La verdad es que los datos, del cliente o internos, deben tratarse de la misma manera que se tratarÃa un desecho médico. DeberÃan:
Tratarse con cuidado extremo
Almacenarse y transportarse con precaución
No ponerse en peligro durante los pasos del proceso
Eliminarse con mucho cuidado
Si sigue todas las medidas de seguridad que resumo aquÃ, estará en el buen camino para proteger sus datos durante todo su ciclo de vida.
No se fÃe de las directivas ni de las personas
Muchos se han referido a las personas como la Capa 8 del modelo OSI (Interconexión de sistemas abiertos) y, en muchos sentidos, lo son. Lamentablemente, a menudo son el vÃnculo más deficiente. Los usuarios, tanto los más fuertes técnicamente como los menos expertos, son siempre los que estiran los lÃmites de cualquier directiva de infraestructura. Y lo mismo es cierto para la seguridad de los datos. Nunca deberÃa confiar en una directiva como un aspecto clave para la seguridad de los datos. Las personas no respetarán la directiva, ya sea de manera intencionada o accidental. Debe tomar medidas de prevención para asegurarse de que, si se pone en peligro la directiva, la infracción se registre adecuadamente o las contramedidas digitales garanticen que los datos no se vean afectados.
La unidad flash USB (UFD) es un dispositivo muy apreciado por las masas informáticas y muy temido por muchos en el mundo de la administración de TI. El riesgo del robo de datos con unidades UFD es considerable. Pero si le preocupa el hecho de que sus datos estén saliendo por la puerta cada vez que ve una unidad UFD, para empezar, sus datos no están lo suficientemente seguros. Los medios CD-R, los CDs de arranque de Windows® PE, los recursos compartidos de red y otros tipos de medios pequeños son amenazas y la verdad es que, si lucha por partes contra una variedad de formatos de medios, probablemente estará luchando por una causa perdida. No proteja los sistemas al final de la canalización, donde las personas se conectan a su infraestructura. Protéjalos desde el principio. Por supuesto, no se puede proteger todo, pero la organización media puede hacer mucho más de lo que hace hoy en dÃa.
Convierta la protección de datos en una parte importante de su entorno laboral. Implemente la idea de que todas las personas de su organización deben tratar los datos con cuidado. Sólo envÃe los mensajes de correo electrónico y documentos compartidos que indiquen especÃficamente que se pueden reenviar y no divulgue nada que no deba ser divulgado. Como un profesional de TI, su trabajo consiste en enseñar e implementar ese comportamiento.
Limite la divulgación de información
Con el predominio de la informática móvil, los dispositivos móviles necesitan aún más seguridad de datos. Si su organización trabaja principalmente con documentos de Microsoft® Office, debe investigar Microsoft Office Information Rights Management (IRM) y Windows Rights Management Service (RMS) para las aplicaciones basadas en Windows habilitadas para RMS. Con estas tecnologÃas, los usuarios sólo pueden obtener acceso a los datos para los que tienen derechos predeterminados.
A menudo, un mensaje de correo electrónico marcado como “confidencial” sale de la organización porque alguien pensó que era lo bastante importante como para enviarlo a un colega, que, a su vez, hizo lo mismo. En la figura 1 se muestra el mensaje que avisa al usuario del contenido restringido en Microsoft Outlook®, gracias a RMS.
Aunque RMS no haya eliminado el problema completamente, ha dificultado bastante la distribución de contenido restringido. Un usuario que realmente quiera “liberar” RMS u otros datos cifrados o protegidos todavÃa puede hacerlo. Aunque haya cifrado sus datos de forma segura, no olvide nunca “el agujero analógico”: la adquisición de datos confidenciales a través de medios no digitales como, por ejemplo, la captura de la información mostrada en un monitor simplemente con una cámara. Incluso en un mundo con la nueva ruta protegida de Windows Vistaâ„¢, que guarda los datos protegidos con Administración de derechos digitales (DRM) hasta su presentación en pantalla, todavÃa hay un riesgo de pérdida de datos a través de medios analógicos.
Preste atención a los equipos mismos donde se almacenan sus datos. ¿Realmente deberÃa tener una base de datos de clientes confidencial en un equipo portátil o en la recepción de su oficina? En realidad, esa información sólo debe estar disponible en un servidor (o escritorio) protegido fÃsicamente en un área privada de la oficina, idealmente, en un centro de datos protegido con medidas de seguridad sin una conexión directa a Internet. Aquà en Austin, Texas, se robó hace poco un equipo portátil de una compañÃa local que contenÃa datos de clientes. El equipo portátil contenÃa datos médicos de pacientes, números de la seguridad social y fechas de nacimiento; todos los datos clave que necesitarÃa para robar la identidad de alguien. ¿Por qué razón estaba esta información tan importante almacenada en un equipo portátil mal protegido? Sólo deberÃa haber estado disponible en un cliente inteligente o una aplicación web seguros, o en un servidor accesible a través de Servicios de Terminal Server o un cliente Citrix. En una organización que deberÃa seguir el estatuto de HIPAA, la pérdida de datos tan importantes es descomunal.
Integridad de contraseña
Generalmente, la contraseña es la última barrera de seguridad. Lamentablemente, los usuarios que trabajan por su cuenta repiten las contraseñas, vuelven a emplear las raÃces de contraseñas que no son seguras, limitan su complejidad para poder recordarlas más fácilmente e incluso las anotan en lugares visibles.
Es muy importante que establezca medidas de integridad de contraseñas, asà como una autenticación de dos factores; medidas que requieran una combinación de contraseña y otro mecanismo, tal como una tarjeta inteligente, de manera que se consiga una integridad de autenticación aunque la contraseña se ponga en peligro.
Tanto si usa una autenticación de varios factores como si no, la integridad de la contraseña debe implementarse con las técnicas siguientes:
Limite la duración máxima de todas las contraseñas de usuario, use su propio juicio con respecto a esta duración. Si la duración es demasiado corta, los usuarios olvidarán las contraseñas o eludirán la seguridad anotándolas. Si es demasiado larga, el objetivo de cambiarlas será discutible. No use la opción “La contraseña nunca caduca” para las cuentas interactivas.
Imponga la longitud y la complejidad de la contraseña para que los usuarios no eviten la seguridad con contraseñas no seguras como la que se muestra en la figura 2. No imponga medidas de integridad tan estrictas que los usuarios no puedan recordar las contraseñas, a menos que use la autenticación de varios factores. Si lo hace, usarán el método de notas adhesivas para recordar las contraseñas.
Mantenga un historial de contraseñas y no permita que los usuarios reciclen las contraseñas que ya han memorizado y usado durante meses.
Evite los ataques a contraseñas de fuerza bruta limitando el número de intentos fallidos para que se bloquee la cuenta.
Y, lo que es más importante, informe a los usuarios de la importancia de sus credenciales.
La integridad de la contraseña y la autenticación local son esenciales pero, por supuesto, los datos del sistema local no deberÃan ser datos altamente confidenciales a menos que se hayan protegido fÃsicamente o cifrado. Las contraseñas solas no son la solución. Una contraseña de usuario no es más que una herramienta para evitar que los atacantes que quieran poner en peligro el acceso interactivo directo al sistema pero que no estén dispuestos a emplear herramientas puedan hacerlo.
Seguridad fÃsica
Los datos crÃticos no deberÃan residir en un sistema que puede estar en peligro fÃsicamente o que se puede sacar de la oficina. Si tiene sistemas que cree que pueden estar en peligro cuando alguien inicia Windows PE y recupera datos, tiene otros problemas; Windows PE no es el culpable. El motivo puede ser uno o más de los siguientes. Sus sistemas no están protegidos fÃsicamente de manera adecuada. Están protegidos, pero usted no confÃa en los usuarios que tienen acceso a ellos, los datos están en un sistema que no está protegido fÃsicamente (o que no se puede proteger) o los sistemas no se pueden proteger fÃsicamente y no ha usado herramientas de cifrado de volumen, como la caracterÃstica BitLockerâ„¢ de Windows Vista, para mitigar el peligro fÃsico. (Para obtener más información acerca de BitLocker, consulte el artÃculo de Byron Hynes en este número de TechNet Magazine.)
Reflexione sobre los sistemas que pueden estar en peligro. ¿Puede protegerlos fÃsicamente? ¿Por qué no los coloca en un centro de datos o en otra área con acceso limitado? Si eso no es posible o si se trata de un sistema portátil, ¿emplea software de cifrado de volumen? Si no puede aplicar estos pasos, mueva los datos a un sistema que se pueda proteger o cÃfrelos. En el caso del equipo portátil robado que mencioné anteriormente, si el volumen se hubiese cifrado con una herramienta de cifrado de volumen seguro, los datos habrÃan estado casi totalmente protegidos.
El hecho de que un sistema resida en un centro de datos no significa que esté seguro; si tiene muchas conexiones T1 hacia Internet, todavÃa estará en peligro. El acceso a Internet facilita a los atacantes el acceso fÃsico, por lo que debe considerar escrupulosamente las amenazas a sus sistemas. Considere la posibilidad de mover los datos a un segmento separado de su red donde tenga, como mÃnimo, otro nivel de protección de redes entre Internet y los sistemas analizados.
Mitigación del riesgo de datos
Otra medida de seguridad disponible consiste en otorgar a los usuarios acceso a través de aplicaciones o herramientas de cliente ligero que aÃslen los datos en un servidor fÃsicamente seguro. Esto puede significar el acceso a través de un VPN para que los usuarios que no se encuentren en las instalaciones puedan obtener acceso. Nunca debe permitir que las restricciones fÃsicas de un usuario determinen cómo deben tratarse los datos. Simplemente porque un usuario necesite acceso y se encuentre en una ubicación donde no está disponible una conexión de banda ancha u otro acceso de alta velocidad, no significa que deba mover los datos a una instancia local del equipo del usuario. Si no puede mover el sistema y debe tenerlo en una ubicación no segura, proteja los datos con el cifrado de volumen.
Seguridad en el sistema
Debe estar preparado para la posibilidad de que, a pesar de todos sus esfuerzos, alguien entre en su sistema, elimine el disco duro y lo coloque en otro sistema Windows donde se puedan restablecer las listas de control de acceso (ACL) de NTFS.
Para estar preparado, use el cifrado de volumen que se incluye en Windows Vista. Hay muchas herramientas de terceros disponibles para la mayorÃa de las otras versiones de Windows. La complejidad de uso de estas herramientas es variable, asà como su capacidad para realizar un cifrado de volumen completo y/o un cifrado de archivos o directorios individuales como permite el sistema de cifrado de archivos (EFS). Si el volumen está cifrado, los datos estarán protegidos contra todo, excepto contra el ladrón más avanzado.
Seguridad de archivado
Los datos de copia de seguridad también deben protegerse. La mayorÃa de las personas tienen dos razones para no realizar copias de seguridad de sus sistemas: el cifrado de copias de seguridad requiere demasiado tiempo o el software de copia de seguridad no lo permite.
Pero si realiza copias de seguridad de sistemas y, sobre todo, si sigue esta recomendación de realizar las copias de seguridad fuera del sitio, debe proteger los datos que se incluyen en las copias de seguridad. Cifre los datos con EFS, si está disponible, u otro software de cifrado de volumen (como la caracterÃstica BitLocker de Windows Vista u otro software de terceros), o compre un software de copia de seguridad que incluya las capacidades de cifrado y funcione a un nivel aceptable. Simplemente porque los datos estén ofuscados en una cinta de copia de seguridad o divididos en una solución de copia de seguridad basada en disco, no significa que estén seguros. Debe suponer que el mecanismo de transporte también puede ponerse en peligro.
Seguridad de transmisión
Debe proteger todos los datos que se transporten a través del cable. Use únicamente protocolos seguros para obtener acceso al sistema remoto. Use las versiones cifradas de los protocolos y suponga siempre que es posible un ataque de tipo “hombre intermedio” (MITM). No use protocolos mal cifrados o sin cifrar y, si usa cifrado, no use un algoritmo o una longitud de cifrado deficiente. Usted, o alguien de su organización, debe conocer todos los protocolos de comunicación y los algoritmos de cifrado que se usan entre los sistemas de su infraestructura.
Eliminación segura
Todos hemos oÃdo historias de discos duros u otros dispositivos de almacenamiento comprados en eBay o el mercadillo local que se sometieron a software forense o incluso a utilidades de recuperación todavÃa más ordinarias y revelaron oscuros secretos, datos que deberÃan haberse borrado completamente antes de vender las unidades de disco.
Si tiene unidades UFD en su organización, considere la posibilidad de usar utilidades de cifrado obligatorio. Los discos que contienen datos de alto riesgo deben cifrarse. A pesar de la creencia popular, no estoy de acuerdo con que el simple cifrado de volúmenes antes de su retirada sea una manera segura de deshacerse de los discos. ¿Recuerda la metáfora sobre deshechos médicos que mencioné anteriormente? Trate los datos de estos sistemas como desechos peligrosos y emplee utilidades de eliminación segura de datos como tratamiento. Use una herramienta de eliminación de datos que implemente la especificación DoD 5220.22-M, como SDelete de Mari Russinovich, antes de devolver al mercado sus discos y sistemas para la reventa, o incluso antes de moverlos en la organización. De lo contrario, el siguiente usuario podrá obtener acceso a los secretos de todos los datos del usuario anterior.
AuditorÃa
Por último, aunque no por eso menos importante, otro componente clave para la seguridad de los datos es la auditorÃa, e incluso el modelado de amenazas, del ciclo de vida de los datos en su organización. Conozca los puntos débiles por los que se pueden escapar los datos y vigÃlelos con atención. Windows ofrece varias herramientas de auditorÃa integradas. Sin embargo, la auditorÃa puede derivar fácilmente en el desbordamiento de datos. Asegúrese de vigilar las áreas correctas y de que no se satura de datos. Controle los puntos débiles y asÃgneles un factor atenuante adecuado, no cubra la presa de datos con modificaciones. Asegúrese también de que los usuarios tengan un entrenamiento adecuado sobre cómo tratar los datos. Ellos son el vÃnculo crÃtico en muchos niveles de la organización. Encontrará más información en la barra lateral “Recursos adicionales”. No se olvide de seguir todas las sugerencias resumidas aquÃ; dormirá mejor por las noches si lo hace.