Data Loss Prevention. Fuga y pérdida de datos no son soluciones sino riesgos

Aquellos que llevamos muchos años protegiendo la información corporativa e investigando incidencias de fuga de información lo tenemos claro. No todo está detrás de un teclado en materia de secuestro de información, pérdida de datos y prevención de dichos eventos.  A pesar de ello, los esquemas de incidencia, los eventos no esperados, las acciones de las personas y el entorno no dejarán jamás de cambiar de forma sorprendente.

Básicamente hay que diferenciar tres elementos clave para determinar una incidencia de fuga de información:

Entorno: La evidencia de investigación no siempre está en un directorio, un equipo o un archivo. El entorno de fuga de información está compuesto por un conjunto de características de personas, la cultura empresarial, los medios y tiempo en que se desarrolla el proceso de fuga. En la evaluación del entorno podemos encontrar las relaciones de confianza, la segregación funcional, los sistemas de comunicación y un largo etcétera completado por las medidas de control puestas en marcha para la prevención de fuga de información.

Valor de la información:  No todas las fugas de información son importantes ni es posible prevenir el 100 % de los casos. No es lo mismo que se lleven unos resultados empresariales antes de cierre de ejercicio cuando la situación financiera es adecuada que cuando no lo es. De una manera sencilla, el valor de la información tiene una cotización dependiendo de la clasificación de la información que pudiéramos realizar más el impacto que significaría dicha fuga de información a nivel corporativo. Por lo tanto, la clasificación no es un elemento estático al que recurrir sino que proporciona el valor de impacto en caso de fuga dependiendo de un conjunto de criterios asociados al momento en que se produce, la estrategia empresarial y el valor en mercado negro (habitualmente a través de Dark Web). Existen más criterios para determinar el valor de información pero, desde luego, la categorización debe de adaptarse a la realidad del propietario de la información.

Motivación: La fuga de información corresponde a una motivación, racionalización y un esquema de vulneración. Uno de los problemas que suele aparecer en las investigaciones de fuga de información es que no se realiza dicho análisis desde una perspectiva plural y relacionada con la motivación y suele centrarse en la determinación del esquema en uno de los entornos. Es por ello que cuando hablamos de fuga de información basada en sistemas de información puede dejarse de lado el resto de elementos que constituyen la visión global del incidente. Si perdemos ésta perspectiva global, difícilmente podríamos adoptar medidas correctoras o preventivas que respondieran a una situación similar.

Hace relativamente poco tiempo se ha dado un caso de fuga de información corporativa en Tesla, y sabotaje interno por parte de miembros del equipo que, presuntamente, pudo afectar a varios elementos del sistema de información y, por tanto, a las operaciones y proyectos del gigante Tesla .

No es un caso aislado sino que gran parte de los incidentes no salen en prensa o directamente se ocultan para evitar el desprestigio que representa. El impacto reputacional de la fuga de información es tan alto en nuestros días que puede obligar a las empresas a verse en el camino del más absoluto fracaso.

Gigantes como Facebook han tenido que responder y continúan enterándose tarde, mal o nunca de la fuga de información, a pesar de tener medidas de protección que pudieran ser la envidia de empresas de importancia.

No todo es un desastre. El valor de la información no es estático. Sin duda, a pesar del impacto reputacional (indicador de prioridad para medir el valor de la información), no toda la información corporativa es confidencial o el valor de mercado una vez extraído de la empresa tiene tanta importancia. ¿Le importa realmente a un gigante de las redes sociales que exista una brecha de información sobre usuarios? ¿Eso va a parar su negocio?

El caso de Ashley Madison ha terminado con una indemnización a los usuarios de 3.500 USD. Sin duda el valor de impacto ha sido mucho menor de lo esperado y el negocio continúa funcionando.  Decía el eslogan para los usuarios “Life is short. Have and Affair”. La privacidad no es el elemento clave de determinación del valor de la información para este proveedor de redes sociales. Si fuéramos capaces de averiguar los algoritmos que hay detrás de las vinculaciones de usuario, es probable que tuviéramos un valor muy alto entre manos. Tampoco parece que la disponibilidad e integridad sean criterios válidos para determinadas empresas. A pesar de los avances legislativos en materia de privacidad a nivel europeo a través del Reglamento General de Protección de Datos (RGPD) estamos demasiado lejos de los avances en el campo de las capacidades de brechas de información

A mi humilde entender, a pesar de las grandes diferencias de criterio, el marco reputacional no es más que parte del entorno donde se produce la fuga de información. Así pues, la reputación no es el criterio único para determinar el valor de la información. Gran parte de las medidas de protección de información se han diseñado desde un marco exclusivamente reputacional creando un error en cascada a la hora de la determinación de las medidas necesarias de protección de información y generando que la exfiltración de  datos pueda realizarse “con cierta alegría” sin tener en cuenta el valor presente y futuro de dicha información.

Al final del juego, lo más interesante es conocer lo que podemos hacer para la prevención de fuga de información pero dichas medidas son inadecuadas cuando los activos a proteger son incorrectamente categorizados a nivel de riesgo por criterios que no dan un estado de situación a nivel de escenario de riesgo.

Análisis de Riesgos
La parte principal donde deberíamos incidir en la fase inicial es en determinar los tres parámetros de análisis (entorno, valor y motivación) y cuantificar el riesgo de fuga de los activos. Si somos capaces de generar un sistema dinámico de análisis veremos que dicho valor tiene una cotización a lo largo del tiempo por lo que las medidas deberían tener flexibilidad y adaptabilidad, como sucede en otro tipo de vulneraciones.

Crear una gran frontera entre lo confidencial y público es un error conceptual en nuestros días porque el nivel de movilidad, los criterios de disponibilidad y acceso. Algo confidencial que sabe todo el mundo, ¿es confidencial o ha dejado de ser confidencial? La velocidad de fuga de datos al entorno disponible desde el espacio OSINT es exponencial.

Escenario de riesgo
Se atribuye a Winston Churchill la frase “Mejorar es cambiar; ser perfecto es cambiar a menudo“.

No es patrimonio exclusivo de las nuevas tecnologías precisamente la generación de escenarios de riesgo. Determinar dichos escenarios es lo que nos puede permitir generar ese conjunto de medidas no lineales sino adaptadas a las necesidades de cada momento, de esa manera determinar las medidas necesarias en cada momento. Las situaciones de crisis se vencen con resiliencia y mejora continua, no con aceptación de impacto reputacional.

Medidas de contingencia y mitigación de riesgo (soluciones)
La mejor solución será, sin duda, la adaptada a su organización. No es solo tecnología sino método, organización y personas junto a una visión clara de los objetivos a proteger. Habitualmente se piensa en soluciones estándar de “Data Loss Prevention” y resulta un peligro importante a considerar para la organización. Lo mismo sucede en otras “aplicaciones” y “soluciones”.

No elija una solución sin realizar un análisis previo. Es igual que presentarse para correr un maratón sin prueba de esfuerzo ni entrenamiento adecuado.

Suele pasar que las organizaciones se “automedican” con soluciones comerciales. Está claro que no es el proceso más adecuado para su organización. ¿Ha evaluado el riesgo y las contraindicaciones?

Parte de las soluciones tecnológicas DLP (Data Loss Prevention) trabajan en la determinación de un conjunto de medidas preventivas y reactivas sobre potenciales incidentes (recursos, disponibilidad, diccionario de palabras clave, marcado y etiquetado de activos, comportamientos determinados como potencialmente peligrosos, etc.). El mercado proporciona una variedad muy generosa a la hora de adaptarse a nuestra realidad. Las soluciones tecnológicas, en realidad, son un punto de apoyo en los programas de prevención de fuga de información donde el valor debería de estar en el riesgo. Automedicarse puede ser muy perjudicial para la salud de la información de su organización.

Todas las soluciones comerciales aparentemente están muy bien en un nivel de madurez organizativo en materia de seguridad de la información con cierta consistencia. ¿Por qué no empezamos por la formación y concienciación? Seguro que tenemos un campo de mejora muy importante y que puede garantizar una mejora exponencial en la exposición al riesgo. Aprendamos del Capítulo 13 del Arte de la Guerra de Sun Tzu nos deja una frase enriquecedora:” Si no se trata bien a los espías, pueden convertirse en renegados y trabajar para el enemigo”.

Otro elemento clave muchas veces olvidado es aprender de los errores propios y del entorno. El análisis de los incidentes permiten áreas de aprendizaje organizativo muchas veces olvidado porque las medidas de protección son lineales. Aprendamos de Winston Churchill a ser “perfectos”.

Pérdida y Fuga de Datos
Les dejo una reflexión como cierre.
¿Es lo mismo perder las llaves de su casa que se las hayan robado? Cuando las ha perdido, ¿se las han robado?


(N.d.E.: Ahora sí. Con este artículo, Security Art Work cuelga el cartel de “Cerrado por vacaciones” y se despide hasta el próximo mes de septiembre. Desconecten, disfruten, recarguen pilas, y les esperamos a la vuelta.)