El presente trabajo de investigación bibliográfico, trata sobre la temática de evaluar los riesgos que tiene la fuga de ...
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
15
Evaluaci´ Evaluacion o´ n de riesgos: Estudio de la fuga de datos en los sitios web del Ecuador Risk assessment: Study of data traffic in Ecuador websites Lisbeth Narcisa D´avila avila Santill´an an1,* , Jos´e Luis Pacheco Delgado2,† . 1 Universidad de las Artes. 2 Corporaci´ Corporacion o´ n Nacional de Electricidad (CNEL EP). {ker
[email protected],
[email protected] [email protected]} Fecha de recepci´ recepcion: o´ n: 19 de julio de 2017 — Fecha de aceptacion: o´ n: 28 de agosto de 2017 Resumen: El presente trabajo de investigaci´ investigacion o´ n bibliogr´ bibliografico, a´ fico, trata sobre la tematica a´ tica de evaluar los riesgos que tiene la fuga de datos ´ ¨ en los sitios web en el Ecuador, con la aparici on on de la Web 2.0 tenemos referencia a una supuesta segunda generaci´ generacion o´ n en Internet, basada en servicios cuyos usuarios colaboran y comparten informaci´ informacion o´ n online en nuevas formas de interacci´ interaccion o´ n social”(Trombetta, ´ 2013), en los ultimos a ˜ a ˜ nos la fuga de datos ha aumentado, por motivos que ahora todos las empresas a nivel mundial manejan todo su informaci informaci´on o´ n a trav´ traves e´ s de la web donde son almacenados en servidores, el objetivo principal de esta investigaci on o´ n es realizar un an´ analisis a´ lisis exhaustivo de la cantidad de informacion o´ n que es filtrada a trav´ traves e´ s de la web. Evaluaremos la cantidad de fugas de informacion o´ n que se produce en los sitios web en donde no debieran producirse. Para este estudio, se elegir a´ un sector como por ejemplo: La ´ banca, administra administraciones ciones publicas ublica s en Ecuador Ecuador,, empresas empresas de una determinada determinada industria industria o Universida Universidad, d, los cuales podr´ podr´ıan ıan arrojar arrojar datos significativos. Una curiosa y peque ˜ peque ˜ na fuga de informaci on o´ n que muestra informaci´ informacion o´ n del software que utiliza una compa ˜ compa ˜ n´ıa ıa tan sujeta a ataques del mundo y el fraude online, y que f ´ f acilmente a´ cilmente se podr´ podr´ıa ıa evitar software y administrador especializados. Palabras Clave—Fuga de datos, Web 2.0, Empresas ecuatorianas, Vulnerabilidad.
Abstract: The present work of bibliographic research deals with the theme of evaluating the risks of data leakage in websites in Ecuador, with the appearance of Web 2.0 we refer to . an alleged second generation Internet based services whose users collaborate and share information online in new forms of social interaction ”(Trombetta, 2013), in recent years the data leak has increased, for reasons that now all companies worldwide manage all their information through the web where they are stored in servers, the main objective of this research is to perform a comprehensive analysis of the amount of information that is filtered through the web. We will assess the amount of information leakage occurring on websites where it should not occur. For this study, a sector will be chosen such as: Banking, public administrations in Ecuador, companies of a certain industry or University, which could yield significant data. A curious little leak of information that shows information from the software used by a company so subject to attacks from the world and online fraud, and that it could easily be avoided specialized software and administrator. Keywords—Data leakage, Web 2.0, Ecuadorian companies, Vulnerability
´ I NTRODUCCI ON
E
n En los ultimos u´ ltimos 16 anos n˜ os con la aparicion o´ n de la Web 2.0 en el a˜no no 2000, Se destacan algunas tecnolog´ıas ıas inscritas en el contorno de la Web 2.0, como XML, Rich Internet Applications (RIA), Micro formatos, Ajax, sindicaci on o´ n y agregacion o´ n de contenidos en RSS/ RDF, wikis, weblogs, arquitectura de informaci´ informacion o´ n colaborati colaborativa va mediante mediante folksonom folksonom´´ıas ı as y tags tags,, el marketing colaborativo, entre otras. Asimismo, se desgranan alguna algunass posibi posibilid lidade adess de futuro futuro en torno torno a la Web 2.0, 2.0, su posible posible evoluci´ evoluci´on on hacia la Web 3.0 e incluso hacia la Web sem´antica, antica, por ende en los ultimos u ´ ltimos a˜nos nos las empresas a nivel mundia mundiall han adopta adoptado do por emigra emigrarr todos todos sus proces procesos, os, la forma como maneja su informaci´on on a la Web por que pueden ofrece ofrecerr sus produc productos tos,, servic servicios ios a todo todo el mundo mundo (Cobos (Cobos,, 2006)., por tales motivos no todas las empresas cuentas con sistemas ato de seguridad, los cuales detectan y obstruyen a las personas que deseen alterar o adulterar los datos. En am´eric e ricaa Lati Latina na el uso uso de la web web en la ultima u ´ ltima d´ecada ecada ˜ atr´ ha tenido tenido un crecim crecimien iento to alto alto consid considera erando ndo con anos atras. a´ s. *
Ingeniera en Sistemas en Computa Computaci ci´on o´ n Especializ Especializaci aci´on o´ n Sistem Sistemas as Tecnol ecnol´ogicos, o´ gicos, Mag´ Mag´ıster ıster en Seguridad Inform´ Informatica a´ tica aplicada † Ingenie Ingeniero ro
Las empres empresas as han adopta adoptado do por ofrece ofrecerr sus servic servicios ios,, sus productos, su materia prima por la Web. Es una herramienta que ofrece muchos servicios al alcance de todas las personas, la fuga de datos es un problema inevitable ya que no todos las empresas cuentan con un sistema de seguridad o personal capacitado para enfrentar situaciones de fuga de datos. En Ecuador en los ultimos u´ ltimos a˜ anos n˜ os empresas han optado por ofrece ofrecerr sus servici servicios os en la Web, con un proble problema ma que en cualquier parte del mundo puede ocurrir la fuga de datos, de informaci´ on primordial para la empresa. Muchas aplicaciones y servic servicios ios web son vulner vulnerabl ables es a un conjun conjunto to de ataque ataquess independi independientem entemente ente de la plataforma plataforma y/o tecnolog tecnolog´´ıa ıa que se use. Usando la metodolog´ metodolog´ıa ıa OWASP se pueden hacer un seguido de pruebas en todas todas las fases del desarrollo desarrollo para identificar identificar dichas vulnerabilidades e implementar las medidas correspondientes. Las vulnerabilidades web tienen su origen en defectos en el dise˜ diseno n˜ o e implementacion ´ de las aplicaciones, en la programaci´on on descuidada de las rutinas, en la pobre implementaci´on on de medidas de control de acceso o en la falta de validaci´on on y saneamiento de los datos de entrada (Germain, 2015).
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
D ESARROLLO ¿Qu´ ¿Que´ es la Web 2.0? En 1989 a partir de un proyecto del CERN (Organizaci on o´ n Europea de Investigaci´on on Nuclear), Tim Berners-Lee construy´o el prototipo que dio lugar al nucleo u´ cleo de lo que hoy es la llamada World Wide Web, o simplemente Web. La intenci´on on original ´ de un sistema de hipertexto, hacer era, mediante la utilizaci on m´as a s f´acil acil compartir textos de investi investigaci´ gaci´on on entre cient´ıficos ıficos y permitir al lector revisar las referencias de un art´ıculo ıculo mientras lo fuera leyendo. En septi septiemb embre re de 1990, 1990, Tim Tim Berner Berners-L s-Lee ee recibe recibe el visto visto bueno por parte del CERN a la propuesta entregada en 1989. Y desde entonces, junto con su colaborador, Robert Cailliau, comienza a escribir el nuevo sistema de hipertexto. A finales de 1990 el primer browser de la historia, World Wide Wide Web, ya ten´ ten´ıa ıa forma. A diferencia diferencia de los formatos que ya hab´ hab´ıa ıa en aquella aquella epoca e´ poca (TeX (TeX y PostSc PostScrip ript), t), el lengua lenguaje je de inte interc rcam ambi bio o (XTM (XTML) L) y el prot protoc ocol olo o de red red (HTT (HTTP) P) se dise˜naro n aron n con con la inte intenc nci´ i´on o n de que que fuer fueran an lo m´as as sencillo sencillo posibles. En 1993 hab´ıa ıa alrededor de 50 servidores y exist´ıan ıan principalmente dos tipos de browsers: el gr afico a´ fico (s´ (solo o´ lo para plataform taformas as NeXT) NeXT) y el de modo modo l´ınea ınea (v´alido alido para cualquier cualquier plataforma pero limitado y poco atractivo). En febr febrer ero o del del mism mismo o a˜no n o se lanz´ lanz´o la prim primer eraa vers versi´ i´on on alfa alfa del nave navegad gador or ”Mosa ”Mosaic ic forX”. forX”. Este Este funcio funcionab nabaa en la plataforma X Windows, Windows, popular entre la comunidad cient´ıfica. ıfica. ´ En abril el tr´ trafico a fico de la WWW era el 0,1 % del del tota totall de Internet. Internet. El CERN declaraba la WWW como tecnolog´ tecnolog´ıa ıa de acceso gratuito. En septie septiembr mbree ya hab´ hab´ıa ı a vers versio ione ness de Mosa Mosaic ic para para PC y Macintosh. El tr´ trafico a´ fico de la Web Web ya alcanz alcanzaba aba el 1 % de todo todo el tr´afico afico de Internet, con m´as as de 500 servidores. Este es el comienzo del crecimiento explosivo de la Web. A final finales es del del 94 ya hab´ hab´ıa ı a m´as a s de 10.0 10.000 00 serv servid idor ores es y 10 millones de usuarios. En 1997 nos encontramos con m as a´ s de 650.00 650.000 0 servid servidore oress y la Web pasa pasa a ser algo cotidi cotidiano ano,, haci´ haciendose e´ ndose hueco en la econom econom´´ıa ıa a nivel nivel mundial mundial.. A estas estas alturas alturas se pod´ pod´ıan ıan encontrar encontrar utilidades utilidades como documentos documentos de texto, m´ musica, u´ sica, im´ imagenes a´ genes y v´ v´ıdeos, ıdeos, se pod´ pod´ıan ıan realizar compras y ventas, campa˜nas nas publicitarias, etc. El ano n˜ o 2001 fue de vital importancia para la Web. Despu es e´ s del espectacular espectacular incremento incremento en la expectac expectacii on o´ n de la Web, esta e´ sta sufre una p´ perdida e´ rdida de inter´ interes e´ s a nivel mundial y, en otono n˜ o de este mismo a˜no, no, se produce el estallido de la burbuja tecnol´ogica ogica (Adri´an, an, 2010). A partir de este punto comienzan a surgir nuevas tecnolog´ıas ıas que pronto ocupar´ ocupar´ıan ıan sitio en el nuevo escenario econ omico. o´ mico. Cuando Cuando Dale Dougherty, Dougherty, de O’Reilly O’Reilly,, en una conferenci conferenciaa en la que comparti o´ una lluvia de ideas junto a Craig Cline de MediaLive Internacional, donde se trataban aspectos sobre el renaci renacimie miento nto y la evolu evoluci ci´on ´ de la Web, eb, se emple emple o, o´ , por por primera vez, el t´ermino ermino de: Web 2.0. As´ı se hac´ıa ıa referencia a las las nuev nuevas as apli aplica caci cion ones es y p´aginas aginas webs webs con funcio funciones nes innovadoras.
16
Posteriorme Posteriormente nte se organiz organiz´o´ la Web 2.0 Confer Conferenc encee 2004. 2004. Esta conferencia conferencia obtuvo obtuvo un exito e´ xito importante y fue sucedida por la Web 2.0 Conference 2005. As´ As ´ı naci´ nacio´ la conferencia de la Web 2.0.
Tecnolog´ Tecnolog´ıas ıas Aplicadas En el desarr desarroll ollo o de web’ web’s 2.0 son utiliz utilizado adoss una serie de lenguajes lenguajes de programaci programaci´on o´ n nuevos o t´ tecnicas e´ cnicas de desarrollo desarrollo web que combin combinan an varia variass tecnol tecnolog og´´ıas ıas como como es el caso caso de AJAX AJAX con una serie serie de partic particula ularid ridade adess y noveda novedades des muy interesantes.
AJAX: Acr´onimo onimo de Asynch Asynchron ronous ous Java JavaScr Script ipt And XML XML (Ja (JavaScr aScrip iptt y XML XML as´ as´ıncron ıncronos, os, donde donde XML es un acr´onimo onimo de eXtens eXtensibl iblee Marku Markup p Langua Language) ge),, es una t´ecnica ecnica de desarrollo desarrollo web para crear aplicacio aplicaciones nes ´ as se ejecut interactivas. Estas Est ejecutan an en el client cliente, e, es decir decir,, en el navegador del usuario, y mantiene comunicaci´on on as´ as´ıncron ıncronaa con el servi servidor dor en segun segundo do plano. plano. De esta esta forma es posible realizar cambios sobre la misma p´agina agina sin necesida necesidad d de recargarla recargarla.. Esto significa aumentar aumentar la interactividad, velocidad y usabilidad en la misma. XHTML: Acr´ Acronimo o´ nimo ingl ingles e´ s de eXtens eXtensibl iblee Hypert Hypertex extt Markup Markup Language Language (lenguaje (lenguaje extensible extensible de marcado marcado de hipert hipertext exto), o), es el lengua lenguaje je de marcad marcado o pensad pensado o para para sustituir a HTML como est´andar andar para las p´aginas aginas web. XHTM XHTML L es la vers versiion o´ n XML de HTML, HTML, por por lo que que tien tiene, e, b´asicamente asicamente,, las mismas mismas funcionalid funcionalidades ades,, pero cumple cumple las espec especific ificaci acione ones, s, m´as a s estr estric icta tas, s, de XML. XML. Su obje objeti tiv vo es avanza anzarr en el proy proyec ecto to del del World orld Wide Wide Web Consor Consortiu tium m de lograr lograr una web sem´antica, antica, donde la informaci informaci´on, o´ n, y la forma forma de prese presenta ntarla rla est´ esten e´ n claramente separadas. En este sentido, XHTML servir´ıa ıa unicamente ´ para transmitir la informaci on ´ que contiene un documento, dejando para hojas de estilo (como las hoja hojass de esti estilo lo en casc cascad ada) a) y Java JavaSc Scri ript pt su aspe aspect cto o ˜ en dist y dise iseno distin into toss medi medios os (ord (orden enad ador ores es,, PDAs PDAs,, tel´efonos efonos m´oviles, oviles, impresoras). on usado frecuentePHP: Es un lenguaje de programaci´on mente para la creaci´on on de contenido para sitios web con los cuales se puede programar las p aginas a´ ginas HTML y los codigos o´ digos fuente. PHP es un acr´onimo onimo recursivo que significa ”PHP Hypertext Pre-processor”(inicialmente PHP Tools, o, Personal Home Page Tools), y se trata de un lenguaje interpretado usado para la creaci on o´ n de aplicaciones para servidores, o creaci´on on de contenido din´amico amico para ´ sitios web. Ultimamente tambi´en en para la creaci´on on de otro tipo de programas incluyendo aplicaciones con interfaz gr´afica afica usando las librer´ıas ıas GTK+.
Sistemas de Gestion o´ n de Contenidos Un sistema de gesti´on on de contenido, en ingl´es es Content Management System m´as as conocido por sus siglas CMS, es una interfaz que controla una o varias bases de datos en las cuales
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
se guarda el contenido de un sitio web. Este sistema permite manejar de forma independiente por un lado la informaci´on on almacenada y por el otro el dise no n˜ o de las p aginas, a´ ginas, de forma que, en cualquier momento, se puede dar un dise no n˜ o nuevo al sitio web sin necesidad de dar formato al contenido, ya que es el CMS el que se encarga de realizar estos cambios. Adem as a´ s permit permitee contro controlar lar y dar permis permisos os a las difere diferente ntess person personas as autorizadas para publicar informacion. o´ n. Los primeros sistemas sistemas de gesti´ gesti´on on de contenido fueron desarrollados de forma interna por organizaciones que publicaban gran cantidad de informaci´on on en Internet Internet (revistas (revistas digitales, digitales, peri´ periodicos, odico ´ s, publicacio publicaciones nes en l´ınea, ınea, etc.). etc.). La primera primera organiorganizaci´on on en desarrollar su propio CMS fue el sitio de noticias CNET, posteriormente cre´o la empresa Vignette mediante la cual abri´ abrio´ el camino al desarrollo de los CMS comerciales. En los CMS se crea un sistema jer arquico a´ rquico de roles en el cual los redactores se encargan de escribir los art´ art ´ıculos, ıculos, los editores revis revisan an y acepta aceptan n o rechaz rechazan an la inform informaci´ aci´on on escri escrita ta y, por u´ ltimo, el editor principal publica los documentos aprobados ultimo, en el paso anterior (Samuel Ramos, Marc Morales, Juan Costa, Eduardo Lozano, Carolina Castejon., o´ n., 2012). Existen multitud de CMS cada uno de ellos especializado en un determinado contenido, por ejemplo Foros, Blogs, Wikis, Comercio Electr´onico, onico, Galer´ıas ıas Multimedia, etc. aunque tambi´ tambien e´ n los hay de proposito o´ sito general. Dentro de los CMS podemos distinguir entre los de c´odigo odigo abierto abierto y los comerciales comerciales encontran encontrando, do, dentro de cada tipo, sus ventajas e inconvenientes. ´ En el caso de los CMS de c odigo abierto la gran ventaja es que el c´odigo odigo fuente fuente est´a a disp dispos osic ici´ i´on on de cualqu cualquier ieraa con con lo cual cual se pued pueden en corr correg egir ir los los erro errore ress de una una form formaa mucho m´as as efectiva y desarrollar nuevas funcionalidades m´as as r´apida apida y eficienteme eficientemente, nte, adem´as as se garantiza garantiza la continuida continuidad d ´ a pesar de que el grupo o del mantenimiento de la aplicaci on empresa que se ha encargado del desarrollo desaparezca, en cambio, en el caso de los CMS comerciales normalmente los cambios cambios tan s olo o´ lo pueden realizarlos los propios desarrolladores seg´ segun u´ n sus prioridades, aunque existen casos en los que se tiene acceso acceso al c odigo o´ digo fuente mediante la adquisici´on on de una licencia adicional. Otra gran ventaja de los CMS de c´odigo odigo abierto frente a los comerciale comercialess es su coste ya que, en la mayor´ mayor´ıa ıa de los casos, los primeros se encuentran disponibles de forma gratuita en Internet sin necesidad de adquirir ning´un un tipo de licencias.
Fugas de Datos en los Sitios Web La Prevenci´ Prevenci´on on de Fuga de Informaci´on on (Data Loss Prevention – DLP) DLP),, hace hace refe refere renc ncia ia a las las acti activi vida dade dess y meca mecani nism smos os empleados para prevenir el uso no autorizado de informaci´on on ´ Se trata de controles preventivos sensible de una organizaci on. sobre qu´e datos est´an an siendo accedidos o transmitidos, qui´en en lo est´ esta´ utilizando, como o´ mo se transmite y a d onde o´ nde se dirige dicha informaci´ on. En ese sentido, los principales factores de fuga de informaci´ cion o´ n est´an an asociados a: P´erdi e rdida da o Robo Robo de equi equipo poss port´ port´atiles atiles que contie contienen nen informaci´ informacion o´ n de la Compa n˜ ´ıa. ıa.
17
Falta de encriptacion o´ n y m´ metodos e´ todos de cifrado en las comunicaciones de la Organizaci´on on (redes inseguras). Inadecuad Inadecuadaa Gesti Gestion o´ n de Activ Activida idades des relaci relaciona onada da con la respuesta ante Incidentes relacionados con Fuga. Accesos irregulares o no permitidos a informaci´on on sen´ sible de la Organizaci on. Repositorio Repositorioss y/o almacenes almacenes de Datos Datos (Dataware (Datawarehous house, e, Bases Bases de Datos, Datos, File Serve Servers, rs, etc.) sin medidas medidas de seguridad adecuada para los accesos a los mismos. Conduc Conductas tas inapro inapropia piadas das o fraude fraude por parte parte del mismo mismo personal interno de la Compan˜ ´ıa. ıa. Ausencia de una adecuada Clasificaci´on on de la Informa´ ˜ ´ ci´ cion on de la Compa nıa ıa (a menudo, este suele ser el factor m´as as importante a considerar). Las diferentes soluciones DLP que ofrecen ciertos proveedores, identifican, monitorizan y protegen los diferentes tipos de informaci´ informacion o´ n que nos podemos encontrar, es decir: Informaci´ on en movimiento a trav´es es de la red (conocida como Data in Motion). Informaci´ on almacenada en bases de datos y sistemas de ficheros (com´ (comunmente u´ nmente llamada Data at Rest). Informaci´ on en uso en los equipos (Data in Use).
Pol´ Pol´ıticas ıticas y Estrategias e´ gias La principal principal funci´ funcion o´ n de esta area, a´ rea, es relevar si existen o se han desarrollado espec´ıficamente ıficamente procedimientos y pol´ıticas ıticas que den un marco de actuaci on o´ n a las areas a´ reas para tratar aspectos relacionados con la prevenci´on on de Fuga de Informaci´on, on, como as´ı tambi tamb ien e´ n conocer la estructura que dispone la Empresa para el tratamiento de la misma. Clasificaci´ Clasificacion o´ n de la informaci´ informacion o´ n Clasificar la informacion o´ n no es s olo o´ lo estampar un sello o marca, sino que implica adem´as as entregar un cierto nivel de protecci´on on mediante unos controles de seguridad concreta que hay que aplicar a la misma, a lo largo de su vida util u ´ til y en cualquiera de sus formatos. El responsable de establecer estos controles es el Propietario de la informaci´on on clasificada. Se debe clasificar la informacion o´ n realmente importante para el negocio, negocio, es decir, decir, aquella aquella cuya falta de seguridad seguridad tendr´ tendr´ıa ıa impact impacto o direct directo, o, econ´ econ´omico, omico, legal, legal, estrat´ estrat´egic e gico, o, etc. etc.,, en la actividad del mismo. Asimis Asimismo, mo, es import important antee mencio mencionar nar que de acuerd acuerdo o a la naturalez naturalezaa del negocio, negocio, algunas Empresas deben contar contar con especial cuidado para el tratamiento de informaci´on on sensible, con el objeto de evitar incumplimiento de las leyes vigentes. Una determinada informaci´ informacion o´ n puede clasificarse en uno de los siguientes niveles:
Reservada: Informaci´on on de alta sensibilidad que debe ser protegida por su relevancia sobre decisiones estrat egicas, e´ gicas, impacto financiero, oportunidades de negocio, potencial de fraude o requisitos legales. Su manejo es nominal y en grupo muy reducido de personas. Restringida: Informaci´on o n sens sensib ible le,, inte intern rnaa a area a´ reass o proyec proyectos tos a los que debe debe tener tener acceso acceso controla controlado do un
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
an valorar correctamente los domiTabla 1. Actividades que permitir´an nios Objetivo de control
N◦
AC
1.1
1.2 Pol´ıtica ıtic a y Procedimiento 1.3
1.4
1.5
1.6
1.7 1.8 1.9
1.10
1.11
1.12
1.13
1.14
Estructura Organizativa
1.15 1.16
Responsabilidades
1.17
1.18
Fuente: ISO 27001
Actividad de control ¿Existe una pol´ıtica que aborde la fuga de informaci´ informacion o´ n e indique los mecanismos para registrar, registrar, cifrar, cifrar, informar informar y eliminar eliminar la informaci´ informacion o´ n de la compan˜ ´ıa? ıa? ¿Existen acuerdos de confidencialidad que tengan en cuenta la posible fuga de informaci´on on sensible y las respuestas a las mismas (en caso de producirse)? ¿Se controla el cumplimiento de los acuerdos de confidencialidad existentes, as´ as´ı como de otras relaciones o acuerdos existentes? ¿Los contratos con terceras partes incluyen acuerdos de confidencialidad e indican las consecuencias del incumplimient incumplimiento o de dichos acuerdos? ¿Existen una pol´ pol´ıtica ıtica que regule el uso de cifrado tanto en el almacenamie almacenamiento nto de la informaci informaci´on o´ n como en las comunicaciones usadas para el env´ıo ıo de esa informaci on? ´ ¿Existen ¿Existen pol´ pol´ıticas ıticas formales formales de seguridad sobre el uso de informaci´ informacion o´ n sensible en los dispositivos m oviles o´ viles (protecci´ (proteccion o´ n f ´ısica, ısica, control de acceso, tecnicas e´ cnicas criptogr´ criptograficas, a´ ficas, copias de seguridad, protecci´on on ante virus, eliminaci´on on remota de informaci´on sensible,...)? ¿Existen ¿Existen pol´ pol´ıticas ıticas formales formales que limiten el uso de software no autorizado? ¿Existen procedimientos sobre el uso de ficheros o software externo? ¿Existen una pol´ıtica ıtica de privacidad y protecci´on on de datos personales? ¿Existe una pol´ pol´ıtica ıtica de control de acceso que tenga en cuenta aspectos aspectos como: requisitos requisitos de seguridad de las aplicaciones, alineamient alineamiento o con pol´ pol´ıtica ıtica de clasificaci´on on de la informaci´on, on, segregaci´on on de roles, legislaci´on on aplicable, requisitos para las autorizaciones de accesos? ¿Existen ¿Existen pol´ pol´ıticas ıticas y procedimientos que regulen el intercambio de informaci´ informacion? o´ n? ¿Existen modelos de acuerdo con terceras partes que regulen el intercambio de informaci´ informacion? o´ n? ¿Existen mecanismos para la eliminaci´ eliminacion o´ n y destruccion o´ n de informaci´ informacion o´ n sensible? ¿Existe ¿Existe un organo o´ rgano con autoridad autoridad suficiente en la organizaci´on on para realizar una adecuada definici´on, on, gesti´on, on, revisi´on on y monitorizaci´on de las iniciativas relacionadas con la prevenci´ prevencion o´ n de fuga de informaci´ informacion? o´ n? ¿Dicho organo o´ rgano incluye a todos los agentes relevantes en la prevenci´on on de fuga de informaci´on? on? ¿Se mantienen mantienen reuniones reuniones peri´odicas odicas o ante situaciones extraordinarias? ¿Existen responsabilidades individuales asignadas a cada uno de los miembros integrantes del organo o´ rgano destinado a la gesti´ gestion o´ n de la prevenci´ prevencion o´ n de fuga de informaci´ on? ¿Existen responsabilidades asignadas a los diferentes grupos implicados en lo que a la prevencion o´ n de fuga de informaci´ informacion o´ n se refiere?
18
Tabla 2. Continua..Actividades que permitir´an valorar.. Objetivo Objetivo de control
N◦ AC
Formaci´ Formacion o´ n y concienciaci´ concienciacion o´ n
1.19
1.20
Codigo o´ digo de conducta
1.21
1.22
Actividad de control ¿Existe un programa de formaci´on on y concienciaci´ concienciacion o´ n que establezca los objetivos, alcance y acciones a establecer para lograr una adecuada adecuada cultura cultura de prevenci prevenci´on o´ n de fuga de informaci´on? ¿Se realizan acciones y sesiones de formaci´ on para que el personal conozca su responsabilidad dentro de su ambito a´ mbito de actuaci´ actuacion? o´ n? ¿Existe un codigo o´ digo de conducta que refleje los criterios de actuaci on o´ n para el uso y las comunicaciones de informaci´on on en la organizaci´on? on? ¿Incluye el c´odigo odigo de conducta las medidas para la difusi´on, on, aplicaci´on, on, monitorizaci´ monitorizacion o´ n de su cumplimiento y las actuaciones frente a incumplimientos del mismo?
Fuente: ISO 27001
departamento, miembros del proyecto, de un comit´e, e, etc., pero no toda la empresa, y que debe ser protegida por su impacto en los intereses de la empresa, de sus clientes o asociados y empleados. Uso inter interno: no: Informaci´on que que sin sin ser ser rese reserv rvad adaa ni restri restringi ngida, da, debe debe manten manteners ersee en el ambito a´ mbito intern interno o de la empres empresaa y no debe debe estar estar dispon disponibl iblee exter externam nament ente, e, excepto a terceras partes involucradas previo compromiso de confidencia confidencialidad lidad y conocimien conocimiento to del Propietari Propietario o de la misma. ´ ´ cuya divulgaci Publica: Informaci´ Informacion divulgaci´on o´ n no afecte a la empresa en t´erminos erminos de p´erdida erdida de imagen y/o econ´omiomica. an ser relevados para tener una razonable Tabla 3. Aspectos que deber´an garant´ garant´ıa ıa Objetivo de control
N◦ AC
2.1 Clasificaci´ Clasificacion o´ n de la informaci informaci´on o´ n 2.2
2.3
2.4
2.5
2.6
Fuente: ISO 27001
Actividad de control ¿Existe una pol´ıtica ıtica de clasificaci´on on de la informaci´on on que establezca los niveles que corresponden a la informaci informaci´on ´ sensible y las medidas a llevar a cabo para conseguir su protecci´ proteccion? o´ n? Verificar la existencia de un propietario expl´ıcito ıcito para la informaci´on on sensible. Verificar que el propietario de la informaci´ informacion o´ n sensible ha realizado la clasificaci on o´ n de la misma. Verificar el adecuado etiquetado de la informaci´on on sensible. Comprobar que el propietario de la informaci´on revisa los permisos de acceso y tratamiento tratamiento de dicha informaci´ informacion. o´ n. Verificar la existencia de reglas de uso aceptable de la informaci´ on y la implantaci´on on de las mismas en aquella informaci´ informacion o´ n considerada como sensible.
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
Respuesta ante incidentes El prin princi cipa pall enfo enfoqu quee de esta esta area a´ rea,, es cono conoce cerr el grad grado o de madurez que presenta la Organizaci on o´ n para gestionar y dar tratamiento a los diferentes problemas e incidencias que aparecen en el ambito a´ mbito operativo y que puedan impactar en informaci´on on sensible o estrat egica e´ gica de la Compa n˜ ´ıa. ıa. A mayor n´ numero u´ mero de controles detectados para gestionar las incidencias, probablemente menor ser´an an las probabilidades o riesgo riesgo de que se produz produzcan can event eventos os relaci relaciona onados dos con Fuga Fuga (Adri´an, an, 2010). ıticos que la metodolog´ metodolog´ıa ıa propuesta propuesta intenta intenta Tabla 4. Aspectos cr´ıticos relevar Objetivo de control
N◦ AC
3.1 Respuesta ante incidentes 3.2
3.3
3.4
3.5
3.6
3.7
19
estos estos archi archivo voss y leer leer su conten contenido ido para para determ determina inarr si est´ estan a´ n presentes datos espec´ıficos, ıficos, tales como n umeros u ´ meros de tarjetas de cr´ credito e´ dito etc. Para realizar estas tareas, la mayor´ mayor ´ıa ıa de los sistemas de DLP utilizan rastreadores, que son aplicaciones que se despliegan en form formaa remo remota ta para para que que entr entren en en cada cada sist sistem emaa final final y “rastr “rastreen een”” a trav´ trav´es es de los almacene almaceness de datos, datos, buscand buscando o y registran registrando do conjuntos conjuntos de informaci´ informaci´on on espec´ıficos ıficos con base en una serie de normas que han sido introducidas en la consola de administra administraci´ ci´on on de la DLP. La recopilaci´ recopilaci´on on de esta informaci´on on es un paso muy valioso ´ que permitir´ permitira´ a la empresa determinar donde se encuentra la informaci´ on clave clave,, si su ubicac ubicaci´ i´on o n est´a permit permitida ida dentro dentro de las pol´ pol´ıticas ıticas existentes y qu e´ trayectos podr´ podr´ıan ıan recorrer estos datos que violar´ v iolar´ıan ıan pol´ıticas ıticas de informaci i nformaci on o´ n (Adri´an, an, 2010).
Actividad de control Verificar erificar la existencia existencia de un protocolo protocolo de notificaci´on o n sobre el robo de equipos, que incluya, al menos: procesos procesos de informaci informaci´on o´ n para el notificador, plantillas para la notificacion, o´ n, formas de actuaci´ actuacion o´ n ante una p´ perdida e´ rdida de informaci´ on sensible y procesos disciplinarios si se detecta una brecha de seguridad. ¿El protocolo de notificaci´ notificacion o´ n se revisa, revisa, actualiza actualiza y comunica comunica peri´ periodicamente? o´ dicamente? ¿Existe un protocolo de respuesta ante incidentes que incluya, al menos: mecanismos de detecci´on, on, verificaci´ verificaci´on, on, contenci´ on, notificaci´on on y resoluci´on on del incidente? Tras un incidente, ¿se registran las actividades posteriores para establecer una base de conocimiento ante posibles incidentes futuros? ¿Existe ¿Existe un equipo adecuadamente adecuadamente dimensionado dimensionado para dar respuesta respuesta a los incidentes de fuga de informaci´ informacion? o´ n? Comprobar la existencia de indicadores de funcionamiento de los equipos de respuesta ante incidentes. ¿Existe un proceso de gesti´on o n de continuidad de negocio que permita permita minimizar minimizar el impacto impacto producido por la p´ perdida e´ rdida de activos de informaci´ informacion o´ n que incluya la identificacion o´ n de actividades activida des cr´ıticas? ıticas?
Fuente: ISO 27001
Repositorio de datos (Data at Rest) Una funci´on o n b´asica asica de las soluciones de DLP es la capacidad de identificar y registrar d onde o´ nde se almacenan tipos espec´ espec ´ıficos ıficos de informaci´on on a lo largo y ancho de la empresa. Esto significa que la soluci on o´ n de DLP debe tener la capacidad de buscar e identificar identificar tipos de archivo archivo espec´ espec´ıficos, ıficos, tales como hojas de calculo a´ lculo y documentos de procesamiento de texto, ya sea que est´en en en servid servidore oress de archi archivo vos, s, redes redes de area a´ rea de almacenamiento (SAN) o incluso puestos de trabajo de usuarios finales. Una vez encontrado encontrados, s, la soluci solucion o´ n de DLP debe poder abrir
Seguridad en los Equipos (Data in Use) Los datos en uso, uso, tambi´ tambi´en en conocidos conocidos como informaci´ informaci´on o n de los puestos de trabajo, tal vez sean el aspecto m as a´ s desafiante de la instru instrumen mentac taci´ i´on o n de un DLP DLP. Esto Estoss dato datoss se refie refiere ren n principalmente al monitoreo del movimiento de datos que se deriv derivaa de accion acciones es que ejecut ejecutan an los usuari usuarios os finales finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar informaci´on on a una impresora o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecut ejecutan an estas estas funcio funciones nes usando usando un progra programa ma de softwa software re conocido como agente, el cual en el caso ideal est´a controlado ´ por las mismas capacidades de administraci on o´ n de la soluci on de DLP central.
C ONCLUSIONES Podemos concluir que la presente investigaci´on on existen altos ´ en empr nive nivele less de fuga fuga de dato datoss de la info inform rmac aciion empres esas as publica u´ blicass o priva privadas das.. Aborda Abordarr este este proble problema ma requie requiere re una combinaci´ combinacion ´ de educaci on, ´ pol´ pol´ıticas ıticas y controles. Los empleados deben ser conscientes de los riesgos, pero quiz´as a s lo m´as as importante es que tienen que estar equipados con las estrategias para reducir este riesgo. Herramientas tales como como los filtros filtros de priva privacid cidad, ad, pueden pueden ayudar ayudar a recudi recudirr el riesgo riesgo de expos exposici´ ici´on o n de dato datos. s. Esto Esto limi limita ta el n´umero umero de ´ person personas as que puede puede ver ver la inform informaci aci´on. Sin embar embargo, go, los empleados empleados adem´as as de recibi recibirr las herram herramien ientas tas apropi apropiada adas, s, tambi´ tambien e´ n necesitan ser educados sobre los riesgos de la fuga de informaci´on on visual y luego ser incentivados a trav´es es de las pol´ pol´ıticas ıticas corporativas a utilizar estas herramientas.
´ R EFERENCIAS B IBLIOGR AFICAS ´ en Adri´ Adrian, a´ n, G. D. (2010). Prevenci on o´ n de Fuga de Informacion Empresas. Gallardo, A.G. (2016). Seguridad en bases de datos y aplicaciones web. Cobo Cobos, s, J. S. (17 (17 de Dici Diciem embr bree de 2006 2006). ). text textos os univ univer er-sitari sitariss de biblio bibliotec tecono onomia mia i docume documenta ntacio cion. n. Obteni Obtenido do de http://bid.ub.edu/17serra2.htm
´ ´ N, E-IS SN PRO SCIENCES: REVISTA DE PRODUCCI PRODUCCION, CIENCIAS E INVESTIGACIO SN: 2 58 58 88-10 00 00, VOL . 1 , N 2, S EP EPTIEMB RE RE 201 7, 7, PP. 15-20
Germain, C. d. (2015). Networking and Internet Technologies. Obte Obteni nido do de http http:/ ://b /blo logs gs.s .sal alle leur url. l.ed edu/ u/ne netw twor orki king ng-a -and nd-internet-technologies/auditoria-de-paginas-web-y-decodigo/#comments Samuel Ramos, Marc Morales, Juan Costa, Eduardo Lozano, Carolina Castejon. o´ n. (201 (2012) 2).. http: ttp:// //op opeenacc nacces ess. s.uo uocc.edu .edu/. /. Obte btenido nido de http://openaccess.uoc.edu/webapps/o2/bitstream/10609/9203/1 /web20servicios.pdf Trombetta, M. (2013). www.ie.edu.Obtenido www.ie.edu.Obtenido de/www.ie.edu: de/www.ie.edu: https://www.ie.edu/fundacion https://www.ie.edu/fundacion ie/Home/Documentos/Se ie/Home/Documentos/Seguridad guridad en la Info Inform rmac acii %C3 %C3 %B3n %B3n Retail Retail y GC Fund Fundac acii %C3 %C3 %B3n %B3n IE y Erns Ernstt & Young oung 2.pd 2.pdf f
20
