por Osvaldo Callegari
Si observamos diferentes casos de estudio, notamos que el mayor porcentaje de robos sucede en el área de educación, pero esto no es una limitante para que no ocurra en otras áreas como aeropuertos o empresas. Su resonancia se debe a que cuando ocurre un hecho de sustracción en un colegio obedece a un gran número de equipos, estadísticamente es importante el efecto que produce, sin embargo el robo a ejecutivos en aeropuertos o en empresas, aunque se da en menor escala, causa un mayor daño, dado que la información empresaria es muy valiosa en la mayoría de los casos.
De acuerdo a la compañía Absolute Software, el desafío más grande que la empresa tuvo que afrontar para prevenir la pérdida y fuga de los datos fue ciertamente conocer qué datos y qué dispositivos necesitaban ser asegurados. La pérdida de datos no siempre ocupa las primeras planas, en el Reino Unido, por ejemplo, las empresas que cuidaban información importante también fueron víctimas de sustracciones, esto en la mayor parte se debió al manejo inadecuado de los respaldos y a las asignaciones de responsabilidad de los empleados.
Una organización que tomó una decisión estratégica para obtener una acción positiva y protegerse de la pérdida de datos fue Bracknell Forest Council, ellos activaron un producto denominado Computraceone™ desde la compañía Absolute ™ en sus equipos portables. Está aplicación permite detectar el lugar donde se encuentra el equipo y si es necesario destruir íntegramente su disco principal con métodos de seguridad a nivel gobierno de los Estados Unidos, previniendo a su vez el uso malicioso de la información
El producto es cargado en el disco rígido y un agente de control es embebido en la BIOS (firmware) del mismo, si el disco rígido es reformateado o reemplazado el agente instalado en la memoria reconstruye todo lo necesario para que los archivos de la aplicación residan de nuevo en el disco.
Siempre es útil tener en cuenta estos consejos
•Política de seguridad: tener una política de seguridad que la adopte cada empleado de la empresa
•Autorizaciones: solamente el personal autorizado debe acceder a información sensitiva
•Administración: conocer exactamente cuántos dispositivos móviles y portables existen en la empresa, cuándo se conectan y se registran en la red.
•Control de stock: controlar qué equipos están en la empresa al final del día y qué equipos lleva el personal externamente para hacer trabajos adicionales
•Seguimiento: tener la tecnología para poder seguir esos equipos en caso de pérdida, robo o extravío.
William Pound, especialista en seguridad nos comentó que “las organizaciones necesitan tomar responsabilidades por los datos en sus dispositivos móviles, a menudo información de clientes o socios, las consecuencias de una fuga de datos es más amplia que la organización en si misma. Para tomar esa responsabilidad es necesario aplicar políticas de seguimiento donde la administración y trazabilidad es el factor clave”.
Casos de estudio
Condena con la pena máxima por vender laptops en eBay
Un hombre de de 34 años de la ciudad de Miami, conocido como “Khaki Bandit” fue sentenciado a 10 años en una prisión federal por el robo de 100 computadores portátiles desde una empresa en Naples, California y las vendió por eBay. La pena fue impuesta por el máximo juez del distrito, James Moody, a Eric Brando Almy. El juez aseguró que después de que cumpla el castigo deberá ser supervisado tres años con una multa de 151,214 dólares, monto de los equipos robados. La sentencia efectiva podría llegar a ser de ocho años. Almly tenía además otros antecedentes de identidad robadas y habría usado 15 nombres falsos, fue por ello que el juez cargó con todo el peso de la ley, según dijo su secretario Thomas Palermo.
Pruebas en la corte demostraron que Almly robó equipos entre enero del 2002 y abril de 2007, y que se hacía pasar por empleado de limpieza en las empresas, vistiendo el atuendo propio de cada lugar.
En Naples, robó tres computadoras, un disco rígido externo y cables de alimentación desde un instituto de administración de salud en el boulevard Pelican Bay en marzo de 2007. A su vez en HMA un equipo Dell™
Se demostró que esta persona utilizó siete cuentas de correo y clonó 42 en siete estados en los que aún posee cargos pendientes. Cuando la justicia estaba cerca de atraparlo el se movía de un lugar a otro. Una investigadora lo siguió haciéndose pasar por un inspector de eBay, cuando ella pudo contactarlo él le dijo que era el maestro en este juego, ella no pudo nunca atraparlo.
Algunas computadoras que había robado tenían instalado Computrace, lo que permitió que fueron recuperadas en Kansas, Arizona y Washington. Las empresas a las que robó en el estado de Florida fueron Outback Steack House´s, Federal Express, Burger King, Lennar Corp y una estación de servicios de combustibles en Doral.
El caso fue investigado por el Servicio Secreto de US, el departamento de defensa, la policía de Tampa, la policía de Miami y otros departamentos en Arizona y California.
Temas de seguridad informática
•Falla de protección de datos sensitivos más allá de la encriptación: la encriptación provee una alta seguridad externa, pero la amenaza más seria es el enemigo interno, algunos empleados pueden obtener las claves de encriptación, y a esto se suma la pérdida de los equipos por robo.
•Imposibilidad de administrar los equipos móviles: se pierde la visibilidad de los equipos, al ser móviles no se puede saber donde están.
•En los hospitales el riesgo de perder información es muy alto, las terminales de las enfermeras pueden quedar en algún lugar mientras atienden sus tareas y puede suceder que le roben datos de pacientes con todas las referencias personales.
•Los servidores y terminales desatendidas deben tener un login con contraseñas en todo momento, cuando el operador de la misma no esté debe bloquearse a los tres minutos.
•La dificultad de implementar un plan de seguridad comprensivo y práctico.
•Armar un escenario de lo posible, para establecer las brechas.
Consejos prácticos – Tool Tips
1.(Siempre) respalde la información valiosa antes de viajar: es necesario hacer una copia de la información para minimizar el riesgo de su empresa en el caso de robo o pérdida. La información almacenada en la computadora es a menudo más valiosa que el equipo en sí mismo.
2. Guarde su computadora en valijas en las que pase desapercibida.
3. Llévela siempre con usted: a menos de que sea necesario no se desprenda de su equipo, evite el traspapeleo.
4. Utilice protectores de foam: esto evitará daños en el equipo.
5. Use cable de sujeción: en los lugares donde pueda amarrar su equipo, hágalo.
6. Utilice claves muy seguras: encripte y extienda la longitud de sus claves
7. Use filtros de privacidad
8. Utilice productos de seguimiento como computrace o lojack y similares.
Otros tipos de robo
La sustracción inalámbrica
¿Cómo los atacantes pueden explotar esta debilidad? Uno de los grandes robos en la historia fue iniciado por un ladrón sentado en un auto en un estacionamiento, ingresando a una empresa desde su equipo inalámbrico, evadiendo perímetros, conectándose a un punto de acceso dentro de la propia empresa. Otros dispositivos inalámbricos son vulnerados en vuelos por turismo o en cybercafés. Estos elementos son usados como puertas de acceso a las secciones más importantes de las compañías. Lo difícil a su vez es detectar el origen de esta intrusión, dado que no es como hablábamos en la sección anterior, en la que decíamos que estos son equipos a los cuales les incorporamos un software para detectarlos y perseguirlos, en este caso el equipo es la amenaza ya que es propiedad del delincuente.
Podemos definir las amenazas de dos modalidades principales:
Procedimientos y herramientas para implementar un control WIDS: las empresas que son pro activas en este medio ejecutan a menudo aplicaciones de detección inalámbrica y herramientas de visualización de intrusos. Para evaluar la efectividad de las mismas, el personal de seguridad activa periódicamente un punto de acceso (access point) inalámbrico aislado del resto de la red dentro de un edificio monitoreado por un dispositivo WIDS. El equipo debe determinar cuando el sistema acciona un alerta por un acceso al access point y registra la cantidad de tiempo empleado en esa detección.
Adicionalmente, el grupo captura tráfico inalámbrico dentro del perímetro de la empresa y usa productos de análisis comercial y gratuito para controlar en que parte del tráfico existe una debilidad en el protocolo o las encripciones que se definieron como método de seguridad. Cuando un dispositivo presenta vulnerabilidades se verifica que tipo de configuración tiene, esta información recopilada permite analizar que controles fueron infiltrados para realizar un proceso de seguridad más adecuado.
Estadísticas notables
•70 % de los dispositivos móviles permanecen aún sin encriptar
•53 % de los profesionales móviles transportan información confidencial en sus portátiles y el 65 % no toma medidas para proteger sus datos. Fuente: Instituto Dell & Ponemon, Inseguridad en los aeropuertos, Junio 30, 2008
•66% de los empleados en US escriben sus contraseñas en lugares inseguros. Fuente: IT Facts
•34% de los empresarios no tienen herramientas y/o procedimientos para detectar o identificar fraudes. Fuente: Data Breaches
•63 % de los profesionales de la seguridad han reportado al menos una fuga de información en los últimos 12 meses. Fuente: Deloitte, Enterprise @ Risk
•66 % de las fugas que involucran datos, sus compañías no saben en que parte de su sistema se produjo. Fuente: Verizon
•31% creció el costo de recuperarse de una fuga de datos. Fuente: Ponemon Institute
•50% de las computadoras portátiles se reportaron con ataques de seguridad. Fuente CSI
•Las laptops perdidas o robadas y los dispositivos móviles son la causa más frecuente de pérdidas de datos, alcanzando el 49 %. Fuente: Ponemon Institute
•12,000 computadoras portátiles se pierden en los aeropuertos de Estados Unidos cada semana y 2/3 de ellas nunca se recuperan. Fuente: Instituto Dell & Ponemon, Inseguridad en los aeropuertos, Junio 30, 2008
•El tiempo record de recuperación de una laptop fue de Absolute Software en 47 minutos. Fuente: Absolute Software.
Podemos apreciar que la tendencia es bastante alta, pero los indicadores muestran que poco a poco el ejecutivo de viajes va incorporando nuevas herramientas de protección y seguimiento de sus datos. Seguramente aparecerán varias empresas dando este tipo de servicio, lo importante para destacar es que hoy el robo de información y equipos no queda impune pues las herramientas están al alcance de todos.
Las marcas y o productos comentados son marcas y productos registrados de sus respectivas empresas. Agradecimiento a William Pound de Absolute Software y Lojack, Organización Sans.
*Si desea puede escribirle al autor al correo electrónico [email protected]
Deje su comentario