Prevención del robo de datos

Una función esencial de la seguridad informática y de red es mantener los datos sensibles inaccesibles para terceros no autorizados. En este documento, se exploran las características de los riesgos del robo de datos y se analizan las recomendaciones de toda la industria para la protección de datos. Se explica cómo usar las herramientas y funciones de Google Cloud para reducir riesgos, detectar el robo de datos y responder a eventos de robo. Cuando sea posible, se describirán las amenazas de seguridad y los enfoques de defensa en un contexto independiente de la nube. El entorno regulatorio en desarrollo, en especial el Reglamento General de Protección de Datos (GDPR) europeo, que es obligatorio desde el 2018, agregó un énfasis nuevo en la implementación de mecanismos de prevención relacionados con el robo de datos.

Definición del robo de datos

En este documento, robo de datos hace referencia a la situación en que una persona autorizada extrae datos de los sistemas seguros a los que pertenece y los comparte con terceros no autorizados o los transfiere a sistemas no seguros. Entre las personas autorizadas se incluyen los empleados, los administradores del sistema y los usuarios confiables. El robo de datos puede ocurrir debido a las acciones de actores maliciosos o comprometidos, o de forma accidental.

Para reducir el riesgo de robo de datos, las organizaciones deben integrar el reconocimiento y las recomendaciones de seguridad a su cultura. Deben evaluar de forma homogénea los riesgos de todas las interacciones con las redes informáticas, dispositivos, aplicaciones, datos y otros usuarios. Las organizaciones también pueden decidir llevar a cabo auditorías periódicas para verificar que las recomendaciones se respeten.

Cómo hacer frente al riesgo de robo de datos en la nube

Muchas estrategias tradicionales de seguridad de datos se basan en fortalecer las defensas físicas del perímetro de las redes privadas. Sin embargo, como consumidor de la nube, no podrás controlar la infraestructura física de la red que utilizan tus servicios. En las nubes públicas, la estructura de la red del proveedor de hosting es compartida, y no hay un perímetro en el sentido tradicional. Proteger los datos en la nube requiere de nuevos enfoques y métodos de seguridad para auditar el acceso a los datos.

Como analogía, ten en cuenta que las infraestructuras de nube pública fueron las primeras en la industria en adoptar el uso de hardware básico en los centros de datos. Aunque esto puede dar como resultado índices más altos de fallas de hardware, las consecuencias de esas fallas se pueden minimizar a través de la arquitectura de servicio inteligente y redundante. En un entorno como este, los servicios deben ser capaces de absorber las distintas fallas con facilidad. Las arquitecturas de los servicios están diseñadas para las fallas de hardware y de red a través de la división del procesamiento, almacenamiento, autenticación y otras tareas, en varias máquinas y ubicaciones geográficas, con lo que se minimiza el impacto de cualquier evento de falla. Cuando protejas tus datos, debes emplear un enfoque similar: diseña una arquitectura con la que se minimice el tiempo de inactividad y se limiten los efectos en el resto de tu sistema cuando la seguridad se vea comprometida.

Para satisfacer a los clientes más conscientes de la seguridad, el modelo de seguridad de la nube pública incorpora este razonamiento. Google Cloud ofrece VM protegida con integridad verificable de tus instancias de máquinas virtuales (VM) de Compute Engine para que puedas estar seguro de que las instancias no se expusieron a software malicioso de nivel de inicio o kernel. La integridad verificable de la VM protegida se logra mediante el uso del Inicio seguro, el inicio medido habilitado para el módulo de plataforma de confianza virtual (vTPM) y la supervisión de integridad.

Además, los proveedores pueden implementar agentes especializados para producir telemetría sobre la actividad del usuario y del host en máquinas virtuales (VM) basadas en la nube. Esto le proporciona al Centro de operaciones de seguridad (SOC) visibilidad en las actividades dentro y alrededor del límite de seguridad en frecuente transformación.

Los proveedores también aplican los cuellos de botella explícitos, como el Host de bastión para la comunicación con las flotas de VM, los servidores proxy de red, los servidores de salida de red y las redes de varios proyectos. Estas medidas pueden reducir el riesgo de robo de datos, pero no lo eliminan por completo.

Tu organización también debe establecer una infraestructura de detección y respuesta potente para los eventos de robo de datos. Una infraestructura de nube correcta te brindará una detección rápida de los riesgos o actividades inapropiadas, limitará el "área afectada" de la actividad, y minimizará el período de oportunidad del actor del robo de datos.

Categoría de los eventos de robo de datos

Los eventos de robo de datos se pueden clasificar según características tecnológicas, organizativas o físicas comunes. En las siguientes secciones, se verán algunas de estas categorías y se analizarán las estrategias de prevención y mitigación de cada una.

Correo saliente

En esta situación, los actores utilizan infraestructuras de telecomunicaciones autorizadas, como el correo electrónico empresarial o dispositivos móviles, para transmitir datos sensibles desde sistemas informáticos seguros hacia terceros no confiables o sistemas privados no seguros. Los datos sensibles se pueden transmitir como texto sin formato en un correo electrónico o mensaje de texto, o como un archivo adjunto. Este método se utiliza con frecuencia para el robo del contenido de correos electrónicos de la organización, calendarios, bases de datos, imágenes, documentos de planificación, previsiones de la empresa y código fuente.

Muchos sistemas de correo electrónico y mensajería guardan borradores en la nube, por lo que verificar los datos sensibles cuando se envía el mensaje no es suficiente. Si una persona tiene acceso externo a su correo electrónico empresarial o a algún otro servicio de mensajería que admita guardar borradores, puede utilizar esta función para el robo de datos. Si se guardan borradores desde dispositivos y redes con acceso a datos sensibles y luego se accede al borrador desde otro cliente, el actor evita los sistemas de registros y de auditoría.

Prevención y mitigación

En esta situación participan los sistemas de telecomunicaciones seleccionados y autorizados por tu organización, lo que te brinda más opciones de protección contra el robo de datos que las situaciones que involucran herramientas privadas o de terceros.

Considera implementar algunas de las siguientes estrategias de prevención y mitigación:

  • Supervisa el volumen y la frecuencia de la transmisión de datos por parte de tus usuarios a través del correo electrónico y de otras herramientas de mensajería de la organización. Si el usuario promedio envía 5 megabytes de datos promedio por día, un usuario que envíe 500 megabytes debería activar una alerta.
  • Conserva un registro de las direcciones que se utilizan para enviar correos electrónicos, los dispositivos desde los que se envían y las direcciones de los destinatarios. Esto puede servirte para identificar la naturaleza y el alcance de un evento de robo de datos. La lista de tareas de seguridad para administradores explica cómo auditar una cuenta de correo electrónico y detectar riesgos de seguridad en Gmail Enterprise.
  • Analiza los correos electrónicos que se envían desde los sistemas con acceso a datos sensibles para asegurarte de que no tengan contenido no autorizado. Esto puede resultar más sencillo si etiquetas el contenido sensible con marcadores, como palabras claves o hashes.
  • Impide el envío de mensajes a través de canales no seguros, como el uso de HTTP en vez de HTTPS, y alerta a tu equipo de seguridad de TI de cualquier intento.

Descargas en dispositivos no seguros

Estos casos ocurren cuando un usuario accede a datos sensibles desde canales autorizados y luego transfiere los datos a un dispositivo local no seguro. Los actores pueden utilizar laptops, smartphones, unidades externas, cámaras o dispositivos especiales para capturar datos sensibles y llevar a cabo el robo de datos. El actor puede descargar archivos existentes desde tus servicios en la nube o copiar datos en archivos nuevos. Si los archivos se transfieren a dispositivos no supervisados o no seguros, se encontrarán en alto riesgo de robo de datos.

Prevención y mitigación

Las redes basadas en la nube cuentan con ventajas para prevenir este tipo de eventos. Muchos de los métodos de transmisión de datos hacia un dispositivo local requieren de una conexión física a los medios transferibles. En cambio, si los datos están almacenados en la nube, deben descargarse antes de que se transfieran. Estas descargas están sujetas a funciones de seguridad y seguimiento del servicio de hosting y de los clientes.

Considera implementar alguna de las políticas y técnicas que se enumeran a continuación:

  • Prohíbe la descarga de datos muy sensibles. Según cómo se utilicen y procesen tus datos en la nube, es posible que los usuarios no necesiten descargarlos a un hardware local. De ser posible, mantén todos los datos en la nube y realiza todo el procesamiento allí. Si los datos son técnicamente descargables, establece una política que prohíba las descargas, clasifica y etiqueta los datos sensibles, y guarda registros de acceso a los datos que se solicitan y entregan a través de interacciones seguras y llamadas a la API. Para obtener más información, consulta la documentación de los registros de auditoría.
  • Utiliza un agente de seguridad de acceso a la nube (CASB) para regular las conexiones entre los clientes autorizados y los servicios en la nube según las políticas de seguridad de tu organización.
  • Une los archivos con herramientas de administración de derechos digitales (DRM). Esto brinda seguridad y encriptación con reconocimiento de permisos a cada archivo.
  • Implementa marcas de agua dinámicas en tus clientes autorizados para registrar el usuario responsable de las capturas de pantalla o de las fotografías de la pantalla que contengan información sensible.

Subidas a servicios externos

De forma similar a la categoría anterior, esta categoría con frecuencia implica descargar datos sensibles en la infraestructura local. Luego, el actor sube los datos a una infraestructura de terceros a través de un cliente de navegador web o de otro software sin supervisión. Los servicios de terceros pueden verse como sitios web inofensivos, como una red social, en los que el actor sube de forma accidental las imágenes incorrectas o pega el texto incorrecto. Los actores maliciosos sofisticados son capaces de pasar pequeñas cantidades de datos sensibles, como las credenciales de usuario o claves de encriptación, en forma de parámetros de URL en aplicaciones web especializadas.

Prevención y mitigación

El riesgo de este tipo de eventos se puede reducir mediante las mismas políticas de restricciones en las descargas que protegen contra el copiado local de datos sensibles. Sin embargo, una política no elimina el riesgo de que se suban capturas de pantalla o texto copiado a redes sociales, a sitios web de uso compartido de archivos, o a algún otro servicio en la nube.

A continuación, se muestra una lista que incluye las prácticas de seguridad que debes considerar para combatir este tipo de riesgos:

  • Prohíbe la descarga de cualquier dato. Mantén todos los datos en la nube y realiza todo el procesamiento allí. Los datos deben solicitarse y entregarse a través de interacciones seguras y registradas de la API. Para obtener más información, consulta la documentación de los registros de auditoría.
  • Impide la instalación de software no seguro de terceros, como aplicaciones de redes sociales o plugins no autorizados del navegador, en dispositivos con acceso a datos sensibles.
  • Utiliza un CASB para regular el tráfico desde puntos de acceso de la nube y ejecuta políticas de encriptación en todos los datos que se transmiten a los clientes.

Comportamiento no seguro en la nube

Utilizar los servicios en la nube presenta algunas categorías nuevas de riesgos de robo de datos que los profesionales de seguridad de TI deberían conocer. Entre ellas se incluye un rango de casos en que los empleados, usuarios o administradores utilizan funciones de la suite del proveedor de servicios en la nube de manera no segura. Existe la posibilidad de que ocurra un robo de datos por parte de cualquier actor que tenga la capacidad de solicitar o modificar máquinas virtuales (VM), implementar código o realizar solicitudes al almacenamiento en la nube o a los servicios informáticos.

Las redes de la nube tienen frontends públicos y la capacidad de comunicarse con la Internet en general. Es esencial proteger y autorizar el comportamiento de los servicios que se ejecutan en la nube para proporcionar la seguridad de los datos. Los actores con los permisos suficientes pueden iniciar transmisiones de salida de datos sensibles, mover datos sensibles de contenedores seguros a contenedores menos seguros, o crear servicios en la nube no autorizados en nombre de una organización.

Prevención y mitigación

Mantener un comportamiento seguro en tus servicios en la nube requiere de permisos precisos y con alcance limitado, así como de registros integrales. Cuando sea posible, prohíbe a los actores el acceso a los backends de tus servicios. Para la mayoría de las tareas que un empleado o un administrador debe realizar en una VM, existen agentes automatizados y clientes de frontend que son seguros y se pueden supervisar. Utiliza esos agentes cuando exista la posibilidad de limitar la cantidad de personas con acceso SSH directo a tus máquinas en la nube. Cuando sea posible, analiza todos los datos que se envíen a la Internet en general para identificar información sensible. En las aplicaciones que procesan información desde usuarios o sistemas externos, considera analizar esa información para evitar recopilar, almacenar o compartir accidentalmente datos sensibles, como la información de identificación personal (PII).

En las VM en la nube, considera los siguientes principios de seguridad:

  • Configura tablas de IP en tus VM que prohíban conexiones salientes a direcciones desconocidas. Esto puede reducir el riesgo de que un actor transmita datos sensibles fuera de tu red de manera exitosa.
  • Evita asignarle direcciones IP públicas a tus VM, y utiliza un servicio de traducción de direcciones de red (NAT) para procesar conexiones entrantes y salientes. Consulta la guía sobre cómo configurar una puerta de enlace NAT en Compute Engine para obtener más información.
  • Considera utilizar un Host de bastión en la nube para mediar y supervisar las conexiones a otros hosts.
  • Inhabilita el software de administración remota, como los agentes de Remote Desktop Protocol (RDP) o Windows Remote Management (WinRM), en máquinas que no lo necesitan.
  • Utiliza el Acceso privado a Google y habilita las instancias de máquinas virtuales (VM) en una subred para que alcancen a las API y a los servicios de Google a través de una dirección IP interna, en vez de una dirección IP externa.
  • Considera utilizar una Cross-Project Networking (XPN) para compartir tus redes virtuales de Google Cloud entre proyectos de tu organización en la nube.
  • Haz que solo tengan acceso SSH directo a las VM quienes lo necesiten de forma inevitable y crítica. Google Compute Engine te proporciona amplias herramientas de administración de llaves SSH para controlar los accesos a las VM.

Las siguientes prácticas pueden reducir los riesgos del robo de datos en los servicios de almacenamiento en la nube, como Cloud Storage o Cloud Bigtable:

  • Utiliza la administración de identidades y accesos (IAM) para proporcionarles a los usuarios y a las aplicaciones el conjunto de permisos más limitado con los que acceder a los datos. Almacena los datos con distintos requisitos de sensibilidad y acceso en diferentes contenedores para que los permisos sean lo más detallados posibles.
  • Supervisa y limita la frecuencia con que se pueden leer los datos desde tus recursos de almacenamiento. Utiliza agentes de supervisión para alertar a tu equipo de seguridad si existen intentos de mover más datos de los esperados en los casos prácticos normales.
  • Haz que los permisos a los datos sensibles sean temporales y estén sujetos a revisiones y revocaciones frecuentes. Por ejemplo, las cuotas de App Engine pueden ser útiles en este caso.
  • Haz que un equipo de personas audite con regularidad a quienes tienen acceso a contenedores muy sensibles.
  • Mantén registros rigurosos de todos los accesos a tus servicios de almacenamiento. Lo ideal es que el conjunto de personas con acceso a los servicios de almacenamiento esté separado del conjunto de personas con acceso a los registros. Esto reduce el riesgo de manipulación de los registros por parte de actores maliciosos. Considera utilizar las utilidades de registros de acceso de Cloud Storage para escribir datos de registro en un depósito de almacenamiento separado.

Aplica el cumplimiento de las políticas de seguridad

La rica infraestructura proporcionada por Google Cloud crea varias oportunidades para que los clientes desarrollen soluciones que satisfagan sus necesidades. A su vez, esta infraestructura valiosa también presenta desafíos nuevos, como la ejecución de políticas de seguridad deseadas en los diferentes proyectos de una organización. Para simplificar la administración de la seguridad, Google Cloud introdujo una jerarquía de entidades en la que residen todos los recursos. Esta jerarquía tiene como origen el concepto de Organizaciones. Las Organizaciones pueden contener, de forma opcional, carpetas o proyectos. Del mismo modo, las carpetas pueden contener subcarpetas o proyectos. Todos los recursos de los servicios de Google Cloud pertenecen a un proyecto.

Si se utiliza esta jerarquía de Organización -> Carpeta -> Proyecto-> Servicio de Google Cloud -> Recurso, las políticas de seguridad se pueden configurar en cualquier nivel de la jerarquía y se heredarán en los niveles más bajos. Las políticas de seguridad se evalúan de arriba abajo en la jerarquía de recursos, y cuando se obtiene una respuesta "permitir", se concede el acceso al recurso.

Aplica el cumplimiento

Utilizar la jerarquía de recursos y la herencia de las políticas de seguridad facilita el proceso de auditoría para garantizar que las políticas de seguridad deseadas se sigan de forma uniforme. Gracias a la propiedad de herencia, los administradores pueden demostrar, por ejemplo, que todos los proyectos permiten que el mismo conjunto de auditores inspeccione sus datos. Esto lo logran contando con una política de seguridad de este tipo en el nivel de la Organización y no anulándola en los niveles más bajos. Estas políticas de seguridad se especifican en las actividades de auditoría de software, y su verificación se puede automatizar.

Identificación y ocultación de los datos sensibles

Uno de los primeros pasos en la administración de datos sensibles es conocer en qué lugar están ubicados. Una vez identificado, estarás mejor equipado para establecer el control de accesos a fin de garantizar un manejo adecuado de estos. También podrás utilizar técnicas, como ocultar, enmascarar o desidentificar los datos para reducir su sensibilidad. Una vez que los datos se encuentran en formato oculto, dejan de mostrar su naturaleza sensible, como un número de identificación personal, un número de tarjeta de crédito válido o información de identificación personal (PII).

El desafío tradicional de ocultar grandes cantidades de datos es la necesidad de automatizar el reconocimiento y la clasificación de los datos, y que se oculten de forma apropiada. Un progreso sería lograr que el soporte del sistema razone sobre el contenido de los campos de datos de forma automatizada. Este nivel de visibilidad automatizada en transmisiones de datos arbitrarias permite que las aplicaciones decidan qué datos transmitir hacia qué extremos, qué sistemas utilizar para almacenar los diferentes tipos de datos que se administran, y cuándo alertar sobre la transmisión de tipos específicos de datos.

Prevención y mitigación

En Google Cloud, la protección de datos sensibles te permite comprender y administrar los datos sensibles. Te proporciona una clasificación rápida y escalable, y un ocultamiento opcional de datos sensibles, como números de tarjetas de crédito, nombres, números de identificación personal, números de pasaporte, números de licencias de conducir de EE.UU. o internacionales y números de teléfono. La protección de datos sensibles admite texto, datos estructurados, y también imágenes: simplemente envía los datos a protección de datos sensibles o especifica los datos almacenados en tus instancias de Cloud Storage, BigQuery y Datastore. Los resultados de la protección de datos sensibles se pueden usar para supervisar o informar de forma automática la configuración de IAM, la residencia de datos y otras políticas. Sensitive Data Protection también te puede servir para ocultar o enmascarar determinadas partes de los datos y así reducir la sensibilidad, o ayudar en la minimización de datos como parte de una política de menos privilegios o de información básica. Las técnicas disponibles son las de enmascarar, encriptar y mantener el formato, asignar un token, y agrupar a través de datos de texto estructurado o libre.

Administradores peligrosos

Por diseño, la mayoría de los sistemas informáticos brindan poder sin supervisar a administradores designados. Los administradores maliciosos o vulnerados tendrán permisos suficientes con los que llevar a cabo cualquiera de las situaciones que se analizan en este documento, y, además, son los que tienen mayor capacidad para eliminar los registros y las evidencias de sus acciones. Si quieres reducir estos riesgos, debes separar los poderes y la autoridad en las distintas partes de la red, y permitir que los administradores se supervisen entre ellos.

Prevención y mitigación

Limitar la autoridad de un actor individual es esencial para reducir los riesgos de un administrador peligroso.

Para lograr las tareas asignadas, los administradores tendrán la capacidad de llevar a cabo un robo de datos. Sin embargo, los siguientes principios se pueden aplicar para reducir el alcance y la magnitud de tales eventos en el caso de que ocurran:

  • Para proteger una red grande de las actividades ilícitas de los administradores, registra las acciones de los administradores en una ubicación a la que no tengan acceso. Utiliza un equipo de seguridad diferente para administrar los servicios de supervisión y de registros.
  • Ten en cuenta la posibilidad de que todos los accesos de administrador sean temporales y tengan un período de vencimiento corto. En muchas redes, los administradores no necesitan acceso permanente.
  • Establece como requisito que varios actores deban aprobar las acciones de administración. Si tratas todas las acciones administrativas como código fuente que requiere de aprobación, puedes reducir los riesgos que presenta un único actor.

Despidos de empleados

El Equipo de Respuesta ante Emergencias Informáticas (CERT) del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon elaboró un documento, en 2011, en el que se muestra que los empleados son más propensos a involucrarse en el robo de datos cuando anticipan un despido inminente. El período previo al despido de un empleado es el de mayor riesgo. Esto demanda una atención adicional por parte de los equipos de seguridad de TI.

Prevención y mitigación

En las redes con datos muy sensibles considera conectar sistemas de registro y supervisión al software de recursos humanos en el que se registra un despido inminente; establece umbrales más conservadores para alertar a los equipos de seguridad sobre el comportamiento anormal de alguno de estos usuarios.

Conclusión

La flexibilidad, la reducción de costos y el poder de utilizar infraestructuras de nube pública requieren de una mayor vigilancia y de nuevos enfoques para proteger los datos frente a un robo. Puedes diseñar las políticas y las implementaciones de tu organización para dar cuenta del entorno a través de las técnicas que se describen en este documento:

  • Minimiza el "área afectada" de los eventos de robo de datos a través de la separación de los datos en compartimientos.
  • Crea redundancia y aprobaciones en los flujos de trabajo de los administradores del sistema para aumentar la responsabilidad.
  • Utiliza permisos detallados y otorga acceso a datos sensibles solo a aquellas personas cuyas funciones laborales lo requieran.
  • Utiliza los registros para aumentar la transparencia en los accesos y movimientos de los datos en tu organización.
  • Restringe y supervisa la entrada y salida a las máquinas de tu organización mediante las reglas de red, la administración de identidades y accesos (IAM) y los hosts de bastión.
  • Crea un modelo de referencia de flujos de datos normales, como la cantidad de datos a los que se accede o que se transfieren, y las ubicaciones geográficas de acceso con los que comparar comportamientos anormales.

Pasos siguientes