La protección de la información sensible de las empresas contra ataques y amenazas provenientes de la red se ha vuelto más compleja, de esta necesidad ha surgido el concepto de protección contra la pérdida de datos (DLP en inglés). Durante décadas los sistemas de seguridad han creado barreras que limitan el contacto de los equipos con exterior, para impedir que los contactos peligrosos tengan acceso a la información de la empresa. Sin embargo, la forma en que las empresas utilizan la red se ha transformado y las nuevas aplicaciones, a la vez que ofrecen una mayor productividad a las empresas, plantean retos de seguridad para los cuales los antiguos “muros” no están preparados: las organizaciones necesitan un nuevo enfoque en sus medidas de protección.
¿Cómo es la red actual?
Las aplicaciones que utilizan internet tienen entre sus prioridades garantizar para sí un flujo ágil y continuo; por eso, desde los programas que permiten a una empresa mantener actualizados los inventarios de decenas de bodegas hasta los videojuegos, los desarrolladores dotan a sus herramientas de mecanismos que permitan evitar cualquier barrera, incluidas las que están destinadas a proteger a las computadoras y a las redes organizacionales de intrusiones indeseadas. Entre las tácticas empleadas, éstas son las más comunes:
“Hopping” de puertos: La aplicación cambia de puertos y protocolos de manera aleatoria durante una sesión.
Uso de puertos distintos de los asignados de manera estándar.
Túnel o “tunneling”: La aplicación encapsula sus protocolos con otros protocolos que sí son aceptados por la red receptora.
Ocultamiento del tráfico de la aplicación mediante el encriptado de SSL.
Mediante estas técnicas las aplicaciones consiguen mantener su flujo de información sin que sufra el firewall tradicional, la barrera que debe impedir accesos no autorizados a los equipos o a las redes de las empresas. En su origen, estas defensas identificaban a qué aplicación pertenecía cada paquete antes de permitir su acceso a la red interna, de modo que era posible rechazar los de aplicaciones no deseadas. Como esta intervención también puede entorpecer el tráfico de las aplicaciones, una gran parte de éstas emplea las técnicas mencionadas para evadir el examen; ya en 2010, un reporte señalaba que el 65% de las aplicaciones empleaba alguna de estas técnicas; la edición de 2014 del mismo estudio mostró que 34% de las aplicaciones utilizan encriptado SSL.
Por supuesto, estas técnicas de evasión también son utilizadas por programas maliciosos.
La defensa hoy: los tres pilares
Un evento de pérdida de información puede dañar severamente la economía de una empresa, además de que puede perjudicar permanentemente su reputación y afectar su operatividad por periodos considerables. Como se ha visto, en la protección contra la fuga de datos no es posible “aislar” la red de la empresa, la protección de la información requiere un enfoque más amplio, en el que intervengan la tecnología, los procesos de la empresa y las personas que intervienen en ellos.
Para empezar, las organizaciones deben mantener los elementos básicos de protección de sus redes, pero dentro de los estándares actuales de la tecnología; un firewall next generation, por ejemplo, además de efectuar una inspección profunda sobre los paquetes que acceden a la red, permite establecer políticas de acceso basadas en las jerarquías y las necesidades de los usuarios. Por otra parte, los dispositivos más avanzados contribuyen a la prevención contra el robo de datos mediante el monitoreo inteligente de la actividad de la red. Las técnicas evasivas pueden enmascarar las actividades de un intruso de modo que sean leídas por los sistemas de defensa como parte del intercambio de las aplicaciones permitidas. Mediante el análisis especializado es posible detectar comportamientos anómalos, por ejemplo, cuando el transgresor ya ha instalado malware dentro de la red y lo utiliza para extraer información sensible. Cuando esta información es procesada adecuadamente, es posible identificar canales que han sido alterados por el transgresor para extraer a través de ellos, “de caballito”, información crítica.
Por otra parte, las empresas requieren revisar los procesos en los que manejan información sensible; es decir, deben identificar las actividades que elevan riesgos y modificarlas o eliminarlas para constituir modelos de operación seguros. Es posible, también, considerar opciones como el manejo de una nube privada para la información relevante, con medidas especiales de acceso, tanto físico como informático y de procedimientos. También es posible implementar candados de seguridad: una “marca de agua” en la lista de precios, por ejemplo, evitará que ésta sea enviada a un competidor sin que dicho movimiento sea detectado, reportado y bloqueado.
Finalmente, el tercer pilar de la protección de la información corresponde a las personas que trabajan con ella: un manejo seguro de los datos requiere una revisión a conciencia del historial laboral de los colaboradores que están en contacto con ellos y una actualización constante sobre los grados de riesgo que cada persona puede generar.
¿Cómo empezar?
Estas preguntas permitirán a tu organización una primera valoración ante el robo de información:
¿Has identificado cuál es la información delicada de tu empresa?
¿Cuentas con una estimación de los daños que produciría una fuga de datos en tu organización?
¿Qué tipo de barrera utilizas? ¿Cuentas con un firewall next generation?
¿Has evaluado el grado de riesgo correspondiente al personal que opera la información crítica?
¿Monitoreas el comportamiento de tu red? ¿Te es posible identificar flujos anómalos?