Uno de los temas de mayor interés en las últimas semanas ha sido sin duda el de la fuga de información, en base a los sucesos protagonizados por Wikileaks y todo lo que trajo a colación. Sin embargo, es interesante destacar que el tema no es nuevo para la industria de la seguridad de la información, solo que hoy en día es mucho mas difícil evitarlo en las mesas de discusión sobre la privacidad y la confidencialidad en las empresas y también en el ámbito personal.
Podemos separar en principio el tema en dos grandes ramas, la primera relacionada con la tecnología, y la segunda con las personas. Para la primera existen innumerables mecanismos, conocidos con distintas siglas, entre las que se encuentran de manera un poco confusa: Data Loss Prevention (DLP), Data Leak Prevention (también DLP), Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) y Information Protection and Control (IPC).
Estas tecnologías no funcionan solas, sino que deben ser minuciosamente configuradas, para lo cual se requiere previamente conocer el valor de la información, que se obtiene luego de realizar un estudio de valuación de activos, de manera que se sepa cuánto valen los activos que se desean proteger. Esta es la razón por la cual muchas empresas sencillamente no pueden disponer de un sistema que técnicamente proteja contra la fuga de información, dado que no tienen realizado un estudio que determine el valor de sus datos. Más allá de esto, la información se debe clasificar en función de su nivel de requerimientos de confidencialidad, integridad y disponibilidad, cosa que también ayudaría a implementar un sistema como los mencionados. Evidentemente es difícil encontrar este nivel de madurez en las empresas pequeñas y medianas, pero en las grandes compañías y organizaciones no suele ser opcional, por lo que son las mejores preparadas para enfrentar problemas relacionados con estos procesos previos.
En cuanto a las personas, es necesario incluir procedimientos mediante los cuales se garantice que el uso de los activos de información es efectivamente auditado y que es posible generar registros (logs) de las acciones importantes que se hayan determinado, que si bien es un proceso técnico, implica un conocimiento de los individuos respecto a su grado de responsabilidad en lo que realizan dentro de una empresa. Esta vinculación entre las personas y sus acciones evita en gran medida la fuga de información, ya que en caso de filtrarse hacia el exterior de la organización, se señalaría de manera directa a todos aquellos que tienen acceso y se podría analizar el uso que se le dio antes del incidente, obteniendo posibles conclusiones y responsables. Todo lo antedicho está incluido en la implementación de normas de seguridad de la información, como serie la ISO 27000.
Una técnica descrita por Tom Clancy en su novela Juego de Patriotas para detectar la fuga de información, implica proporcionar a las distintas partes datos sensiblemente diferentes, de tal forma que si la información se filtra, se pueda detectar fácilmente, determinando a quién se le había dato esa versión de la misma. Una genialidad bautizada trampa para canarios que muchas empresas y organismos llevan a la práctica.
Por otra parte, la información a proteger ya no se encuentra centralizada, sino que acompaña a la gente en muchas ocasiones, como lo señalábamos en el artículo de seguridad en la era de la conectividad. De esta forma, aparecen datos en uso, en movimiento, y almacenados, cada uno de los cuales requerirá medidas y tratamientos diferentes.
Pongamos un ejemplo: una persona recibe un documento con información confidencial, al que por su nivel jerárquico tiene permitido acceder, lo imprime y lo deja olvidado sobre una mesa de una oficina. Si alguien encontrara este papel, se haría de dicha información confidencial, en tanto que la persona no sería en principio acusada, ya que hay muchas otras que poseen acceso a ese documento. Ahora bien, si por procedimientos definidos en la política de seguridad de la organización, dicho documento incluyera de manera automatizada el nombre de la persona que lo envía a la impresora, la situación cambiaría, y probablemente el desmemoriado individuo del ejemplo no vuelva a cometer el error de dejar en cualquier parte un documento, porque de lo contrario sería identificado.
En síntesis, la fuga de información puede darse de manera espontánea, ya sea por error u omisión, o bien de forma deliberada, con la intención de filtrarla a través de los canales de la empresa. Para lo primero es mas factible automatizar soluciones y prevenirla, para lo segundo es muy complicado pero no imposible. En cualquier caso, queda claro que hay un punto en el que la organización no puede controlar todo, y es allí donde deberá confiar en sus recursos humanos.
Federico Pacheco
Education & Research Manager