El conocimiento es poder. Por ello, las empresas “intentan” proteger su información más valiosa. La continuidad del negocio y de la compañía dependen de ello. Digo “intentan”, porque no es nada, pero nada evidente conseguirlo, debido a los avances de la tecnología y la popularización del Internet.
En referencia a esta información (activo) de la empresa, existen varias clasificaciones al respecto. Podemos hablar de información pública, sensible, confidencial, privada, etc. En todos los casos, se trata de evitar que esa información de valor salga de la compañía. Esto se conoce como DLP (Data Loss Prevention).
Esta fuga de información puede producirse por personas ajenas a la compañía o por sus propios empleados, bien sea por desconocimiento o bien con otros fines.
Una herramienta DLP se encarga de monitorizar/hacer el seguimiento del movimiento de esa información de valor para evitar la fuga de la misma. Normalmente, suelen alertar al usuario (empleado) que la acción que va a realizar no cumple con las normas de seguridad de la compañía. Otras veces, no alerta al usuario, pero impide que se realice dicha acción. Existen varias opciones al respecto.
¿Cuáles son esas vías de fuga de información?
Correo electrónico, mensajes SMS, dispositivos USB, servicios de almacenamiento en la nube (internet), video llamadas, etc…
Un ejemplo puede ser el siguiente: Un empleado de la empresa accede al plan estratégico de la compañía y lo envía por correo electrónico a un amigo.
Otro ejemplo puede ser, un empleado de una compañía aeronáutica se descarga al USB los planos de uno de los aviones que la empresa construye. Ese USB, por las razones que fuera, se pierde y cae en manos de terceros.
Estos dos ejemplos podrían haberse solucionado mediante una herramienta DLP.
¿Ahora bien, que pasa si el empleado de la compañía aeronáutica, hace una foto con su móvil personal a los planos del avión y lo envía por correo electrónico? Poca cosa puede hacer la empresa en este caso.
Herramientas DLP
Para evitar la fuga de información, lo primero de todo es clasificar la misma (Asset Classification). Esta clasificación puede realizarse a través de soluciones manuales, o bien a través de soluciones automatizadas, siendo estas últimas más propensas a falsos positivos. Una vez clasificada la información, la herramienta DLP permitirá o no, que salga al exterior.
Información de salud, datos genéticos, tarjetas de crédito, DNI, número de la seguridad social, , política de seguridad de la empresa, nombre de empleados, auditorías internas, documentos de recursos humanos o financieros, plan estratégico, etc…son activos a proteger.
Las herramientas DLP “aprenden” sobre la tipología de los documentos y su confidencialidad, y cómo los empleados de la empresa interactúan con ese contenido, con el fin de aumentar su efectividad en la prevención de fugas de información.
La solución DLP adoptada por la compañía debería de proteger al menos, los equipos, el almacenamiento y la red.
Teletrabajo y la fuga de información
Si conectado a la red corporativa (estando en la oficina) existe la posibilidad de fuga de información sensible para la empresa, estando teletrabajando, casi seguro existirá más… ¿Por qué?
Cuando estamos en la oficina, normalmente existe “algo” en las instalaciones de la empresa, que impide que la información sensible viaje desde el ordenador del empleado a Internet. Esto se conoce como servicio “on-premises”. Este “algo” o “Herramienta DLP”, analiza los documentos que el usuario sube a Internet y si detecta ciertos patrones, evita la fuga de los mismos.
Si el usuario no está en la oficina, ese servicio “on-premises”, no existe, por lo que podría subir esa información a Internet. Si ese “algo” estuviera en la nube (cloud), sí sería posible evitar dicha fuga.
Tanto trabajando desde la oficina como desde casa, tanto si existe o no una solución DLP, el empleado debería de tener en mente algunas buenas prácticas, tales como:
- Aunque esté permitido el uso de dispositivos externos, evitar usar los mismos. En caso de usarlos, asegurarse que el contenido de los mismos está cifrado. Las compañías deben de proporcionar al empleado información al respecto.
- Evitar enviar información sensible por correo electrónico. En caso de su envío, asegurarse que existe alguna solución empresarial que proteja de alguna forma la misma.
- Intentar utilizar protectores de pantalla en sitios públicos, para evitar que terceras personas puedan ver cosas que no deben.
- Evitar el uso de servicios en la nube para almacenar / compartir información, salvo aquellos permitidos expresamente por la compañía.
¿Qué es un ransomware?
Aunque no es el foco de este post, destacar los ataques informáticos frecuentes en estos últimos meses de un malware o “bicho informático” de tipo “ransomware”. El objetivo de este bicho es cifrar esa información (activo) de la empresa, para que no sea legible. A continuación, el atacante solicita un rescate (dinero) para descifrar esa información y que la empresa pueda acceder a la misma.
