human error data security

¿A quién no le ha jugado alguna vez una mala pasada el “autocompletado” de direcciones de email de Outlook? Preparas un email con información crítica o no, se autocompleta una dirección de destinatario equivocada, das a “Enviar”… y acto seguido te llevas las manos a la cabeza porque has puesto un destinatario incorrecto.

Esto es lo que debió de pasarle a un funcionario del Ministerio de Inmigración de Australia cuando envío por error datos de pasaporte, visados y otros detalles personales de 31 dirigentes del G20, incluyendo Barack Obama, Vladimir Putin o Ángela Merkel, a destinatarios equivocados. No es el primer error humano que se comete en ese Ministerio, ya que en Febrero de 2014 se produjo la mayor filtración de datos realizada por un Gobierno cuando accidentalmente se publicaron los datos personales de unas diez mil personas con peticiones de asilo. Una vez más nos encontramos con un error humano detrás de una fuga de información de relevancia.

Otra de las causas de fuga o robo de información confidencial muy frecuente en los últimos meses son las derivadas de un ataque externo sofisticado realizado por un grupo de hackers profesionales. Un ejemplo de Enero de este año es el de la mayor fuga de datos de la historia del sector salud donde fueron extraídos de la empresa Anthem los datos de cerca de 80 millones de clientes y empleados.

Sin embargo, si analizamos los orígenes de esta brecha en concreto, vemos que nuevamente detrás de la misma, el eslabón más débil de la cadena de seguridad son las propias personas o empleados de la compañía. Los hackers consiguieron comprometer las credenciales de diferentes empleados según se cree a través de algún tipo de “phishing” que habría hecho que revelasen sus credenciales o descargasen algún tipo de malware. Los hackers realizan repetidos intentos de acceder al sistema hasta que alguien comete un error y ganan acceso al sistema. Una vez obtenidas estas credenciales los hackers consiguieron acceder a los datos a los que estos usuarios tenían acceso para obtener la información de clientes y empleados que estaban buscando.

Analizando también algunas de las fugas de información más notables desde principios de año nos encontramos una producida también desde el “interior” de la empresa. A principios de año, Morgan Stanley despedía a un asesor financiero que había robado datos del 10% de sus clientes de la División de Gestión Patrimonial (Wealth Management) con unos 350.000 clientes. Además se publicaron en Internet datos de unos 900 de estos clientes desde el PC del empleado. Aunque se sospecha que intentaba venderlos, sus abogados lo niegan rotundamente y defienden que alguien ganó acceso a su equipo y publicó estos datos para intentar sacar partido de ellos.

En estos tres casos son los usuarios o empleados quienes de forma directa o indirecta están involucrados en las fugas de información:

– Error o despiste humano en el caso de los datos del G-20

– Uso malintencionado de un empleado interno en el caso de Morgan Stanley

– Error humano tras continuados intentos de hacking muy sofisticados y persistentes en el caso de Anthem.

 

¿Qué podría haberse hecho en cada uno de estos casos para intentar evitarlos?

En el caso del G-20 si la documentación enviada hubiese ido protegida o cifrada exclusivamente para los destinatarios, se podría haber evitado el error. El destinatario que ha recibido el email por error no habría podido acceder a su contenido. Es más, con sistemas de IRM (Information Rights Management) se podría haber “destruido” esa documentación en remoto en caso de ser necesario. Un sistema de DLP difícilmente hubiese sido práctico en este caso, ya que al fin y al cabo, la información debía salir de la empresa a diferentes externos, lo cual es muy complicado de gestionar con reglas de DLP en el perímetro.

En el caso de Morgan Stanley ha llamado la atención en los medios el hecho de que un asesor “junior” tuviese acceso a las 350.000 cuentas. En este caso parece que la clave podría estar en “compartimentalizar” el acceso a la información crítica. Es decir, dar acceso a los usuarios a lo que exclusivamente necesitan para su trabajo. Esto ya se suele hacer en las empresas en determinados ámbitos como los servidores de ficheros, gestores documentales, sistemas ERP o CRM, donde sólo determinadas personas tienen acceso a determinadas áreas. Pero ¿qué sucede cuando alguien con privilegios de acceso a una carpeta del gestor documental, servidor de ficheros saca documentación de la misma y la almacena en su PC o dispositivo móvil? Que se ha perdido el control de acceso y la “compartimentalización” de acceso a los datos que se había configurado. Este control de acceso debería viajar con los datos allí donde se encuentren asegurando que sólo quién debe tener acceso, puede acceder a los mismos.

Por último, en el caso de Anthem, una vez ganado el acceso a las credenciales nos encontramos ante un ejemplo similar al de un usuario interno malintencionado que utiliza su propia cuenta para obtener acceso a datos confidenciales. Tanto en los casos anteriores como en éste, medidas de seguridad perimetrales de poco valen para detener al atacante que ya están dentro de la “muralla”.

Podemos pensar que si se roban las claves de acceso a determinados contenidos es difícil protegernos de que alguien accede después al contenido. En este caso, un sistema de análisis de comportamiento, podría detectar patrones de acceso extraños a determinada información y hacer saltar alarmas. Sin embargo, en las empresas encontramos muchas veces sistemas SIEM que generan múltiples alertas y que si no están correctamente configuradas o tratadas, nadie revisa o hace caso. Por otro lado, podríamos pensar en sistemas de control de acceso por contexto, donde si alguien intenta autenticarse desde IPs remotas, se bloqueen los accesos o se hagan saltar las alarmas, pero si ya ha accedido al PC de un usuario y desde allí salta a otros servidores internos no parece muy fácil controlar esto.

Una vez más en este caso resulta crítico tener un acceso compartimentado a la información confidencial. Los usuarios e incluso los administradores o personal de IT no necesitan ni deben tener acceso a toda la información. Aparte de asegurar que las credenciales de los administradores estén bien protegidas y dificultar mucho su activación, es fundamental que sólo determinados usuarios tengan acceso a información crítica, de forma que si alguien gana acceso a una cuenta pueda acceder a información limitada.

Además, cifrando la documentación aseguraremos que si esta sale, sea inaccesible por alguien que no tenga permisos. Encriptación persistente + control de acceso + posibilidad de revocación de acceso remoto es lo que ofrecen las tecnologías de IRM, como SealPath, que pueden poner las cosas muy complicadas a un atacante incluso en casos como los comentados.

Por último, un par de reflexiones sobre el enfoque de la seguridad en las empresas. Muchas organizaciones continúan haciendo más fuertes las “murallas” de su organización con medidas de seguridad tradicionales. Pero, como hemos comentado, de nada vale esto cuando tenemos al atacante ya en casa. Necesitamos enfocarnos en proteger los datos, de forma que, aunque salgan del recinto amurallado, salgan bajo nuestro control y protegidos.

Por otro lado, debemos involucrar a los usuarios y empleados en las políticas de seguridad de la organización. Como hemos visto, son o somos el eslabón más débil de la cadena de protección. Por ello, tenemos que trabajar en la concienciación a los usuarios de que la documentación importante debe ser protegida y se debe restringir el acceso a dichos contenidos para no tener en un futuro sorpresas desagradables.