Recientemente Vormetric le encargo a la empresa Harris Poll llevar a cabo una encuesta con 204 empresas de Latinoamérica, todas ellas con ventas de al menos US$100 anuales. El objetivo de esta encuesta era tratar de identificar el origen de los ataques que ocurren hacia el interno de la organización.
Como resultado de la encuesta, el 87% de las empresas Mexicanas respondieron que eran vulnerables a ataques internos, así como un 69% de las empresas de Brasil. Recordemos que los ataques internos a las organizaciones pueden originarse de empleados comunes, terceros que trabajan en la empresa, atacantes (hackers) que tuvieron acceso a las credenciales de usuarios internos, y los que llamamos usuarios privilegiados. Estos últimos son aquellos en la organización que administran los recursos del departamento de TI. Hablamos de los usuarios “Root” del sistema operativo, los administradores de servidores o almacenamiento, los administradores de la base de datos, y cualquier otro usuario que deba gestionar algún recurso con acceso de tipo administrativo.
Todos los usuarios internos mencionados son una potencial fuente de ataque, pero estos usuarios privilegiados quedaron en el primer lugar en términos de riesgo potencial para estas empresas en la encuesta (1). Si consideramos los resultados, hay que recordar que un solo dato –a menos de que sea extremadamente valioso para alguien- por lo general tiene poco sentido monetario si se vende en el mercado negro. Estamos hablando de centavos de dólar para un número de tarjeta de crédito, o bien algunos dólares para un record del historial médico de una persona, etc. Es por ello que la motivación financiera orienta los ataques a obtener un gran volumen de datos con el fin de poder obtener la remuneración asociada. Es usual que cientos o miles de registros sean vendidos a varios compradores en un lapso relativamente corto con el fin de maximizar la remuneración. En este escenario, el acceso a la información que tienen estos usuarios privilegiados –por su naturaleza y cantidad- se vuelve clave para lograrlo.
Los usuarios privilegiados siempre van a tener que tener acceso a los sistemas, pero es recomendable que las empresas protejan su información del mal uso que estos usuarios puedan darle. Existen herramientas en el mercado mediante las cuales estos usuarios pueden tener derecho de gestionar los archivos que contienen la información, pero no los datos que contienen (2). De esta forma, aun si la información es extraída y logra caer en manos de terceros, va a ser completamente inútil ya que ha sido destruida digitalmente. Asimismo, estas herramientas permite en monitoreo de las actividades de estos usuarios de tal forma de que se puede identificar quien, cuando, como, y con cual servicio tuvo acceso a la misma para mejorar las capacidades forenses gracias a esa trazabilidad.(3)
Habiendo entendido el origen del riesgo, la pregunta ahora es: ¿Qué es lo que se debe proteger? La mayoría de la información sensible o confidencial de las empresas reside en las bases de datos, de hecho un 53% en Brasil y un 54% en Mexico según las respuestas de los encuestados. La mayoría de las empresas invierten en tecnologías que ofrecen el control de acceso a las bases de datos (Database Access Monitoring por sus siglas en inglés) o cifrado de la base de datos con herramientas nativas de algunas marcas de bases de datos. Si bien esto es una buena práctica, no es suficiente para proteger la información. Los ataques actuales no ocurren solo a nivel de la base de datos, sino que tienen origen en los sistemas operativos o bien los sistemas de archivos. Por otra parte, el cifrado con las herramientas propias de las bases de datos no protegen las bitácoras transaccionales, almacenan la llave de cifrado dentro de la base de datos, y no permiten separar los roles y funciones de seguridad con los del administrador de la base de datos. Es por ello que para poder lograr una protección efectiva de la información, se deben evaluar alternativas como tokenización, enmascarado de datos, cifrado de aplicaciones, o bien cifrado transparente. ¿Cuál tecnología se debe usar en cada caso? Esto depende de la arquitectura de aplicaciones y de base de datos de cada empresa, así como sus recursos y requerimientos de niveles de seguridad. Si se quiere una solución de alto rendimiento, bajo costo, fácil de implementar, que ofrezca control de acceso a la información y generación de bitácoras, es probable que el cifrado transparente sea la mejor solución. Recordemos que esta protege todos los datos, no importa el formato, tamaño, o naturaleza.
¿Cuántos privilegios deben entregarse a los usuarios privilegiados? Deben ser como máximo, los mínimos que requieran para su gestión de TI, bajo un adecuado monitoreo, control de acceso, y protección de los datos que deben gestionar. Recordemos que su función es gestionar la plataforma, no tener el acceso a todos los datos de la empresa.
- Ver más información en: http://www.vormetric.com/es/data-security-solutions/use-cases/privileged-user
- Ver demo en el siguiente link: https://cpl.thalesgroup.com/resources/encryption/vormetric-data-security-platform-architecture-white-paper