Hace unos pocos días hemos asistido a la enésima filtración del mes. En esta ocasión lo que se ha filtrado ha sido en torno a un centenar de documentos secretos de inteligencia militar estadounidense. Estamos todavía en un estado muy primigenio de la investigación para identificar quien, cómo y cuándo. Hay sospechas, pero todavía no hay acusados.
Este evento lo que nos lleva es a reflexionar cómo un usuario, de manera accidental o malintencionada, puede exfiltrar información sin control si no tenemos correctamente identificado dónde se encuentra.
Ahora mismo, en este momento, ¿podrías cuantificar la cantidad de dato sensible en los endpoints? La maniobra es sencilla, el usuario descarga el fichero del SharePoint para trabajar sobre él y vuelve a cargar la versión modificada en los repositorios corporativos, sin ser consciente de la copia que queda alojada en su dispositivo. O directamente crea el fichero, lo trabaja y guarda en el dispositivo.
La mayor parte de las soluciones de clasificación del dato en el endpoint son una extensión de los AV, que combinan acción con un DLP. La idea es buena, pero al final o no se utiliza o se burla si realmente se quiere. No vamos a ser quien explique cómo.
Otra opción podría ser sincronizar la información del dispositivo con el OneDrive Empresarial, el cual, aunque lo podamos tener debidamente auditado, en el momento en que el usuario guarde la información en otra carpeta del dispositivo, hemos perdido la pista.
La conclusión es que el responsable del DATO y/o de la CIBERSEGURIDAD no tienen la visión global de ese dato oculto en los endpoints.
En MICROMOUSE hace años que resolvimos este problema con una tecnología que nos permite el rastreo de la información sensible en los endpoints sin alterar el normal desarrollo de la función laboral del usuario. Simplemente desplegar un agente en el dispositivo que trasladará a la consola central la información sensible detectada de acuerdo con las reglas de clasificación definidas. Las cuales se pueden realizar mediante:
- Reconocimiento de palabras clave y patrones en archivos de texto y metadatos.
- Verificadores matemáticos y lógicos.
- Tipos de archivo y propiedades (nombre, tamaño, autor, fecha de creación, etc.).
- Datos de huellas digitales.
Dando lugar a que el administrador reciba los registros o informes detallados del rastreo y la localización de datos clasificados. Los registros pueden incluir la ruta donde está almacenado el archivo, el archivo y el texto o las copias ocultas del archivo.
Lo mejor de esta tecnología: es invulnerable. Ante un intento de vulneración de esta tecnología permanecerá inalterable, ni con los permisos de Administrador de la máquina, solo será el administrador desde la consola central quien permita la desinstalación. Si esto lo combinamos con el DLP con el que se integra ya tienes blindada la información sensible del endpoint y evitarás fugas de datos no deseadas. ¿Hablamos de Ciberseguridad?