Ayer organizamos un evento para la “Proteger y salvaguardar la información en el sector público cumpliendo las normativas”, junto con otros 4 fabricantes.

Mi presentación estaba basada en la fortificación del puesto de trabajo y del correo electrónico para cubrir las principales vías de fuga/ trasmisión de datos y así cumplir con algunos puntos de la LODP.

La introducción por parte Héctor Sanchez NTO de Microsoft nos situó en una realidad donde la nube ha tomado gran importancia y la seguridad asociada a ella, ha tenido que evolucionar; por su parte CERES nos dio visibilidad sobre los diferentes certificados y tarjetas. Después de estos dos ponentes invitados,  Alcatraz Solutions nos introdujo en el mundo LODP, la importancia que tiene cumplirla y algunos puntos clave para lograrlo. Ahora me tocaba a mí:

La fuga de datos no es nueva: siempre ha existido el espionaje industrial, los empleados descontentos que roban información o las pérdidas accidentales de datos.

Sin embargo es cierto que hoy en día es un tema mucho más sensible, y que tanto los administradores como los usuarios han tomado conciencia de esta problemática. Sin duda el marco legal actual (LSSICE, LODP) ha ayudado al cambio, pero cuando pensamos en una política de seguridad, ¿debemos sólo pensar en cómo cumplir con la ley?

De acuerdo, la primera respuesta que nos viene a la cabeza es SÍ, pero si analizamos algunas de las preocupaciones con las que vive un responsable de seguridad en la actualidad y cómo pueden afectar a la fuga de datos, veremos que la consecuencia de una buena protección es cumplir con la ley:

5 Principales vías de fuga/transmisión de información:

Malware

Troyanos, spyware, keyloggers, todos estos malware tienen una sola misión, robar datos. Nadie tiene dudas sobre la importancia de protegerse contra esta amenaza a través de soluciones antimalware, sistemas anti call home para los troyanos, etc

Aplicaciones

Las aplicaciones de uso doméstico, además de ser un quebradero de cabeza para los administradores y un posible agujero de seguridad, pueden ser utilizadas para transmitir información, Skype, eMule, MSN, son aplicaciones comunes en los hogares, pero en los organismos son una amenaza a tener en cuenta.

Establecer políticas de uso de las aplicaciones en el puesto de trabajo, dependiendo del tipo de usuario y la información que maneja para así poder bloquearlas o borrarlas, es una solución para evitar la fuga de datos a través de este canal.

Dispositivos móviles

Aunque sea realmente muy complicado encontrar casos en España, la pérdida de USBs, CDs y portátiles es una realidad, los costes asociados a una de estas pérdidas son importantes, no sólo por las posibles sanciones si hay datos personales, sino por el daño que puede ocasionar a la imagen de la organización.

La respuesta para evitar este tipo de pérdidas es clara: en primer lugar controlar los datos que intentan ser copiados del puesto hacia dispositivos móviles. Una vez identificada y controlada la información que se deja copiar, ésta debería ser cifrada para así evitar un uso malintencionado en caso de robo o pérdida.

Correo electrónico

Sin duda, el medio por excelencia de transmisión de datos, tanto legítimos como ilegítimos.

Una vez más las dos medidas a tomar para evitar la fuga de información deberían ser controlar qué información está siendo trasmitida por email (tanto el corporativo como el personal) y en el caso de que se transmita información sensible, que ésta sea cifrada.

Redes Sociales

Esta es una problemática más complicada de atajar, lo primero es la educación al usuario, aunque parezca increíble las personas comparten información en las redes sociales que nunca compartirían en su vida “real”, a modo de ejemplo, la esposa del director del MI6

Si somos capaces de controlar estas 5 vías de fuga de información estaremos en una buena posición para asegurar que los datos privados y confidenciales de nuestras organizaciones están a salvo.

A mi todas estas medidas me recuerdan a 3 puntos clave en las medidas de seguridad propuestas por la LOPD:

Identificacion y autenticación

El RDLOPD establece que el responsable del fichero se encargará de la elaboración

de un listado actualizado de usuarios con acceso autorizado a los sistemas de información y por consiguiente, a los datos de carácter personal que tratan.

 En resumen, para esta medida de seguridad y sólo para ficheros automatizados, dentro del nivel básico se deben contemplar: la identificación y autenticación personalizada, el procedimiento de asignación y distribución de contraseñas, el almacenamiento ininteligible de las contraseñas y la periodicidad del cambio de contraseñas (< 1 año).

 En el caso del nivel medio, esta medida se ve reforzada, debido a la obligación de adoptar medidas que impidan el intento reiterado de acceso no autorizado al sistema.

 

Control de acceso

El responsable del fichero se encargará de fijar qué usuarios están autorizados a acceder a ciertos recursos.

Para ello, una vez identificados los usuarios, se han de establecer mecanismos para evitar que puedan acceder a datos o recursos con derechos distintos de los autorizados, asegurando la confidencialidad y disponibilidad de la información.

 

Gestión y distribución de soportes

Este punto pone especial hincapié en el  traslado de soportes o documentos que contengan datos de carácter personal fuera de los locales en los que está ubicado el fichero, deberán aplicarse todas aquellas medidas que imposibiliten su pérdida o deterioro.

La finalidad última de esta medida consiste en evitar que, ante cualquier incidencia que pueda producirse en la distribución de los datos o en el soporte que los contiene, terceras personas no autorizadas puedan acceder a la información y modificarla.

Telecomunicaciones

Habitualmente se utilizan redes de telecomunicaciones abiertas para transmitir ficheros y archivos. Para evitar que durante la transmisión de datos puedan producirse intercepciones o manipulaciones no deseadas de datos de carácter personal, deben utilizarse mecanismos de cifrado de los datos utilizando programas especializados, o transmitir datos a través de redes privadas, que garanticen que la comunicación entre dos puntos es segura y no pueda ser interceptada por terceras personas.

 

Podemos llegar a la conclusión de que si tenemos una política de fortificación del puesto de trabajo y del correo electrónico y, sobre todo, si somos capaces de aplicarla, podremos cumplir con 3 puntos clave de la seguridad en el LOPD utilizando soluciones que cualquier entidad tiene hoy en día instaladas como la protección Endpoint, correo electrónico y proxy de seguridad.

Después del Coffe Break cabe destacar la gran presentación, clara y concisa de Rames Sarwat de Smart Acces sobre el esquema nacional de seguridad, y las presentaciones de Acronis y Netgear.