitar un incidente de seguridad en lugar que tener que hacerle frente a posteriori. Los controles correctivos se han diseñado para identificar el problema con suficiente rapidez para reducir los daños al mínimo y para poder valorar con precisión la magnitud de los daños causados por el incidente.

15 Controles de Seguridad de Información

Preventivos-Correctivos Controles Físicos

 Archivos y documentación de reserva Detectores de movimiento

 Rendijas, detectores de humo y fuego

 Guardias de seguridad Monitorización por televisión de circuito cerrado

 Sistemas de tarjetas de identificación Sensores y alarmas

 Cerraduras y llaves

 Candados cifrados

 Potencia de reserva

 Controles biométricos de acceso

 Selección de instalación

 Extintores contra incendios

 Bloqueo de teclados Controles Administrativos

 Conocimientos de seguridad y formación técnica Revisiones y auditorías de seguridad

 Separación de obligaciones Control de calidad

 Procedimientos sancionadores Investigaciones de antecedentes

 Políticas y procedimientos de seguridad Rotación de responsabilidades

 Gestión y supervisión

 Recuperación de fallos y planes de contingencia

 Administración de accesos de usuarios

 Gestión de propietarios de datos y recursos Controles Técnicos

 Programas de control de acceso, Log‟s y bitácoras para auditoría

 Programas cortafuegos y antivirus Sistemas expertos de detección de intrusiones

 Gestión de contraseñas

16

 Tarjetas inteligentes

 Cifrado

Los tres tipos de controles deben utilizarse conjuntamente para hacer frente a los riesgos estimados en cada entorno concreto de trabajo. La dirección debe decidir cuánto invertir razonablemente en la seguridad, los procedimientos de gestión y control, y en herramientas tecnológicas para limitar el riesgo de forma proporcionada y equilibrada. Según las organizaciones se van reestructurando y reducen su complejidad para competir en una economía global, es imperativo el empleo de las tecnologías de la información y las comunicaciones para lograr una ventaja competitiva o una mayor eficacia.

2.3.3 Riesgos

Los riesgos existen en cada nivel de las organizaciones. Cada sistema está constituido por una serie de procesos, a su vez formados por actividades manuales o automatizadas que podrían estar relacionadas a un error o riesgo potencial.

Según Leonor Galán Quiroz, “El riesgo se define como una situación con dos características:





2.3.3.1 Análisis de Riesgos

Datos como información personal, información corporativa, números de tarjetas de crédito, contraseñas y demás datos se encuentran en constante amenaza; sin los controles necesarios, estos datos pueden ser objeto de robo o distorsión, logrando perjudicar de manera grave a las personas y/o organizaciones en cuestión.

El análisis de riesgos ayuda a estudiar las causas de las posibles amenazas y, los daños y consecuencias que éstos puedan producir. El análisis de riesgos es una herramienta de gestión que le permite a las organizaciones tomar decisiones, se recomienda que se aplique en cualquier organización que utilice o dependa de los sistemas de información y comunicaciones para el desarrollo de sus actividades.

21 GALÁN Quiroz, Leonor. Informática y auditoria para las ciencias empresariales. Madrid, Editorial UNA3, 1996. Recuperado: Noviembre de 2009. Disponible en:

http://books.google.com.mx/books?id=4Ds9DLaFHAQC&printsec=frontcover&dq=related:ISBN9687529970#v=onepage&q=&f=false ISBN: 958-96064-1-5

17 El análisis de riesgos comprende los siguientes pasos de acuerdo a Peltier Thomas de CRC Press:²²

 Definir los activos informáticos a analizar.

 Identificar las amenazas que pueden comprometer la seguridad de los activos.

 Determinar la probabilidad de ocurrencia de las amenazas.

 Determinar el impacto de las amenaza, con el objeto de establecer una priorización de las mismas.

 Recomendar controles que disminuyan la probabilidad de los riesgos.

 Documentar el proceso.

Con estos elementos podemos estimar:

 El impacto: Pérdida, generalmente monetaria, que se provocaría

 El riesgo: Probabilidad de que suceda una amenaza.

2.3.3.2 Clasificación de Riesgos

Acorde al SANS Institute²³ en el Documento “The Business Justification for Data Security”, los riesgos se clasifican en 4 principales rubros mismos que se mencionan y describen a continuación:

PÉRDIDA DE MEDIOS DE ALMACENAMIENTO

Esta categoría describe a los datos en reposo, residentes en alguna forma de medios de almacenamiento de datos, que se pueden perder o robar. Entre estos Medios de almacenamiento se incluye unidades de disco, cinta, USB de memoria, computadoras portátiles y otros dispositivos.

Esta categoría abarca a la mayoría de los casos de pérdida de datos. Las medidas de seguridad típicas para esta clase incluyen a los medios de cifrado, desinfección de los medios de almacenamiento, y en algunos casos, se utiliza tecnología en Prevención de Pérdida de datos:

 Pérdida de discos / copia de seguridad en cinta: La pérdida de medios de almacenamiento de copia de seguridad es una de las mayores causas de pérdida de información. En un momento dado perder los medios de almacenamiento tiene una probabilidad baja, pero como estos medios tienen una duración muy larga, este riesgo persiste, a menos que sea mitigado.

 Pérdida / robo de equipos portátiles: los datos recuperados por la pérdida o robo de

22 Thomas R. Peltier, Information Security Risk Analysis, CRC Press, 2005. Recuperado: Diciembre de 2009 Disponible en:

www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf

23SANS Institute / The Business Justification for Data Security. Recuperado: Octubre de 2009. Disponible en:

http://www.sans.org/reading_room/whitepapers/dlp/the_business_justification_for_data_security_33033

18 equipos portátiles es la amenaza principal para la pérdida de datos. El riesgo de pérdida de estos equipos es muy elevado.

 La información se filtra a través de servidores/ Unidades Externas fuera de servicio: Venta de servidores y componentes se ha traducido en un número significativo de violaciones de datos.

 Pérdida de almacenamiento portátil (Memory Stick / Flash Drive/Pen Drive/ Unidades Externas): Pequeño, capaz de almacenar cantidades enormes de datos, fácil de usar y fácil de perder. Estos siguen siendo uno de los caminos más frecuentes hacia la perdida de datos.

 Robo de Servidores / Estaciones de Trabajo: El robo de los servidores o estaciones de trabajo tiene una probabilidad baja en comparación con los medios de almacenamiento portátil o equipos portátiles. Si la seguridad física es pobre, la tasa de robo aumenta, naturalmente. El objetivo suele ser la venta de los equipos en lugar de los datos - el robo de datos es generalmente un subproducto.

LA DIVULGACIÓN O EXPOSICIÓN INADVERTIDA

Esta categoría incluye los datos que se están expuestos accidentalmente de alguna manera que conduce a la divulgación no deseada. Los ejemplos incluyen a los destinatarios de correo electrónico no deseado, publicar información confidencial a sitios Web, transmisiones por Internet sin garantía, la falta de controles de acceso, etc.

Las medidas de seguridad como incluir un control de seguridad para el correo electrónico y plataformas de seguridad web, DLP y sistemas de controles de acceso. Cada uno es eficaz, pero sólo en contra de determinados tipos de amenazas. Los procesos y los controles de flujo de trabajo también son necesarios para ayudar a interceptar un error humano.

 Los datos accidentalmente se filtraron a través de correo electrónico (engaños, dirección equivocada, el borrado inadecuado de los metadatos en el documento): El enviar erróneamente listas de correo de los clientes o propiedad intelectual es un hecho común, y el envío deliberado de secretos de la compañía sigue siendo elevado a pesar de ser consciente de que la mayoría del correo electrónico saliente es escaneado o auditado.

 Los datos filtrados por la exposición involuntaria: (Publicado en la web, archivos compartidos abiertos, FTP sin protección, o colocados en un lugar inseguro): Uno de los retos más difíciles es detectar errores y los errores de las personas que tienen la tarea de los esfuerzos de procesamiento de datos.

 Los datos filtrados por una conexión no segura: La Información aspiraba a que la

19 correspondencia y/o transacciones que se realizan estaban destinadas a ser garantizadas, pero fueron derrotados por Internet. Muchas de tales filtraciones son causadas por errores en las configuraciones internas y no intencionales, y los empleados suelen ser conscientes de la cuestión.

 Los datos se han filtrado a través de intercambio de archivos: Los programas para compartir archivos se utilizan para mover archivos de gran tamaño de manera eficiente (y posiblemente ilegal). Debido a que son ilegales, a menudo se instalan y utilizan de forma cautelosa, que impiden que el personal de seguridad realice la revisión en la configuración y con ello la garantía de que los archivos de negocio no son también (involuntariamente) compartidos. La pérdida de datos a través de este método es generalmente intencional.

ATAQUES / VIOLACIONES EXTERNOS

Esta categoría describe los casos de robo de datos donde los sistemas de la organización y las aplicaciones se vean comprometidos por un atacante malintencionado, que afectan a la confidencialidad y la integridad. Los ataques típicos incluyen cuentas comprometidas/contraseñas, SQL Injection, ataques de sitio web, troyanos, virus, la red 'sniffers' y otros.

Del compromiso de éxito a menudo resulta en la instalación de códigos maliciosos adicionales.

Aunque no es la más frecuente, esta categoría incluye los datos de las infracciones más perjudiciales y es más probable que sea resultado del fraude. Todas las precauciones de seguridad puede ayudar a la detección, pero, la evaluación de las pruebas de penetración, encriptación de datos, y seguridad de aplicaciones son comunes en los controles preventivos, con la aplicación y base de datos de seguimiento, WAF, y la detección de flujo basada popularmente como controles de detección.

 El robo de datos a través de la cuenta comprometida (contraseñas débiles): Cuentas de peligro después que la contraseña se adivina, muy común en los empleados de cualquier organización, en las cuales utilizan claves de muy baja seguridad (Ej. Nombres, Fechas de Nacimiento, etc.) ocasionando riesgos si la información que poseen es clave para la organización.

 Violación de sistemas de Red: La organización está comprometida a través de un ataque externo tradicional, que luego se utiliza para datos de destino. Un ejemplo es una violación de la red seguida por la instalación de un "sniffer" para recopilar números de tarjetas de crédito en una vía de transacción financiera.

 Violación de bases de datos: las bases de datos son aplicaciones extraordinariamente complejas. El término “Violación base de datos” se aplica a muchos tipos diferentes de ataques a un servidor de base de datos. Vectores de ataques específicos pueden incluir el