Blog

Viernes, 29 Julio 2016 00:00

Encriptación transparente con control de identidad

Escrito por  sealpath

transparent encryption

 

 

Desde la versión 3.0 de SealPath, ofrecemos la capacidad de encriptación de todo tipo de ficheros, de tal forma que sólo los usuarios a los que se hayan dado permisos puedan acceder al contenido del fichero. Ofrecemos la misma encriptación y el control de identidad que el producto estándar, pero sin la posibilidad del control de derechos digitales. Un usuario con permiso sobre el fichero tiene la capacidad de guardar el fichero como no encriptado guardando una copia (“Save as …”) desde el visor o editor que esté empleando. Es un tipo de protección de contenido similar a la que ofrece un sistema PKI o PGP.

Para realizar la encriptación de un fichero pueden emplearse los mismos interfaces que SealPath ofrece para el control de derechos digitales:

  • Arrastrar el fichero sobre una política en SealPath Desktop.
  • Proteger con botón derecho una fichero o carpeta.
  • Proteger adjuntos desde el plugin de SealPath para Outlook.
  • Aplicar una regla de protección automática sobre una carpeta.

El sistema de protección de SealPath averigua si el fichero que está protegiendo pertenece a la lista de tipos de ficheros sobre los que es capaz de asegurar el control de derechos digitales. Si el fichero no está en esta lista, aplica la encriptación con control de identidad.

En el modo de encriptación, los derechos no se tienen en cuenta al mismo nivel que en el modo de derechos digitales. En el momento de la apertura, SealPath tiene en cuenta si el usuario tiene algún permiso o no tiene ninguno, sin importar el tipo de permiso. Si el usuario no tiene ningún permiso, la apertura se cancela. Si tiene algún permiso, la apertura se realiza, el fichero se desencripta de forma
temporal en los directorios personales del usuario y se lanza la aplicación que corresponde a la extensión del fichero para que muestre el fichero desencriptado.

Por otro lado, la apertura del fichero es transparente, no es necesario que el usuario tenga que desprotegerlo manualmente o abrir el fichero protegido desde un contenedor especial. Al hacer “doble-click” el usuario sobre el fichero, el sistema operativo lanza el contenedor de aplicaciones de SealPath. El contenedor extrae la política de protección del fichero y consulta con el servidor de SealPath si el
usuario tiene o no permisos para abrir el fichero. En el caso de que el usuario no tenga permisos, la apertura se cancela.

El usuario maneja el fichero dentro del editor correspondiente como trabaja con cualquier otro fichero no encriptado. Al estar protegido con el modo simple de encriptación, no se limita ninguna acción al usuario dentro del editor.

Una vez abierto, el contenedor de aplicaciones revisa de forma continua si el fichero ha sido modificado. En cuanto detecta la modificación del fichero, protege el contenido modificado. Por tanto, la gestión del fichero encriptado se realiza de forma transparente. Se abre como un fichero más y los cambios quedan guardados en el propio fichero encriptado al cerrar el programa con el que se trabaja con el fichero.

¿Qué ventaja aporta este tipo de encriptación?

  • La encriptación se aplica a cualquier tipo de ficheros.
  • Los ficheros encriptados se abren de forma transparente, de la misma forma como se abren los ficheros no encriptados.
  • Las modificaciones realizadas al editar un fichero encriptado quedan guardadas de forma automática sobre el fichero encriptado original al cerrar la aplicación que lo gestiona.
  • El usuario que encripta tiene tracking de las aperturas del fichero encriptado, puede revocar el acceso al fichero e incluso puede poner fechas de caducidad a los ficheros encriptados.
  • La protección automática sobre carpetas aplica la protección de derechos digitales sobre aquellos ficheros que lo soportan y la encriptación sobre aquellos ficheros que no soportan el control de derechos digitales. Con el modo de encriptación, SealPath asegura que todos los ficheros dentro de la carpeta quedan al menos encriptados. De esta forma, los ficheros quedan inaccesibles para los usuarios sin permisos y los ficheros quedan almacenados o pueden ser copiados o transportados con total seguridad. Ficheros como “msg”, “zip”, etc., quedan encriptados.
  • Cuando el usuario protege un mensaje de correo, la protección se aplica a todos los ficheros adjuntos del mensaje. De esta forma, los ficheros sólo serán accesibles por parte de los usuarios presentes en la política con la que se ha protegido el correo o por parte de los destinatarios. El remitente tiene incluso la posibilidad de bloquear el mensaje y los ficheros adjuntos en caso de que hubiera cometido un error en el envío añadiendo a un destinatario erróneamente. Este destinatario no podrá acceder a ninguno de los ficheros adjuntos, se hayan protegido con derechos digitales o con encriptación.
  • La encriptación acompaña al fichero allá donde vaya, no está ligada al disco duro o la máquina donde se encuentra almacenado.
  • La encriptación puede aplicarse sobre carpetas locales o remotas. Está integrada también en SealPath FileServer para carpetas en servidores de ficheros. La encriptación en FileServer, al igual que la protección de derechos digitales, puede aplicarse sobre servidores remotos si la comunicación se realiza sobre SMB 3.0.
Leer más...
Sábado, 18 Junio 2016 11:49

SealPath Information Rights Sandbox

Escrito por  sealpath

SealPath IRS v2

Os presentamos en este artículo de blog la nueva tecnología SealPath Information Rights Sandbox (IRS) disponible en la nueva versión 3.0.

A través de esta tecnología, SealPath permite asegurar que los derechos digitales establecidos sobre un fichero son respetados por aplicaciones que han sido desarrolladas sin ninguna característica relacionada con IRM. Con la tecnología Information Rights Sandbox desarrollada por SealPath es posible aplicar ya hoy la protección de derechos digitales a las siguientes aplicaciones:

  • Access y Visio de Microsoft Office (Project y OneNote serán incorporados en breve).
  • Formatos industriales: AutoCAD y Solidworks.
  • Ficheros  de procesador de texto, hojas de cálculo y presentaciones de LibreOffice y OpenOffice.

SealPath añade encriptación, permisos de uso, auditoría y capacidades de destrucción en remoto para estos tipos de ficheros de una forma sencilla y flexible. SealPath Information Rights Sandbox envuelve al fichero y permite controlar escrituras, envíos a la impresora, “clipboard” y otras acciones a bajo nivel, consiguiendo el aseguramiento de los derechos digitales establecidos sobre un fichero en aplicaciones más allá de lo que ha sido la protección estándar de SealPath.

IRM es una tecnología con una adopción creciente que cubre las necesidades  que tienen las empresas de proteger la información independientemente de dónde se encuentre. Sabemos en SealPath que esta demanda creciente está significando, a la par que grandes oportunidades, un mercado que exige una evolución rápida en diversas líneas. Con SealPath Infomation Rights Sandbox, SealPath se convierte en líder en soporte de formatos.

SealPath Information Rights Sandbox es un resultado más del esfuerzo continuo de SealPath centrado en integrarse con las herramientas originales con las que los usuarios trabajan diariamente, en lugar de desarrollar visores limitados. Esta seguridad queda así integrada en Autodesk AutoCAD, Dassault Systems SolidWorks, Microsoft Visio y Microsoft Access como SealPath ha empleado desde siempre Adobe, Foxit, Nitro, Nuance para los ficheros Pdf y la suite de Microsoft Office con Word, Excel y Powerpoint.

SealPath IRS samples

En el desarrollo de esta tecnología, hemos sido también fieles a nuestra obsesión por dar la máxima facilidad de uso: este componente no requiere que los destinatarios tengan que instalar pesados componentes que exijan tener permisos de administrador. No es necesario que el usuario sea un administrador para instalar SealPath Desktop o SealPath Lite con el módulo de la Sandbox de SealPath, un usuario con permisos normales puede hacer esta instalación.

La protección que SealPath IRS permite aplicar sobre los nuevos formatos incluye:

  • Cifrado y encriptación persistente sobre los ficheros.
  • Capacidad de agregar derechos: Sólo ver, editar, imprimir, copiar y pegar, añadir usuarios.
  • Posibilidad de establecer fechas de expiración sobre los ficheros.
  • Posibilidad de monitorizar quién accede, cuándo, con qué permisos.
  • Posibilidad si ver alguien ha intentado acceder sin permisos, si alguien lo ha desprotegido.
  • Posibilidad de revocar acceso por usuario (cualquier fichero) o fichero (cualquier usuario).
  • Posibilidad de proteger el fichero para usuarios individuales, dominios, subdominios o incluso abrir el acceso al fichero para cualquier usuario pero manteniendo el control y monitorización.
  • Sencillez de uso tanto para usuarios protectores como para colaboradores externos que pueden acceder a la documentación sin realizar instalaciones de pesados componentes que requieren permisos de administrador.
Leer más...
Viernes, 03 Junio 2016 10:04

SealPath estará presente en Infosecurity 2016

Escrito por  sealpath

infosecurity ingecom

 

Sealpath estará presente por primera vez en Infosecurity Europe que se celebrará en Londres del 7 al 9 de junio.

SealPath dará a conocer durante las XXI Jornadas de Infosecurity las novedades de su solución IRM en el stand S05. A través de distintas demos mostrará a los asistentes cómo proteger la información crítica corporativa y mantenerla bajo control.

Asimismo, entre las actividades programadas dentro de Infosecurity, SealPath participará con una ponencia en el stand del Pabellón de España el martes 7 a las 16:15. En la ponencia presentará sus productos, analizará las últimas noticias sobre pérdidas de datos y explicará cómo SealPath plantea soluciones efectivas en un entorno en el que la información requiere de nuevas protecciones.

SealPath estará también en el evento de Networking que se celebra en el Pabellón de España F210 el martes 7 de 13:00 a 15:00. Rodolf Schmit, VP de Ventas de EMEA, estará presente en este evento y estará encantado de contar experiencias y planes respecto al canal de ventas y de contactar con posibles nuevos partners que permitan expandir el canal de SealPath, tanto en UK como en el resto de EMEA.

Infosecurity Europe es el evento número uno de seguridad de la información en Europa. Este evento además ofrece el mayor programa formativo de acceso gratuito, lo que  se traduce en una amplia oferta de presentaciones, mesas redondas, workshops y presentaciones de producto, a cargo de aproximadamente 260 expertos procedentes de todo el mundo.  

En su edición 2015 Infosecurity Europe  recibió la visita de  casi 16.000 profesionales de la seguridad de la información procedentes de 80 países, cifra que se espera superar en esta edición. 

Leer más...

clay

En el juego, en el ensayo, las cosas no tienen por qué ser más fáciles, pero sí son más flexibles, más moldeables, tenemos la confianza de que no hay consecuencias irremediables. Imagínate que podemos proteger lo que más vale con un muro de plastilina que podemos mover, elevar, desplazar a nuestro gusto sin esfuerzo, que mediante SealPath, se convierte en un muro de hormigón infranqueable para quienes tú decidas.

SealPath protege tus documentos de una forma flexible, pones hoy el caparazón y éste engorda y adelgaza a tu voluntad, en remoto, cuando el documento ya no está en tus manos, sin que nadie pueda extraer el documento de ese caparazón que lo envuelve allá donde esté.

En SealPath vamos ahora un paso más allá en el grado de flexibilidad. Hemos dicho que el documento obedece tus órdenes, pero resulta que a veces pesa mucho la responsabilidad de tener que dar siempre órdenes precisas, es decir, indicar que “este documento lo abrirán esta persona, ésta y esta otra”. Protegemos el documento al inicio del camino, pero en ocasiones es exigir demasiado tener el camino decidido desde el principio: parece que oímos a nuestra pereza reprochándonos, “estoy demasiado lejos, no me pidas que me imagine el destino antes de llegar”.

Veamos varias situaciones donde uno ya sabe que lo que está generando es sensible, pero todavía no conoce con precisión dónde va a tener que colocarse nuestro muro infranqueable; quizá no vaya a poder conocerlo nunca.

  • Quieres compartir algo, sabes que no quieres que lo tenga todo el mundo, pero no sabes quién lo va a necesitar realmente.
  • Quieres compartir algo con un grupo de personas de una empresa, pero no te importa exactamente quién va a acceder, siempre que sea de la empresa en cuestión y ellos no puedan distribuirlo libremente.
  • Compartes información con personas de varias empresas en un proyecto y estas personas van cambiando en función de las fases o prioridades. No hay forma de anticiparse a eso y, si la hubiera, no sería algo manejable.
  • Otras veces estás pensando en publicar algo para todo el mundo, pero no quieres que esa información pueda ser modificada o no quieres que otra persona pueda apropiarse de esa información y la incorpore libremente como si fuera suya.

¿Te has visto en alguna de estas situaciones? Vamos a ver cómo conseguimos transformar la plastilina en hormigón y el hormigón en plastilina. La protección con direcciones genéricas del tipo *@empresa.com, *@* son una solución que permite comenzar con una solución flexible que puedes ir refinando a medida que la situación se hace más precisa. Es también una solución que te va a permitir trabajar con seguridad en situaciones donde nunca llegas a tener un conocimiento suficiente para poder llegar a establecer una protección definida con exactitud.

  • ¿En el momento de compartir la documentación no sabes quiénes van a ser las personas que la van a necesitar? Empiezas metiendo en la política de protección un “*@*” o un Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. y cuando ya lo tengas claro, la quitas y pones a las personas que necesitan realmente acceder a la información que estás compartiendo. Aquéllos que hayan accedido inicialmente a tu documentación, pero que finalmente has decidido que no deben estar entre los destinatarios, dejarán de poder acceder a la documentación que recibieron.
  • ¿Estás trabajando con una empresa, pero no quieres andar preocupándote de quiénes son los que acceden en la documentación, con tal de estar seguro de que sean de la empresa y de que no puedan reenviarla fuera sin tu permiso? Mete en la política una dirección tipo *@empresa.com, *@marketing.empresa.com o * Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. , estas dos últimas opciones en el caso en que el grupo con el que trabajas se pueda especificar en la dirección de correo.
  • ¿Quieres publicar algo para un grupo grande y heterogéneo de personas y quieres asegurarte de que nadie modifica esta información o se la apropia para hacer uso de ella sin tu permiso? Protege la información con una dirección “*@*” o  Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. . Con permisos de Ver para estas direcciones, nadie podrá modificar la información que les has enviado.

Sabemos que a menudo tienes que empezar rápido, no puedes pararte a analizar demasiado las cosas. Pero empezar rápido no puede suponer que sacrifiques el hacer un mínimo de cosas como hay que hacerlas, o que las prisas hagan que dejes olvidado algo fundamental, tan fundamental como la protección de la información sensible y crítica. Esta característica de SealPath te da esta opción: Proteger y tener bajo control un documento, sin tener que pensar a priori qué personas específicas deberán acceder a la misma.

Leer más...
Miércoles, 25 Mayo 2016 10:21

¡Ven a visitarnos a Infosecurity Europe 2016!

Escrito por  sealpath

infosecurity blog esp

 

SealPath estará presente en Infosecurity Europe 2016 en el stand S05. ¿Quieres conocer las últimas novedades de la solución IRM más usable y potente del mercado? Visítanos y te mostraremos con una demo cómo proteger tu información importante y mantenerla bajo control de forma cómoda y sencilla tanto para usuarios como para administradores IT. Podrás hablar con nuestros especialistas que te ensañarán como otras empresas están securizando su documentación confidencial con SealPath y revisarán contigo tus necesidades concretas de protección de información. Reserva una cita con nosotros en Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. . ¡Ven a vernos!

Leer más...

Las brechas de seguridad en firmas de abogados son noticia estas últimas semanas. Los “Papeles de Panamá” del bufete panameño Mossack Fonseca y los ataques sufridos por firmas de abogados como Cravath y Weil Gotshal, entre otras, son los más representativos. En un caso estamos hablando de un volumen de información que supera con mucho lo visto hasta ahora; en el otro caso, se busca información privilegiada sobre operaciones entre empresas que podría ser empleada para actuar con ventaja en el mercado bursátil.

legal sealpath

En un ámbito donde la información tiene tanto valor, no es admisible correr el riesgo de que la información se almacene, comparta y use sin que la seguridad acompañe a la información de forma persistente, allá donde pueda encontrarse, sea la red de tu empresa o la red de un colaborador. La tecnología IRM es un elemento clave de cualquier estrategia de seguridad actual, que necesita pensar más allá del perímetro.

Puedes leer nuestro artículo completo publicado en ComunicacionesHoy:
http://profesionaleshoy.es/tics/2016/04/19/el-papelon-de-los-bufetes-de-abogados-por-que-deben-proteger-la-informacion-de-sus-clientes/20033

Leer más...

email protection

SealPath simplifica la protección persistente de emails y adjuntos

Os presentamos en este artículo de blog el nuevo plugin de protección para emails y adjuntos de SealPath. SealPath para Outlook es un add-on opcional de la plataforma de Information Rights Management de SealPath. Disponible para cualquier usuario de Microsoft Outlook, SealPath para Outlook añade encriptación, control de permisos, capacidades de auditoría y eliminación remota de datos a la hora de proteger emails y adjuntos de una forma sencilla, flexible y rentable. Con SealPath para Outlook las empresas podrán proteger su información confidencial a través de sencillos controles para los usuarios en el propio interfaz de este cliente de email.

Las fugas de datos a través del email

El email sigue siendo la herramienta más utilizada para intercambiar documentación entre usuarios corporativos. Se envían cada día del orden de 205 billones de emails y la media de emails recibidos a diario por usuarios de negocio es del orden de 122. Dependiendo del sector, es habitual enviar documentación confidencial por email a diario o enviar datos que deben estar protegidos (ej. información de pacientes, financieros, etc.). Según informes de Radicati Group, el 53% de usuarios de negocio han recibido emails o adjuntos con datos corporativos sensibles desencriptados y el 21% envía información confidencial desencriptada. Otros datos de Osterman Research reflejan que el 22% de las empresas experimentan cada año algún tipo de fuga de dato, sea por descuido o malintencionada, a través del email. El email, por ser uno de los medios de comunicación más utilizados en el mundo corporativo, constituye uno de los canales por donde más fugas de información pueden sufrir las empresas.

Las barreras actuales al uso de tecnologías de encriptación vía email

Para muchos usuarios corporativos sigue siendo complejo el envío de documentación adjunta cifrada por email. El hecho de tener que intercambiar claves públicas con otros usuarios y ser estos conceptos poco asequibles para usuarios con poco background tecnológico, hace que la tarea de encriptar email sea una “cuesta arriba” para determinados usuarios. Para otros, tener que subir un documento a una nube o gestor documental y tener que después enviar un enlace supone también realizar pasos adicionales que se salen fuera de sus flujos habituales de trabajo. La sencillez de uso juega un papel clave a la hora de aplicar seguridad a la información por email en entornos corporativos.

SealPath para Outlook

Microsoft Outlook sigue siendo uno de los clientes de email más populares en el entorno corporativo. SealPath para Outlook permite a los usuarios proteger de forma sencilla emails y adjuntos. Los usuarios, con un simple click, podrán decidir proteger adjuntos para todos los destinatarios dando por ejemplo permisos de ver y editar, pero que no puedan imprimirlo o realizar operaciones de copiar y pegar.

SealPath incluye una firma de guía en el pie del email de forma que al receptor le es muy sencillo saber qué tiene que hacer para abrir los documentos. Esta firma es configurable y puede llevar el logo o look & feel de la empresa de forma que el que la recibe sepa por quién llega protegido.

SealPath para Outlook ofrece funcionalidades muy interesantes para la protección de email. Cara a mitigar el problema de envíos con información sensible por descuido a otras personas, SealPath da la posibilidad de “destruir” o revocar el acceso a los documentos e emails si han sido protegidos por SealPath. Será posible saber si el usuario ha abierto el mensaje y los adjuntos recibidos. Es posible también ponerle fechas de caducidad a los envíos.

email protection v2

Con esta funcionalidad SealPath permite:

  • Capacidad para restringir los permisos de uso de los adjuntos e emails.
  • Cifrar aquellos adjuntos o emails con información confidencial o sensible.
  • Capacidad para establecer marcas de agua sobre los adjuntos y fechas de caducidad.
  • Rentable y flexible para las empresas ya que puede ser implementada en un determinado departamento, proyecto o para toda la empresa.
  • Capacidad para abrir los adjuntos y mensajes protegidos sin necesidad de tener Outlook (Vale cualquier cliente) y en cualquier dispositivo (Windows, Mac, iOS, Android).
  • Disponible tanto en las versiones Cloud y On-Premise de SealPath.
  • Posibilidad de poner una firma configurable en los emails indicando que están protegidos.

Con SealPath para Outlook, se consigue salvar una de las principales barreras a la hora de proteger documentación por email: La dificultad o necesidad de conocimientos técnicos. Los usuarios verán al adjuntar un fichero, un icono que les permitirá protegerlo de forma muy sencilla. El receptor recibe instrucciones en el propio email indicando qué pasos seguir para abrir los documentos protegidos. Ya no es necesario proteger con password y enviar el password en otro email, gestionar claves públicas/privadas para enviar información sensible, etc. Una vez hayas hecho login en el sistema el intercambio de documentos protegidos será similar a los desprotegidos.

Disponibilidad

SealPath para Outlook está ya disponible en las versiones SealPath Enterprise SaaS y On-Premise de SealPath, a través de subscripciones anuales basadas en el número de usuarios que protegen emails o adjuntos. Está disponible en subscripciones mensuales y anuales a un coste muy asequible. Los clientes y partners de canal interesados están invitados a realizar una prueba de SealPath para Outlook contactando en http://www.sealpath.com/en/about-us/contact-us

Noticias relacionadas: http://revistaesecurity.com/sealpath-simplifica-la-proteccion-persistente-de-emails-y-archivos-adjuntos/

Leer más...
Lunes, 30 Noviembre 2015 10:00

¿Por qué esperar a que ocurra una fuga de datos?

Escrito por  sealpath

dresden-1061673 640

 

La semana pasada una nueva fuga de datos, esta vez del fabricante de juguetes electrónicos VTech, pasaba a formar parte de las mayores de la historia en el ámbito del sector consumo según el website Have I Been Pwned, concretamente el cuarto puesto. Los datos filtrados incluyen nombres, direcciones de email, passwords, direcciones de casas particulares de unos 4,8 millones de padres que han comprado productos de VTech. También se incluyen los nombres y fechas de cumpleaños de más de 200.000 niños. Es posible relacionar los niños con sus padres, sus identidades y dónde viven.  

En este artículo Ars Technica donde se analiza esta fuga de datos, se destaca la falta de cuidado en este caso a la hora de securizar la información. Como dice el autor, “las compañías no están cogiendo el mensaje: Tomarse en serio la seguridad es algo que debes hacer antes de una fuga de datos, no algo que dices después para aplacar a la gente”.

La fuga de datos de VTech, parece tener su origen en un ataque de tipo "SQL injection" donde un hacker externo ha obtenido la información de las bases de datos de VTech. No siempre las fugas de datos tienen un origen externo. Hace un par de meses un ex-empleado de Morgan Stanley se declaraba culpable de haber robado información confidencial de más de 700.000 cuentas de clientes durante varios años. La compañía encontró los datos publicados de sus clientes en escaneos rutinarios de websites externos, pero pasó desapercibida para los sistemas de seguridad internos.

Analizando otro de los ciberataques más famosos del sector financiero en los últimos tiempos, el relacionado con JPMorgan Chase, el experto en seguridad Chuck Easttom destaca en una entrevista en Data Breach Today,  que “simplemente no se está haciendo lo suficiente para proteger los datos”. La mayor parte de las compañías apenas hace uso de tecnologías de encriptación de información, donde en muchos casos los envíos de datos personales por email van sin encriptar.

La mayor parte de las compañías centran sus esfuerzos en protegerse frente a las amenazas externas más que respecto a las internas. Sin embargo, unas de las principales causas de fugas de información confidencial son las amenazas internas.

Según una encuesta realizada por el SANS Institute sobre amenazas internas, un tercio de las organizaciones encuestadas saben que han experimentado ataques internos. Sin embargo esto es sólo la punta del iceberg ya que como se comenta en el informe muchos de estos ataques pasan desapercibidos y otros son detectados únicamente por accidente. Tres cuartas partes de los encuestados reconocen estar preocupados por la amenaza que suponen empleados maliciosos o negligentes en lo que respecta a la protección de su información confidencial.

Un ejemplo de estas “amenazas internas” son las fugas de datos derivadas del envío de datos no encriptados en el ámbito sanitario que han saltado al “Wall of shame” (muro de la vergüenza) del sitio web de la HIPPA, donde empleados de un centro de salud realizan envíos de información con datos de pacientes no encriptados a terceros.

Es en la gestión del correo electrónico donde es más sencillo cometer errores y enviar la documentación que no se debe a terceros por error. Cuando se ha realizado el envío ya es demasiado tarde para darse cuenta del error y no podemos evitar que alguien que no deba pueda acceder a la información sensible. Hasta tal punto ha llegado esto a ser un problema en el Banco de Inglaterra que ha deshabilitado la función de auto-completar el email en su plataforma de correo después de que el Director de Prensa enviase accidentalmente  un email con información altamente confidencial a un periodista.

Ahora es más sencillo que nunca proteger adjuntos enviados por email o los documentos que personal interno gestiona o comparte con terceros. Es posible destruir estos documentos en remoto si los hemos enviado a quien no debía o si tenemos sospechas de que un ex-socio puede actuar de forma negligente con la información.

Como se comentaba más arriba en el caso de la fuga de datos de VTech, no se debe esperar a que una fuga ocurra para poner los medios. Soluciones como SealPath ponen al alcance de las empresas la posibilidad de tener protegida y bajo control su información confidencial incluso aunque ya haya sido compartida o enviada a terceros.

Leer más...
Martes, 25 Agosto 2015 12:26

Ashley Madison y la privacidad “garantizada”

Escrito por  sealpath

seguridad-dating-citas

Uno de los mensajes de marketing más destacados de la recientemente hackeada “Ashley Madison” era que la privacidad estaba garantizada. A pesar de los logos con candados y resto de mensajes comerciales mostrados en su web intentando reflejar el alto nivel de seguridad con el que trabajaban, hay que tener en cuenta que es un servicio basado en Internet, la web, y por tanto vulnerable cara a mantener a salvo sus “secretos”.

Con las últimas grandes brechas de seguridad (Sony, Anthem, Target, Adobe, etc.) vamos viendo lo vulnerables que son nuestros datos y secretos en Internet. En el caso de Ashley Madison, el impacto toma una perspectiva más personal que la meramente corporativa o empresarial que habíamos visto en las anteriores (aunque incluso en ésta se han publicado varios gigas de información, emails, adjuntos, documentos pertenecientes al CEO de la compañía). Después de los Gigabits de datos personales de los usuarios (en principio se han publicado de unos 32 millones de usuarios) de esta web de citas extramatrimoniales con el lema “la vida es corta, ten una aventura”, nos podemos imaginar el impacto que podría tener en miles de familias rotas, carreras tocadas por el escándalo, etc. si los efectos de la fuga de información comienzan a expandirse.

Además del email y el hash del password, la información publicada incluye información específica de sitios web de citas como altura, peso, etc. También direcciones e incluso coordenadas GPS. Seguramente mucha gente creó cuentas falsas con identidades falsas pero las coordinadas GPS que transmitieron sus aplicaciones son reales. Por lo que se ha ido viendo en los últimos días, se ha confirmado que los datos son legítimos tanto de direcciones de email (NOTA: hay que tener en cuenta que esta web no verificaba los emails en el proceso de alta por lo que un montón de direcciones pueden estar falsificadas) como de los últimos dígitos de tarjetas de crédito.

Ataques como éste nos hacen más conscientes de lo vulnerables que son nuestros datos en Internet. Sin darnos cuentas utilizamos decenas de aplicaciones en el móvil, PC, etc. que suben y almacenan gran cantidad de datos personales en la web sin preocuparnos cómo de seguros estarán. Aunque en el ámbito corporativo las empresas son en mayor o menor medida conscientes de las necesidades de protección, poco a poco nos vamos dando cuenta de la importancia de la necesidad de seguridad y privacidad en el plano personal.

Por otro lado, vemos que este ataque tiene aparentemente diferentes motivaciones a los vistos recientemente. Hasta ahora las motivaciones eran económicas derivadas del robo de información financiera, datos de pacientes, chantaje, etc. e incluso políticas. En este caso se esgrimen razones morales, pero ¿Quién nos dice que no se ha hecho por puro entretenimiento?

Las consecuencias en cualquier caso pueden ser muy dispares: Vergüenza pública para algunos de los afectados, rupturas potenciales… pero también derivado de ello chantajes en busca de pagos por evitar que la información (ya pública en cualquier caso) llegue a quien no debe (familia, trabajo, etc). Se ha comentado también como multitud de direcciones corresponden a dominios de Gobiernos e instituciones militares…¿Podrían verse chantajes con fines de otro tipo en estos casos?. Otra posibilidad que se abre es que a los millones de direcciones de email publicadas llegue ahora malware en forma de phishing exponiéndoles a nuevos ataques.

Según ha publicado Ashley Madison, han sido víctimas de un ataque dirigido a pesar de que contaban con herramientas y tecnologías avanzadas. En comparación con otras brechas de seguridad Ashley Madison parece haberse tomado las cosas más en serio que otros anteriormente haciendo hashes de los passwords con bcrypt, tokenizando las transacciones de tarjeta y almacenando sólo los últimos dígitos de las tarjetas, separando las tablas con direcciones de email de las de los passwords, etc.

Aunque no se sabe la técnica o técnicas utilizadas (phishing? SQL injection?) y las medidas de protección que tenían no han sido suficientes. No debemos perder la perspectiva: Cuantos más candados se pongan y más medidas de seguridad de diferente índole se implementen más difíciles serán las cosas para quien intente realizar el ataque. Visto que la información más valiosa de Ashley Madison estaba en sus bases de datos. ¿Hubiese sido posible el ataque si se hubiese utilizado encriptación transparente en la base de datos o encriptación en más puntos? El simple hecho de haber utilizado bcrypt hará prácticamente imposible acceder a los passwords de los usuarios que se han publicado si estos han utilizado una contraseña larga.


Para cualquier empresa que trabaje con información sensible que sea necesario proteger es importante preguntarse ¿Dónde están mis datos más valiosos?¿El robo de qué información me podría poner en serio riesgo? ¿Está en mis bases de datos?¿En mis documentos, en mi gestor documental con datos de mis proyectos? Es ahí donde debemos poner todos nuestros esfuerzos intentando poner diferentes medidas que protejan nuestras “joyas de la corona”.

Técnicas como TDE (Transparent Database Encryption) pueden ser útiles para proteger bases de datos encriptando lo que almacenamos en ellas. Si se trata de documentación herramientas IRM (Information Rights Management) como SealPath pueden hacer que nuestra documentación confidencial está cifrada y sólo acceda quien nosotros queramos. Utilicemos protección de documentos o carpetas en los gestores documentales o servidores de ficheros si reside ahí la información más valiosa o un CASB (Cloud Access Security Broker) si necesitamos incrementar la seguridad de nuestras aplicaciones Cloud.

Es importante destacar la necesidad de proteger en diferentes puntos, aunque tengamos el perímetro protegido con un firewall, los puestos con antivirus, o IDS para detección de intrusiones ¿Está a salvo nuestra base de datos?¿Los documentos que guardamos en nuestros PCs y servidores? Cuando aplicamos un control de acceso a estos elementos estamos elevando el nivel de seguridad de nuestros sistemas y haciéndoles menos vulnerables. Estaremos por tanto enfocando bien nuestros esfuerzos técnicos y económicos ya que habremos elevado el nivel de protección de nuestros activos más valiosos.

Artículo de opinión publicado en: http://www.ticbeat.com/seguridad/ashley-madison-la-privacidad-garantizada/

Leer más...
Miércoles, 15 Julio 2015 18:11

Protección de cuerpos de mensajes en email

Escrito por  sealpath

sealpath email

Os presentamos una novedad anunciada esta semana: El cifrado de la información escrita en el cuerpo de los correos electrónicos, de forma que sólo puedan ver dicho contenido las personas autorizadas.

SealPath permite proteger el cuerpo de los mensajes electrónicos, además de la documentación adjunta. En una instalación de SealPath On-Premise, a través del cliente de email Microsoft Outlook (2003, 2007, 2010, 2013) es posible proteger un email de forma que el contenido esté cifrado y sólo accesible para los usuarios autorizados. Adicionalmente, y a diferencia de otras soluciones de cifrado de email, es posible por ejemplo limitar los permisos del receptor sobre el contenido del correo electrónico, es decir, si se protege un email con la política “No Reenviar”, el receptor que disponga permisos de acceso al email podrá leerlo pero no podrá reenviarlo.

Esta es una funcionalidad que muchas compañías nos han demandado. El correo electrónico sigue siendo uno de los medios principales de compartición de documentos. Poder aplicar la protección en el momento del envío, con la opión añadida de que tanto el cuerpo del mensaje como los adjuntos queden protegidos, es una solución muy ágil. La distribución del correo queda limitada a los usuarios con permisos, impidiendo reenvíos no deseados y limitando el efecto de posibles errores en la selección de destinatarios. El contenido de los correos sigue estando bajo el control del remitente en cualquier momento.

La lectura de emails protegidos puede realizarse por medio de Microsoft Outlook y por un plugin disponible para Internet Explorer que permite leer el contenido protegido desde el explorador sin necesidad de disponer de cliente de email.

Las operaciones que se pueden realizar en relación a la protección y al consumo de documentos protegidos son:

- Protección de un email con Microsoft Outlook.
- Acceso al mensaje protegido y limitación de permisos desde Microsoft Outlook.
- Recepción del email por parte de un usuario sin credenciales
- Acceso al mensaje desde otro cliente de email (ejemplo webmail de Gmail).
- Apertura en plugin de Internet Explorer para quien no dispone de Microsoft Outlook.
- Vista en bandeja de entrada, salida, etc.

Leer más...
Página 1 de 6