Documentos de Académico
Documentos de Profesional
Documentos de Cultura
15-20 15
Resumen: El presente trabajo de investigación bibliográfico, trata sobre la temática de evaluar los riesgos que tiene la fuga de datos
en los sitios web en el Ecuador, con la aparición de la Web 2.0 tenemos referencia a üna supuesta segunda generación en Internet,
basada en servicios cuyos usuarios colaboran y comparten información online en nuevas formas de interacción social”(Trombetta,
2013), en los últimos años la fuga de datos ha aumentado, por motivos que ahora todos las empresas a nivel mundial manejan todo
su información a través de la web donde son almacenados en servidores, el objetivo principal de esta investigación es realizar un
análisis exhaustivo de la cantidad de información que es filtrada a través de la web. Evaluaremos la cantidad de fugas de información
que se produce en los sitios web en donde no debieran producirse. Para este estudio, se elegirá un sector como por ejemplo: La
banca, administraciones públicas en Ecuador, empresas de una determinada industria o Universidad, los cuales podrı́an arrojar
datos significativos. Una curiosa y pequeña fuga de información que muestra información del software que utiliza una compañı́a
tan sujeta a ataques del mundo y el fraude online, y que fácilmente se podrı́a evitar software y administrador especializados.
Palabras Clave—Fuga de datos, Web 2.0, Empresas ecuatorianas, Vulnerabilidad.
Abstract: The present work of bibliographic research deals with the theme of evaluating the risks of data leakage in websites in
Ecuador, with the appearance of Web 2.0 we refer to .an alleged second generation Internet based services whose users collaborate
and share information online in new forms of social interaction ”(Trombetta, 2013), in recent years the data leak has increased,
for reasons that now all companies worldwide manage all their information through the web where they are stored in servers, the
main objective of this research is to perform a comprehensive analysis of the amount of information that is filtered through the
web. We will assess the amount of information leakage occurring on websites where it should not occur. For this study, a sector
will be chosen such as: Banking, public administrations in Ecuador, companies of a certain industry or University, which could
yield significant data. A curious little leak of information that shows information from the software used by a company so subject
to attacks from the world and online fraud, and that it could easily be avoided specialized software and administrator.
Keywords—Data leakage, Web 2.0, Ecuadorian companies, Vulnerability
I NTRODUCCI ÓN Las empresas han adoptado por ofrecer sus servicios, sus
productos, su materia prima por la Web. Es una herramienta
se guarda el contenido de un sitio web. Este sistema permite Falta de encriptación y métodos de cifrado en las comu-
manejar de forma independiente por un lado la información nicaciones de la Organización (redes inseguras).
almacenada y por el otro el diseño de las páginas, de forma Inadecuada Gestión de Actividades relacionada con la
que, en cualquier momento, se puede dar un diseño nuevo al respuesta ante Incidentes relacionados con Fuga.
sitio web sin necesidad de dar formato al contenido, ya que es Accesos irregulares o no permitidos a información sen-
el CMS el que se encarga de realizar estos cambios. Además sible de la Organización.
permite controlar y dar permisos a las diferentes personas Repositorios y/o almacenes de Datos (Datawarehouse,
autorizadas para publicar información. Bases de Datos, File Servers, etc.) sin medidas de se-
Los primeros sistemas de gestión de contenido fueron desa- guridad adecuada para los accesos a los mismos.
rrollados de forma interna por organizaciones que publicaban Conductas inapropiadas o fraude por parte del mismo
gran cantidad de información en Internet (revistas digitales, personal interno de la Compañı́a.
periódicos, publicaciones en lı́nea, etc.). La primera organi- Ausencia de una adecuada Clasificación de la Informa-
zación en desarrollar su propio CMS fue el sitio de noticias ción de la Compañı́a (a menudo, este suele ser el factor
CNET, posteriormente creó la empresa Vignette mediante la más importante a considerar).
cual abrió el camino al desarrollo de los CMS comerciales. Las diferentes soluciones DLP que ofrecen ciertos provee-
En los CMS se crea un sistema jerárquico de roles en el cual dores, identifican, monitorizan y protegen los diferentes tipos
los redactores se encargan de escribir los artı́culos, los editores de información que nos podemos encontrar, es decir:
revisan y aceptan o rechazan la información escrita y, por Información en movimiento a través de la red (conocida
último, el editor principal publica los documentos aprobados como Data in Motion).
en el paso anterior (Samuel Ramos, Marc Morales, Juan Costa, Información almacenada en bases de datos y sistemas de
Eduardo Lozano, Carolina Castejón., 2012). ficheros (comúnmente llamada Data at Rest).
Existen multitud de CMS cada uno de ellos especializado Información en uso en los equipos (Data in Use).
en un determinado contenido, por ejemplo Foros, Blogs, Wi-
kis, Comercio Electrónico, Galerı́as Multimedia, etc. aunque Polı́ticas y Estratégias
también los hay de propósito general.
Dentro de los CMS podemos distinguir entre los de código La principal función de esta área, es relevar si existen o se
abierto y los comerciales encontrando, dentro de cada tipo, han desarrollado especı́ficamente procedimientos y polı́ticas
sus ventajas e inconvenientes. que den un marco de actuación a las áreas para tratar aspectos
En el caso de los CMS de código abierto la gran ventaja relacionados con la prevención de Fuga de Información, como
es que el código fuente está a disposición de cualquiera ası́ también conocer la estructura que dispone la Empresa para
con lo cual se pueden corregir los errores de una forma el tratamiento de la misma.
mucho más efectiva y desarrollar nuevas funcionalidades más Clasificación de la información
rápida y eficientemente, además se garantiza la continuidad
del mantenimiento de la aplicación a pesar de que el grupo o Clasificar la información no es sólo estampar un sello o marca,
empresa que se ha encargado del desarrollo desaparezca, en sino que implica además entregar un cierto nivel de protección
cambio, en el caso de los CMS comerciales normalmente los mediante unos controles de seguridad concreta que hay que
cambios tan sólo pueden realizarlos los propios desarrolladores aplicar a la misma, a lo largo de su vida útil y en cualquiera
según sus prioridades, aunque existen casos en los que se tiene de sus formatos.
acceso al código fuente mediante la adquisición de una licencia El responsable de establecer estos controles es el Propietario
adicional. de la información clasificada.
Otra gran ventaja de los CMS de código abierto frente a los Se debe clasificar la información realmente importante para
comerciales es su coste ya que, en la mayorı́a de los casos, el negocio, es decir, aquella cuya falta de seguridad tendrı́a
los primeros se encuentran disponibles de forma gratuita en impacto directo, económico, legal, estratégico, etc., en la
Internet sin necesidad de adquirir ningún tipo de licencias. actividad del mismo.
Asimismo, es importante mencionar que de acuerdo a la
Fugas de Datos en los Sitios Web naturaleza del negocio, algunas Empresas deben contar con
especial cuidado para el tratamiento de información sensible,
La Prevención de Fuga de Información (Data Loss Prevention con el objeto de evitar incumplimiento de las leyes vigentes.
– DLP), hace referencia a las actividades y mecanismos Una determinada información puede clasificarse en uno de
empleados para prevenir el uso no autorizado de información los siguientes niveles:
sensible de una organización. Se trata de controles preventivos
sobre qué datos están siendo accedidos o transmitidos, quién Reservada: Información de alta sensibilidad que debe ser
lo está utilizando, cómo se transmite y a dónde se dirige dicha protegida por su relevancia sobre decisiones estratégicas,
información. impacto financiero, oportunidades de negocio, potencial
En ese sentido, los principales factores de fuga de informa- de fraude o requisitos legales. Su manejo es nominal y
ción están asociados a: en grupo muy reducido de personas.
Pérdida o Robo de equipos portátiles que contienen Restringida: Información sensible, interna a áreas o
información de la Compañı́a. proyectos a los que debe tener acceso controlado un
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 18
Tabla 1. Actividades que permitirán valorar correctamente los domi- Tabla 2. Continua..Actividades que permitirán valorar..
nios
Objetivo de
N◦ AC Actividad de control
Objetivo de control
N◦ AC Actividad de control ¿Existe un programa de formación y
control
¿Existe una polı́tica que aborde la fuga de concienciación que establezca los
información e indique los mecanismos objetivos, alcance y acciones a
1.1 Formación y 1.19
para registrar, cifrar, informar y eliminar establecer para lograr una
concienciación
la información de la compañı́a? adecuada cultura de prevención
¿Existen acuerdos de confidencialidad de fuga de información?
que tengan en cuenta la posible fuga ¿Se realizan acciones y sesiones de
1.2 de información sensible y las formación para que el personal
1.20
Polı́tica y respuestas a las mismas conozca su responsabilidad
Procedimiento (en caso de producirse)? dentro de su ámbito de actuación?
¿Se controla el cumplimiento de los ¿Existe un código de conducta que
acuerdos de confidencialidad refleje los criterios de actuación
1.3 Código de 1.21
existentes, ası́ como de otras para el uso y las comunicaciones de
conducta
relaciones o acuerdos existentes? información en la organización?
¿Los contratos con terceras partes ¿Incluye el código de conducta las
incluyen acuerdos de confidencialidad medidas para la difusión, aplicación,
1.4 1.22 monitorización de su cumplimiento
e indican las consecuencias del
incumplimiento de dichos acuerdos? y las actuaciones frente a
¿Existen una polı́tica que regule el incumplimientos del mismo?
uso de cifrado tanto en el Fuente: ISO 27001
1.5 almacenamiento de la información
como en las comunicaciones usadas
para el envı́o de esa información?
¿Existen polı́ticas formales de departamento, miembros del proyecto, de un comité, etc.,
seguridad sobre el uso de información pero no toda la empresa, y que debe ser protegida por su
sensible en los dispositivos móviles
(protección fı́sica, control de acceso, impacto en los intereses de la empresa, de sus clientes o
1.6 asociados y empleados.
técnicas criptográficas, copias de
seguridad, protección ante virus, Uso interno: Información que sin ser reservada ni
eliminación remota de información
sensible,...)? restringida, debe mantenerse en el ámbito interno de
¿Existen polı́ticas formales que la empresa y no debe estar disponible externamente,
1.7 limiten el uso de software no excepto a terceras partes involucradas previo compromiso
autorizado?
¿Existen procedimientos sobre de confidencialidad y conocimiento del Propietario de la
1.8 misma.
el uso de ficheros o software externo?
¿Existen una polı́tica de privacidad Pública: Información cuya divulgación no afecte a la
1.9
y protección de datos personales?
¿Existe una polı́tica de control de empresa en términos de pérdida de imagen y/o económi-
acceso que tenga en cuenta ca.
aspectos como: requisitos de
seguridad de las aplicaciones, Tabla 3. Aspectos que deberán ser relevados para tener una razonable
alineamiento con polı́tica de
1.10
clasificación de la información,
garantı́a
segregación de roles, Objetivo de
legislación aplicable, N◦ AC Actividad de control
control
requisitos para las autorizaciones ¿Existe una polı́tica de clasificación
de accesos? de la información que establezca
¿Existen polı́ticas y procedimientos los niveles que corresponden a
1.11 que regulen el intercambio de 2.1
la información sensible y las
información? medidas a llevar a cabo para
¿Existen modelos de acuerdo con Clasificación de
conseguir su protección?
1.12 terceras partes que regulen el la información
Verificar la existencia de un
intercambio de información? 2.2 propietario explı́cito para la
¿Existen mecanismos para la información sensible.
1.13 eliminación y destrucción de Verificar que el propietario de
información sensible? la información sensible ha
¿Existe un órgano con autoridad 2.3
realizado la clasificación de
suficiente en la organización para la misma.
realizar una adecuada definición, Verificar el adecuado etiquetado
1.14 gestión, revisión y monitorización 2.4
Estructura de la información sensible.
de las iniciativas relacionadas Comprobar que el propietario
Organizativa
con la prevención de fuga de de la información revisa los
información? 2.5 permisos de acceso y
¿Dicho órgano incluye a todos tratamiento de dicha
1.15 los agentes relevantes en la información.
prevención de fuga de información? Verificar la existencia de reglas
¿Se mantienen reuniones periódicas de uso aceptable de la
1.16
o ante situaciones extraordinarias? información y la
¿Existen responsabilidades individuales 2.6
implantación de las mismas en
asignadas a cada uno de los miembros aquella información considerada
1.17 integrantes del órgano destinado a la como sensible.
Responsabilidades
gestión de la prevención de fuga de Fuente: ISO 27001
información?
¿Existen responsabilidades asignadas
a los diferentes grupos implicados en
1.18
lo que a la prevención de fuga de
información se refiere?
Fuente: ISO 27001
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 19
Una función básica de las soluciones de DLP es la capacidad R EFERENCIAS B IBLIOGR ÁFICAS
de identificar y registrar dónde se almacenan tipos especı́ficos
de información a lo largo y ancho de la empresa. Esto significa Adrián, G. D. (2010). Prevención de Fuga de Información en
que la solución de DLP debe tener la capacidad de buscar e Empresas.
identificar tipos de archivo especı́ficos, tales como hojas de Gallardo, A.G. (2016). Seguridad en bases de datos y aplica-
cálculo y documentos de procesamiento de texto, ya sea que ciones web.
estén en servidores de archivos, redes de área de almacena- Cobos, J. S. (17 de Diciembre de 2006). textos univer-
miento (SAN) o incluso puestos de trabajo de usuarios finales. sitaris de biblioteconomia i documentacion. Obtenido de
Una vez encontrados, la solución de DLP debe poder abrir http://bid.ub.edu/17serra2.htm
PRO SCIENCES: REVISTA DE PRODUCCIÓN, CIENCIAS E INVESTIGACIÓN, E-ISSN: 2588-1000, VOL. 1, N 2, SEPTIEMBRE 2017, PP. 15-20 20