Sin lugar a dudas, la respuesta a la pregunta es afirmativa. Estas pérdidas de información pueden ser mal intencionadas por parte de algunos trabajadores, pero la verdad es que el mayor porcentaje de filtraciones de información confidencial de la compañía suele darse por situaciones de ataques externos que el personal ni siquiera advierte hasta que es demasiado tarde. ¿Entonces qué hacer? A continuación algunas claves.
CIO América Latina | Por: Adolfo Manaure
Un asistente administrativo de una transnacional basada en Francia, recibe un correo electrónico con un recibo de cobro asignado a una división de la empresa. Acto seguido el empleado recibe una llamada telefónica de quien parece ser un Vicepresidente de otra área de la organización, señalándole detalles sobre el correo recibido y pidiéndole que diera curso al proceso de pago correspondiente. El interlocutor en cuestión demostraba en su voz el más convincente conocimiento y autoridad.
La verdad es que la voz pertenece a un audaz atacante. La factura recibida por el asistente administrativo en este caso, constituye un malware, específicamente un troyano de acceso remoto (Remote Access Trojan, RAT) que fue configurado para contactar, comandar y controlar el acceso a la red de la compañía desde un servidor situado en Ucrania. Utilizando este RAT, el atacante puede tomar control silencioso e inmediato de la computadora del asistente administrativo ahora infectada. En segundos, terceros no autorizados pueden llevar registro de las pulsaciones que el empleado hace sobre el teclado de la PC, visualizar la información del escritorio y visualizar archivos. La organización queda expuesta y nadie se ha enterado.
Según el Informe sobre las Amenazas a la Seguridad en Internet de Symantec de 2014, este tipo de ataques donde se estudia a la víctima y se combina el malware y phishing aumentó 91% en el último año, hecho que los posiciona entre las maneras más comunes en que los atacantes obtienen acceso a la información a través de prácticas que se reconocen como de ingeniería social.
En la actualidad la privacidad de la información personal es un tema crítico para las organizaciones, sobre todo aquellas que conservan registros personales de sus clientes, porque la protección es sujeto de regulaciones, leyes específicas, algunas de carácter constitucional. En México por ejemplo, desde 2009, la constitución garantiza la privacidad y protección de los datos personales como un derecho de todos los ciudadanos. Y desde 2011 existe la Ley Federal de Protección de los Datos Personales, que otorga organicidad y reglamentación a este derecho.
Agustín Ríos, Socio Fundador y Director General de Rios Abogados, firma en la Ciudad de México, confirma que ante la situación global de ataques a la información confidencial de las empresas, y las exigencias de protección a estos datos que requiere la ley, “la mejor inversión que pueden realizar está en el apoyo de tecnologías que les permitan conocer y prevenir un ataque informático y no sólo en reaccionar para mitigar el impacto de una fuga de información”.
5 Claves seguridad para evitar la fuga de datos
1.- Implemente una fuerte lógica y soluciones de seguridad. Existe un creciente mercado de soluciones para el conocimientos de sus datos e infraestructura de seguridad con capacidades para la prevención de pérdidas de información, seguridad en la red, en puntos finales (endpoint security) cifrado y defensa a los ataques externos. En la categoría de prevención y alertas al contenido que suponga una amenaza de pérdidas de datos, (Data Loss Prevention, o DLP por su siglas en inglés) la consultora Gartner clasifica periodicamente las soluciones disponibles, y las más confiables en su Cuadrante Mágico para las Tecnologías DLP.
2. Invierta en conocer y visualizar su red. Las empresas no pueden detener ataques que no pueden ver. Debe trabajar para desarrollar visibilidad continua en todo el entorno y así obtener una vista integral e inclusiva del entorno por medio del análisis y la supervisión del sistema.
Hay tres pilares clave que son cruciales para mantener la visibilidad sobre la eficacia del programa de seguridad:
- Supervisión de amenazas conocidas para la red
- Supervisión de infracciones de las políticas de red promulgadas por el CISO
- Supervisión de comportamiento extraño dentro de la red empresarial
Las empresas deben incorporar información útil para la supervisión y obtener información sobre los creadores de amenazas y sus campañas. Una visibilidad de red mejorada es esencial para identificar ataques y proteger la red. Existen varias tecnologías en el mercado que pueden ayudar a proporcionar este mayor nivel de visibilidad.
3. Aplicación de estándares de seguridad en todas sus relaciones. La inteligencia de amenazas es una capacidad importante que desarrollar al compartir datos con terceros de confianza. Si se conecta con un tercero (independientemente de si suministra datos, recibe datos o ambas opciones), establezca un conocimiento bien documentado de los estándares y las expectativas al principio. Los datos que ingresan o dejan la red deben asumir las políticas de seguridad de su empresa, y el nivel de seguridad establecido en el método de transferencia debe regirse por la confidencialidad de la información. Este conocimiento debe revisarse con el transcurso del tiempo o a medida que cambian las necesidades para garantizar que aún esté actualizado y sea relevante.
4. Conocimiento de las tácticas de los adversarios. Asegúrese de que los equipos de seguridad tengan un conocimiento práctico de las herramientas, las tácticas y las prácticas de los adversarios, lo que permite a los responsables de la seguridad observar el entorno desde el punto de vista del atacante. Los responsables de la seguridad deben comprender cómo defenderse de los ataques, pero también cómo trabajan los ataques más comunes. Por medio de simulaciones y herramientas de hackeo actuales de ingeniería inversa, los equipos de seguridad pueden desarrollar un tipo de “memoria muscular” para responder antes a estos tipos de ataques.
Lamentablemente, los atacantes no adoptan un patrón de reglas de desarrollo de aplicaciones de ningún tipo. Esto significa que los atacantes pueden variar sus tácticas y estrategias para evitar ser detectados, lo que convierte a las simulaciones y la ingeniería inversa de varios tipos de ataques en recursos complicados, pero importantes.
5. Eduque a los empleados. Provea a supersonal de manuales para la protección de la información, incluyendo políticas y procedimientos para el resguardo de información sensible en los dispositivos móviles tanto personales como de la compañía.
Las organizaciones deben elevar la conciencia de los empleados sobre los riesgos de la fuga de información confidencial. Promover el conocimiento entorno a los efectos del robo de propiedad intelectual debe ser parte integral de la formación de la conciencia de seguridad entre los trabajadores de la organización.
Un punto importante está en hacer cumplir los acuerdos de no divulgación (NDA, por su siglas en inglés) e incluir un lenguaje más fuerte y específico en los contratos de trabajo sobre estos tópicos al tiempo que se deben garantizar que en las entrevistas de salida del personal se incluya la responsabilidad que el empleado tuvo para proteger la información confidencial y regresen los equipos o dispositivos de almacenamiento con información de la empresa y la propiedad intelectual.
Estas acciones podrían colaborar con el desarrollo de un “firewall humano” dentro de su empresa, que incluya responsabilidades de seguridad bien articuladas para cada empleado por medio de entrenamiento sobre concienciación de la seguridad, tenga en cuenta que las pruebas de penetración de los sistemas de seguridad por sí solas no son suficientes; solo ayudan en la supervisión de amenazas conocidas para la red.