lunes, diciembre 22, 2008

DLP vs fugas de información

Ultimamente, en el curro tengo que aprender cositas nuevas y recordar a los usuarios y/o jefes todo tipo de normas de seguridad.

Esta mañana me he encontrado con un post en Security by DEFAULT, en el que se habla de la pérdida de información y como se puede implementar un proceso que lo prevenga. (DLP)

Formas comunes de llevar a cabo fuga de datos con mejor o peor fe:
  • Envío de información hacia el exterior mediante mensajes de correo electrónico (en general se suele utilizar soluciones de cifrado para evitar que el contenido pueda verse en texto claro). Esto puede hacerse mediante el propio servidor de correo dentro de la organización (hay que ser muy inconsciente para hacerlo así) o con webmails (Gmail, Hotmail, Yahoo,...) vía HTTPS de manera que vaya cifrado el tráfico y no se pueda interceptar por el camino si la comunicación es directa entre cliente y webmail
  • Utilizar protocolos estándar de transferencia de ficheros (FTP). Enviar los ficheros con información confidencial a servidores externos
  • Utilización de las capacidades de envío de ficheros mediante mensajería instantánea (MSN, Google Talk, Yahoo Messenger)
  • Puertos USB habilitados en los PCs corporativos de las organizaciones. Dada la suerte de diversos dispositivos de almacenamiento extraibles que existen (cámaras, pendrives, discos duros externos,...) es un gran problema para las organizaciones tenerlos activos (aunque hay ocasiones que es necesario y práctico por lo que no se deshabilitan por defecto)
  • Exceso de confianza en los propios empleados con ordenadores portátiles corporativos. Dentro de esta categoría podemos incluir muchos tipos de riesgos: robos, olvidos en lugares públicos, instalación de software externo a la organización que pueda contener malware en cualquiera de sus formas, mala configuración de las políticas de seguridad de red de los mismos, etc,...
  • Utilización de software de descargas Peer-to-Peer (P2P ) y sus capacidades de compartir carpetas con información confidencial (recordemos que por ejemplo Emule te sugiere compartir todo el contenido de tus discos duros por defecto en el momento de la instalación). De esto ya se habló en SbD
  • Impresoras: si la información se puede imprimir y llevar en papel también es un riesgo a tener en cuenta
Es decir, que si estás en una organización en que la información que se maneja es prioritaria para el buen funcionamiento, capa todo lo que puedas...

No hay comentarios: