Los errores suceden—Mitigación de pérdida de datos involuntarios

Nadie tiene la intención de perder datos, pero sucede. A menudo. Los procesos inmaduros, las herramientas inadecuadas y los usuarios inconscientes se revelan a sí mismos como los enlaces débiles. La creciente saturación de la tecnología en todas las áreas de la vida empresarial y personal diversifica las fuentes de pérdida de datos no intencionales. Las leyes en constante cambio continúan aumentando el riesgo y el costo del incumplimiento cuando ocurren pérdidas de datos no intencionales. La confluencia de estos factores aumenta los intereses de todos los profesionales de la seguridad. Después de revisar el panorama actual, los profesionales de la seguridad pueden planear proteger los datos del mañana de los riesgos.

Cambio de paisaje

La pérdida involuntaria de datos ocurre cuando la información confidencial deja los límites de una corporación sin la aprobación explícita del personal autorizado. La innovación continua en áreas como la nube e Internet de las cosas (IoT) reduce los límites. Las empresas emprendedoras inician nuevos servicios, transmitiendo y almacenando datos todos los días. El paso a la nube y la creciente facilidad de uso de los servicios en la nube están acelerando el riesgo de posibles pérdidas de datos. Los usuarios finales compran aplicaciones como soluciones de planificación de recursos empresariales en la nube (ERP) sin la participación de los equipos de seguridad de TI o TI. Sin el reconocimiento del usuario final, estas acciones crean departamentos de TI ocultos. Shadow IT aumenta el riesgo de transmisión y almacenamiento de datos fuera de los estándares y controles de la organización.

Las empresas reconocen el riesgo significativo inherente en la protección de datos. Por ejemplo, casi el 20 por ciento de los factores de riesgo enumerados en Alphabet Inc. (Empresa matriz de Google) 31 de diciembre de 2016 10-K reflejó el riesgo de seguridad de los datos.¹ Los ejemplos incluyen:

• Si se infringen las medidas de seguridad que resultan en el uso y la divulgación inapropiados de los datos del usuario, o si los servicios están sujetos a ataques que degradan o niegan la capacidad de los usuarios para acceder a productos y servicios, se pueden percibir productos y servicios como no ser seguro. Los usuarios y clientes pueden restringir o dejar de usar los productos y servicios de la empresa, y la empresa puede incurrir en una exposición legal y financiera significativa.
• Los derechos de propiedad intelectual son valiosos y cualquier incapacidad para protegerlos podría reducir el valor de los productos, los servicios y la marca de una empresa. Una variedad de leyes nuevas y existentes podrían someter a la empresa a reclamos o dañar de algún otro modo el negocio.
• Las preocupaciones de privacidad relacionadas con la tecnología pueden dañar la reputación de una empresa y evitar que los usuarios actuales y potenciales utilicen sus productos y servicios.

Leyes y regulaciones sobre pérdida de datos

Como se refleja en el 10-K de Alphabet Inc., las leyes y regulaciones de protección de datos continúan evolucionando con el paisaje cambiante. Países, estados, regiones e industrias en todo el mundo se centran en la seguridad de los datos. Las principales leyes, regulaciones y marcos incluyen la Ley Canadiense de Protección de Información Personal y Documentos Electrónicos (PIPEDA), la Ley de Responsabilidad y Portabilidad de Seguros Médicos de los EE. UU. (HIPAA), el pago Norma de seguridad de datos de la industria de tarjetas (PCI DSS), Ley estadounidense Gramm-Leach-Bliley (GLBA), Reglamento general de protección de datos de la Unión Europea (UE) (GDPR) y Acuerdos de Basilea.

El incumplimiento puede ser costoso. Por ejemplo, el Departamento de Salud y Servicios Humanos de los EE. UU. (DHHS) informó las liquidaciones del programa HIPAA hasta la fecha de US $67,210,982 dólares al 28 de febrero de 2017.² Sin embargo, el incumplimiento de GDPR tiene el potencial de superar las multas de cualquiera de esos programas. El GDPR fue aprobado por el Parlamento de la UE el 14 de abril de 2016.³ Si bien la ejecución no comienza hasta el 25 de mayo de 2018, las compañías deben planificar los cambios ahora para evitar las sanciones potencialmente costosas. Los principales cambios resultantes de GDPR incluyen un mayor alcance territorial, términos más claros, requisitos de notificación de incumplimiento de 72 horas, derechos a ser olvidados y privacidad por diseño.⁴

La Directiva de Protección de Datos de la UE 95/46/CE estableció un ámbito territorial poco claro, pero su reemplazo, GDPR, se aplica a todas las organizaciones que procesan los datos personales de los interesados que residen en la Unión Europea, independientemente de la ubicación de la organización. El Parlamento de la UE aprobó sanciones GDPR hasta la suma de US $20 millones o el cuatro por ciento de los ingresos globales de las organizaciones violatorias. Con penalizaciones tan severas, GDPR se enfocará en implementar “servicios técnicos y medidas organizativas de manera efectiva para cumplir con los requisitos de esta regulación y proteger los derechos de los interesados“.⁵

Las organizaciones a menudo establecen estándares y controles organizacionales para respaldar el cumplimiento de las leyes y regulaciones, pero GDPR impulsará a las organizaciones a incluir protección de datos desde el inicio del diseño del sistema para evitar fallas en la protección de datos. Además, los controles centrados en los datos que pudieron ser pasados por alto en el pasado, necesitaran volver a ser examinados por los dueños de los controles.

Pérdida de datos involuntaria

Los empleados y contratistas internos a menudo son la fuente de la pérdida de datos. La figura 1 enumera por año calendario, los cinco temas principales del DHHS en casos investigados cerrados con medidas correctivas.⁶ Notablemente, las salvaguardas técnicas apenas hacen la lista anualmente. Además de los desafíos emergentes, los desafíos de larga data, como la pérdida de computadoras por parte de los empleados, las unidades de Universal Serial Bus (USB) y los dispositivos móviles ponen en riesgo los datos. Los empleados ingresan direcciones de correo electrónico incorrectas, no bloquean sus computadoras, comparten datos de forma inapropiada con socios no autorizados, usan mensajes no seguros de igual a igual y toman fotografías de alta resolución de la oficina con equipos o datos confidenciales en segundo plano. En este nuevo ambiente con límites opacos y más amenazas de pérdida de datos involuntaria, los profesionales de la seguridad deben prepararse para las necesidades de un futuro centrado en datos para cumplir con los requisitos de protección legal y contractual.

Los errores suceden, sin embargo, hay importantes lecciones que se pueden obtener de la plétora de fallas de protección de datos bien publicitadas. Los siguientes son ejemplos seleccionados de pérdida de datos involuntarios y su impacto:

• Shadow IT—El intento de un médico de desconectar su servidor personal de la red de un hospital expuso datos de 6.800 pacientes a búsquedas en Internet. El DHHS liquidó el reclamo por US $4.8 millones.⁷
• Computadora portátil robada—Un robo en abril de 2016 de una computadora portátil sin cifrar de California Correctional Health Care Services del automóvil de un empleado resultó en la pérdida de la información de salud personal (PHI) de 400,000 reclusos.^{8, 9}
• Dispositivo USB perdido—El Departamento de Salud y Servicios Humanos de Alaska perdió un dispositivo USB que contiene información de salud de los beneficiarios de Medicaid, lo que resultó en una multa de US $1.7 millones.¹⁰
• Teléfono móvil perdido—La pérdida de un teléfono móvil en 2013 comprometió la información de salud protegida de 412 pacientes en seis hogares de ancianos, lo que resultó en una multa del DHHS de US $650,000.¹¹
• Redes sociales, distribución de datos, derechos de datos de terceros—Un grupo de vigilancia del Reino Unido determinó que, durante un período de tres años, el Servicio Nacional de Salud del Reino Unido tenía al menos 50 instancias de datos publicados en las redes sociales; al menos 236 instancias de datos compartidos de forma inapropiada por correo electrónico, carta o fax; y al menos 251 instancias de datos que se comparten de manera inapropiada con un tercero.¹²
• Correo electrónico—En abril de 2014, un empleado de un asesor de riesgos y una firma de corretaje de seguros envió accidentalmente una hoja de cálculo a un gran grupo de empleados que contiene nombres de empleados, direcciones de correo electrónico, fechas de nacimiento, números de Seguro Social, números de identificación de empleados, ubicaciones de oficinas y detalles del plan de seguro médico. La compañía pagó por dos años de protección contra el robo de identidad a 4.830 personas.¹³
• Eliminación de activos—Un proveedor del plan de salud con sede en Nueva York devolvió las fotocopiadoras a un arrendador sin borrar 344.579 datos de personas almacenadas en la máquina.¹⁴
• Mensajería instantánea y divulgación en línea—Una compañía de software, datos y medios subió accidentalmente más de 10,000 mensajes instantáneos privados y confidenciales de los comerciantes a un sitio web público durante la prueba.¹⁵
• Hacer clic en malware de correo electrónico—Los empleados de banca hicieron clic en un malware llamado Carbanak, permitiendo a los piratas informáticos acceder a los datos necesarios para robar más de US $300 millones, según Kaspersky Lab.¹⁶

Con una lista cada vez mayor de métodos a través de los cuales los datos se han perdido involuntariamente, esto es solo un inventario parcial. Muchos de estos incidentes resaltaron una falta de madurez de control o conocimiento del usuario. Las organizaciones deben esforzarse por mejorar continuamente los procesos y los controles de protección de datos.

Controles comunes de protección de datos y consideraciones

La mayoría de los procesos y controles de TI tienen un impacto directo en la seguridad de los datos. La figura 2 enumera varias prácticas clave de gobierno de protección de datos COBIT 5.¹⁷

Colectivamente, las prácticas de gobierno forman estrategias de defensa en profundidad para abordar la confidencialidad, integridad y disponibilidad de los datos. Estas capas están destinadas a abordar amenazas de protección de datos internas, externas, intencionales y no intencionales. Algunos controles de protección de datos comunes y consideraciones para la planificación de seguridad de datos a continuación:

• Clasificación de datos—Las políticas y los procedimientos de clasificación impulsan las decisiones de gestión de acceso y los controles de protección de datos. Categorías de clasificación a menudo están influenciadas por leyes, regulaciones y marcos. Al clasificar los datos, los profesionales pueden empoderar a las organizaciones para que otorguen acceso según la necesidad de saber. La mayoría de las organizaciones tienen dificultades para identificar datos y ubicaciones de datos debido a su volumen total, lo que se ve agravado por la presencia de Shadow IT. Los desafíos inherentes al proceso se dejaron en claro en el ejemplo de pérdida de datos de eliminación de activos de la máquina fotocopiadora mencionado anteriormente. Las organizaciones producen volúmenes y volúmenes de datos todos los días y, a menudo, dependen de las personas para garantizar que los datos estén marcados de manera consistente y correcta. La identificación, clasificación y protección de los datos por clasificación están cubiertos por los ID de procesos de COBIT, como APO01.06, BAI08.02, BAI08.03, DSS05.02, DSS05.03, DSS05.04 y DSS06.06.
• Prevención de pérdida de datos (DLP)—En última instancia, cuando se marcan o se identifican mediante reglas, las herramientas DLP pueden proporcionar otra capa de protección. Estableciendo conjuntos de reglas de prevención de pérdida de datos requieren una cuidadosa planificación y prueba. Si las reglas son demasiado restrictivas, la herramienta se convierte en un impedimento para las empresas; si las reglas son demasiado permisivas, la seguridad de los datos se ve afectada negativamente. DSS06.06 aborda la aplicación de políticas y procedimientos de clasificación de datos para proteger los activos de información a través de herramientas y técnicas.
• Encriptación—Las organizaciones a menudo aplican el cifrado a los datos clasificados como confidenciales. Los datos pueden ser encriptados por múltiples tipos de herramientas. Para los ejemplos de pérdida de datos previamente anotados causados por la pérdida de activos, el cifrado del disco duro puede haber mitigado el riesgo. Sin embargo, el cifrado del disco duro no habría ayudado con los ejemplos en los que los datos salieron del disco duro y, especialmente, los límites de la red. Las herramientas de cifrado a nivel de archivo agregan otra capa de protección, pero estas herramientas han sido tradicionalmente obstaculizadas por personas con conocimientos de claves y contraseñas que conservan el acceso al archivo. Además, las dificultades para escalar la administración de claves de manera efectiva pueden limitar las implementaciones de nivel empresarial. Como resultado, los usuarios finales a menudo utilizan productos de cifrado de datos a nivel de archivo centrados en el consumidor que permanecen fuera del alcance de los procesos de gestión centralizados de TI, creando así más debilidades de control.
  Los usuarios finales a menudo pueden ser la causa principal de las pérdidas de datos. Por ejemplo, los hallazgos de California Data Breach Report 2016 reflejan un tema común.¹⁸ La categoría de errores, que representa el 17 por ciento de las infracciones entre 2012 y 2015, representa incidentes derivados de cualquier información interna (empleados o proveedores de servicios) involuntariamente o dejar sin terminar que expone información personal a personas no autorizadas. El cuadro también incluye una categoría física. Esta categoría incluye tanto robos intencionales como pérdidas de hardware involuntarias. COBIT cubre el cifrado de información en almacenamiento y en tránsito de acuerdo con su clasificación en DSS05.02 y DSS05.03.
• Concientización del usuario—Las organizaciones desarrollan la concientización del usuario final a través de políticas, procedimientos, capacitación e incluso pruebas de simulación de phishing. Sin embargo, los actores maliciosos continúan apuntando a los empleados para obtener acceso a datos confidenciales. Crear una cultura de seguridad dentro de una organización es necesario para impulsar un mayor cumplimiento de los procedimientos y obtener la plena aceptación de las herramientas de seguridad y el monitoreo. El ex oficial de seguridad informática de la Oficina Militar de la Casa Blanca de los Estados Unidos, Steve Pugh, compartió su método para obtener la aceptación de esta manera: “Confío en usted, pero no confío en los paquetes que provienen de su máquina”.¹⁹ Esto puede ser un activador cultural eficaz para implementar los controles necesarios para combatir la fuga de datos no intencional e intencional. DSS05.01 enfatiza la importancia de comunicar sobre la concientización sobre software malicioso y hacer cumplir los procedimientos y responsabilidades de prevención.
• Gestión de acceso—Abordar adecuadamente la gestión de acceso puede ser un desafío difícil. La mayoría de las organizaciones se ocupan de un flujo constante de empleados y contratistas, una creciente lista de aplicaciones alojadas interna y externamente y complejidades significativas en la segregación de tareas. Restringir el acceso a los archivos distribuidos involuntariamente fuera de la red de una organización supone un obstáculo significativo para la verdadera gestión de acceso a los datos de extremo a extremo. Los acuerdos de acceso de los contratistas, las revisiones de acceso, los principios de acceso, la asignación de privilegios de acceso y la segregación de tareas se abordan en múltiples procesos, incluidos APO07.06, DSS05.04, DSS05.06 y DSS06.03.
• Registro y monitoreo—El registro y la supervisión ayudan a detectar eventos de seguridad y proporcionan evidencia para activar el proceso de administración de incidentes. Desafíos clave incluyen monitorear aplicaciones de nube de terceros accesibles para los empleados desde fuera de la red corporativa y una automatización insuficiente para administrar de manera efectiva el gran volumen de datos de registro. DSS05.07 se concentra en el registro, el nivel de detalle del registro y la revisión de registros.
• Antimalware—Este software a menudo puede ser requerido por contratos o regulaciones de la industria. Sin embargo, a lo largo de los años, los malos actores se han vuelto más listos e intencionalmente han desarrollado hacks para evadir herramientas comunes de malware. Este juego del gato y el ratón continúa desarrollándose a diario, pero ya pasaron los días en que el software antimalware solo proporcionaba un punto final integral y una red de protección. COBIT documenta el estándar para instalar y activar herramientas de protección de software malicioso con archivos de definición actualizados para filtrar las entradas tráfico y protección contra información no solicitada en DSS05.01.
• Cortafuegos—Estos sistemas de seguridad de red sirvieron históricamente como muros de castillos protegiendo eficazmente los datos, pero ahora, más que nunca, los datos están dejando las redes corporativas por diseño y fluyendo hacia la nube, conexiones de socios y la multitud de dispositivos administrados por el consumidor introducidos a través de implementaciones de traer su propio dispositivo (BYOD) dentro de las organizaciones. En este cambiante ambiente, los cortafuegos siguen siendo una parte importante de cualquier estrategia de defensa en profundidad, pero su alcance de mitigación es ahora más limitado. El proceso de COBIT DSS05.02 se centra en la implementación de mecanismos de filtrado de red para controlar el tráfico entrante y saliente de acuerdo con las políticas.

La mayoría de los controles de protección de datos actuales forman parte de la estrategia de defensa en profundidad, pero muchos de estos controles tienen limitaciones cuando se trata de abordar el panorama de amenazas actual, lo que resulta en un riesgo sin paliativos. De cara al futuro, se deben evaluar soluciones adicionales para disminuir aún más el riesgo de pérdida de datos no intencional.

El futuro de la protección de datos

En última instancia, los controles de seguridad técnica deberían centrarse en proteger los datos. Esto significa conocer y cambiar dinámicamente las políticas al controlar quién está accediendo a los datos sensibles en el punto de consumo e incluso cuando los datos abandonan los límites de la empresa. Las organizaciones deben desarrollar capacidades para analizar el uso de datos dentro y fuera de su red para identificar anomalías de acceso según el rol de una persona que intenta acceder a datos específicos. Además, el cifrado de datos debe desacoplarse de las aplicaciones para aprovechar la escalabilidad de la nube y habilitar la protección de datos en la creación, el uso, el reposo y el tránsito. Estos pasos servirán para vincular la seguridad, el acceso gestión y análisis de datos.

Conclusión

El costo del incumplimiento y la pérdida de confianza debido a la pérdida de datos involuntaria e intencional son altos; los incidentes son muy frecuentes. Líderes en el la organización debe enfocarse en desarrollar una estrategia de protección de datos que proporcione el control, la escalabilidad, la visibilidad y la flexibilidad necesaria para satisfacer las necesidades de la amenaza en constante cambio y el panorama regulatorio. Estas características de seguridad permiten a las personas habilitadas para mitigar el riesgo prevenir, identificar y mitigar la pérdida de datos no intencional.

Notas finales

¹ Alphabet Inc., 2016 10-K Form, 2017, https://abc.xyz/investor/pdf/20161231_alphabet_10K.pdf
² Department of Health and Human Services (DHHS), “Enforcement Highlights,” USA, 31 March 2017, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html
³ European Union, “General Data Protection Regulation (GDPR) Portal: Site Overview”
⁴ European Union, “GDPR Key Changes”
⁵ Ibid.
⁶ Department of Health and Human Services (HHS), “Top Five Issues in Investigated Cases Closed With Corrective Action, by Calendar Year,” USA, 16 September 2016, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/top-five-issues-investigated-cases-closed-corrective-action-calendar-year/index.html
⁷ Department of Health and Human Services, “Data Breach Results in $4.8 Million HIPAA Settlements,” USA, 7 May 2014, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/new-york-and-Presbyterian-hospital/index.html
⁸ California Correctional Health Care Services, “Potential Breach of Patient Health Information,” USA, 13 May 2016
⁹ Department of Health and Human Services, Office for Civil Rights, “Breach Portal: Notice to the Secretary of HHS Breach of Unsecured Protected Health Information,” USA, https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
¹⁰ Department of Health and Human Services, “Alaska DHSS Settles HIPAA Security Case for $1,700,000,” USA, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/alaska-DHSS/index.html
¹¹ Department of Health and Human Services, “Business Associate’s Failure to Safeguard Nursing Home Residents’ PHI Leads to $650,000 HIPAA Settlement,” USA, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/catholic-health-care-services/index.html?language=es
¹² Smitheringale, S.; “New Report: Patient Confidentiality Broken 6 Times a Day,” Big Brother Watch, 14 November 2014, https://www.bigbrotherwatch.org.uk/2014/11/new-report-patient-confidentiality-broken-6-times-day/
¹³ New Hampshire Office of the Attorney General, “Re: Notification of Data Security Incident,” USA, 17 April 2014, www.doj.nh.gov/consumer/security-breaches/documents/willis-north-america-20140417.pdf
¹⁴ Department of Health and Human Services “HHS Settles With Health Plan in Photocopier Breach Case,” USA, 7 August 2013, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/health-plan-photocopier-breach-case/index.html
¹⁵ Seward, Z. M.; “Bloomberg Accidentally Posted Private Terminal Messages Online,” Quartz, 13 May 2013, https://qz.com/84004/bloomberg-accidentally-posted-private-terminal-messages-online/
¹⁶ Sanger, D. E.; N. Perlroth; “Bank Hackers Steal Millions via Malware,” The New York Times, 14 February 2015, https://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0
¹⁷ ISACA, COBIT 5 Implementation—Supplemental Tools and Materials, USA, 2 December 2013
¹⁸ Harris, K.; “California Data Breach Report 2012-2015,” California Department of Justice, February 2016, https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf?
¹⁹ Pugh, S.; Data Protection Update Course, The Proscenium, Atlanta, Georgia, USA, 22 September 2016