Data Loss Prevention – Error humano, amenazas internas y en el medio


¿Recuerdan la primera o la última vez que descubrieron que un usuario había compartido información sensible con la gente equivocada?

Las empresas dedican grandes cantidades de recursos y dinero para establecer una hermética política de DLP (Prevención contra Pérdida de Datos – Data Loss Prevention en inglés) para detectar y proteger los datos de la compañía y prevenir que lleguen a las manos equivocadas, ya sea de manera deliberada o por error. Pero no importa lo buena que sea la tecnología, o qué tan atento esté el equipo de seguridad, siempre hay un comodín, el usuario final.

“De manera general, una compañía puede detectar o controlar cuando un extraño (alguien que no sea un empleado) trata de acceder a datos de la compañía ya sea de manera física o electrónica, y puede mitigar la amenaza de que una persona externa robe propiedad de la compañía. Sin embargo, el ladrón que es más difícil de detectar que podría causar más daño es el que está dentro de la compañía, el empleado con acceso legítimo. Esa persona interna podría robar sólo para ganancia personal, o tal vez sea un “espía”, alguien que roba información o productos de la compañía para beneficio de otra organización o país”.

- Guía introductoria para identificar a personas internas maliciosas, FBI, Estados Unidos

Figura 1: Estadísticas del Insider Threat 2018 Report

De los datos anteriores podemos ver que las amenazas por parte de personas internas se han vuelto una preocupación real para la mayoría de las organizaciones, y que se han comenzado a dar pasos activos para mitigar el riesgo inherente a estas amenazas.

En este texto vamos a discutir cómo los usuarios regulares pueden exponer datos sensibles al clasificar documentos de manera errónea, cómo los usuarios maliciosos pueden aprovechar el encriptado para extraer datos, y cómo la nueva capacidad de escanear contenido en archivos encriptados de Microsoft Cloud App Security, así como la amplia oferta de Microsoft Information Protection, puede ayudar a las organizaciones a mitigar esos riesgos.

El error inocente

Mientras los empleados en el lugar de trabajo moderno se vuelven cada vez más hábiles a nivel tecnológico, y encuentran nuevas herramientas para mejorar su productividad, no siempre están conscientes de las implicaciones que tienen sus acciones en la seguridad.

Muchos de nuestros clientes aprovechan las soluciones de Microsoft Information Protection para clasificar, etiquetar y proteger sus datos. Para minimizar el impacto en los usuarios finales y su capacidad para ser productivos, estas organizaciones por lo general eligen impulsar a sus usuarios a que etiqueten los documentos por sí mismos, al brindar sugerencias automáticas pero no etiquetado o protección automática de documentos.

Un usuario puede etiquetar un documento de manera inadvertida que contenga información de alta confidencialidad con una etiqueta de baja sensibilidad que aplica restricciones mínimas de acceso. Dado a que el archivo ya está encriptado, no será escaneado por la solución DLP, pero aún podría ser accesible para personas no autorizadas.

El empleado interno malicioso

Una amenaza mayor con un mucho más alto potencial de daño, es el empleado interno malicioso, quien trabaja de manera activa en extraer información sensible de la organización, ya sea para beneficio personal, espionaje corporativo o por otras razones.

Este usuario malicioso podría explotar la capacidad de encriptar archivos para clasificar de manera deliberada un archivo como de baja sensibilidad mientras inserta datos de alta sensibilidad y luego compartirlo hacia afuera. Como en el escenario “por error” esto permitirá que el archivo pase el escaneo de la solución DLP.

¿Cómo maneja estos riesgos Microsoft Cloud App Security?

Microsoft Cloud App Security tiene un amplio conjunto de herramientas enfocadas en manejar amenazas internas. Estas incluyen detecciones de un comportamiento anómalo, detecciones de descubrimiento anómalo de nube, y la recién lanzada capacidad de escanear contenido de documentos encriptados.

Detección de anomalía en usuario

Microsoft Cloud App Security viene con un amplio conjunto de políticas de detección de anomalías fuera de lo establecido que son activadas por defecto tan pronto como es habilitado el producto. Estas detecciones buscan en las actividades desempeñadas por los usuarios en aplicaciones autorizadas y define una referencia de uso, además de aprovechar las capacidades UEBA para identificar de manera automática cualquier comportamiento fuera de lo normal que esté en curso.

Un ejemplo de este tipo de detecciones, enfocadas en amenazas internas, es “Actividad inusual de descarga de archivos por parte del usuario”. Esta detección creará una alerta cuando un usuario realice descarga de archivos que difiera de su patrón habitual, un indicador potencial de intento de extracción de datos.

Detección de anomalía en la nube

Además de las detecciones de anomalías en usuarios para aplicaciones autorizadas, Cloud App Security también ofrece detecciones enfocadas en identificar comportamiento sospechoso de usuarios en aplicaciones no aprobadas. Estas detecciones están basadas en los datos que recibimos y analizamos como parte de nuestras capacidades de Cloud Discovery.

Un ejemplo de tal detección es “Extracción de datos para aplicaciones no aprobadas”, que revisa la cantidad de datos que han sido subidos por los usuarios hacia aplicaciones no aprobadas, uno de los escenarios más comunes de extracción de datos por parte de una amenaza interna”.

Inspección de contenido de archivos encriptados

De manera reciente hemos lanzado la capacidad para administrados de permitir a MCAS escanear el contenido de archivos que son protegidos por Azure Information Protection. Después de habilitar esta funcionalidad, el administrador puede definir políticas MCAS de archivo para inspeccionar el contenido de archivos encriptados, y generar una alerta, o tomar acciones basado en la coincidencia.

Esta funcionalidad asegura que los archivos sean manejados de acuerdo con el contenido actual, incluso si son etiquetados de manera incorrecta; de este modo, previene que los datos sensibles abandonen la organización, ya sea por error o por diseño.

Figura 2: Ajuste de políticas para permitir a Microsoft Cloud App Security escanear archivos protegidos con AIP

El error humano y las intenciones maliciosas siempre serán parte de los ciclos de vida de una organización. Aunque no los podemos eliminar por completo, nuestra meta es permitir a los administradores de TI y Seguridad minimizar el riesgo. Con nuestras capacidades avanzadas y conjunto único de información de valor, Microsoft Cloud App Security y la amplia oferta de Microsoft Information Protection ayudamos a las organizaciones a proteger su información sensible, donde sea que viva o viaje.

Más información y comentarios

Conozcan cómo empezar a utilizar Microsoft Cloud App Security con nuestra detallada documentación técnica. ¿No tienen Microsoft Cloud App Security? ¡Comiencen su prueba gratis hoy!

¡Como siempre, queremos escucharlos! Si tiene sugerencias, preguntas, o comentarios, por favor visiten nuestra página Tech Community.

Conozcan más sobre Microsoft Information Protection.

Skip to main content