La protección de datos es crítica, pero a veces puede ser menos visible que otros tipos de controles de seguridad. Esto se debe a que, muy a menudo, las fallas en la protección de datos son contribuyentes y no directamente responsables de fallas de seguridad. En otras palabras, la causa directa de una violación de alto perfil puede no estar relacionada directamente con la protección de datos, pero la protección de datos a menudo hace que el impacto sea significativamente mayor o el alcance del compromiso sea mucho más amplio porque esos controles no están en su lugar.
Para ilustrar este punto, considere una infracción como Equifax. En este momento, la mayoría de los profesionales saben que la causa directa de la violación de Equifax estaba relacionada con la administración de parches, específicamente, la falla al parchear Apache Struts. Sin embargo, también es cierto que la protección de datos podría haber jugado un papel contribuyente en el alcance e impacto resultante de ese evento. Por ejemplo, ¿habría sido la brecha tan impactante si los datos fueron encriptados? ¿Habrían notado las acciones de los atacantes a tiempo para que el equipo de seguridad actuara si se hubieran implementado mejores alertas de exfiltración? Nunca sabremos las respuestas a estas preguntas, pero podemos suponer que, si se hubieran implementado medidas de protección de datos, al menos parte del alcance o impacto podría haberse mitigado.
Por lo tanto, corresponde a los profesionales comprender y emplear medidas de protección de datos como parte de las tareas de seguridad y aseguramiento que llevan a cabo. Por supuesto, es óptimo cuando los profesionales de la organización pueden invertir en herramientas que respaldan directamente las medidas de protección de datos.
Sin embargo, los practicantes no siempre se encuentran en situaciones “óptimas”; es decir, las organizaciones pueden invertir directa e inmediatamente en medidas de protección de datos solo en algunas ocasiones. Pero se puede obtener un beneficio inmediato cuando los profesionales pueden adaptar las inversiones en objetivos o herramientas de protección de datos que ya existen en el ecosistema. Para el practicante experto, esto representa un potencial de ganar-rápido-un área donde uno puede mover una meta de seguridad o seguridad hacia adelante en base a las inversiones que la organización ya ha realizado.
Hay, literalmente, cientos (si no miles) de herramientas que se pueden comprar, adaptar o aplicar para reenviar la protección de datos. Las herramientas analizadas aquí son un punto de partida, algunas útiles para los profesionales de una amplia gama de industrias, áreas donde es probable que una o más inversiones de herramientas ya existan en el ecosistema, y aquellas que probablemente sean útiles independientemente de si el practicante es un profesional de auditoría, riesgo o seguridad.
En última instancia, la protección de datos debe considerarse desde la perspectiva de los objetivos que la organización desea lograr. A medida que los profesionales lo hacen, pueden encontrar oportunidades como las que se describen aquí para agregar valor mediante el uso de herramientas que la organización ya está utilizando.
1) Descubrimiento de datos y control de inventario
Las herramientas pueden desempeñar una función beneficiosa al descubrir e inventariar los datos en una organización y al mapear dónde se almacenan, procesan y transmiten los datos.
Debe indicarse explícitamente que las características específicas de los datos que una organización determinada desee ubicar variarán según la organización misma. Si bien el descubrimiento y el inventario de datos confidenciales son importantes independientemente, las características específicas de los datos (y, por lo tanto, las herramientas específicas que una organización podría emplear para encontrar los datos) son diferentes según el tipo de organizaciones y las consideraciones específicas que tienen.
Esto significa que las herramientas que admiten el descubrimiento y el inventario de datos pueden ayudar directamente a los profesionales de varias maneras:
- Ayudándolos a verificar que otros controles estén funcionando como se esperaba
- Construyendo un “mapa” dondeviven los datos sensibles en toda la organización
Una vez que esto se haya completado, las herramientas también se pueden ejecutar periódicamente de forma ad hoc para encontrar y marcar situaciones donde los datos han sido almacenados o transmitidos a una ubicación inesperada.
Cabe señalar que hay algunas categorías diferentes de herramientas que pueden ayudar en este sentido:
- Herramientas de descubrimiento de datos comerciales, que ayudan a las organizaciones a encontrar, recopilar y consolidar almacenes de datos para fines de inteligencia empresarial o análisis avanzados
- Herramientas de prevención de fuga de datos (DLP), que se pueden utilizar de forma continua para buscar y marcar datos que no deberían almacenarse o transmitirse a través de ciertos canales basados en reglas comerciales, y pueden ayudar a evitar la filtración de datos
- Para los profesionales con un presupuesto, las herramientas de propósito especial pueden ser útiles (por ejemplo, herramientas como ccsrch (PAN), hashfind/passhunt (localiza contraseñas y artefactos relacionados) y grep/egrep cuando se usan en combinación con expresiones regulares especialmente diseñadas
2) Encriptación datos
También hay herramientas que ayudan a los profesionales a encriptar datos donde se almacenan o transmiten los datos. Cabe señalar que hay absolutamente cualquier cantidad de herramientas de cifrado de propósito especial que se pueden emplear o adaptar directamente para cifrar datos en cualquier nivel de la pila de interconexión de sistemas abiertos (OSI): en la capa de aplicación, en el sistema de archivos, para datos en tránsito, etc. Siempre es la mejor opción para abordar de forma sistemática y holística el uso de encriptación, aplicándolo en combinación con algo así como un ejercicio de modelado de amenazas formalizado para proteger contra situaciones de amenazas conocidas, analizadas y pensadas. Tal análisis sistemático es el caso ideal.
Sin embargo, debido a que el caso ideal no siempre es el caso real en cada organización, vale la pena señalar que los profesionales tienen opciones de cifrado de datos, incluso en ausencia de una inversión más amplia. En primer lugar, la mayoría de los sistemas operativos modernos tienen incorporadas opciones de cifrado del sistema de archivos. En combinación con el descubrimiento de datos y un inventario confiable, las herramientas a menudo están disponibles de forma nativa en la plataforma del sistema operativo que se usa dentro de la empresa. Esto incluye herramientas como BitLocker (Windows), eCryptfs o LUKS (Linux), y otras plataforma por plataforma. Del mismo modo, el software de base de datos y middleware a veces puede admitir el cifrado de forma nativa dentro de él. Muchas implementaciones de almacenamiento e informática del proveedor de servicios en la nube (CSP) hacen que el cifrado de datos en reposo y en tránsito esté directamente disponible para el cliente de tal forma que se requiera una sobrecarga adicional mínima (aparte de marcar la casilla). La mecánica de habilitar esto depende del CSP y la plataforma que la organización emplea, pero casi todos los proveedores serios ofrecen esto para almacenamiento, Infraestructura como Servicio (IaaS) y en interfaces de programación de aplicaciones (API) u otros servicios para Plataforma como Servicio. (PaaS) implementaciones.
3) Exfiltración
Existen muchas herramientas que la organización ya puede tener implementadas y que se pueden usar para detectar y alertar sobre posibles actividades de exfiltración. Cualquier dispositivo de monitoreo de red (por ejemplo, firewall o sistemas de detección de intrusos [IDS]) puede potencialmente adaptarse para ayudar a proporcionar valor para un escenario de exfiltración. Se pueden emplear servidores de seguridad o proxies HTTP para buscar conexiones de salida sospechosas (por ejemplo, entidades que están en listas negras de IP). Los dispositivos IDS pueden hacer esto y también pueden adaptarse para activar expresiones regulares personalizadas que puedan corresponder a información interna confidencial.
Una cosa importante a tener en cuenta es que, a los fines de la exfiltración, muchos atacantes utilizarán canales encriptados como Transport Layer Security (TLS), Secure Shell (SSH) o incluso técnicas de comunicaciones encriptadas no estándar.
Por lo tanto, aunque es potencialmente una adición valiosa, no puede suponerse que un IDS (monitoreo, como lo hace, el tráfico de texto sin formato) necesariamente siempre podrá detectar esta actividad. Como tal, estar atento a las conexiones sospechosas es un paso útil, ya sea que la organización también emplee o no un IDS para detectar la exfiltración.
Ed Moyle
Es director de liderazgo de pensamiento e investigación en ISACA. Antes de unirse a ISACA, Moyle fue estratega de seguridad con Savvis y socio fundador de la firma analista Security Curve. En sus casi 20 años en seguridad de la información, ha ocupado numerosos cargos, incluido el de gerente general de prácticas de seguridad global de CTG, vicepresidente y responsable de seguridad de la información de Merrill Lynch Investment Managers, y analista de seguridad senior de Trintech. Moyle es coautor de Bibliotecas criptográficas para desarrolladores y colaborador habitual de la industria de la seguridad de la información como autor, orador público y analista.