CMOEVITARLAFUGADEINFORMACINCRTICA?

LASEMPRESASEXPERIMENTANCONSTANTESPRDIDASDESUSDATOSSENSIBLES Muchascompaassufrenlasconsecuenciasdefugadeinformacindesunegocio, incluyendobasesdedatosdeclientes,informacinfinanciera,planesestratgicos, frmulasydiseos,etc. Lasprincipalescausasdelaprdidadeinformacinson: Robodeequiposmviles Informacinenviadapormediosinseguros(correoelectrnico,mensajera instantnea) Usodedispositivosdealmacenamientoremovibles(memoriasusb,discosusb, grabadorasexternas,etc.) Destruccininseguradeinformacin(disposicindeequiposobsoletos, documentacinarrojadaalabasurasindestruir,etc.) Reparacindeequiposdecomputacinporterceros Faltadeconcientizacindelpersonal(quedivulgainformacin,contraseas,deja documentosconfidencialesensuescritorio,etc.) Sonpocaslasempresasqueabordanesteproblemaenformasistemticay estructurada. Eslasuyaunadeellas? COMOABORDARELTEMA? Robodeequiposmviles Lainformacincontenidaenlosequiposmviles(computadorasporttiles,PDA, telfonoscelulares,etc.),debeestarcifrada,deformatalquesicaeenpoderde terceroslamismanopuedaserleda.Existenmltiplesherramientas,algunas gratuitasyotrascomercialesparacumplirconesterequisito. Otropuntoimportanteesllevaracabounresguardodelosdatosenformaperidica, especialmenteantesdeefectuarviajes. Tambinesposibleincorporardispositivosdeseguridadfsicos,queasegurenlos equiposodisparenalarmasencasodehurto. Informacinenviadapormediosinseguros Muchasempresasutilizanaplicacionesdemensajerainstantneaparamantenerse comunicadoscontrabajadoresremotos,clientesyproveedores.Elusodeestecanales

muyvariado,llegandoalintercambiodedatosespecficosdeproductos,listasde precios,einclusoconcretaroperacionesdecompra,venta,solicituddeservicios,etc. Sinentraraconsiderarlosaspectoslegalessobrelasoperacionesyvnculosquese generanparalaempresaatravsdeestemedioinformal,espontneoycarentede estructurayprocedimientos,esnecesariotomarconcienciadequemsdel80%dela mensajerainstantneaesrealizadosobreserviciospblicos,comoMSN,YAHOOy AOL. Muchopeorsiconsideramosquelasconversacionesporestosmediospuedenser grabadasporotrosusuarios,yparacolmodemales,losregistrosdeestos intercambios(nicomediodeverificarlasoperacionesrealizadas),debenser mantenidosenformatotalmenteinseguraysinningntipoderespaldo. Porotraparte,estasaplicacionesrequierenlaaperturadeuncanalatravsdelos dispositivosdeseguridaddelacompaa(porejemplolosfirewalls),ysonutilizados pormuchosatacantesparaidentificarlasdireccionesdeInternetdelaempresa, posibilitandofuturosataques. Todasestasconsideracionesestnllevandoaquelasempresasprohbanasus empleadoselusodeestamensajera,canalizandoloqueesrelativoalgirodelnegocio atravsdelcorreoelectrnicodelaempresa,loquesibienesunamejora,enmuchos casossloconstituyeunmalmenor. Efectivamente,sielcorreoelectrniconoseencuentraaseguradoentodosu recorrido,desdequeesescritohastaqueesrecibido,correelriesgodeser interceptado,ledoeinclusomodificado.Porelloesnecesarioquelaempresaasegure elcircuitocompleto,incluyendolasformasenquelosusuariosaccedenalaredyal serviciodecorreo,laformadecifradodelmensajeyeldebidoresguardodelos archivosconloscorreosenviadosyrecibidos. Usodedispositivosdealmacenamientoremovibles Sindudaqueunodelospilaresdelaseguridadeslarestriccinalaccesofsico.Desde siempre,cualquieratacantequeaccedieraaunservidoroaunacomputadorapuede vulnerarcasitodoslosmecanismosdeseguridadquesepuedanestablecer. Hastanohacemuchosinembargo,parasustraerunbuencaudaldeinformacinera necesarioqueelintrusoseapropiaradeundiscorgidodeunequipoenuso,odeun mediodealmacenamientomasivo,comoserunacintadebackup.Delocontrario, debaconectarsefsicamenteaunequipooaunaredydedicaruntiemposustanciala lacopiadedatos. Hoyenda,lasfacilidadesdeconexindedispositivosalospuertosUSBdelosequipos hatiradoportierralasprecaucionestradicionales,ynopensemossloenlas memoriasopendrives,sinoendiscosexternosplug&play,quepuedenalmacenar 160Gygabytesdeinformacinsinsiquierarequeririnstalacin,contamaosdeapenas centmetrosyconvelocidadesdetransferenciadevarioscientosdemegabytespor segundo. Asimismo,eltomarconciencianobasta,dadoqueenlamayoradeloscasosnoes posibledeshabilitarcompletamentelosdispositivosUSBdelasestacionesdetrabajo,

dadoquemuchossonutilizadosparaconectarperifricoscomoimpresoras,teclados, mouseeinclusoparasincronizarPDAsocelulares. Lasolucingranularpasaporinstalaraplicacionesquepermitancontrolarelusode estospuertosdeconexinenformadiscriminada,porusuarioypordispositivoa conectar. Destruccininseguradeinformacin Paradjicamente,muchadelainformacinsensiblequesefugadesdesuempresalo haceatravsdesubasuraodeladisposicindeequiposobsoletos. Sesorprenderaalsaberquemuchaspersonasobtienenimportantesingresosapartir delainformacinqueextraendelasbolsasderesiduosdelasorganizaciones.Incluso hayquienespaganalpersonaldelimpiezaparaquelesentreguecualquierinformeo documento(inclusofacturasyrecibosasualcance)quepuedaextraerdurantesu labor. Sibienmuchasempresashanimplementadomtodossegurosdedestruccinde papeles,noocurrelomismoconlosdatosquesealmacenanlgicamente,locual sucedeprincipalmentepordesconocimientodelaformaenquesealmacenayborrala informacinenundiscorgido.Veamoselprocesohaciendoabstraccindetrminosy precisionestcnicas: Lainformacinsegrabaenlosdiscosendospartes,laprimera,unndiceconlosdatos delarchivoysuubicacin;lasegunda,conteniendolainformacinens,yaseaen formacontinuaoendistintasparteslibresdeldisco.Cuandodecidimosqueesa informacinnoesdeutilidadylaborramos,porejemplodesdelaventanadel exploradordeWindows,elsistemasimplementeprocedeamodificarelndice, mostrandoqueelespaciodondeestcontenidalainformacinestvaco.Sin embargo,losdatospermanecernsinmodificarsehastaqueseansobreescritosporun nuevoarchivo,locualabreunaventanadetiempohastaqueelloocurre(einclusosiel nuevoarchivoesmspequeo,nosernsobreescritosensutotalidad). Quierepreocuparseanms?Elformateorpidodeundiscohaceexactamenteesta mismaoperacindeborradodendices,einclusodespusdeunformateodedisco completo(quereescribecerosentodoeldisco),esposiblerecuperarinformacin anterior. Paraestarsegurodequesehaborradolainformacintienedoscaminos:la destruccindeldisco(porejemploladesmagnetizacin)olautilizacindeprogramas deborradoespeciales,quereescribeneldiscoenformacompletayaleatoriaentre7y 35veces(elestndaractualmsaltodeseguridad). Sloparaejemplificar,recordamoselcasodepblicoconocimientodelestudio desarrolladoporalumnosdelInstitutodeTecnologadeMassachusetts(MIT),que adquirieron158discosrgidosenunsitiodesubastasonlinedeInternet,yutilizando softwareampliamentedisponiblepararecuperacindedatos,reconstruyeronla informacinde68deesosdiscos,obteniendomilesdenmerosdetarjetasde crdito,datospersonalesyfinancieros,ficherosmdicos,archivospersonalesde emailyabundantepornografa.

Recuerdeestosdatoslaprximavezquedecidaentregarasusempleadoslosequipos viejos,odonarlosovenderlos. Reparacindeequiposdecomputacinporterceros Silarecuperacindedatossupuestamenteborradosleresultpreocupante,conesta nuevaperspectivapienseenelriesgodelosequiposentregadosaserviciotcnico parasureparacinfueradesuoficina. Enestecaso,suinformacinleesentregadaaunterceroquenonecesitanisiquiera aplicarherramientasespecialespararecuperarlosdatos,einclusopuedereemplazar sudiscoporunonuevosinquenadieensuempresaloadvierta. Sonmuypocaslasempresasqueexigenalmenosunconveniodeconfidencialidada susproveedoresdeserviciotcnico. Desconfeinclusodelasincreblesofertaspararenovar/canjearsuparquedePC,para reparargratuitamenteelequipamientoactualacambiodeotroservicio,sobretodosi elequipodebeserretiradodesuoficina,yespecialmentesiustednotienesuficientes referenciasdesuproveedor. Sinoleasustalasensibilidaddelainformacinquealmacenaensuequipo,piensesile agradaraquealguienobserveocopiesusfotos,olasreenveaunsitiodeInternet. Faltadeconcientizacindelpersonal Detodosloseslabonesqueconstituyenlacadenadeseguridad,sindudaelmsdbil eselhumano.Sibienexisteunafuertemsticaalrededordelosconocimientosdeun hacker,enmuchoscasoselpenetrarenunsistemanorequiereconocimientos tcnicos.Laexplotacindelasdebilidadeshumanaseslaprincipalvadeataquealas organizaciones,ysehandesarrolladomuchastcnicasparavalersedeella.Este conjuntodetcnicasseconocecomoingenierasocial. Lastresgrandesdebilidadesson: Curiosidad Ambicin Ingenuidad Laprimeradeellas,lacuriosidad,llevaadescargaryejecutararchivosdeorigen desconocido,ingresarensitiospotencialmentepeligrosos,instalarprogramaspara obtenermejorasenrendimientoopresentacin,etc. Laambicineselprincipalmotordemuchasestafas,queconlapromesadeobtener sumasincreblesdedineroexigeentregardatospersonalesyfinancieroseincluso algnaportemonetario. Porltimo,laingenuidaddelagentealrecibirllamadostelefnicosquesolicitandatos personalesoblanqueodecontraseas,elrespetoporlasautoridadesylosuniformes (incluidolostrajes),etc.

Todasestasflaquezashumanas,sumadasaalgunasotras(faltadecompromisoode inters,faltademotivacinodeconocimiento),componenlosprincipalesportalesde ingresoparalosataquesquesufrenlasorganizacionesactualmente. Lospasosnecesariosenestareasonlaelaboracindepolticasdeseguridadenla organizacin,queincluyanlasresponsabilidadesdecadaunodelosindividuosquela componen,suadecuadacomunicacinatodoslosnivelesyunacapacitacincontinua atodoslosusuarios,queincluyaunadescripcindelossucesosmscomunesque comprometenlaseguridaddelaempresaydesuinformacin,yelroldelosusuarios enladeteccinyreportedeestossucesos. Sidesearecibirmayorinformacinsobreestostemas,contcteseconnosotros rpresa@horwath.com.ar