seguritecnia 443

SEGURITECNIA Junio 2017 67 investigar lo que sucede en nuestra em- presa, de saber en todo momento qué tipo de información manejamos, dónde está y quién tiene acceso a ella, ya que esto es parte de la responsabilidad activa que nos exige la ley. Entonces ¿cuál es la forma correcta de investigar? Cómo investigar Ahora que ya hemos abordado el pro- blema y hemos visto la necesidad de in- vestigar para poder tener el riesgo bajo control y evitar delitos, vamos a ver cuál sería la forma correcta de hacerlo. Hoy día se cuenta con tecnología ca- paz de llevar a cabo todas las tareas ne- cesarias para mantener nuestra organi- zación bien protegida y a la vez permi- tirnos investigar en el caso de que hay habido alguna incidencia. Con esta tecnología, podemos evi- tar incluso algo tan molesto como los “agentes”, ya que no es necesario instalar ningún tipo de agente en todas las má- quinas de la organización para tener un control de la información que se maneja. ¿Cómo es posible? Esto es posible contando con un servi- cio especial con permisos de administra- dor, que a través de unos puertos con- cretos nos permita acceder al contenido completo de todas las máquinas remo- tas desde una única ubicación, de modo que únicamente necesitemos un nú- mero determinado de servidores (que dependerá del número de máquinas de las que obtener información) capaces de buscar, encontrar y procesar lo datos re- queridos. Sin embargo, la cantidad de informa- ción que podemos encontrar a través de toda la red puede ser inmanejable, sin contar con que podríamos estar acce- diendo a información de carácter privado. En ocasiones, aun tratándose de con- tenido exclusivamente corporativo, por procedimiento no es posible ni siquiera seleccionar únicamente una parte de la evidencia para que sea procesada (por ejemplo, únicamente procesar el correo electrónico en una evidencia que es un disco duro completo), ya que esto impli- caría “mirar” dentro de la propia eviden- cia para localizar lo que queremos. Para solucionar esto, tenemos la po- sibilidad de definir exactamente qué es lo que estamos buscando y dónde uti- lizando todos los filtros que tengamos disponibles, como por ejemplo: Tipo de archivo. Nombre de archivo. Palabras clave. Metadatos de archivo (nombre, fechas, tamaño, etc.). Una vez aplicados los filtros correspon- dientes, sólo estaríamos buscando infor- mación estrictamente relacionada con la actividad de la empresa o con el objeto de la investigación, lo que nos permitirá tener una visión de: Qué tipo de información sensible existe en nuestra organización. Dónde está almacenada. Cuándo fue creada y por qué. Basándonos en estos datos será mucho más fácil el poder tomar decisio- nes en cuanto a qué hacer con la infor- mación que existe, además de tener una perspectiva mucho más detallada del estado actual de los datos que se mane- jan, permitiéndonos mejorar progresiva- mente las medidas de seguridad. Aunque parece una tarea sencilla, el potencial de dicha tarea dependerá en gran medida de la herramienta que uti- licemos, por lo que deberíamos eval- uar que la funcionalidad del sistema elegido sea la más adecuada para lo que necesitamos. Una vez localizados los datos, es posi- ble que hayamos tenido falsos positivos, por lo que el siguiente paso sería filtrar esa información que hemos encontrado para procesar únicamente la información realmente valiosa. Este paso es muy im- portante, ya que nos permitirá no proce- sar ni almacenar datos que no estén jus- tificados o que no sean interesantes y optimizar el espacio de almacenamiento que se necesita, almacenando única- mente los índices de la información que sean imprescindibles. Cómo sistema de prevención y cumplimiento regulatorio, debemos im- plantar en nuestra plataforma la capac- idad de descubrir y categorizar la infor- mación a través de nuestros sistemas de correo electrónico, unidades de red compartidas, archivos, bases de datos y cualquier tipo de sistema de almace- namiento que pueda haber en nuestra red, incluyendo los ordenadores y por- tátiles de los puestos de trabajo. En definitiva, el tomar medidas de pre- vención y el estar preparado para reali- zar investigaciones internas nos benefi- ciará a la hora de poder cumplir con la nueva normativa y de minimizar de una forma eficiente los riesgos de no contar con una estructura segura. S Nuix Sensitive Data Finder. Seguridad Integral