Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

22Jul/100

Clasificacion de datos

El objetivo principal de un programa de seguridad es proteger la confidencialidad, integridad y disponibilidad de la información de negocios.

Para crear un programa efectivo, primero tenemos que identificar exactamente cuál es la información importante en nuestras empresas. Ese es el propósito de la clasificación de datos.

Además de los beneficios formales, la clasificación brinda otros interesantes:

1. Ayuda a realizar análisis de riesgos. En las áreas de Finanzas suelen estar bastante familiarizados con el concepto de administración de riesgos. Si presentamos la seguridad usando los mismos términos, será más fácil comunicar su relevancia para los objetivos del negocio. Al identificar el impacto que tiene una vulnerabilidad técnica sobre el negocio, es más factible justificar inversiones y proyectos de seguridad ante la Alta Dirección.

Mapeando los riesgos técnicos a riesgos de negocio podemos transmitir a otra áreas de la Empresa la importancia de la seguridad. Por ejemplo, si nuestra base de datos de clientes fuera robada por un competidor usando inyección SQL o sniffing (riesgo técnico), nuestras ventas se verían directamente afectadas (riesgo de negocio), porque ese competidor estaría en condiciones de enfocar sus estrategias de ventas más eficientemente hacia nuestros clientes, ofreciéndoles precios ligeramente más bajos.

2. Facilita la planeación estratégica para la protección de datos. Al identificar en qué sistemas específicos se genera, procesa y transmiten los documentos importantes, es más sencillo asignar prioridades a las tareas de seguridad como el hardening, análisis de vulnerabilidades y encriptación.

En auditorías externas, por ejemplo, es bastante común que se inicie con los servidores que procesan la informacion financiera y contable de la empresa. En ambientes windows, también es común iniciar con el controlador de dominio, por ser el "cerebro" de la red.

3. Facilita deslindar responsabilidades. Si en el transcurso de una investigación detectamos que cierto Empleado tiene en su poder documentos clasificados como de uso exclusivo para otras áreas, es claro que estamos ante una violación a las Políticas de Seguridad. Al clasificar un documento como restringido, el empleado se queda sin el pretexto: "es que no sabía".

4. Concientiza a los empleados sobre el valor de la información. Al incluir la clasificación de datos en cada documento, al empleado se le recuerda que la empresa mantiene políticas de seguridad para proteger la información de negocios (en otras palabras, su fuente de trabajo).

5. Se cumple con el principio más crítico de contraespionaje. Empleado por agencias de inteligencia como la NSA, CIA y FBI, el principio "Need to know basis" indica que cada empleado debe tener acceso única y exclusivamente a la información estrictamente necesaria para realizar su trabajo.

6. Facilita el cumplimiento con estándares y legislaciones. ISO/IEC 27001, SOX, Cobit, Itil y la Ley Federal de Protección de Datos Personales enfatizan la importancia de tener una buena clasificación de datos. Tener este mecanismo ya implementado será un importante punto a su favor cuando se le presente una auditoría.

7. Facilita la respuesta a incidentes. Una de las primeras tareas al sufrir un ataque informático es identificar el tipo de datos que fueron comprometidos. Tenerlos previamente clasificados nos ayuda a evaluar el tiempo, dinero y esfuerzo que le dedicaremos a la investigación forense.

Niveles de Clasificación
Aunque algunos estándares proponen hasta doce niveles de clasificación de datos, hemos visto que esto suele ser una carga burocrática demasiado pesada para las empresas. Si muchos empleados apenas pueden recordar su propia contraseña de red, pedirles que memoricen doce niveles de clasificación resulta poco realista.

Para fines prácticos, en Villacorp & Asociados hemos encontrado que la mayoría de los documentos empresariales pueden clasificarse en cinco niveles:

1. Secreto
Información sensible que típicamente sólo el Director de la Empresa y sus colaboradores muy cercanos conocen: planes de inversiones, adquisiciones, fusiones o restructuraciones, manejo de asuntos legales, estrategias de negociación con el sindicato, etc.

Esta información es tan crítica, que su divulgación no autorizada resultaría en graves pérdidas financieras. Por ejemplo, si se divulga por anticipado la estrategia legal que va a seguir la Empresa en una demanda, su probabilidad de perderla aumenta dramáticamente.

2. Confidencial
Información que representa una ventaja competitiva para la Empresa, y que típicamente sólo los Directores Ejecutivos o un selecto grupo de individuos en cada área tienen acceso.

En general, esta es la información que debe ser clasificada como confidencial:

- Propuestas técnicas o económicas de proyectos o licitaciones
- Desarrollo de nuevos productos o servicios competitivos
- Firmas digitales, certificados y facturas electrónicas
- Listas de clientes, vendedores y proveedores
- Información propietaria y confidencial
- Declaraciones de ganancias y pérdidas
- Tácticas e ideas originales de ventas
- Planes y procesos de negocios
- Planes para desarrollo futuro
- Requerimientos de clientes
- Código de software interno
- Datos de tarjetas de crédito
- Estrategias corporativas
- Información financiera
- Contratos con terceros
- Best practices internas
- Patentes y derechos
- Propiedad intelectual
- Datos de empleados
- Líneas de productos
- Correo electrónico
- Listas de precios
- Costos

Por ejemplo, en una prueba de hackeo web reciente, encontramos cierta vulnerabilidad técnica que nos permitió accesar documentos para identificar a los principales proveedores de la empresa.

Por qué debe ser confidencial esta información? Bueno, las personas que tenemos cierta experiencia empresarial sabemos que la búsqueda de proveedores competitivos y confiables es una de las tareas más arduas en la operación de cualquier negocio. Al exponer estos documentos, la empresa prácticamente estaba regalando uno de sus secretos más importantes.

La lista de provedores puede facilitar la entrada al mercado de nuevos competidores, ya que esas empresas no tendrían que hacer el trabajo inicial de búsqueda. Al entrar nuevas empresas al nicho de mercado, obviamente disminuye el tamaño de participación para todas las demás, teniendo un impacto negativo directo sobre los ingresos.

Por supuesto, esa información también podría ser usada por un competidor para identificar a los proveedores más importantes y tratar de disuadirlos con ofertas ligeramente más atractivas o contratos de exclusividad.

En este ejemplo vemos cómo una vulnerabilidad técnica aparentemente sencilla puede ser aprovechada por un competidor para ocasionar un daño enorme a la empresa.

Este ejemplo también nos enseña que es muy recomendable que los encargados de seguridad informática en una empresa posean conocimientos básicos sobre la operación de los negocios, para poder transmitir a la Alta Dirección el impacto real que tendría un ataque informático sobre la competitividad.

3. Restringido

En este nivel entran típicamente los documentos operacionales de cada Área, de los cuales sólo el personal adscrito a esa área específica debe tener acceso: documentos de Finanzas, Contabilidad, Recursos Humanos, Tecnologías de Información, etc. Por ejemplo, un Empleado de Recursos Humanos no tiene motivo legítimo para tener en su poder el Diagrama de la Red del área de Sistemas.

4. Interno
Documentos de interés general para todos los empleados, sin importar adscripción. El ejemplo más común son los newsletters empresariales, planes de protección civil, manuales de políticas a usuarios, boletines de seguridad, etc. Aunque no contienen información sensible, se clasifican como internos porque su divulgación pública facilitaría a un delincuente realizar ataques como la Ingeniería Social.

5. Público
Cualquier documento que se pueda difundir libremente al exterior de la empresa: anuncios publicitarios, campañas de marketing, información sobre productos y servicios a clientes, etc. Por lo general es muy fácil identificar estos documentos porque son generados por áreas específicamente creadas con el propósito de difundir información al público: departamentos de publicidad, comunicación social o relaciones públicas.

Ejemplo de clasificación

En la siguiente figura ilustramos la clasificación de datos usada en Villacorp & Asociados. El documento indica el tipo de distribución autorizada y el nivel de protección. Se encuentra en idioma Inglés por simple requerimiento de negocios (la mayoría de nuestros clientes son empresas transnacionales).

clasificacion-datos

Es muy recomendable incluir un cuadro similar en todos los documentos Empresariales importantes, indicando por escrito el nombre de las personas o áreas de trabajo que pueden tener acceso al mismo.

CONCLUSIONES

Clasificar la Información de Negocios es indispensable para proteger a nuestra Empresa contra competidores, amenazas internas y delincuentes cibernéticos.

También nos ayuda a decidir cuál de la Información podemos confiar a la Nube y cuál debemos conservar internamente.

Ya que tenga clasificada su Información, puede asistir a nuestro exclusivo Curso Master Hacking: Security Expert para empezar a planear los mecanismos técnicos necesarios para protegerla.

© Javier Villanueva 2014 Todos los derechos reservados.

Filed under: ISO 27001 No Comments
   
Powered by Netfirms