Proteger la información de personas internas mediante software. Métodos para tratar con personas internas

Estudios recientes sobre seguridad de la información, como el informe anual ComputerCrimeAndSecuritySurvey de CSI/FBI, han demostrado que las pérdidas financieras que sufren las empresas debido a la mayoría de las amenazas están disminuyendo año tras año. Sin embargo, existen varios riesgos que hacen que las pérdidas aumenten. Uno de ellos es el robo deliberado de información confidencial o la violación de las reglas para su manejo por parte de aquellos empleados cuyo acceso a datos comerciales es necesario para el desempeño de sus funciones oficiales. Se les llama insiders.

En la gran mayoría de los casos, el robo de información confidencial se realiza mediante soportes móviles: CD y DVD, dispositivos ZIP y, lo más importante, todo tipo de unidades USB. Fue su distribución masiva lo que llevó al florecimiento del insiderismo en todo el mundo. Los directores de la mayoría de los bancos son muy conscientes del peligro de que, por ejemplo, una base de datos con datos personales de sus clientes o, además, las transacciones de sus cuentas caigan en manos de estructuras criminales. Y están intentando combatir el posible robo de información utilizando los métodos organizativos que tienen a su disposición.

Sin embargo, los métodos organizativos en este caso son ineficaces. Hoy en día puede organizar la transferencia de información entre computadoras utilizando una unidad flash en miniatura, un teléfono celular, un reproductor de MP3, una cámara digital... Por supuesto, puede intentar prohibir que todos estos dispositivos entren en la oficina, pero esto, en primer lugar, afectará negativamente las relaciones con los empleados y, en segundo lugar, todavía es muy difícil establecer un control realmente efectivo sobre las personas: un banco no es un "buzón". E incluso deshabilitar todos los dispositivos en las computadoras que se pueden usar para escribir información en medios externos (discos FDD y ZIP, unidades de CD y DVD, etc.) y puertos USB no ayudará. Después de todo, los primeros son necesarios para trabajar y los segundos están conectados a varios periféricos: impresoras, escáneres, etc. Y nadie puede impedir que una persona apague la impresora por un minuto, inserte una unidad flash en el puerto libre y copie información importante en ella. Por supuesto, puedes encontrar formas originales de protegerte. Por ejemplo, un banco probó este método para resolver el problema: llenaron la unión del puerto USB y el cable con resina epoxi, "atando" firmemente este último a la computadora. Pero, afortunadamente, hoy en día existen métodos de control más modernos, fiables y flexibles.

El medio más eficaz para minimizar los riesgos asociados con los iniciados es un software especial que gestiona dinámicamente todos los dispositivos y puertos de computadora que se pueden utilizar para copiar información. El principio de su trabajo es el siguiente. Los permisos para utilizar varios puertos y dispositivos se establecen para cada grupo de usuarios o para cada usuario individualmente. La mayor ventaja de este tipo de software es la flexibilidad. Puede ingresar restricciones para tipos específicos de dispositivos, sus modelos e instancias individuales. Esto le permite implementar políticas de distribución de derechos de acceso muy complejas.

Por ejemplo, es posible que desee permitir que algunos empleados utilicen impresoras o escáneres conectados a puertos USB. Sin embargo, todos los demás dispositivos insertados en este puerto permanecerán inaccesibles. Si el banco utiliza un sistema de autenticación de usuarios basado en tokens, en la configuración puede especificar el modelo de clave utilizado. Entonces los usuarios podrán utilizar únicamente los dispositivos comprados por la empresa y todos los demás serán inútiles.

Con base en el principio de funcionamiento de los sistemas de protección descrito anteriormente, puede comprender qué puntos son importantes al elegir programas que implementen el bloqueo dinámico de dispositivos de grabación y puertos de computadora. En primer lugar, es la versatilidad. El sistema de protección debe cubrir toda la gama de posibles puertos y dispositivos de entrada/salida. De lo contrario, el riesgo de robo de información comercial sigue siendo inaceptablemente alto. En segundo lugar, el software en cuestión debe ser flexible y permitir crear reglas utilizando una gran cantidad de información diversa sobre los dispositivos: sus tipos, fabricantes de modelos, números únicos que tiene cada instancia, etc. Y en tercer lugar, el sistema de protección interna debe poder integrarse con el sistema de información del banco, en particular con ActiveDirectory. De lo contrario, el administrador o responsable de seguridad tendrá que mantener dos bases de datos de usuarios y ordenadores, lo que no sólo es un inconveniente, sino que también aumenta el riesgo de errores.

Según varias empresas analíticas, la filtración de información a menudo se produce no debido a su robo desde el exterior, sino a la transferencia de información confidencial por parte de sus propios empleados a representantes de organizaciones competidoras. Hoy en día existen muchos dispositivos diferentes en los que se pueden copiar cualquier documento almacenado en la red local de la organización. Y no se trata sólo de unidades USB externas o unidades de CD/DVD. También puede copiar información a reproductores de mp3, teléfonos celulares, que pueden no estar conectados directamente a una computadora, a equipos externos que pueden conectarse a una red local a través de Wi-Fi y otros métodos. Además, esto incluye el envío por correo electrónico, programas de mensajería instantánea, a través de foros, blogs y chats. Hay muchas opciones, ¿es posible protegerse de ellas?

Para protección de datos de personas internas Utilizan varios métodos, incluido el uso de programas especiales diseñados para controlar el uso de dispositivos periféricos. En este artículo veremos varios programas, tanto nacionales como extranjeros, y trataremos de determinar dónde y cuándo deben usarse.

El programa está destinado a restricciones de acceso a varios dispositivos periféricos, con la capacidad de crear listas blancas, monitorear el trabajo del usuario, copiar archivos de instantáneas copiados hacia o desde dispositivos controlados. Es posible instalar controladores de seguimiento de forma centralizada o local.

La instalación del programa se puede realizar de forma centralizada o local si el acceso al ordenador protegido a través de la red es limitado o imposible. Un único kit de distribución incluye varios módulos: módulo de servidor, instalado en un servidor de red local de oficina, permite/prohíbe ciertas acciones, guarda información en una base de datos; cliente, implementado como controlador de seguimiento; administrador y base de datos, que utiliza SQLite.

Los controladores de seguimiento proporcionan control varios puertos, entre ellos USB, CIM, LPT, WiFi, IR y otros. Dependiendo del tipo de puerto, puede denegar el acceso por completo, permitir la lectura o permitir el acceso completo al dispositivo. No hay distribución horaria del acceso. También se señaló que al permitir el acceso de solo lectura a dispositivos como unidades flash USB, se mantiene la capacidad de editar archivos de texto ordinarios en estos dispositivos con la posibilidad de guardarlos en el mismo medio.

Muestra dispositivos USB conectados a computadoras y mantiene un registro de las acciones del usuario con dispositivos de almacenamiento externos. La información sobre la hora de conexión/desconexión de los dispositivos y qué archivos se leyeron o escribieron y cuándo se guarda en la base de datos. Se implementó la instantánea de archivos que se leyeron o escribieron en dispositivos USB. No hay instantáneas de los archivos enviados a impresoras u otros dispositivos; solo se registran.

Existe el concepto de “lista blanca”, que incluye dispositivos USB, cuyo acceso debe estar siempre abierto en todos los ordenadores (por ejemplo, memorias USB). Esta lista es la misma para todas las computadoras; no hay listas individuales para usuarios individuales.

proporciona configuración de acceso a varios dispositivos externos, pero no distingue las impresoras conectadas a estos puertos de la lista general de dispositivos USB. Al mismo tiempo, distingue entre medios extraíbles y puede configurar diferentes tipos de acceso para ellos. Los medios extraíbles se ingresan automáticamente en la base de datos del dispositivo (el programa ingresará en la base de datos todas las unidades USB que alguna vez se hayan conectado a una computadora específica), lo que le permite aplicar los derechos de acceso asignados a ellos para cualquier computadora protegida por el programa.

Tiene la capacidad de utilizar la instalación centralizada de partes del cliente utilizando la Política de grupo de Active Directory. Al mismo tiempo, sigue siendo posible instalarlos localmente y a través del panel de administrador del programa. Los derechos de acceso se diferencian en función de las políticas de control de acceso; sin embargo, es posible crear varias políticas que se pueden aplicar individualmente para diferentes computadoras. Además de la función de control de acceso, le permite registrar el uso de dispositivos en la computadora local.

El programa admite la función de instantáneas: la capacidad de guardar una copia exacta de los archivos copiados por el usuario en dispositivos de almacenamiento externos. Las copias exactas de todos los archivos se almacenan en un almacenamiento especial y luego se pueden analizar utilizando el sistema de análisis incorporado. La instantánea se puede configurar para usuarios individuales y grupos de usuarios. Cuando habilita la función "conservar solo registro", al copiar archivos, solo se guardará información sobre ellos (sin guardar una copia exacta del archivo).

El programa no tiene el concepto de "lista blanca" de dispositivos. En su lugar, puede especificar medios extraíbles en la política general y permitir el acceso a ellos desde cualquier computadora. Tenga en cuenta que no le permite aplicar la misma configuración a unidades de CD/DVD individuales.

Programa de empresa GFI supera significativamente en sus capacidades y , y - tiene, por ejemplo, dispositivos mucho más controlados que programas anteriores (reproductores multimedia iPod, Creative Zen, teléfonos móviles, cámaras digitales, herramientas de archivo en cintas magnéticas y discos Zip, cámaras web, escáneres) .

El programa proporciona tres configuraciones estándar para los derechos de acceso: para servidores, estaciones de trabajo y computadoras portátiles. Además de dispositivos de bloqueo, el programa tiene la oportunidad bloqueando el acceso a archivos dependiendo de su tipo. Por ejemplo, puede permitir el acceso de lectura a archivos de documentos, pero denegar el acceso a archivos ejecutables. También es posible bloquear el acceso a dispositivos no sólo por su tipo, sino también por el puerto físico al que están conectados los dispositivos externos. Otro establecer derechos de acceso se mantiene mediante identificadores de dispositivo únicos.

El administrador del programa puede mantener dos tipos de listas de dispositivos: aquellas a las que se permite el acceso de forma predeterminada ("lista blanca") y aquellas a las que el acceso está prohibido ("lista negra"). Un especialista en TI puede otorgar permisos temporales para acceder a dispositivos o grupos de dispositivos en una sola computadora (implementado generando un código especial que puede transmitirse al usuario incluso si su computadora está desconectada de la red y el agente del programa no puede conectarse al servidor).

El programa admite una nueva función de cifrado utilizada en Windows 7, llamada BitLocker To Go. Esta función se utiliza para proteger y cifrar datos en dispositivos extraíbles. GFI EndPointSecurity puede reconocer dichos dispositivos y proporcionar acceso a los archivos almacenados en ellos según sus tipos.

Proporciona al administrador un potente sistema de informes. El subsistema de estadísticas (GFI EndPointSecurity ReportPack) muestra (en forma de texto y gráfico) un resumen diario del uso del dispositivo tanto para las computadoras seleccionadas como para todas las computadoras en general. También puede obtener datos estadísticos sobre la actividad de los usuarios por día, semana, mes, desglosados por aplicaciones utilizadas, dispositivos y rutas de acceso a archivos.

Uno de los programas más comunes para proteger información de personas internas en Rusia en la actualidad. publicado en Rusia bajo la marca "1C: Distribución"

El programa proporciona control no sólo dispositivos que ejecutan Windows Mobile, sino también dispositivos que ejecutan iPhone OS y Palm OS. Al mismo tiempo, se garantiza la copia instantánea de todos los archivos y datos sobrescritos, independientemente del puerto en el que estén conectados estos dispositivos a la red controlada. La instantánea se puede configurar no solo por dispositivo, sino también por tipo de archivo, y el tipo se determinará no en función de las extensiones, sino de su contenido.

Es posible configurar el acceso de sólo lectura a medios extraíbles, incluidas las unidades de cinta. Como opción adicional: protección de los medios contra formateo accidental o intencional. También puede mantener un registro de todas las acciones del usuario tanto con dispositivos como con archivos (no solo copiar o leer, sino también eliminar, cambiar el nombre, etc.).

La compresión de flujo se puede utilizar para reducir la carga de la red al transmitir datos recibidos de agentes y archivos de instantáneas. Los datos de instantáneas en redes grandes pueden almacenarse en varios servidores. El programa selecciona automáticamente el servidor óptimo, teniendo en cuenta el ancho de banda de la red y la carga del servidor.

Para proteger los datos, muchas organizaciones utilizan discos protegidos por programas de cifrado especiales: ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt y TrueCrypt. Para dichos discos, el programa puede establecer "políticas de cifrado" especiales, que le permiten permitir que solo se escriban datos cifrados en dispositivos extraíbles. También admite el trabajo con las unidades flash Lexar JumpDrive SAFE S3000 y Lexar SAFE PSD, que admiten el cifrado de datos por hardware. La próxima versión también admitirá el trabajo con BitLocker To Go, una herramienta integrada en Windows 7 para cifrar datos en medios extraíbles.

La instantánea está destinada no solo a guardar copias de archivos, sino también a analizar la información movida. puede realizar búsquedas de texto completo del contenido de archivos, reconociendo e indexando automáticamente documentos en varios formatos.

Ya se ha anunciado el lanzamiento de una nueva versión del programa, en la que, además de una búsqueda completa, se implementará el filtrado de contenidos de archivos copiados a dispositivos de almacenamiento extraíbles de cualquier tipo, así como el control del contenido de los datos. objetos transmitidos desde una computadora a través de canales de comunicación de red, incluidas aplicaciones de correo electrónico, servicios web interactivos, redes sociales, foros y conferencias, los servicios de mensajería instantánea más populares (Instant Messengers), intercambio de archivos a través de FTP, así como sesiones Telnet

Única en la nueva versión es la tecnología para filtrar datos de texto en la red y el canal de impresión de documentos local para trabajos en formatos PCL y PostScript, que permite bloquear o permitir la impresión de documentos dependiendo de su contenido informativo.

conclusiones


Gestión remota de clientes
Gestión a través del complemento MMC
Instalación, monitoreo y recuperación de políticas centralizadas
Control de dispositivos externos.	solo USB
Control del adaptador WiFi
Control de dispositivos Palm OS. iPhone/iPod			Limitado	Limitado
Soporte tecnológico de lista blanca
Soporte para tecnología de listas blancas de medios
Soporte para unidades cifradas externas
Bloqueo de registradores de teclas
Limitar el volumen de datos copiados
Control de datos por tipo
Registro centralizado
Copia sombra	solo USB	solo USB	Parcialmente
Copia instantánea de datos de impresión
Informes gráficos de registro y instantáneas
Búsqueda de texto completo en datos ocultos

Los dos primeros programas discutidos se pueden utilizar para protección de la información del robo, pero sus posibilidades son limitadas. "Cierran" los dispositivos externos estándar en diversos grados, pero sus capacidades son limitadas, tanto en términos de configuración como en términos de análisis del rendimiento del usuario. Estos programas se pueden recomendar “para probar”, para comprender el proceso de protección en sí. Para organizaciones grandes que utilizan una variedad de equipos periféricos y requieren un análisis de la actividad del usuario, los programas anteriores serán claramente insuficientes.

Para ellos, es mejor prestar atención a los programas y. Se trata de soluciones profesionales que se pueden utilizar en empresas con un número pequeño o grande de ordenadores. Ambos programas brindan monitoreo de varios dispositivos y puertos periféricos, y cuentan con potentes sistemas de análisis e informes. Pero existen diferencias significativas entre ellos, por lo que el programa de la empresa GFI en este caso se puede tomar como el básico. puede controlar no sólo los dispositivos y el manejo de datos, sino también el uso del software. Esta oportunidad lo "saca" del nicho de "Control de dispositivos" al segmento de "DLP de punto final basado en contenido". Las nuevas capacidades anunciadas le permiten diferenciarse drásticamente de sus competidores gracias a la aparición de la capacidad de analizar el contenido en el momento en que el usuario realiza diversas acciones con datos, incluido el streaming, así como al monitorear una serie de parámetros del contexto de Comunicaciones de red, incluidas direcciones de correo electrónico, direcciones IP, ID de usuario y recursos de aplicaciones de red, etc. Disponible a través de socios de 1Soft.

Mijaíl Abramzón

Reservados todos los derechos. Si tiene preguntas sobre el uso de este artículo, comuníquese con administradores del sitio

Recientemente, el problema de la protección contra amenazas internas se ha convertido en un verdadero desafío para el mundo comprensible y establecido de la seguridad de la información corporativa. La prensa habla de información privilegiada, investigadores y analistas advierten sobre posibles pérdidas y problemas, y las noticias están llenas de informes sobre otro incidente que provocó la filtración de cientos de miles de registros de clientes debido a un error o descuido de un empleado. Intentemos averiguar si este problema es tan grave, si es necesario abordarlo y qué herramientas y tecnologías disponibles existen para resolverlo.

En primer lugar, vale la pena determinar que una amenaza a la confidencialidad de los datos es interna si su fuente es un empleado de la empresa o alguna otra persona que tenga acceso legal a estos datos. Así, cuando hablamos de amenazas internas, nos referimos a cualquier posible acción de usuarios legítimos, intencionadas o accidentales, que podría provocar la fuga de información confidencial fuera de la red corporativa de la empresa. Para completar el panorama, vale la pena agregar que a estos usuarios a menudo se les llama insiders, aunque este término tiene otros significados.

La relevancia del problema de las amenazas internas la confirman los resultados de estudios recientes. En particular, en octubre de 2008 se anunciaron los resultados de un estudio conjunto de Compuware y Ponemon Institue, según el cual los insiders son la causa más común de filtración de datos (75% de los incidentes en los Estados Unidos), mientras que los piratas informáticos ocupaban sólo el quinto lugar. lugar. En el estudio anual de 2008 del Instituto de Seguridad Informática (CSI), las cifras del número de incidentes de amenazas internas son las siguientes:

El número de incidentes como porcentaje significa que del número total de encuestados, este tipo de incidente ocurrió en el porcentaje especificado de organizaciones. Como puede verse en estas cifras, casi todas las organizaciones corren el riesgo de sufrir amenazas internas. A modo de comparación, según el mismo informe, los virus afectaron al 50% de las organizaciones encuestadas y sólo el 13% encontró piratas informáticos infiltrándose en su red local.

Por tanto, las amenazas internas son una realidad actual y no un mito inventado por analistas y proveedores. Por lo tanto, aquellos que, a la antigua usanza, creen que la seguridad de la información corporativa es un cortafuegos y un antivirus, deben examinar el problema más ampliamente lo antes posible.

La tensión aumenta también con la ley "Sobre Datos Personales", según la cual las organizaciones y los funcionarios tendrán que responder no sólo ante su gestión, sino también ante sus clientes y la ley por el manejo inadecuado de datos personales.

modelo intruso

Tradicionalmente, al considerar las amenazas y las defensas contra ellas, se debe comenzar con un análisis del modelo del adversario. Como ya se mencionó, hablaremos de información privilegiada: empleados de la organización y otros usuarios que tienen acceso legal a información confidencial. Como regla general, con estas palabras, todos piensan en un empleado de oficina que trabaja en una computadora como parte de una red corporativa, que no sale de la oficina de la organización mientras trabaja. Sin embargo, tal representación es incompleta. Es necesario ampliarlo para incluir otro tipo de personas con acceso legal a la información que puedan abandonar la oficina de la organización. Podrían ser viajeros de negocios con portátiles, o personas que trabajan tanto en la oficina como en casa, mensajeros que transportan soportes con información, principalmente cintas magnéticas con copia de seguridad, etc.

Una consideración tan ampliada del modelo de intruso, en primer lugar, encaja en el concepto, ya que las amenazas que plantean estos intrusos también son internas y, en segundo lugar, permite analizar el problema de manera más amplia, considerando todas las opciones posibles para combatir estas amenazas.

Se pueden distinguir los siguientes tipos principales de infractores internos:

Empleado desleal/resentido.Los infractores que pertenecen a esta categoría pueden actuar intencionalmente, por ejemplo, cambiando de trabajo y queriendo obtener información confidencial para interesar a un nuevo empleador, o emocionalmente, si se consideran ofendidos, y quieren vengarse. Son peligrosos porque están más motivados para causar daño a la organización en la que trabajan actualmente. Por regla general, el número de incidentes que involucran a empleados desleales es pequeño, pero puede aumentar en situaciones de condiciones económicas desfavorables y reducciones masivas de personal.
Un empleado infiltrado, sobornado o manipulado.En este caso, estamos hablando de cualquier acción selectiva, generalmente con fines de espionaje industrial en condiciones de intensa competencia. Para recopilar información confidencial, introducen a su propia persona en una empresa competidora para ciertos fines, o encuentran un empleado poco leal y lo sobornan, o obligan a un empleado leal pero descuidado a entregar información confidencial mediante ingeniería social. El número de incidentes de este tipo suele ser incluso menor que los anteriores, debido a que en la mayoría de los segmentos de la economía de la Federación de Rusia la competencia no está muy desarrollada o se practica de otras formas.
Empleado negligente.Este tipo de infractor es un empleado leal, pero desatento o negligente que puede violar la política de seguridad interna de la empresa por ignorancia u olvido. Un empleado así podría enviar por error un correo electrónico con un archivo confidencial adjunto a la persona equivocada, o llevarse a casa una unidad flash con información confidencial para trabajar durante el fin de semana y perderla. Este tipo también incluye a los empleados que pierden computadoras portátiles y cintas magnéticas. Según muchos expertos, este tipo de información privilegiada es responsable de la mayoría de las filtraciones de información confidencial.

Por tanto, los motivos y, en consecuencia, el curso de acción de los posibles infractores pueden diferir significativamente. Dependiendo de esto, se debe abordar la tarea de garantizar la seguridad interna de la organización.

Tecnologías para protegerse contra amenazas internas

A pesar de la relativa juventud de este segmento del mercado, los clientes ya tienen mucho donde elegir dependiendo de sus objetivos y capacidades financieras. Vale la pena señalar que ahora prácticamente no hay proveedores en el mercado que se especialicen exclusivamente en amenazas internas. Esta situación se ha producido no sólo por la inmadurez de este segmento, sino también por la agresiva y en ocasiones caótica política de fusiones y adquisiciones llevada a cabo por fabricantes de productos de seguridad tradicionales y otros proveedores interesados en tener presencia en este segmento. Cabe recordar la empresa RSA Data Security, que se convirtió en una división de EMC en 2006, la compra por parte de NetApp de la startup Decru, que desarrolló sistemas para proteger el almacenamiento de servidores y copias de seguridad en 2005, la compra por parte de Symantec del proveedor de DLP Vontu en 2007, etcétera.

A pesar de que un gran número de transacciones de este tipo indican buenas perspectivas para el desarrollo de este segmento, no siempre benefician la calidad de los productos que están bajo el ala de las grandes corporaciones. Los productos comienzan a desarrollarse más lentamente y los desarrolladores no responden tan rápidamente a las demandas del mercado en comparación con una empresa altamente especializada. Esta es una enfermedad bien conocida de las grandes empresas, que, como sabemos, pierden movilidad y eficiencia frente a sus hermanos más pequeños. Por otro lado, la calidad del servicio y la disponibilidad de productos para los clientes en diferentes partes del mundo está mejorando debido al desarrollo de su red de servicio y ventas.

Consideremos las principales tecnologías que se utilizan actualmente para neutralizar las amenazas internas, sus ventajas y desventajas.

Control de documentos

La tecnología de control de documentos está incorporada en productos modernos de gestión de derechos, como Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES y Oracle Information Rights Management.

El principio de funcionamiento de estos sistemas es asignar reglas de uso para cada documento y controlar estos derechos en aplicaciones que trabajan con documentos de este tipo. Por ejemplo, puede crear un documento de Microsoft Word y establecer reglas sobre quién puede verlo, quién puede editarlo y guardar los cambios y quién puede imprimirlo. Estas reglas se denominan licencia en términos de Windows RMS y se almacenan con el archivo. El contenido del archivo está cifrado para evitar que usuarios no autorizados lo vean.

Ahora, si algún usuario intenta abrir dicho archivo protegido, la aplicación se pone en contacto con un servidor RMS especial, confirma los permisos del usuario y, si se permite el acceso a este usuario, el servidor pasa la clave a la aplicación para descifrar este archivo y su información. sobre los derechos de este usuario. A partir de esta información, la aplicación pone a disposición del usuario sólo aquellas funciones para las que tiene derechos. Por ejemplo, si a un usuario no se le permite imprimir un archivo, la función de impresión de la aplicación no estará disponible.

Resulta que la información contenida en dicho archivo está segura incluso si el archivo sale de la red corporativa: está cifrado. La funcionalidad RMS ya está integrada en las aplicaciones de Microsoft Office 2003 Professional Edition. Para incorporar la funcionalidad RMS en aplicaciones de otros desarrolladores, Microsoft ofrece un SDK especial.

El sistema de control de documentos de Adobe está construido de manera similar, pero se centra en documentos en formato PDF. Oracle IRM se instala en las computadoras cliente como agente y se integra con las aplicaciones en tiempo de ejecución.

El control de documentos es una parte importante del concepto general de protección contra amenazas internas, pero se deben tener en cuenta las limitaciones inherentes de esta tecnología. En primer lugar, está diseñado exclusivamente para el seguimiento de archivos de documentos. Si hablamos de archivos o bases de datos no estructurados, esta tecnología no funciona. En segundo lugar, si un atacante, utilizando el SDK de este sistema, crea una aplicación simple que se comunicará con el servidor RMS, recibirá una clave de cifrado desde allí y guardará el documento en texto sin cifrar, e iniciará esta aplicación en nombre de un usuario que tiene un nivel mínimo de acceso al documento, entonces se omitirá este sistema. Además, se deben tener en cuenta las dificultades al implementar un sistema de control de documentos si la organización ya ha creado muchos documentos: la tarea de clasificar inicialmente los documentos y asignar derechos para usarlos puede requerir un esfuerzo significativo.

Esto no significa que los sistemas de control de documentos no cumplan con la tarea, solo debemos recordar que la seguridad de la información es un problema complejo y, por regla general, no es posible resolverlo con la ayuda de una sola herramienta.

Protección contra fugas

El término prevención de pérdida de datos (DLP) apareció en el vocabulario de los especialistas en seguridad de la información hace relativamente poco tiempo y ya se ha convertido, sin exagerar, en el tema más candente de los últimos años. Como regla general, la abreviatura DLP se refiere a sistemas que monitorean posibles canales de fuga y los bloquean si se intenta enviar información confidencial a través de estos canales. Además, las funciones de dichos sistemas a menudo incluyen la capacidad de archivar la información que pasa a través de ellos para auditorías posteriores, investigaciones de incidentes y análisis retrospectivos de riesgos potenciales.

Hay dos tipos de sistemas DLP: DLP de red y DLP de host.

DLP de red funciona según el principio de una puerta de enlace de red, que filtra todos los datos que pasan a través de ella. Evidentemente, partiendo de la tarea de combatir las amenazas internas, el principal interés de dicho filtrado radica en la capacidad de controlar los datos transmitidos fuera de la red corporativa a Internet. Los DLP de red le permiten monitorear el correo saliente, el tráfico http y ftp, los servicios de mensajería instantánea, etc. Si se detecta información confidencial, los DLP de red pueden bloquear el archivo transmitido. También existen opciones para el procesamiento manual de archivos sospechosos. Los archivos sospechosos se colocan en cuarentena, que es revisada periódicamente por un oficial de seguridad y permite o niega la transferencia de archivos. Sin embargo, debido a la naturaleza del protocolo, dicho procesamiento sólo es posible para el correo electrónico. Se brindan oportunidades adicionales para la auditoría y la investigación de incidentes al archivar toda la información que pasa a través del portal, siempre que este archivo se revise periódicamente y su contenido se analice para identificar las fugas que se han producido.

Uno de los principales problemas en la implementación e implementación de sistemas DLP es el método de detección de información confidencial, es decir, el momento de tomar una decisión sobre si la información transmitida es confidencial y los motivos que se tienen en cuenta al tomar tal decisión. . Por regla general, se trata de un análisis del contenido de los documentos transmitidos, también llamado análisis de contenido. Consideremos los principales enfoques para detectar información confidencial.

Etiquetas. Este método es similar a los sistemas de control de documentos discutidos anteriormente. Las etiquetas están integradas en los documentos que describen el grado de confidencialidad de la información, qué se puede hacer con este documento y a quién se debe enviar. En función de los resultados del análisis de las etiquetas, el sistema DLP decide si un documento determinado puede enviarse al exterior o no. Inicialmente, algunos sistemas DLP se hacen compatibles con los sistemas de gestión de derechos para utilizar las etiquetas que instalan estos sistemas; otros sistemas utilizan su propio formato de etiqueta.
Firmas. Este método consiste en especificar una o más secuencias de caracteres, cuya presencia en el texto del archivo transferido debería indicarle al sistema DLP que este archivo contiene información confidencial. Se puede organizar una gran cantidad de firmas en diccionarios.
Método Bayes. Este método, utilizado para combatir el spam, también se puede utilizar con éxito en sistemas DLP. Para aplicar este método, se crea una lista de categorías y se indica una lista de palabras con las probabilidades de que si la palabra aparece en un archivo, entonces el archivo con una probabilidad dada pertenece o no a la categoría especificada.
Análisis morfológico.El método de análisis morfológico es similar al de firma, la diferencia es que no se analiza el 100% de coincidencia con la firma, pero también se tienen en cuenta palabras raíz similares.
Impresiones digitales.La esencia de este método es que se calcula una función hash para todos los documentos confidenciales de tal manera que si el documento se modifica ligeramente, la función hash seguirá siendo la misma o también cambiará ligeramente. De esta forma, el proceso de detección de documentos confidenciales se simplifica enormemente. A pesar de los entusiastas elogios de esta tecnología por parte de muchos proveedores y algunos analistas, su fiabilidad deja mucho que desear y, dado que los proveedores, con diversos pretextos, prefieren dejar en la sombra los detalles de la implementación del algoritmo de huellas digitales, confíen en en él no aumenta.
Expresiones regulares.Conocidas por cualquiera que haya trabajado en programación, las expresiones regulares facilitan la búsqueda de datos de plantilla en texto, por ejemplo, números de teléfono, información de pasaporte, números de cuentas bancarias, números de seguridad social, etc.

De la lista anterior es fácil ver que los métodos de detección no garantizan la identificación del 100% de la información confidencial, ya que el nivel de errores tanto del primer como del segundo tipo es bastante alto, o requieren una vigilancia constante del servicio de seguridad para actualizar y mantener una lista actualizada de firmas o etiquetas de asignaciones para documentos confidenciales.

Además, el cifrado del tráfico puede crear cierto problema en el funcionamiento de la red DLP. Si los requisitos de seguridad requieren que cifre los mensajes de correo electrónico o utilice SSL al conectarse a cualquier recurso web, el problema de determinar la presencia de información confidencial en los archivos transferidos puede resultar muy difícil de resolver. No olvides que algunos servicios de mensajería instantánea, como Skype, tienen cifrado integrado de forma predeterminada. Tendrá que negarse a utilizar dichos servicios o utilizar el host DLP para controlarlos.

Sin embargo, a pesar de todas las complejidades, cuando se configura adecuadamente y se toma en serio, la DLP de red puede reducir significativamente el riesgo de fuga de información confidencial y proporcionar a una organización un medio conveniente de control interno.

DLP del anfitrión se instalan en cada host de la red (en las estaciones de trabajo cliente y, si es necesario, en los servidores) y también se pueden utilizar para controlar el tráfico de Internet. Sin embargo, los DLP basados en host se han vuelto menos extendidos en esta capacidad y actualmente se utilizan principalmente para monitorear impresoras y dispositivos externos. Como usted sabe, un empleado que trae una unidad flash o un reproductor MP3 al trabajo representa una amenaza mucho mayor para la seguridad de la información de una empresa que todos los piratas informáticos juntos. Estos sistemas también se denominan herramientas de seguridad de endpoints, aunque este término suele utilizarse de forma más amplia; por ejemplo, así es como a veces se denominan herramientas antivirus.

Como sabes, el problema del uso de dispositivos externos se puede solucionar sin utilizar ningún medio desactivando los puertos ya sea físicamente o mediante el sistema operativo, o administrativamente prohibiendo a los empleados llevar cualquier medio de almacenamiento a la oficina. Sin embargo, en la mayoría de los casos, el enfoque "barato y alegre" es inaceptable, ya que no se proporciona la flexibilidad necesaria de los servicios de información que requieren los procesos comerciales.

Debido a esto, ha surgido una cierta demanda de herramientas especiales que puedan usarse para resolver de manera más flexible el problema del uso de dispositivos e impresoras externos por parte de los empleados de la empresa. Dichas herramientas le permiten configurar derechos de acceso para los usuarios a varios tipos de dispositivos, por ejemplo, para un grupo de usuarios prohibir el trabajo con medios y permitirles trabajar con impresoras, y para otro, permitir trabajar con medios en modo de solo lectura. modo. Si es necesario registrar información en dispositivos externos para usuarios individuales, se puede utilizar la tecnología de instantáneas, que garantiza que toda la información guardada en un dispositivo externo se copie en el servidor. La información copiada se puede analizar posteriormente para analizar las acciones del usuario. Esta tecnología lo copia todo, y actualmente no existen sistemas que permitan analizar el contenido de los archivos almacenados para bloquear el funcionamiento y evitar fugas, como hacen los DLP de red. Sin embargo, un archivo de instantáneas proporcionará investigaciones de incidentes y análisis retrospectivo de eventos en la red, y la presencia de dicho archivo significa que un potencial informante puede ser capturado y castigado por sus acciones. Esto puede convertirse para él en un obstáculo importante y en una razón importante para abandonar las acciones hostiles.

También vale la pena mencionar el control sobre el uso de impresoras: las copias impresas de los documentos también pueden convertirse en una fuente de fugas. DLP alojado le permite controlar el acceso de los usuarios a las impresoras de la misma manera que otros dispositivos externos y guardar copias de los documentos impresos en un formato gráfico para su posterior análisis. Además, se ha generalizado un poco la tecnología de las marcas de agua, que imprimen un código único en cada página de un documento, mediante el cual se puede determinar exactamente quién, cuándo y dónde imprimió este documento.

A pesar de las indudables ventajas del DLP basado en host, tienen una serie de desventajas asociadas con la necesidad de instalar un software agente en cada computadora que se supone que debe monitorearse. En primer lugar, esto puede causar ciertas dificultades en términos de implementación y gestión de dichos sistemas. En segundo lugar, un usuario con derechos de administrador puede intentar desactivar este software para realizar acciones no permitidas por la política de seguridad.

Sin embargo, para un control fiable de dispositivos externos, el DLP basado en host es indispensable y los problemas mencionados no son irresolubles. Por lo tanto, podemos concluir que el concepto de DLP es ahora una herramienta de pleno derecho en el arsenal de los servicios de seguridad corporativos frente a la presión cada vez mayor sobre ellos para garantizar el control interno y la protección contra filtraciones.

Concepto de PCI

En el proceso de inventar nuevos medios para combatir las amenazas internas, el pensamiento científico y de ingeniería de la sociedad moderna no se detiene y, teniendo en cuenta ciertas deficiencias de los medios que se discutieron anteriormente, el mercado de sistemas de protección contra fugas de información ha llegado a la cima. concepto de IPC (Protección y Control de la Información). Este término apareció hace relativamente poco tiempo; se cree que se utilizó por primera vez en una revisión de la empresa analítica IDC en 2007.

La esencia de este concepto es combinar DLP y métodos de cifrado. En este concepto, con la ayuda de DLP, se controla la información que sale de la red corporativa a través de canales técnicos y se utiliza el cifrado para proteger los soportes de datos que caen físicamente o pueden caer en manos de personas no autorizadas.

Veamos las tecnologías de cifrado más comunes que se pueden utilizar en el concepto IPC.

Cifrado de cintas magnéticas.A pesar del carácter arcaico de este tipo de medios, se sigue utilizando activamente para realizar copias de seguridad y transferir grandes volúmenes de información, ya que todavía no tiene igual en cuanto al coste unitario de un megabyte almacenado. En consecuencia, las filtraciones de cintas siguen deleitando a los editores de noticias que las colocan en primera plana y frustran a los CIO y a los equipos de seguridad de las empresas que se convierten en los héroes de tales informes. La situación se ve agravada por el hecho de que dichas cintas contienen cantidades muy grandes de datos y, por tanto, un gran número de personas pueden convertirse en víctimas de estafadores.
Cifrado de almacenamientos de servidores.A pesar de que el almacenamiento del servidor rara vez se transporta y el riesgo de pérdida es infinitamente menor que el de la cinta magnética, un disco duro separado del almacenamiento puede caer en manos de los atacantes. Reparación, eliminación, actualización: estos eventos ocurren con suficiente regularidad como para cancelar este riesgo. Y la situación de que personas no autorizadas entren en la oficina no es un hecho completamente imposible.

Aquí vale la pena hacer una pequeña digresión y mencionar la idea errónea común de que si un disco es parte de una matriz RAID, entonces, supuestamente, no hay necesidad de preocuparse de que caiga en las manos equivocadas. Parecería que el entrelazado de datos escritos en múltiples discos duros, que se realiza mediante controladores RAID, proporciona una apariencia ilegible a los datos ubicados en cualquier disco duro. Lamentablemente, esto no es del todo cierto. El entrelazado se produce, pero en la mayoría de los dispositivos modernos se realiza a nivel de bloque de 512 bytes. Esto significa que, a pesar de la violación de la estructura y los formatos de los archivos, aún se puede extraer información confidencial de dicho disco duro. Por lo tanto, si existe el requisito de garantizar la confidencialidad de la información cuando se almacena en una matriz RAID, el cifrado sigue siendo la única opción confiable.

Cifrado de portátiles.Esto ya se ha dicho innumerables veces, pero aun así, la pérdida de ordenadores portátiles con información confidencial no figura desde hace muchos años entre los cinco primeros incidentes.
Cifrado de medios extraíbles.En este caso, estamos hablando de dispositivos USB portátiles y, en ocasiones, de CD y DVD grabables si se utilizan en los procesos de negocio de la empresa. Dichos sistemas, así como los sistemas de cifrado de discos duros de computadoras portátiles antes mencionados, a menudo pueden actuar como componentes de sistemas DLP host. En este caso, se habla de una especie de perímetro criptográfico que garantiza el cifrado automático y transparente de los medios que se encuentran en su interior y la imposibilidad de descifrar los datos fuera de él.

Por tanto, el cifrado puede ampliar significativamente las capacidades de los sistemas DLP y reducir el riesgo de fuga de datos confidenciales. A pesar de que el concepto de IPC se desarrolló hace relativamente poco tiempo y la elección de soluciones IPC complejas en el mercado no es muy amplia, la industria está explorando activamente esta área y es muy posible que después de un tiempo este concepto se convierta en el Norma de facto para la solución de problemas de seguridad interior y control de seguridad interior.

conclusiones

Como puede verse en esta revisión, las amenazas internas son un área bastante nueva en la seguridad de la información que, sin embargo, se está desarrollando activamente y requiere mayor atención. Las tecnologías de control de documentos consideradas, DLP e IPC, permiten construir un sistema de control interno bastante confiable y reducir el riesgo de fugas a un nivel aceptable. Sin duda este área de la seguridad de la información seguirá desarrollándose, se ofrecerán tecnologías más nuevas y avanzadas, pero hoy en día muchas organizaciones están optando por una solución u otra, ya que un descuido en materia de seguridad de la información puede salir demasiado caro.

Alexey Raevsky
CEO de SecurIT

Para protegerse eficazmente contra los infiltrados, primero es necesario garantizar el control de todos los canales de comunicación, desde una impresora de oficina normal hasta una unidad flash normal y la cámara de un teléfono móvil.

Métodos de protección contra personas internas:

* autenticación de hardware de los empleados (por ejemplo, mediante una llave USB o una tarjeta inteligente);
* auditoría de todas las acciones de todos los usuarios (incluidos los administradores) en la red;
* uso de software y hardware potentes para proteger la información confidencial de personas internas;
* formación de empleados responsables de la seguridad de la información;
* aumentar la responsabilidad personal de los empleados;
* trabajo constante con personal que tiene acceso a información confidencial (información, capacitación, prueba de conocimiento de las reglas y responsabilidades para el cumplimiento de la seguridad de la información, etc.);
* cumplimiento del nivel salarial con el nivel de confidencialidad de la información (¡dentro de límites razonables!);
* cifrado de datos confidenciales;
* Pero lo más importante, por supuesto, es el factor humano: aunque los humanos son el eslabón más débil del sistema de seguridad, ¡también son el más importante! La lucha contra los insiders no debería convertirse en una vigilancia total de todos. ¡La empresa debe tener un clima moral saludable que promueva el cumplimiento del código de honor corporativo!

Según los resultados de la encuesta anual del Instituto de Seguridad Informática (CSI, Instituto de Seguridad Informática), en 2007 los expertos en seguridad identificaron los tres principales problemas a los que tuvieron que hacer frente durante el año: el 59% reconoció a los insiders como la amenaza número uno, el 52% % - virus y 50 % - pérdida de medios móviles (portátil, unidad flash). Así, por primera vez, el problema de los atacantes domésticos en Estados Unidos empezó a prevalecer sobre el problema de los virus. Desgraciadamente no disponemos de esa información sobre Rusia, pero hay motivos para afirmar que la situación en nuestro país es al menos similar. Así, durante una mesa redonda sobre el problema de la filtración de información debido a acciones de insiders, celebrada en octubre en la conferencia anual Aladdin, se dieron a conocer los resultados de una encuesta entre administradores de sistemas de instituciones gubernamentales, que, como se sabe, tienen un nivel bajo. de ingresos, fueron presentados. Cuando se les preguntó cuántos datos confidenciales se podrían obtener de ellos, sólo el 10% de los encuestados respondió que nunca cometerían tal malversación, aproximadamente la mitad de los encuestados están dispuestos a correr riesgos por una gran cantidad de dinero, y aproximadamente el 40% está dispuesto a hacerlo. esto por cualquier recompensa. Como dicen, los comentarios son innecesarios. La principal dificultad para organizar la protección de una persona privilegiada es que es un usuario legítimo del sistema y, debido a su deber, tiene acceso a información confidencial. Es muy difícil rastrear cómo un empleado gestiona este acceso dentro o fuera del ámbito de la autoridad oficial. Consideremos las principales tareas de la lucha contra los infractores internos (ver tabla).

Cuanto más éxito logra la humanidad en la lucha contra las ciberamenazas externas, más decisivamente pasan a primer plano las amenazas internas, que, según las estadísticas, están asociadas con más del 70% de todos los incidentes de seguridad. Este artículo resume la experiencia de una empresa integradora rusa en el campo de la creación de sistemas complejos para prevenir la fuga de información confidencial. Estos sistemas complejos son vitales para el funcionamiento de muchas empresas y organizaciones modernas. Las empresas utilizan todo un arsenal de formas de monitorear a los empleados: revisar la correspondencia por correo electrónico, escuchar conversaciones telefónicas, instalar cámaras de vigilancia y monitorear el tráfico a sitios web en Internet. ¿Son legales tales acciones? Actualmente, la información confidencial y los datos personales se procesan en los sistemas automatizados de casi cualquier empresa. Naturalmente, dicha información debe protegerse. Pero, ¿cómo protegerlo, cuál es la diferencia entre los medios para proteger una computadora doméstica y las computadoras en aplicaciones corporativas, qué tareas de protección de la información y cómo deben resolverse de manera integral para garantizar una protección efectiva de la información confidencial? Nadie es inmune al sabotaje de la infraestructura de TI. Cualquier empleado puede, incluso por la razón más trivial, ofenderse con la dirección o con sus compañeros y luego cometer un verdadero sabotaje: destruir información extremadamente importante para la empresa, enviar cartas obscenas a los clientes de la empresa, etc. Evidentemente, el daño en este caso puede varían desde un clima laboral deteriorado hasta pérdidas directas multimillonarias. Las preocupaciones de las empresas sobre la seguridad interna de TI y la protección de sus activos de información se confirman constantemente mediante investigaciones de organizaciones líderes. Según la Encuesta sobre delitos informáticos del FBI de 2005, publicada en enero de 2006, el 44% de las empresas estadounidenses sufrieron graves incidentes internos de seguridad informática durante el año, en los que personas con información privilegiada robaron documentos confidenciales de los empleadores e intentaron tergiversar información con fines de fraude financiero, desde equipos de oficina. , etc. Actualmente, en el mercado de sistemas diseñados para proteger información confidencial contra fugas (DLP), existen varias tecnologías básicas de detección, incluido el análisis lingüístico y contextual, así como huellas digitales y etiquetas. Muchos empleados de organizaciones comerciales están familiarizados con una manifestación de control corporativo como la intervención de teléfonos de oficina. Por lo general, esto lo llevan a cabo agentes de seguridad de organizaciones grandes y medianas en nombre de la dirección, y las escuchas pueden ser tanto públicas como secretas. ¿Cómo determinar cuáles de los empleados de la organización y aquellos que solicitan trabajo están causando o pueden perjudicar sus intereses? ¿Cómo identificar a los alcohólicos potenciales, a las personas propensas al robo y a aquellas que nunca trabajarán productivamente? Al fin y al cabo, todos ellos pueden convertirse en empleados de su empresa. Comprender esto correctamente no es una tarea fácil. Este artículo habla sobre el papel del factor humano para garantizar la seguridad de una organización, algunas fuentes potenciales de riesgo para el personal y las medidas para proteger a la organización de ellas. La protección de la información corporativa de amenazas internas en los últimos años ha pasado de ser una tendencia de moda para empresas seleccionadas a un área completamente independiente de seguridad de la información. Los altos directivos están empezando poco a poco a reconsiderar su actitud hacia la financiación y a considerar la protección de datos frente a amenazas internas no sólo como una fuente de gastos, sino también como una ventaja competitiva de la empresa. Muchas organizaciones han formado grupos y departamentos especiales para proteger secretos comerciales, datos personales y otra información confidencial. Difícilmente se puede sobrestimar el valor de la información como uno de los componentes de cualquier negocio: según los expertos, la pérdida de sólo una cuarta parte de la información clasificada como secreto comercial de una organización en unos pocos meses conduce a la quiebra de la mitad de ellas. mismas organizaciones que filtraron dicha información. En el ámbito de las tecnologías de la información, más que en cualquier otro ámbito, el éxito de una empresa suele basarse exclusivamente en un know-how exitoso, en un movimiento tecnológico, en una estrategia de marketing o incluso simplemente en una idea original. Además, la información más valiosa sobre estas decisiones, movimientos e ideas se encuentra en la mente de los empleados de la empresa. No podemos dejar de estar de acuerdo en que el repositorio está lejos de ser el más confiable en términos de protección de información confidencial contra el acceso ilegal o no deseado por parte de terceros, o contra el uso indebido por parte del propio empleado, por ejemplo, para crear su propio desarrollo competitivo. A continuación discutiremos cómo un empleador puede controlar la difusión de información comercialmente importante dentro y fuera de la empresa, cómo se pueden respetar los derechos del empleado y qué compensación debería recibir por una restricción conocida de estos derechos. Y también cómo un empleado es responsable de revelar la información secreta de su empleador. “¡Pase de mí esta copa!” Alejando de nosotros mismos los pensamientos más desagradables, pronunciamos este hechizo secreto en varios momentos de nuestra vida. Ya sea un viaje a un mercado de ropa infestado de carteristas o un regreso tardío a casa. A veces no nos sentimos seguros, ni siquiera en nuestro propio apartamento. Los informes policiales parecen una crónica de operaciones militares. Según las estadísticas, en Rusia se produce un robo cada 3,5 minutos. Por regla general, no es posible detectar a los intrusos. ¿Pero se puede prevenir semejante molestia? Los especialistas de la empresa Promet, proveedor y fabricante líder de cajas fuertes domésticas y muebles metálicos, responden categóricamente a esta pregunta: una caja fuerte protegerá de forma fiable sus ahorros. Recientemente, el problema de la protección contra amenazas internas se ha convertido en un verdadero desafío para el mundo comprensible y establecido de la seguridad de la información corporativa. La prensa habla de información privilegiada, investigadores y analistas advierten sobre posibles pérdidas y problemas, y las noticias están llenas de informes sobre otro incidente que provocó la filtración de cientos de miles de registros de clientes debido a un error o descuido de un empleado. Intentemos averiguar si este problema es tan grave, si es necesario abordarlo y qué herramientas y tecnologías disponibles existen para resolverlo. Hoy en día, cada vez más organizaciones utilizan soluciones DLP (Prevención de pérdida de datos) para proteger la información corporativa de fugas. Antes de implementar DLP, cada empresa evalúa los riesgos y crea un modelo de amenazas que especifica las clases de información protegida, escenarios de uso de datos y amenazas asociadas. En la mayoría de los casos, los discos externos, las impresoras, el correo electrónico corporativo y diversos servicios web se consideran canales potenciales para la fuga de datos, y pocas personas piensan en proteger los datos grabados en cintas magnéticas u otros medios de respaldo, que finalmente se almacenan y transportan sin protección. . Al estudiar la seguridad de la información de las empresas y la eficacia de las medidas para garantizarla, actualmente implementadas en los sistemas de información corporativa (CIS) de los bancos, inevitablemente llama la atención una encuesta realizada en 2011 por Sailpoint Technologies, en un aspecto algo alejado de las definiciones de "proteger una computadora contra el acceso no autorizado" y "acceso no autorizado a la información de la computadora" (USD): los analistas evaluaron la lealtad de los empleados de la empresa a la ética corporativa en términos de trabajar con información restringida. Hoy en día, las amenazas internas son un tema apremiante para los servicios de seguridad de las empresas. Las organizaciones brindan a sus empleados temporales y permanentes acceso a información crítica, lo que representa una grave amenaza para la seguridad de la organización. Es más fácil para el personal de la empresa robar o abusar de la información existente que para cualquier otra persona, ya que tiene acceso directo a los activos de información de la organización. Según un estudio de Trustwave, el 80% de los incidentes de seguridad de la información se producen como consecuencia del uso de contraseñas débiles. Los insiders se han convertido en la principal causa de incidentes recientes en el Departamento de Salud de los estados de Utah y Carolina del Sur en Estados Unidos. El uso de la autenticación de contraseñas en los sistemas de información de empresas y organizaciones se está volviendo obsoleto. Al continuar aplicando esta metodología tradicional de acceso a sus propios recursos de información, las empresas en realidad están poniendo en peligro la rentabilidad y, tal vez, la existencia misma de la empresa. Un día, casi todas las organizaciones empiezan a darse cuenta de que necesitan una protección fiable de la información corporativa. Una de las formas más efectivas de proteger tus datos es instalar un sistema DLP en tu empresa. En la mayoría de los casos, la organización motiva su decisión por el hecho de que estos sistemas protegen de manera confiable la información confidencial y les permiten cumplir con los requisitos de las autoridades reguladoras. Cuántas copias se han roto en el debate sobre si los insiders representan una amenaza real para las empresas o no. El sector bancario, al estar a la vanguardia de las tecnologías modernas, siempre ha sido uno de los primeros en probar las últimas innovaciones en el mundo de las TI y en particular en el campo de la seguridad de la información. Autenticación de dos factores, sistemas biométricos y mucho más. Todo esto resonó allí donde la gente práctica prefiere guardar sus ahorros. Pero así es como funciona nuestra mentalidad eslava: “hasta que caiga el trueno”. Por tanto, disipemos los principales mitos que aún se encuentran en el sector bancario. En los últimos años, los tres grandes operadores ya han sufrido dos veces escándalos importantes por los mensajes SMS. Por primera vez, Yandex "ayudó" y, en principio, la filtración puede clasificarse como "negligente". Pero esta vez... El Servicio Federal de Seguridad informó que se había descubierto un grupo de atacantes que habían recibido archivos de correspondencia SMS de tres altos funcionarios de Moscú de parte de empleados de MTS y VimpelCom, después de lo cual VimpelCom confirmó el hecho de la filtración de información. y MTS, por el contrario, lo refutó. Dejemos la búsqueda de los culpables a la investigación y prestemos atención a los materiales del caso: empleados no identificados de los centros técnicos de los operadores móviles transfirieron información confidencial a terceros. En el lenguaje de los expertos en seguridad, se produjeron acciones internas. Prevenir las fugas de información y el acceso no autorizado es una de las tareas más importantes del servicio de seguridad de la información de cualquier organización. Si hay información confidencial (estado, secretos comerciales, datos personales), también existe el problema de protegerla contra robo, eliminación, modificación o visualización. A medida que una empresa crece, aumenta el riesgo de robo de información, incluso por parte de los empleados, aumentan los riesgos financieros y reputacionales, lo que conduce a políticas y sistemas de control más estrictos. Hoy en día la información es de gran valor. Poseerlo brinda enormes oportunidades en los negocios, la economía, la política y otras áreas. No en vano dicen que quien posee la información es dueño del mundo, y quien posee la información de otras personas está mucho mejor preparado para la competencia que sus rivales. Existen muchos formatos de archivos diferentes en los que se almacena la información de texto, incluidos TXT, RTF, DOC, DOCX, HTML, PDF y muchos otros. etc. Sin embargo, ni una sola empresa, ni en nuestro país ni en el mundo, ofrecía protección para la documentación XML. Echemos un vistazo más de cerca a qué son los archivos XML, por qué es necesario protegerlos y cómo se creó por primera vez la protección para este formato.