1. Entel Security & Risk Management
Securización del puesto de trabajo y DLP
Ramsés Gallego
CISSP, CISM, SCPM, ITIL, COBIT Certified
Director General - Security & Risk Management
rgallego@entel.es
2. Algunas ideas a tratar hoy
• Hay información que se pierde o es robada
CADA DÍA
Si no toda la información es creada igual, ¿porqué
tendemos a protegerla igual?
Aproximaciones de la industria para la
securización del puesto de trabajo y DLP
3. Definiciones
• ¿Qué es seguridad?
• ¿Qué es riesgo?
• ¿Cómo valoramos la…
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
…de la información?
4. La importancia de mitigar el riesgo
• La percepción de riesgo es diferente para cada persona
• Las 4 posibilidades de acción con el riesgo:
• Transferirlo
• Obviarlo/Aceptarlo
• Terminar la actividad
• Tratar el riesgo con contramedidas
Todos los proyectos de ENTEL SRM están
enfocados a la mitigación del riesgo
5. Visión y estrategia
(IAM) (SM)
(TM)
Gestión de
Gestión de Gestión de la
la seguridad
amenazas identidad y acceso
Securización de
la navegación y
Auditoría y
Autenticación
el correo
Compliance
Autorización
Administración
Gestión del
contenido
Secure
Secure Platform
Secure Access
Messaging
ENTEL SERVICE MODEL
6. La pérdida de datos podría ser el
siguiente ‘desastre’ corporativo
Crecimiento de Regulaciones de Coste corporativo y de
dispositivos móviles privacidad imagen pública
USB
Unidades Memory
Sticks
vendidas
BlackBerry
SmartPhone
+
Palm/Treo
PocketPC
Laptops
Desktops
1995 2000 2005 2010
La protección de datos es la prioridad
número 1 para los CISO
Encuesta de Merrill Lynch 2007 CISO
7. Creciente presión de cumplimiento
normativo
US Government
• Crecimiento en número de OMG Initiative US Senate Bill 1350
(USA) Proposed
regulaciones y complejidad
(USA)
Data Protection Act
(Japón) California SB 1386
• Se requiere comunicación a las (USA)
Sarbanes- Oxley
(USA)
autoridades en caso de pérdida de Government Network
Security Act
información (USA)
Gramm-Leach-Bliley
(USA)
Data Protection Act
• La pérdida de la propiedad
(UK)
HIPAA
(USA)
intelectual, información clasificada y GISRA
(USA)
Directive on Protection
robo en general es una preocupación of Personal Data
(EU)/LOPD (España) Datenschutz
creciente (Alemania)
8. Mayor demanda de acceso móvil a
la información
Crecimiento exponencial de
• La información se mueve más allá del dispositivos móviles
perímetro corporativo
USB
Memory
Unidades
• La capacidad de almacenamiento crece Sticks
vendidas
mientras los dispositivos ‘decrecen’ en
tamaño BlackBerry
SmartPhone
• Avances en la tecnología móvil permiten Palm/Treo
PocketPC
producir mejores y más potentes
Laptops
dispositivos
Desktops
1995 2000 2005 2010
9. Comprendido el riesgo: el valor de
los datos
147 EUR
980-4.900 EUR
Certificado de
Troyano que roba
nacimiento
información
98 EUR
490 EUR
Nº de Seguridad Soc.
Tarjeta de crédito
con PIN
6-24 EUR
78-294 EUR
Nº de tarjeta crédito
Datos de facturación
6 EUR
147 EUR Cuenta de PayPal con
DNI o similar login y password
10. Las mayores amenazas del puesto
de trabajo
1
2
Pérdida física o robo Transferencia no
de portátiles y autorizada de datos a
dispositivos móviles dispositivos externos
7
3
Distribución
Acceso no autorizado
intencionada/no
a información
intencionada vía
privilegiada por
correo, web, etc.
‘super usuarios’
6 4
Fuga de información Aplicaciones de
vía impresión, CD- usuario
5
ROM, DVD, copiar-y- ‘hackeadas’
Troyanos/key
pegar, etc.
loggers/malware
11. Las mayores amenazas del puesto
de trabajo
“He visto a organizaciones invertir cientos de
millones de dólares en seguridad física y
lógica que era penetrada por una persona
conocida con un dispositivo móvil”
Bill Boni
CSO, Motorola
12. La paradoja de la seguridad de la
información
Antivirus
• ‘Más productos’ de seguridad no te convierten
Gestión del cambio/
en necesariamente en una empresa ‘más
Autenticación Gestión de parches
segura’ ni producen información ‘más segura’
Detección
• Están normalmente diseñados para proteger VPN Amenazas
Antivirus
ordenadores y servidores
LAN
• No hacen especial hincapié en la
Clientes
confidencialidad e integridad de la
información Filtrado
URLs
Antispyware
Servidores
• La información está en constante movimiento Firewall
y eso hace especialmente difícil su ‘bloqueo’
13. Algunas aproximaciones actuales NO protegen
el activo más importante: los datos
Se posee un concepto de la protección centrada en
sistemas: protege el perímetro y cada servidor físico
Usuario
Autenticación
Datos
confidenciales
Control de accesos
14. La protección de la información
requiere pensar diferente
La información no es estática así que su seguridad también debe
ser flexible/móvil: debe ‘viajar’ con ella.
Esta es una visión centrada en la información
Encriptación
Autenticación fuerte
Control de dispositivos
DLP
15. La protección de la información
requiere pensar diferente
Fácil de copiar Útil si es robada
Fácil de perder
147 €
490 €
® 98 €
147 €
Valor en el ‘mercado negro’
La información debe ser protegida independientemente de:
Acceso
Localización Dispositivo
Uso
16. Entel
Security & Risk Management
Nuestra aproximación al mundo
Data Loss Protection/
Data Leak Prevention
17. La solución: Entel Secure Platform
DLP Control de dispositivos
Control total y visibilidad Previene el uso no
absoluta autorizado de
Data Loss
del comportamiento del dispositivos externos
Control de
Protection/
usuario
dispositivos
Data Leak
Integrated
McAfee Total Prevention
technologies for a
Protection™
total data protection
for Data solution.
Encriptación USB
Encriptado
Encriptación
USB Encriptado
De todo el disco o sólo parte, del
Almacenamiento seguro y
dispositivo móvil así como de
portable a través de USB
carpetas y/o ficheros
permitiendo integración con
autenticación fuerte
18. Entel tiene una metodología para DLP
Demasiados fabricantes, demasiados casos, demasiado complejo
Entel posee una metodología mejorada a través de
experiencias ‘del mundo real’ para una completa
protección del dato
Monitorizar y
Bloquear
Encriptar Protección
Encriptar
dispositivos no securizar todos
datos móviles multi-capa
portátiles autorizados los vectores
®
Protección mejorada y alineamiento con la
conformidad y cumplimiento normativo
19. Encriptación de la información
Se necesita
• Encriptación para portátiles, puestos de trabajo y
dispositivos móviles con la flexibilidad de escoger
encriptación completa o no de todo el disco, carpetas o
ficheros
• Confianza en la integridad de datos sensibles cuando un
dispositivo se pierde o es robado
La tecnología que propone Entel ofrece
• Amplio soporte para portátiles, puestos de trabajo y
dispositivos móviles
• Auditoría completa para registros y análisis así como para la
conformidad legal
• Soporte para múltiples métodos de autenticación fuerte
• Certificaciones: FIPS 140-2, Common Criteria Nivel 4 (la más
alta para productos de software), BITS, CSIA, etc.
20. Encriptación de la información
Cómo funciona
.XLS .APPS
.DOC
Ficheros/
1 Los archivos están en texto completo y
1 Aplicaciones son visibles para los usuarios y
aplicaciones autorizadas
amet
Lorem ipsum dolor sit
Lorem ipsum dolor sit
Los ficheros Los sectores
2
Sistema
2 se separan se ensamblan
Operativo
en sectores en ficheros
amet
Los sectors
Los sectores
3
Driver de encriptados se
se encriptan
3 encriptación desencriptan en
en memoria
#$$%%#%%&&
#$$%%#%%&&
memoria
Los sectores
4 Los sectores
Disco Duro
se
4 se leen del
almacenan disco
en el disco
21. Encriptación de la información
Boot Records Highly Sensitive Files User Data
Desprotegido
MBR PBR Data
System Files
Operating
Open Information (PW Swap etc.)
System
Secured Information
Encriptación
Ficheros
PBR Data
MBR System Files
Operating
(PW Swap etc.)
System
Cifrado Whole Disk Encryption
Completo
Data
System Files
Operating
Master Modified (PW Swap etc.)
Mandatory System
Boot Partition
Access
Record Boot Record
Control
22. Encriptación de la información
Ficheros y carpetas
• La definición de políticas para
1
ficheros y carpetas es mucho más
granular que la encriptación completa 2
del disco Corporate
Directory
Administrator
• Integración nativa con Windows 3
Explorer
4
• Encriptación y desencriptación
automática sin pérdida de rendimiento Client
Client
Client
Computer
Computer
y transparente para los usuarios Computer
• Protege archivos y carpetas en
5
puestos de trabajo, portátiles y
File
servidores Terminal
Server
Server
23. Encriptación de la información
Dispositivos móviles
• Protege los activos corporativos cuando
los usuarios pasan a ‘modo móvil’
• Crea un espacio protegido y encriptado
para proteger los datos confidenciales
• Soporta múltiples métodos de
autenticación fuerte
• Recupera la información en los
dispositivos móviles en caso de pérdida o
robo
• Todas las políticas de gestión están
centralizadas...para todos los dispositivos
móviles
24. Entel DLP
Se necesita
• Prevenir que los usuarios, accidental o
malintencionadamente, envíen información confidencial
Impresor
• Plena visibilidad y control acerca del uso y movimiento
a
Peer- de los datos sensibles
to- • Permitir que la infraestructura y los datos se auto-
Peer US protejan
emai B
l La tecnología que propone Entel ofrece
Copiar-
y-pegar • Protección contra la fuga de información a través de
CONFIDENTIA
IM las tareas diarias
L DATA
Hello, how
• Amplias posibilidades de reacción cuando se detecte
are you?
la pérdida de información confidencial como:
• Logs detallados y recuperación de evidencias
HTTP
FTP forenses
S
• Prevención y bloquo en tiempo real
• Notificación al usuario/poseedor y administrador
Wi-Fi • Cuarentena de los datos confidenciales
25. Entel DLP
Generación de reglas de reacción basadas en
Clasificación de información contenido
confidencial
Monitorizar la transferencia de información
confidencial
Por localización
Prevenir la fuga de información corporativa
sensible
Por contenido
Notificar a los administradores, dueños y usuarios
Por tipo
Poner en cuarentena información ‘huida’
Por fingerprint
Forzar la encriptación
26. Entel - Control de Dispositivos
Se necesita
• Monitorizar y permitir únicamente a los dispositivos autorizados
conectarse a la red
• Capacidades de restricción y bloqueo del uso de dispositivos no
autorizados
• Refuerzo en el control acerca de qué información puede ser
copiada en un dispositivo
®
La tecnología que propone Entel ofrece
• Control granular de los dispositivos
• Sólo permitir los autorizados por la compañía
• Control reforzado acerca de qué se puede copiar en ellos
FireWire
• Políticas por usuario, grupo o departamento, (por ejemplo,
permitir a Dirección General conectar cualquier dispositivo
mientras que otros usuarios sólo pueden conectar ciertos tipos)
• Auditoría detallada de quién ha hecho qué con qué dispositivo
para análisis o cumplimiento de regulaciones
27. Entel - Control de Dispositivos
• Basado en premiadas tecnologías de DLP Consola de gestión
centralizada
• Completas capacidades de control en
Eventos de
función del contenido, continente y contexto Políticas datos y
dispositivos
• Regula cómo los usuarios pueden copiar
información a los dispositivos
Paralelo/Serie Otros
externos/móviles
• Mejora la productividad al regular cómo se
CD/DVD WI/IRDA
pueden utilizar dispositivos USB en las tareas
diarias
FireWire Bluetooth
• Mejora el control de los dispositivos externos USB
28. La importancia de la información y del
dato: la disciplina DLP
Access Control Data Loss Prevention
El acceso legítimo a la
información
no concede el
derecho a sustraerla de
la empresa
Acercamiento de seguridad clásico: Access Control (Pre-Admisión)
Transmisión no autorizada de datos: Data Loss Prevention (Pre y Post–Admisión
30. Solución Integral de Seguridad de Dispositivo y
Acceso a Red para la protección del Dato
Quién Qué Dónde Cómo
Human Resources Source Code Benefits Provider FTP
Customer Service Business Plans Spyware Site HTTP
Marketing Customer Records Business Partner IM
Finance M&A Plans Blog P2P
Accounting Patient Information Customer SMTP
Sales Financial Statements Financial Chat Board Network Printing
Legal Employee Information North Korea
Technical Support Technical Documentation Competitor
Engineering Competitive Information Analyst
Tag, ID, Signature Inline Enforcement
Threatseeker
Integración LDAP
Inventario de Activos Agentes, etc.
Web Intelligent BBDD
Gestión de Identidades