Fuga de información confidencial en la educación. Tecnologías modernas para proteger contra la fuga de información confidencial. Principios de diseño del sistema de protección.

La construcción de cualquier sistema de protección comienza con el estudio de los riesgos potenciales y la creación de un modelo de amenaza. Sólo en este caso podemos hablar de una solución verdaderamente exitosa al problema de seguridad. La protección contra fugas de información confidencial no es una excepción a esta regla. Las amenazas aquí son canales a través de los cuales los datos pueden salir sin autorización del sistema de información de la organización.

Hoy en día, existe toda una serie de canales potencialmente peligrosos a través de los cuales se puede filtrar información confidencial desde una red corporativa. Algunos de ellos son obvios: dispositivos móviles y dispositivos de almacenamiento, computadoras de escritorio y servidores, Internet y correo electrónico. Otros canales de fuga a menudo pasan desapercibidos y quedan desprotegidos. Estos incluyen documentos en papel, copias de archivo de datos, etc.

El grado de amenaza para cada uno de los posibles canales es diferente. Algunos de ellos se encuentran entre los más comunes y requieren control obligatorio en casi todas las organizaciones. Otros, para muchas empresas, suponen una amenaza más teórica que práctica. Además, la situación no es estática, sino que cambia constantemente. Están surgiendo nuevos canales de fuga de información potencialmente peligrosos y la popularidad de los antiguos está cambiando.

Se puede obtener información actualizada sobre la distribución de canales a partir de los resultados de estudios sobre fugas de información confidencial. En nuestro país informes similares son presentados por empresas especializadas en el desarrollo de sistemas DLP: InfoWatch y SecurIT. Cabe mencionar que incluyen datos recopilados en todo el mundo, y no sólo en Rusia. Sin embargo, esto no es nada sorprendente. En nuestro país se publica una proporción extremadamente pequeña de incidentes, por lo que no es necesario hablar de estadísticas de alta calidad.

Computadoras

Uno de los principales canales de filtración siempre han sido los ordenadores en los que se almacena información confidencial. Pueden ser servidores (por ejemplo, un servidor de base de datos, un servidor de correo, etc.) y estaciones de trabajo en una red corporativa, así como computadoras portátiles de usuario. Los primeros se encuentran constantemente en las instalaciones de la organización y los empleados no pueden sacarlos al exterior. Estos últimos se utilizan para trabajos de campo y pueden salir libremente de las instalaciones de la oficina. Por lo tanto, una computadora portátil que se utiliza en lugar de una PC en el lugar de trabajo también puede considerarse una computadora de escritorio por motivos de seguridad.

Figura 1: Distribución de filtraciones por canal en 2010 (según informe InfoWatch)

¿Por qué es necesaria esta división? El hecho es que los modelos de amenazas para computadoras de escritorio y móviles son algo diferentes. Para ambos tipos, existe un conjunto común de métodos para filtrar información confidencial. Por ejemplo, impresión no autorizada de documentos, copia de datos a dispositivos de almacenamiento extraíbles, consecuencias de programas maliciosos (por ejemplo, software espía), etc.

Con respecto a las computadoras móviles, se suma otra amenaza: el riesgo de pérdida accidental o robo físico de una computadora portátil con información confidencial. En el caso de una PC estacionaria, la probabilidad de que ocurra tal evento tiende a cero (los casos de robo en oficinas con sustracción de equipos informáticos son bastante raros). A juzgar por la prensa, los ordenadores portátiles se pierden con bastante frecuencia. Por lo tanto, si las computadoras de escritorio solo necesitan un sistema DLP que controle todos los canales principales de fuga de datos, las computadoras móviles requieren además el cifrado de información confidencial.

No en vano mencionamos que las computadoras han sido durante mucho tiempo el principal canal de filtración de información confidencial. Según InfoWatch, en 2010 representaron el 37% de todas las filtraciones. En 2011, la situación cambió drásticamente. La proporción de computadoras afectadas por fugas disminuyó al 20,5%, es decir, se redujo más de 1,5 veces. SecurIT da otras cifras: 22,5% en 2010 y 14,5% en 2011. Sin embargo, existe una tendencia general a la baja en la proporción de ordenadores. Sin embargo, los números restantes son más que suficientes para tomar en serio este canal.

Figura 2: Distribución de filtraciones por canal en 2011 (según informe InfoWatch)

También se puede observar el hecho de que la proporción de filtraciones que ocurren en computadoras móviles está disminuyendo gradualmente (según InfoWatch, en 2010 su proporción disminuyó aproximadamente un 1,5%, y en 2011, un 2,4%). Al parecer, numerosas publicaciones en la prensa no fueron en vano, por lo que se empezó a tomar más en serio los portátiles, utilizando cifrado.

Otra razón por la que hablamos de las computadoras como principal canal de filtración de información confidencial es el siguiente hecho. Según las investigaciones, ocupan una gran parte de las filtraciones de datos intencionadas. Según InfoWatch, en 2010 representaron el 53% (39% para computadoras de escritorio y servidores y 14% para computadoras portátiles), y en 2011, el 21,2% (15,4% para computadoras de escritorio y 5,8% para computadoras móviles) de todos estos incidentes. Mientras tanto, son las filtraciones intencionadas las que plantean la amenaza más grave y conducen a las consecuencias más desagradables.

Internet

Hoy en día, Internet se utiliza activamente en muchos procesos comerciales. Pero al mismo tiempo, también representa un canal bastante serio para la filtración de información confidencial. Según SecurIT, la red global representó alrededor del 35% en 2010, y ya el 43,9% en 2011, de todos los incidentes relacionados con la vulneración de datos (incluidas las acciones de piratas informáticos, la gran mayoría de las cuales se llevan a cabo a través de Internet). InfoWatch proporciona otros datos: el 23% en 2010 y el 19,8% en 2011. Se puede ver que estas cifras, en general, reflejan los indicadores de filtraciones a través de ordenadores. Es por eso que Internet y los equipos informáticos son los principales canales de fuga de información en la actualidad.

Figura 3: Distribución de fugas por canal en 2010 (según informeSecurIT)

Al mismo tiempo, Internet puede considerarse una amenaza algo menor para la seguridad de la información, porque la mayoría de las filtraciones a través de la red global se clasifican como accidentales. Estamos hablando de un manejo descuidado de información confidencial (principalmente datos personales), que se publica públicamente en un sitio web o redes sociales, se envía por correo electrónico o se transmite durante conversaciones privadas en ICQ y Skype. Por otro lado, en los últimos años se ha observado una constante tendencia al alza en el número de filtraciones de datos a través de Internet. Por tanto, este canal no puede subestimarse.

Cuando se habla de Internet, hay que entender que representa todo un conjunto de canales para la filtración de información confidencial. Desafortunadamente, los informes rara vez lo dividen en partes (por eso lo escribimos como un solo canal). Sin embargo, se pueden encontrar algunos datos. Desde hace bastante tiempo, el canal de filtración más importante en Internet ha sido el correo electrónico. Por ejemplo, en 2010, según SecurIT, representó el 17,8% de todas las fugas de información. Pero ya en 2011 su participación cayó a sólo el 2,8%. Sin embargo, InfoWatch proporciona cifras ligeramente diferentes. Según esta empresa, en 2010 el correo electrónico representó el 7% y en 2011 el 6,2% del número total de incidentes relacionados con la violación de la confidencialidad de los datos. Sin embargo, la mayoría de ellos se deben a fugas accidentales.

Por supuesto, necesitas controlar tu correo electrónico. Sin embargo, aquí hay que tener en cuenta un punto muy importante. Hoy en día, los empleados de las empresas pueden utilizar tanto un servidor de correo corporativo como servicios web gratuitos en Internet. Y ambas opciones son peligrosas desde el punto de vista de la seguridad de la información. Por tanto, es necesario que el sistema DLP implementado tenga la capacidad de controlar tanto el correo corporativo como los servicios web.

Figura 4: Distribución de fugas por canal en 2011 (según informeSecurIT)

El siguiente canal de Internet potencialmente peligroso para la filtración de información confidencial son todo tipo de sistemas de comunicación, principalmente clientes de mensajería instantánea y Skype. La situación se ve agravada por el hecho de que el número de los primeros aumenta constantemente. Si antes había literalmente dos o tres clientes principales (ICQ, QIP, etc.), hoy muchos servicios web adquieren sus propios programas para una comunicación rápida. El control de Skype, que se ha vuelto popular recientemente, también es complicado debido a la transmisión de datos a través de un canal de comunicación cifrado. Sin embargo, las últimas versiones de las soluciones DLP modernas hacen frente con éxito al control de casi toda la gama de programas de mensajería instantánea.

Otro canal importante de Internet para las filtraciones son los diversos servicios web. Especialmente relevantes en este sentido son las redes sociales, tan populares hoy en día. Con medios de comunicación avanzados, que incluyen mensajería y publicación de archivos, y una gran cantidad de usuarios, son potencialmente uno de los servicios web más peligrosos desde el punto de vista de la seguridad de la información. Sin embargo, no debemos olvidarnos de los medios más tradicionales de intercambio de información. Estos incluyen foros, foros de mensajes y blogs. A pesar de su menor distribución, también pueden convertirse en un canal para la filtración de información confidencial.

Es necesario implementar controles sobre el uso de los servicios web mencionados no solo para detectar y prevenir intentos de transferir información confidencial, sino también para identificar empleados desleales. El ejemplo más llamativo es la búsqueda de empleados que utilizan activamente los sitios de recursos humanos: consulta de vacantes, envío de currículums, etc. Tales acciones sugieren la posible transferencia de dichos empleados a organizaciones competidoras.

Mención aparte merecen todo tipo de ataques de piratas informáticos. En el informe de SecurIT están resaltados en una columna separada. Y resulta que esto tiene sentido. En 2010, representaron sólo el 6,2% de los incidentes relacionados con fugas de información confidencial. Y ya en 2011, esta proporción aumentó más de 4(!) veces: hasta el 25,8%. Esto indica que los atacantes utilizan cada vez más todo tipo de malware para robar datos, mediante el cual realizan ataques de piratas informáticos a ordenadores con datos confidenciales. Además, la protección contra ellos es relativamente sencilla. Instalar, configurar y actualizar oportunamente un antivirus, actualizar los sistemas operativos, utilizar un firewall y filtrar sitios no deseados puede reducir en gran medida el riesgo de ataques exitosos de piratas informáticos a la red de una organización.

Unidades extraíbles

Si lees la prensa, puede parecer que las unidades extraíbles son casi la fuente principal de todos los problemas. A los periodistas les encanta hablar sobre unidades flash y discos móviles perdidos o robados con información confidencial. Sin embargo, en realidad, las unidades extraíbles causan incidentes con relativa poca frecuencia. Según InfoWatch, en 2010 sólo el 8% de las filtraciones de datos estuvieron asociadas a ellas. La cifra del informe SecurIT es ligeramente superior: 12,6%. En 2011, la proporción de unidades extraíbles disminuyó. Según SecurIT, representaron sólo el 6,3% y, según InfoWatch, el 6,2% del número total de incidentes relacionados con fugas de datos confidenciales.

Figura 5: Distribución de filtraciones intencionadas por canal en 2011 (según informe InfoWatch)

Esto se explica de forma muy sencilla. A pesar de que se han generalizado todo tipo de unidades USB, no se utilizan con tanta frecuencia para transferir y, especialmente, almacenar datos confidenciales. Además, este canal es relativamente fácil de controlar. Basta con introducir el cifrado de datos obligatorio en las unidades flash corporativas para protegerlas en caso de pérdida de la unidad.

Documentos en papel

Cuando hablamos de seguridad de la información y protección contra fugas de datos confidenciales, a menudo nos olvidamos de un canal como los documentos en papel. Mientras tanto, bajo ninguna circunstancia se le debe subestimar. Según las investigaciones, se producen bastantes incidentes relacionados con la información impresa en papel. Según SecurIT, en 2010 su participación en el total fue del 12,7%. InfoWatch proporcionó una cifra aún más pesimista: el 20%. Sin embargo, en 2011 la situación mejoró algo. SecurIT en su informe citó una cifra del 7,4%, e InfoWatch, un 19,1%. Sin embargo, está claro que los documentos en papel suelen resultar más peligrosos que los dispositivos de almacenamiento extraíbles y el correo electrónico.

La situación se ve agravada por dos hechos. En primer lugar, en la mayoría de las organizaciones el control finaliza con la impresión del documento. Después de esto, su movimiento por la oficina y su eliminación no se rastrean de ninguna manera y quedan enteramente en la conciencia de los empleados. En segundo lugar, hoy en día el control de los documentos en papel sólo es posible con la ayuda de medidas organizativas (no hablaremos seriamente de introducir un régimen de secreto en la oficina siguiendo el ejemplo de las organizaciones que trabajan con documentos que representan secretos de estado). La disciplina laboral en muchas empresas sigue siendo bastante baja. Como resultado, los documentos con información confidencial no se envían a la trituradora, sino simplemente a la papelera. Desde donde entran al comedero y los intrusos pueden encontrarlos.

En la realidad rusa, con el deseo de lograr ahorros totales, también es relevante otro modelo de amenazas asociadas con los medios de papel. Estamos hablando de borradores: hojas rechazadas o que ya no son necesarias, en blanco por un lado. La mayoría de las veces se utilizan para imprimir cualquier documento interno. Esto crea el riesgo de que los datos confidenciales caigan en manos de empleados que no deberían tener acceso a ellos.

Es digna de mención la distribución de fugas de información confidencial asociadas con documentos en papel entre incidentes intencionales y accidentales. El caso es que casi todos pertenecen a la segunda categoría. Además, son los documentos en papel los que constituyen el principal canal de fuga accidental de información y ocupan con confianza el primer lugar. Según InfoWatch, ¡su participación en el total alcanza el 30%! Mientras que entre las filtraciones intencionadas comparten el tercer lugar con Internet con un valor del 9%.

Otros canales de fuga

Además de los principales enumerados anteriormente, existen muchos otros canales para filtrar información confidencial. Son mucho menos habituales, pero, sin embargo, no podemos olvidarnos de ellos. Además, muchos de estos canales son utilizados por los atacantes para obtener específicamente determinada información. Es decir, este tipo de filtraciones, a pesar de su pequeño porcentaje en el total, pueden causar daños importantes a cualquier organización.

Figura 6: Distribución de fugas accidentales por canal en 2011 (según informe InfoWatch)

En primer lugar, estos canales incluyen unidades de archivo destinadas a almacenar copias de información confidencial, incluidas todo tipo de bases de datos. En muchas empresas, la información sobre ellos se registra en texto claro. Por lo tanto, si dicha unidad se pierde o es robada, los datos se convierten fácilmente en presa de los atacantes. Esto se puede ver en los informes. Así, según InfoWatch, en 2010, las unidades de copia de seguridad representaron sólo el 2% de los incidentes relacionados con fugas de información confidencial. Y ya en 2011 su participación aumentó hasta el 8,5%.

Otro canal de fuga de datos confidenciales es la eliminación incorrecta de equipos y medios informáticos. Muchas organizaciones venden computadoras desmanteladas o las donan a instituciones sin fines de lucro. Y, al mismo tiempo, hay casos en los que los PC se regalan tal como están, sin borrar toda la información. Pero, incluso si se formatea el disco duro de la computadora, devolverle la vida a los datos no será difícil. Antes de su eliminación, los medios deben someterse a un procedimiento de limpieza especial, que imposibilitará la recuperación de la información.

Además, existen otros canales para filtrar información confidencial, incluidas actividades fraudulentas contra empleados de la empresa, phishing, etc.

Conclusiones

En 2010, los dos canales más extendidos para la filtración de información confidencial fueron el robo de ordenadores, incluidas estaciones de trabajo, servidores y portátiles de red, e Internet, incluido el correo electrónico, clientes de mensajería instantánea, redes sociales, etc. El primero representó del 22,5% al ​​37%. % de todos los incidentes, y en el segundo, del 23% al 35% (según diversos estudios). Además, las computadoras prevalecen en las filtraciones intencionales (su participación en las filtraciones intencionales alcanza el 53%), e Internet prevalece en las filtraciones accidentales de datos (su participación es el 33%).

En 2011 la situación cambió. La proporción de ordenadores, incluidos los móviles, está disminuyendo gradualmente. Por el contrario, el número de incidentes relacionados con el uso de Internet está aumentando. Desde el punto de vista de la seguridad, todo tipo de servicios web y ataques de piratas informáticos son especialmente peligrosos (el número de estos últimos aumentó de forma muy, muy significativa en 2011). De acuerdo con estos datos, se recomienda construir protección contra violaciones de la confidencialidad de la información.

En general, ambos canales se pueden controlar completamente utilizando sistemas DLP modernos. Se recomienda prestar especial atención a los ordenadores. Más precisamente, la política de uso de unidades extraíbles e impresoras en la organización. Es muy posible que muchos empleados no necesiten copiar nada en unidades flash. Y al prohibirles hacer esto, puede aumentar significativamente la seguridad de la empresa. Las computadoras móviles deben considerarse por separado. Si se utilizan durante los viajes, es mejor complementar el sistema de protección con cifrado de información confidencial.

No se puede prohibir completamente Internet. Por tanto, las herramientas de seguimiento de canales de red suelen basarse en análisis contextuales y son de naturaleza probabilística. Sin embargo, dado que Internet ocupa un lugar más destacado en las filtraciones accidentales de datos confidenciales, incluso estas herramientas pueden reducir significativamente los riesgos de información de una organización. Además, es necesario cumplir estrictamente con la política general de seguridad y utilizar antivirus, firewalls, sistemas de filtrado de sitios no deseados, etc., lo que reduce el riesgo de ataques de piratas informáticos.

Además, no debemos olvidarnos de los documentos en papel. Hay bastantes incidentes con ellos. Y aunque casi todas ellas se clasifican como accidentales, este tipo de fugas pueden provocar graves daños. En la práctica, es muy difícil controlar este canal por medios técnicos. Los riesgos se pueden reducir introduciendo un conjunto de medidas organizativas, equipando la oficina con el equipamiento necesario (trituradoras) y aumentando la disciplina laboral de los empleados.

Por otra parte, podemos mencionar canales para la filtración de información confidencial como los dispositivos de almacenamiento extraíbles. Según los estudios, no ocupa una posición de liderazgo en términos de prevalencia: su participación en 2011 fue de poco más del 6%. Sin embargo, la situación con las unidades extraíbles se ve agravada por el hecho de que no se conocen todos los incidentes relacionados con ellas. Normalmente, sólo se publican aquellas filtraciones relacionadas con el uso de unidades flash permitidas por las empresas. Es decir, cuando se les colocan datos con el conocimiento de la dirección. Al mismo tiempo, a menudo hay casos en que los empleados, en violación de las políticas de seguridad, copian información confidencial en sus discos extraíbles personales, que luego pierden. Esto, nuevamente, indica un alto grado de necesidad de implementar sistemas DLP en la estructura de información de una organización con la capacidad de controlar la transferencia de datos a unidades flash.

Otros canales para filtrar datos confidenciales son menos comunes. Pero esto no significa que no sea necesario controlarlos. Por ejemplo, la proporción de filtraciones de información confidencial a través de unidades de respaldo en 2011 se multiplicó por más de 4. Por tanto, en cada caso concreto es necesario elaborar su propio modelo de amenaza y, de acuerdo con él, decidir sobre la necesidad de implementar determinadas medidas de protección. Además, la situación está cambiando gradualmente y, en particular, el número de filtraciones a través de canales de Internet aumenta constantemente.

Amenazas a la seguridad de la información. Clasificación de amenazas

Es imposible crear una protección confiable para el sistema de información de una organización sin un análisis preliminar de las posibles amenazas a la seguridad. sistemas.

Bajo amenaza a la seguridad de la información se refiere a eventos o acciones que pueden conducir a la distorsión, uso no autorizado o incluso destrucción de los recursos de información del sistema administrado, así como del software y hardware.

Amenazas a la seguridad de la información Se denominan fuentes potenciales de eventos no deseados que pueden causar daños a los recursos del sistema de información.

Todas las amenazas a la seguridad dirigidas contra el software y el hardware de un sistema de información afectan en última instancia a la seguridad de los recursos de información y conducen a una violación de las propiedades básicas de la información almacenada y procesada.

Las amenazas a la seguridad de la información se distinguen según las siguientes características principales (Fig. 5.3)

Por naturaleza de las influencias perturbadoras Las amenazas al sistema se dividen en aleatorio o involuntario y adrede. La fuente de amenazas involuntarias puede ser fallas de hardware, acciones incorrectas de los empleados del sistema de información o sus usuarios, errores involuntarios en el software, etc. Estas amenazas deben tenerse en cuenta, ya que el daño que provocan puede ser significativo.

Las amenazas deliberadas, a diferencia de las accidentales, tienen como objetivo causar daños al sistema administrado o a los usuarios. A menudo esto se hace para beneficio personal. A una persona que intenta alterar un sistema de información u obtener acceso no autorizado a la información se le suele llamar cracker y, a veces, “pirata informático” (hacker).

Por naturaleza del daño causado Las amenazas deliberadas se dividen en pasivo Y activo.

Las amenazas pasivas están dirigidas principalmente al uso no autorizado de los recursos de información de un sistema de información, sin afectar su funcionamiento. Por ejemplo, acceso no autorizado a bases de datos, escuchas en canales de comunicación, etc.

Las amenazas activas tienen como objetivo alterar el funcionamiento normal de un sistema de información atacando sus componentes. Las amenazas activas incluyen, por ejemplo, desactivar una computadora o su sistema operativo, distorsionar la información en las bases de datos, destruir el software de la computadora, interrumpir las líneas de comunicación, etc. Las amenazas activas pueden provenir de piratas informáticos, malware, etc.

Por áreas de ocurrencia Las amenazas deliberadas también se dividen en interno(que surgen dentro de la organización gestionada) y externo.

Las amenazas internas suelen estar determinadas por la tensión social y un clima moral difícil.

Las amenazas externas pueden estar determinadas por acciones maliciosas de los competidores, condiciones económicas y otras razones (por ejemplo, desastres naturales).

Según fuentes extranjeras, el espionaje industrial se ha generalizado: se trata de la recopilación, apropiación y transferencia ilegal de información que constituye un secreto comercial por parte de una persona no autorizada por su propietario y que es perjudicial para el propietario del secreto comercial.

Por El método de implementación puede ser identificar clases de amenazas a la seguridad dirigidas contra recursos de información:

Amenazas realizadas ya sea por influencia información de configuración del software y del sistema, o mediante el uso incorrecto del software del sistema y de la aplicación;

amenazas, asociado con la falla de los medios técnicos del sistema., dando lugar a la destrucción total o parcial de la información almacenada y procesada en el sistema;

amenazas, causado por el factor humano y relacionados con el uso incorrecto del software por parte de los empleados o el impacto en los medios técnicos, dependen más de las acciones y “características” del comportamiento moral de los empleados;

Amenazas causadas por interceptación de radiación e interferencias electromagnéticas laterales, que surjan durante la operación de los medios técnicos del sistema, utilizando herramientas de inteligencia técnica especializada.

Fig.5.3. Clasificación de amenazas a la información.

Fuga de información confidencial- se trata de la divulgación incontrolada de información confidencial fuera del empresario individual o del círculo de personas a quienes se les confió a través del servicio o se dieron a conocer en el curso del trabajo. Esta fuga puede deberse a:

Divulgación de información confidencial;

Transferencia de información a través de diversos canales, principalmente técnicos;

Acceso no autorizado a información confidencial de diversas formas.

Divulgación de información por parte de su propietario o poseedor existen acciones intencionales o negligentes de funcionarios y usuarios a quienes se les confió la información relevante en la forma prescrita a través de su servicio o trabajo, lo que llevó al conocimiento de la misma por parte de personas a quienes no se les permitió tener acceso a esta información.

Posible eliminación incontrolada de información confidencial a través de canales visual-ópticos, acústicos, electromagnéticos y otros.

Acceso no autorizado- es la adquisición deliberada e ilícita de información confidencial por parte de una persona que no tiene derecho a acceder a información protegida.

Las formas más comunes de acceso no autorizado a la información son:

Intercepción de radiación electrónica;

Uso de dispositivos de escucha (marcadores);

Fotografía remota;

Intercepción de emisiones acústicas y recuperación de textos.

impresora;

Leer información residual en la memoria del sistema después de ejecutar solicitudes autorizadas;

Copiar medios de almacenamiento superando las medidas de seguridad;

Enmascararse como usuario registrado;

Enmascaramiento según solicitudes del sistema;

Uso de trampas de software;

Explotar las deficiencias de los lenguajes de programación y los sistemas operativos;

Conexión ilegal a equipos y líneas de comunicación de hardware especialmente diseñado que brinda acceso a la información;

Fallo malicioso de los mecanismos de protección;

Descifrado de información cifrada mediante programas especiales;

Infecciones de información.

Los métodos enumerados de acceso no autorizado requieren bastantes conocimientos técnicos y un desarrollo adecuado de hardware o software por parte del atacante. Por ejemplo, se utilizan canales de fuga técnicos: son caminos físicos desde la fuente de información confidencial hasta el atacante, a través de los cuales es posible obtener información protegida.

Sin embargo, también existen formas bastante primitivas de acceso no autorizado:

Robo de soportes de almacenamiento y residuos documentales;

Cooperación de iniciativas;

Inclinación a la cooperación por parte del ladrón;

Consulta;

Escuchas;

Observación y otras formas.

Cualquier método de filtración de información confidencial puede provocar daños materiales y morales importantes tanto para la organización donde opera el sistema de información como para sus usuarios.

Una gran parte de las razones y condiciones que crean las condiciones previas y la posibilidad de adquisición ilegal de información confidencial surgen debido a deficiencias elementales de los jefes de organizaciones y sus empleados.

Por ejemplo, las razones y condiciones que crean los requisitos previos para la filtración de secretos comerciales pueden incluir:

Conocimiento insuficiente por parte de los empleados de la organización de las reglas para proteger la información confidencial y falta de comprensión de la necesidad de su cuidadoso cumplimiento;

Uso de medios técnicos no certificados para procesar información confidencial;

Control débil sobre el cumplimiento de las normas de protección de la información mediante medidas legales, organizativas y de ingeniería;

Rotación de personal, incluido el que posee información que constituye un secreto comercial;

Deficiencias organizativas, por lo que los empleados son los culpables de las fugas de información.

La mayoría de las rutas técnicas de acceso no autorizado enumeradas se pueden bloquear de manera confiable con un sistema de seguridad diseñado e implementado adecuadamente. Pero la lucha contra las infecciones de información presenta dificultades importantes, ya que existe y se desarrolla constantemente una gran variedad de programas maliciosos cuyo objetivo es dañar la información contenida en bases de datos y software informático. La gran cantidad de variedades de estos programas no nos permite desarrollar medios de protección permanentes y confiables contra ellos.

Hoy hablaremos sobre filtraciones y medios para proteger la información confidencial.

El término información confidencial significa confidencial, no sujeta a publicidad, secreta. Su divulgación puede tipificarse como delito penal. Cualquier persona que tenga acceso a dicha información no tiene derecho a revelarla a otras personas sin el consentimiento del titular de los derechos de autor.

Información Confidencial y Ley

El Decreto del Presidente de la Federación de Rusia No. 188 del 6 de marzo de 1997 define la información que es confidencial. Estos incluyen:

1. Información relacionada con el comercio.
2. Información relacionada con las actividades laborales.
3. Confidencialidad médica, abogada, personal (correspondencia, conversaciones telefónicas, etc.).
4. El secreto de la investigación, procesos judiciales, información sobre los condenados.
5. Datos personales de los ciudadanos, información sobre su vida personal.

Un secreto comercial es información que permite a su propietario obtener una ventaja competitiva, beneficiarse de la prestación de servicios o de la venta de bienes. Información privilegiada sobre la empresa (cambio de dirección, etc.) que puede afectar al precio de las acciones.

Secreto oficial: la información disponible en los organismos gubernamentales; los documentos están marcados como "Para uso oficial" y no están sujetos a divulgación a terceros.

El secreto profesional incluye el secreto investigativo, jurídico, judicial, notarial, etc.

Cualquier dato personal (nombre completo, lugar de trabajo, dirección, etc.), información sobre la vida privada de un ciudadano.

La filtración de dicha información puede ocurrir en los siguientes casos:

1. Almacenamiento y acceso ineficaces a información confidencial, sistema de seguridad deficiente.
2. Cambio constante de personal, errores de personal, clima psicológico difícil en el equipo.
3. Escasa formación del personal en técnicas efectivas de seguridad de la información.
4. Incapacidad de la dirección de la organización para controlar el trabajo de los empleados con información clasificada.
5. Posibilidad incontrolada de que personas no autorizadas entren en las instalaciones donde se almacena la información.

Rutas de fuga de información

Pueden ser organizativos y técnicos.

Canales organizativos:

1. Solicitar trabajo para una organización con el fin de obtener información clasificada.
2. Obtener información de interés de socios y clientes mediante métodos de engaño, engañosos.
3. Acceso delictivo para obtener información (robo de documentos, robo de disco duro con información).

Canales técnicos:

1. Copia del documento original de información clasificada o su versión electrónica.
2. Grabar una conversación confidencial en medios electrónicos (dictáfono, teléfono inteligente y otros dispositivos de grabación).
3. Transmisión oral del contenido de un documento restringido a terceros que no tienen derecho a acceder al mismo.
4. Adquisición de información delictiva mediante marcadores de radio, micrófonos y cámaras de vídeo instalados en secreto.

Medidas de protección de la información

El sistema de protección de información clasificada asume:

1. Impedir el acceso no autorizado al mismo.
2. Cierre de canales de fuga.
3. Normas para trabajar con información confidencial.

El servicio de seguridad empresarial debe organizar la implementación práctica del sistema de seguridad de la información, la capacitación del personal y el seguimiento del cumplimiento de los requisitos reglamentarios.

Métodos organizativos

1. Desarrollo de un sistema de procesamiento de datos confidenciales.
2. Informar al personal de la empresa sobre la responsabilidad de revelar documentos confidenciales, copiarlos o falsificarlos.
3. Elaborar un listado de documentos de acceso restringido, delimitando el personal según el acceso a la información disponible.
4. Selección de personal para el procesamiento de materiales confidenciales, instruyendo a los empleados.

Métodos técnicos

1. Uso de medios criptográficos en correspondencia electrónica, realización de conversaciones telefónicas a través de líneas de comunicación seguras.
2. Revisando la sala donde se llevan a cabo las negociaciones por la ausencia de bombas de radio, micrófonos y cámaras de video.
3. Acceso del personal a locales protegidos mediante medios identificativos, código, contraseña.
4. Uso de métodos de protección de software y hardware en computadoras y otros dispositivos electrónicos.

La política de seguridad de la información de la empresa incluye:

1. Designación de un responsable de la seguridad en la organización.
2. Seguimiento del uso de herramientas de protección de software y hardware.
3. Responsabilidad de los jefes de departamentos y servicios de garantizar la seguridad de la información.
4. Introducción del control de acceso de empleados y visitantes.
5. Elaboración de una lista de acceso de personas a información confidencial.

organización de seguridad de la información

Las computadoras que operan en una red local, servidores y enrutadores deben estar protegidos de manera confiable contra la eliminación no autorizada de información. Para hacer esto:

1. Se asigna un empleado responsable del funcionamiento de cada computadora.
2. La unidad del sistema está sellada por un empleado del servicio de TI.
3. La instalación de cualquier programa la llevan a cabo especialistas en servicios de TI.
4. Las contraseñas deben ser generadas por empleados de servicios de TI y emitidas contra firma.
5. Está prohibido el uso de fuentes de información de terceros; todos los soportes de información están marcados.
6. Utilice sólo una computadora para preparar documentos importantes. Mantiene un registro de usuarios.
7. El software y el hardware deben estar certificados.
8. Protección de los medios de información (discos externos) contra el acceso no autorizado.

El sistema para trabajar con información confidencial garantiza la seguridad de la información de la organización y le permite preservar información importante de fugas. Esto contribuye al funcionamiento sostenible de la empresa durante mucho tiempo.

La información fuente siempre se difunde al entorno externo. Los canales de difusión de información son de carácter objetivo, se caracterizan por la actividad e incluyen: comunicaciones comerciales, de gestión, comerciales, científicas, reguladas; redes de información; canales técnicos naturales.

El canal de difusión de información es una vía para trasladar información valiosa de una fuente a otra de forma autorizada (permitida) o en virtud de leyes objetivas o en virtud de leyes objetivas.

El término "filtración de información confidencial" probablemente no sea el más eufónico, pero refleja de manera más sucinta la esencia del fenómeno que otros términos. Ha estado arraigado durante mucho tiempo en la literatura científica y los documentos reglamentarios. La filtración de información confidencial constituye un acto ilegal, es decir divulgación no autorizada de dicha información fuera de la zona protegida de su operación o del círculo establecido de personas que tienen derecho a trabajar con ella, si esta divulgación condujo a la recepción de información (familiarización con ella) por personas que no tienen acceso autorizado a él. La filtración de información confidencial significa no sólo su recepción por personas que no trabajan en la empresa, sino que el acceso no autorizado a información confidencial por parte de personas de la empresa también conduce a la filtración.

La pérdida y fuga de información documentada confidencial es causada por la vulnerabilidad de la información. La vulnerabilidad de la información debe entenderse como la incapacidad de la información para resistir de forma independiente influencias desestabilizadoras, es decir. tales influencias que violen su estatus establecido. La violación del estado de cualquier información documentada consiste en una violación de su seguridad física (en general o de un determinado propietario, total o parcialmente), de su estructura lógica y contenido, y de su accesibilidad para los usuarios autorizados. La violación del estado de la información documentada confidencial también incluye la violación de su confidencialidad (cercanía a personas no autorizadas). La vulnerabilidad de la información documentada es un concepto colectivo. No existe en absoluto, pero aparece en diversas formas. Estos incluyen: robo de un medio de almacenamiento o de la información mostrada en él (robo); pérdida de medios de almacenamiento (pérdida); destrucción no autorizada de un medio de almacenamiento o de la información mostrada en él (destrucción, distorsión de información (cambio no autorizado, modificación no autorizada, falsificación, falsificación); bloqueo de información; divulgación de información (distribución, divulgación).

El término "destrucción" se utiliza principalmente en relación con la información contenida en medios magnéticos. Las variantes existentes de los nombres: modificación, falsificación, falsificación no son del todo adecuadas para el término "distorsión"; tienen matices, pero su esencia es la misma: un cambio parcial o total no autorizado en la composición de la información original.

Bloquear información aquí significa bloquear el acceso a ella por parte de usuarios autorizados, no de atacantes.

La divulgación de información es únicamente una forma de manifestación de la vulnerabilidad de la información confidencial.

Esta o aquella forma de vulnerabilidad de la información documentada puede realizarse como resultado de efectos desestabilizadores intencionales o accidentales de diversas maneras sobre el soporte de la información o sobre la información misma de las fuentes de influencia. Dichas fuentes pueden ser personas, medios técnicos para procesar y transmitir información, comunicaciones, desastres naturales, etc. Los métodos de influencia desestabilizadora sobre la información son su copia (fotografía), grabación, transmisión, eliminación, infección de programas de procesamiento de información con un virus, violación. de la tecnología de procesamiento y almacenamiento de información, retiro (o falla) e interrupción del modo de funcionamiento de los medios técnicos de procesamiento y transmisión de información, impacto físico sobre la información, etc.

La vulnerabilidad de la información documentada conduce o puede conducir a la pérdida o fuga de información.

La pérdida de información documentada se produce por robo y pérdida de soportes de almacenamiento, destrucción no autorizada de soportes de almacenamiento o solo de la información mostrada en ellos, distorsión y bloqueo de información. La pérdida puede ser total o parcial, irreversible o temporal (cuando se bloquea la información), pero en ningún caso causa daño al titular de la información.

Su divulgación da lugar a la filtración de información documentada confidencial. Como señalan algunos autores en la literatura e incluso en documentos reglamentarios, el término "fuga de información confidencial" a menudo se reemplaza o identifica con los términos: "divulgación de información confidencial", "difusión de información confidencial". Este enfoque, desde el punto de vista de los especialistas, es ilegal. La divulgación o difusión de información confidencial significa la entrega no autorizada de la misma a consumidores que no tienen derecho a acceder a ella. Además, dicha entrega debe ser realizada por alguien, venir de alguien. Una filtración ocurre cuando se divulga información confidencial (distribución no autorizada), pero no se limita a ella. Una fuga también puede ocurrir como resultado de la pérdida de un soporte de información documentada confidencial, así como del robo del soporte de información o de la información mostrada en él mientras el soporte se mantiene seguro por su propietario (poseedor). Esto no significa que vaya a suceder. Un transportador perdido puede caer en las manos equivocadas o puede ser “agarrado” por una máquina recolectora de basura y destruido en la forma establecida para la basura. En este último caso, no se produce ninguna fuga de información confidencial. El robo de información documentada confidencial tampoco siempre está asociado a su recepción por personas que no tienen acceso a ella. Hay muchos ejemplos en los que el robo de soportes de información confidencial fue llevado a cabo por personas autorizadas a tener acceso a esta información a compañeros de trabajo con el fin de “ayudar” o causar daño a un colega. Estos medios suelen ser destruidos por las personas que los roban. Pero en cualquier caso, la pérdida y el robo de información confidencial, si no conducen a su filtración, siempre crean una amenaza de filtración. Por tanto, podemos decir que la filtración de información confidencial se produce por su divulgación y puede resultar de robo y pérdida. La dificultad radica en el hecho de que a menudo es imposible dividir, en primer lugar, el hecho mismo de la divulgación o el robo de información confidencial mientras el propietario (poseedor) mantiene seguro el soporte de la información y, en segundo lugar, si la información llegó a personas no autorizadas. como consecuencia de su robo o pérdida.

El titular de un secreto comercial es la persona física o jurídica que posee legalmente la información constitutiva de secreto comercial y los derechos correspondientes en plenitud.

La información que constituye un secreto comercial no existe por sí sola. Se muestra en varios medios que pueden guardarlo, acumularlo y transmitirlo. Con su ayuda, también se utiliza información.

Un soporte de información es un individuo o un objeto material, incluido un campo físico, en el que la información se refleja en forma de símbolos, imágenes, señales, soluciones técnicas y procesos.

De esta definición se deduce, en primer lugar, que los objetos materiales no son sólo lo que se puede ver o tocar, sino también los campos físicos, así como el cerebro humano, y en segundo lugar, que la información en los medios se muestra no sólo mediante símbolos, es decir. letras, números, signos, pero también imágenes en forma de fotografías, dibujos, diagramas, otros modelos icónicos, señales en campos físicos, soluciones técnicas en productos, procesos técnicos en la tecnología de fabricación de productos.

Los tipos de objetos materiales como portadores de información son diferentes. Pueden ser cintas magnéticas, discos magnéticos y láser, cintas fotográficas, cinematográficas, de vídeo y de audio, diversos tipos de productos industriales, procesos tecnológicos, etc. Pero el tipo más común son los soportes en papel. La información que contienen se registra de forma manuscrita, mecanografiada, electrónica, tipográfica en forma de texto, dibujo, diagrama, imagen, fórmula, gráfico, mapa, etc. En estos medios, la información se muestra en forma de símbolos e imágenes. Esta información de la Ley Federal "Sobre la Información..." se clasifica como información documentada y representa varios tipos de documentos.

Recientemente, se han producido ajustes importantes en las formas y medios de obtener información confidencial por medios informales. Por supuesto, esto se refiere principalmente al impacto en una persona como portadora de información confidencial.

Una persona como objeto de influencia es más susceptible a influencias informales que los medios técnicos y otros medios de información confidencial, debido a una cierta vulnerabilidad jurídica en el momento actual, debilidades humanas individuales y circunstancias de la vida.

Esta influencia informal es, por regla general, oculta, de naturaleza ilegal y puede llevarse a cabo de forma individual o por un grupo de personas.

Los siguientes tipos de canales de fuga de información son posibles para una persona portadora de información confidencial: canal de voz, canal físico y canal técnico.

Canal de fuga del habla: la información se transmite desde el propietario de la información confidencial a través de palabras personalmente al objeto interesado en recibir esta información.

Canal físico de fuga: la información se transmite desde el propietario de la información confidencial (portador) a través de medios impresos, electrónicos, magnéticos (encriptados o abiertos) u otros medios al objeto interesado en recibir esta información.

Canal de fuga técnica: la información se transmite a través de medios técnicos.

Las formas de influencia sobre una persona portadora de información protegida pueden ser abiertas u ocultas.

La influencia abierta sobre el propietario (portador) de información confidencial para que la reciba el objeto interesado implica un contacto directo.

La influencia oculta sobre el propietario (portador) de información confidencial para su recepción por parte del objeto interesado se realiza de forma indirecta (indirecta).

Los medios de influencia informal del propietario (portador) de información confidencial para obtener cierta información de él a través de un canal de habla abierta son una persona o un grupo de personas que interactúan a través de: promesas de algo, solicitudes, sugerencias.

Como resultado, el propietario (portador) de información confidencial se ve obligado a cambiar su comportamiento, sus obligaciones oficiales y transferir la información requerida.

La influencia oculta a través del canal de voz sobre el propietario (portador) de información confidencial se lleva a cabo mediante coerción indirecta: chantaje a través de un tercero, escuchas intencionales o no intencionadas, etc.

Los medios de influencia mencionados, en última instancia, acostumbran al propietario (portador) de información confidencial a su tolerancia (tolerancia) a las influencias que se ejercen sobre él.

Las formas de influencia sobre el propietario (portador) de información confidencial a través de un canal de filtración física también pueden ser abiertas y ocultas.

La influencia abierta se lleva a cabo mediante intimidación por la fuerza (física) (golpes) o fuerza con desenlace fatal, después de recibir (golpes) o fuerza con desenlace fatal, después de recibir información.

El impacto oculto es más sutil y extenso en términos del uso de los fondos. Esto se puede representar en la forma de la siguiente estructura de impacto. Objeto interesado: intereses y necesidades del portador de información confidencial.

En consecuencia, el objeto interesado actúa de forma encubierta (indirectamente) sobre los intereses y necesidades de quien posee la información confidencial.

Dicha influencia oculta puede basarse en: miedo, chantaje, manipulación de hechos, soborno, soborno, intimidad, corrupción, persuasión, prestación de servicios, garantías sobre el futuro de una persona portadora de información confidencial.

La forma de influencia sobre el propietario (portador) de información confidencial a través de canales técnicos también puede ser abierta u oculta.

Medios abiertos (directos): fax, teléfono (incluidos los sistemas móviles), Internet, comunicaciones por radio, telecomunicaciones, medios.

Los medios ocultos incluyen: escuchar usando medios técnicos, ver desde una pantalla y otros medios para mostrarlo, acceso no autorizado a una computadora personal y software y hardware.

Todos los medios de influencia considerados, independientemente de sus formas, tienen un impacto informal en la persona que es portadora de información confidencial y están asociados con métodos ilegales y criminales de obtención de información confidencial.

La posibilidad de manipular las características individuales del propietario (portador) de información confidencial con sus necesidades sociales para su obtención debe tenerse en cuenta a la hora de ubicar, seleccionar personal e implementar políticas de personal al organizar el trabajo con información confidencial.

Siempre debes recordar que el hecho de documentar información (aplicarla a cualquier soporte tangible) aumenta el riesgo de fuga de información. Un soporte material siempre es más fácil de robar, y existe un alto grado de que la información necesaria no se distorsiona, como ocurre cuando la información se divulga oralmente.

Las amenazas a la seguridad, la integridad y el secreto de la confidencialidad) de la información de acceso restringido se materializan prácticamente a través del riesgo de formación de canales para la recepción (extracción) no autorizada de información y documentos valiosos por parte de un atacante. Estos canales son un conjunto de direcciones desprotegidas o débilmente protegidas por la organización de una posible fuga de información, que el atacante utiliza para obtener la información necesaria, acceso ilegal deliberado a información protegida y protegida.

Cada empresa específica tiene su propio conjunto de canales para el acceso no autorizado a la información; en este caso, no existen empresas ideales.

Esto depende de muchos factores: el volumen de información protegida y protegida; tipos de información protegida y protegida (que constituye un secreto de estado o algún otro secreto: oficial, comercial, bancario, etc.); nivel profesional del personal, ubicación de edificios y locales, etc.

El funcionamiento de canales de acceso no autorizado a la información conlleva necesariamente la fuga de información, así como la desaparición de su portador.

Si hablamos de fuga de información por culpa del personal, se utiliza el término "divulgación de información". Una persona puede divulgar información de forma oral, por escrito, obteniendo información mediante medios técnicos (fotocopiadoras, escáneres, etc.), mediante gestos, expresiones faciales y señales convencionales. Y transmitirlo personalmente, a través de intermediarios, a través de canales de comunicación, etc.

La fuga (divulgación) de información se caracteriza por dos condiciones:

• 1. La información va directamente al interesado en ella, el atacante;
• 2. La información pasa a un tercero al azar.

En este caso, un tercero significa cualquier persona no autorizada que recibió información debido a circunstancias fuera del control de esta persona o la irresponsabilidad del personal, que no tiene derecho a poseer la información y, lo más importante, esta persona no está interesada. en esta información. Sin embargo, la información de un tercero puede pasar fácilmente a un atacante. En este caso, un tercero, debido a circunstancias creadas por el atacante, actúa como "secante" para interceptar la información necesaria.

La transferencia de información a un tercero parece ser un hecho bastante común, y se puede llamar involuntario, espontáneo, aunque el hecho de la divulgación de información ocurre.

La transferencia involuntaria de información a un tercero se produce como resultado de:

• 1. Pérdida o destrucción indebida de un documento en cualquier soporte, un paquete de documentos, un expediente, registros confidenciales;
• 2. Ignorar o incumplimiento deliberado por parte del empleado de los requisitos para la protección de la información documentada;
• 3. Locuacidad excesiva de los trabajadores en ausencia de un intruso: con compañeros de trabajo, familiares, amigos, otras personas en lugares públicos: cafés, transporte, etc. (recientemente esto se ha hecho evidente con la expansión de las comunicaciones móviles);
• 4. Trabajar con información documentada con acceso limitado a la organización en presencia de personas no autorizadas, transferencia no autorizada de la misma a otro empleado;
• 5. Uso de información de acceso limitado en documentos abiertos, publicaciones, entrevistas, notas personales, diarios, etc.;
• 6. Ausencia de sellos de secreto (confidencialidad) en la información de los documentos, marcado con los sellos correspondientes en soportes técnicos;
• 7. La presencia en los textos de documentos abiertos de información innecesaria y de acceso limitado;
• 8. Copia (escaneo) no autorizada de documentos, incluidos los electrónicos, por parte de un empleado con fines oficiales o de recaudación.

A diferencia de un tercero, un atacante o su cómplice obtiene intencionalmente información específica y de manera deliberada e ilegal establece contacto con la fuente de esta información o transforma los canales de su difusión objetiva en canales de su divulgación o filtración.

Los canales organizativos de fuga de información se distinguen por una amplia variedad de tipos y se basan en el establecimiento de diversas relaciones, incluidas las legales, entre el atacante y la empresa o los empleados de la empresa para el posterior acceso no autorizado a la información de interés.

Los principales tipos de canales organizativos pueden ser:

• 1. Un atacante es contratado por una empresa, generalmente en un puesto técnico o de soporte (operador de computadoras, transportista, mensajero, limpiador, conserje, guardia de seguridad, conductor, etc.);
• 2. Participación en el trabajo de la empresa como socio, intermediario, cliente, uso de diversos métodos fraudulentos;
• 3. La búsqueda por parte del atacante de un cómplice (asistente de iniciativa) que trabaje en la organización, quien se convierta en su cómplice;
• 4. Establecimiento por parte del atacante de una relación de confianza con un empleado de la organización (por intereses comunes, hasta relaciones amorosas y de bebida conjunta) o un visitante habitual, un empleado de otra organización que tiene información de interés para el atacante;
• 5. Uso de los enlaces de comunicación de la organización: participación en negociaciones, reuniones, exposiciones, presentaciones, correspondencia, incluida la correspondencia electrónica, con la organización o sus empleados específicos, etc.;
• 6. Utilizar acciones erróneas del personal o provocar deliberadamente estas acciones por parte de un atacante;
• 7. Entrada secreta o ficticia a edificios y locales de la empresa, acceso delictivo y forzoso a la información, es decir, robo de documentos, disquetes, discos duros (discos duros) o las propias computadoras, chantaje e incitación a la cooperación de empleados individuales, soborno y chantaje a los empleados, creación de situaciones extremas, etc.;
• 8. Obtener la información necesaria de una tercera persona (aleatoria).

Los canales organizativos los selecciona o forma el atacante individualmente de acuerdo con sus habilidades profesionales y su situación específica, y es extremadamente difícil predecirlos. Descubrir canales organizacionales requiere un trabajo analítico y de búsqueda serio.

El soporte técnico de las tecnologías de flujo de documentos financieros de la organización crea amplias posibilidades para la recepción no autorizada de información con acceso limitado. Cualquier actividad gerencial y financiera siempre está asociada a la discusión de información en oficinas o a través de líneas y canales de comunicación (realización de videollamadas y conferencias telefónicas), realización de cálculos y análisis de situaciones en computadoras, producción y reproducción de documentos, etc.

Los canales técnicos de fuga de información surgen cuando se utilizan medios técnicos especiales de espionaje industrial, que permiten obtener información protegida sin contacto directo con el personal, documentos, archivos y bases de datos de la organización.

Un canal técnico es una ruta física de fuga de información desde una fuente o canal de difusión objetiva de información a un atacante. El canal surge cuando un atacante analiza los campos físicos y la radiación que aparecen durante el funcionamiento de las computadoras y otros equipos de oficina, interceptando información que tiene audio, imagen u otra forma de visualización. Los principales canales técnicos son acústicos, visual-ópticos, electromagnéticos, etc. Estos son canales predecibles, son de naturaleza estándar y están interrumpidos por contramedidas estándar. Por ejemplo, según GOST RV 50600-93. “Protección de la información clasificada frente a la inteligencia técnica. Sistema documental. Disposiciones generales."

Es común y profesionalmente competente combinar creativamente ambos tipos de canales en las acciones de un atacante, por ejemplo, estableciendo una relación de confianza con los empleados de una organización e interceptando información a través de canales técnicos con la ayuda de este empleado.

Puede haber muchas opciones y combinaciones de canales, por lo que el riesgo de perder información siempre es bastante alto. Con un sistema de seguridad de la información eficaz, un atacante destruye los elementos de seguridad individuales y crea el canal necesario para obtener información.

Para implementar las tareas asignadas, el atacante determina no solo los canales de acceso no autorizado a la información de la organización, sino también un conjunto de métodos para obtener esta información.

Para proteger la información al nivel adecuado, es necesario “conocer al enemigo” y los métodos utilizados para obtenerla.

Los métodos legales están incluidos en el contenido de los conceptos y "inteligencia en los negocios", se distinguen por la seguridad jurídica y, por regla general, determinan el surgimiento del interés en la organización. De acuerdo con esto, puede resultar necesario el uso de canales de acceso no autorizados a la información requerida. La base de "su inteligencia" es el minucioso trabajo analítico de los atacantes y competidores de expertos especializados en materiales publicados y disponibles públicamente de la organización. Al mismo tiempo, las actividades y servicios prestados por la organización, publicaciones publicitarias, información obtenida durante conversaciones y negociaciones oficiales e informales con empleados de la empresa, materiales de conferencias de prensa, presentaciones de la empresa y servicios, simposios y seminarios científicos, información. obtenido de redes de información, incluso de Internet. Los métodos legales proporcionan al atacante la mayor parte de la información que le interesa y le permiten determinar la composición de la información faltante que debe obtenerse mediante métodos ilegales y parte de la que ya no es necesario obtener debido a un minucioso análisis de datos abiertos. información.

Los métodos ilegales para obtener información valiosa siempre son ilegales y se utilizan para obtener acceso a información protegida que no se puede obtener mediante métodos legales. La base para la obtención ilegal de información es la búsqueda por parte del atacante de los canales organizativos y técnicos desprotegidos más eficaces para el acceso no autorizado a la información existente en la organización en condiciones específicas. Formación de dichos canales en su ausencia e implementación de un plan para el uso práctico de estos canales.

Los métodos ilegales implican: robo, engaño deliberado, escuchas clandestinas de conversaciones, falsificación de documentos de identidad, soborno, soborno, chantaje, puesta en escena u organización de situaciones extremas, uso de diversas técnicas delictivas, etc. En el proceso de implementación de métodos ilegales, a menudo se forma un canal de agentes para obtener información financiera valiosa. Los métodos ilegales también incluyen: interceptación de información difundida objetivamente a través de canales técnicos, vigilancia visual de los edificios, locales y personal del banco, análisis de objetos que contienen rastros de información protegida, análisis de las características arquitectónicas de los objetos protegidos, análisis de desechos de papel retirados y retirados. de la empresa.

Así, se puede producir una fuga de información con acceso limitado:

• 1. Si existe interés de organizaciones de individuos o competidores en información específica;
• 2. Si existe riesgo de amenaza organizada por un atacante o por circunstancias accidentales;
• 3. En presencia de condiciones que permitan al atacante realizar las acciones necesarias y adquirir información.

Estas condiciones pueden incluir:

• 1. Falta de un trabajo sistemático de análisis y control para identificar y estudiar amenazas y canales de fuga de información, el grado de riesgo de violaciones a la seguridad de la información de la organización;
• 2. Sistema de seguridad de la información de la empresa ineficaz y mal organizado o ausencia de este sistema;
• 3. Tecnología organizada no profesionalmente para el flujo cerrado (confidencial) de documentos financieros, incluidos los electrónicos, y el mantenimiento de registros de información documentada con acceso limitado;
• 4. Selección desorganizada de personal y rotación de personal, clima psicológico difícil en el equipo;
• 5. Falta de un sistema para capacitar a los empleados sobre las reglas de trabajo con información documentada de acceso limitado;
• 6. Falta de control por parte de la dirección de la empresa sobre el cumplimiento por parte del personal de los requisitos de los documentos reglamentarios para trabajar con información documentada de acceso limitado;
• 7. Visitas incontroladas a las instalaciones de la organización por parte de personas no autorizadas.

Los canales de acceso no autorizado y fuga de información pueden ser de dos tipos: organizativos y técnicos. Se proporcionan mediante métodos legales e ilegales.

Por lo tanto, la obtención de documentos o información restringidos puede ser un evento aislado o un proceso regular durante un período de tiempo relativamente largo.

Por lo tanto, cualquier recurso de información de una organización es una categoría muy vulnerable y, si un atacante muestra interés en ellos, el peligro de que se filtren se vuelve bastante real.

Es deseable que los analistas cuenten con una evaluación preliminar de los materiales preparados para su publicación sobre la empresa, folletos de exposición, publicaciones publicitarias, etc., y su participación en presentaciones, exposiciones, juntas de accionistas, negociaciones, así como entrevistas y pruebas de candidatos a posiciones. Esta última es una de las principales y más importantes responsabilidades del servicio de información y análisis, ya que es en esta etapa donde es posible, con cierta probabilidad, bloquear uno de los principales canales organizativos: la entrada de un atacante. para trabajar en la empresa.

Hoy en día, la mayoría de las empresas utilizan sistemas de procesamiento de información multinivel: computadoras, almacenamiento en la nube, redes corporativas, etc. Todos estos sistemas no solo transmiten datos, sino que también son un medio para su posible fuga. La filtración de información clasificada es el proceso de divulgación incontrolada de datos clave para una empresa.

Un secreto comercial es información sobre la organización de las actividades de una empresa, tecnologías de desarrollo de productos, datos sobre flujos de efectivo, propiedad intelectual y otra información, en posesión de la cual la empresa recibe beneficios financieros.

Razón 1: personal

Cada empleado de una empresa es una amenaza potencial para la seguridad de la información. La gente suele llevarse el trabajo a casa: mueve archivos de trabajo a unidades flash, los transfiere a través de canales de conexión no seguros y discute información con empleados de empresas competidoras.

Las acciones del personal pueden ser intencionales o no. Las acciones involuntarias son consecuencia del desconocimiento de la normativa para el trabajo con información comercial.

Siempre existe el riesgo de fuga de información del personal y no se puede eliminar por completo. El servicio de seguridad puede tomar medidas que limitarán la interacción de los empleados con información confidencial:

• Desarrollo de reglas de control de acceso. Las reglas son una lista de derechos y restricciones claros que debe observar cada empleado. Su principio básico es que cada empleado interactúa sólo con los datos necesarios para su trabajo. Por lo tanto, un simple administrador no podrá descubrir la tecnología de desarrollo del producto y otros datos importantes que un atacante quiere saber.
• Cumplimiento de las normas para documentar información que contenga secretos comerciales.
• Identificación inmediata de los empleados que representan una amenaza de divulgación de datos.

Un estudio del nivel de seguridad de la información en empresas rusas y extranjeras, queSearchInform realizado2018 mostró: los empleados comunes son los culpables del 74% de los incidentes de seguridad de la información. .

¿Cómo identificar a un empleado que revela datos a un competidor?

Las cuestiones relacionadas con el seguimiento del trabajo del personal con materiales clasificados deben ser tratadas por un empleado autorizado o por el departamento de seguridad. Su tarea es monitorear las actividades de los empleados durante la jornada laboral e identificar rápidamente todos los casos de fuga de información.

En la práctica, se puede detectar a una persona que filtra secretos comerciales mediante los siguientes signos:

• Un empleado llega tarde a su lugar de trabajo después del trabajo sin previo aviso. En este caso, existe la posibilidad de que esté intentando acceder a información secreta en un momento en el que no hay controladores cerca.

Debe prestar atención a dicho empleado y ver si su objetivo es descubrir información secreta. Los sistemas de contabilidad de acceso especial ayudan a controlar el tiempo que el personal pasa en el lugar de trabajo. Sólo es necesario iniciar una investigación si se conocen hechos concretos de filtración de información protegida.

• Un empleado guarda demasiados documentos electrónicos de la empresa en su ordenador personal o en su smartphone.

Este tipo de filtración se puede rastrear en empresas que utilizan sistemas de protección de sistemas de archivos. La esencia de su trabajo es crear un servidor común que opere dentro de la misma red corporativa o Wi-Fi. Durante cada apertura, copia y movimiento de datos en una PC de servicio, toda la información sobre los procesos se envía al servidor. De este modo, el administrador de seguridad puede identificar desde qué PC y en qué cantidad se transfirió la información confidencial.

• El empleado copia innecesariamente documentación en papel, cuya información está destinada únicamente a uso oficial.

Según los estándares de documentación, todas las carpetas y archivos físicos que contengan secretos comerciales deben almacenarse en una parte protegida del archivo. El acceso a los documentos sólo es posible para empleados autorizados. Todos los datos sobre la recepción de un documento secreto deben estar documentados (indicando el nombre del empleado y la hora exacta en que se emitió el documento).

Si un documento secreto cae en manos de un empleado sin escrúpulos, se puede rastrear su copia no autorizada mediante un escáner o una fotocopiadora, que almacena un informe sobre las últimas acciones. También hay máquinas de fax a las que solo se puede acceder después de ingresar correctamente el par de ID de usuario y contraseña.

• El empleado viola periódicamente los requisitos generales de seguridad al trabajar con secretos comerciales.

Si el personal intenta regularmente eludir el sistema de prohibición viendo recursos prohibidos o utiliza equipos personales para procesar datos confidenciales, es necesario implementar sistemas de control de usuario adicionales. Por ejemplo, sistemas DLP. Su tarea es monitorear toda la correspondencia de los usuarios proveniente del correo comercial y otras cuentas de correo electrónico que estén registradas en el sistema. El módulo de seguridad también prohíbe la instalación de software de terceros y todas las acciones de los empleados en la computadora son visibles para el administrador de seguridad.

• Se descubrió que el empleado tenía contactos con empleados de empresas competidoras.

En las grandes empresas, los empleados suelen comunicarse fuera del horario laboral. De este modo, obtienen más información unos de otros y pueden conocer las conexiones de un colega y un empleado de una organización competidora. También es posible la posibilidad de relaciones amistosas ordinarias entre personas, pero es mejor notificarlo a la dirección de la empresa para evitar sospechas innecesarias.

Razón 2: problemas de contratación

Cambios frecuentes de personal, cambios a gran escala en la organización del trabajo de la empresa, salarios más bajos, despidos de empleados: todo esto es parte de la "rotación" de personal. Este fenómeno suele provocar la filtración de información clasificada.

La crisis y la falta de fondos para pagar los salarios obligan a la dirección a empeorar las condiciones laborales del personal. El resultado es una mayor insatisfacción entre los empleados, que pueden irse o simplemente comenzar a compartir información secreta con la competencia. El problema del cambio de personal es especialmente importante para los puestos directivos, porque todos los directivos deben tener acceso a documentación secreta.

La amenaza de difundir secretos puede correr a cargo no sólo de los empleados que ya se han ido, sino también de los empleados actuales cuyo nivel de motivación está reducido.

Para evitar problemas, debe crear las condiciones de trabajo más cómodas para los empleados. En caso de una crisis grave, se recomienda reunir personal para discutir posibles salidas a una situación difícil. Es importante notificar a los empleados de todos los cambios en la nómina con antelación y no al momento del pago del salario.

A veces, un empleado crea una atmósfera desfavorable en un equipo.analiza la correspondencia de los empleados a través de correo electrónico y mensajería instantánea y recopila sus retratos psicológicos. El sistema determina los aspectos positivos y negativos del carácter de una persona, lo que permite tomar las decisiones de gestión correctas.

Para eliminar la rotación, es importante seguir las siguientes recomendaciones:

• Establecer un sistema de reclutamiento. Todas las organizaciones líderes tienen un departamento dedicado que se ocupa de la contratación, el despido y el apoyo a los empleados. No debe buscar un empleado para cubrir una vacante lo más rápido posible. Un buen RR.HH. (especialista en reclutamiento) está obligado a escuchar a varios solicitantes para el puesto, difundir información sobre la vacante disponible en todos los sitios populares de Internet y realizar una competencia final, cuyos resultados determinarán el candidato más adecuado.
• Introducción de un sistema de recompensas. Los empleados deben ser recompensados ​​por el éxito en el trabajo, superando los planes y concluyendo contratos lucrativos. Ejemplos de incentivos podrían ser aumentos salariales, mejores condiciones laborales o ascensos en la escala profesional.
• Proporcionar a todos los empleados oportunidades de crecimiento profesional y formación avanzada. Las buenas empresas siempre envían a sus empleados a cursos de formación avanzada o compran formación en línea para una formación más cómoda. También se recomienda organizar capacitaciones a cargo de profesionales líderes de la industria.

Razón 3: viajes de negocios

El proceso de trabajo de la empresa implica reuniones de negocios, viajes a otras sucursales de la empresa y países. Los empleados que viajan con frecuencia en viajes de negocios pueden convertirse, sin darse cuenta, en una de las principales causas de filtración de información confidencial de la empresa.

Cuando viaja, dicho empleado siempre lleva consigo un ordenador portátil/teléfono inteligente personal o corporativo, que procesa documentos protegidos. El equipo puede dejarse en un lugar público, romperse o ser robado. Si un empleado está siendo vigilado o se reúne con ejecutivos de una empresa competidora, una computadora portátil perdida puede convertirse en una fuente importante de divulgación de información patentada.

Para evitar estos casos, es importante utilizar sistemas de cifrado para el disco duro de los PC que se entregan a los empleados durante las reuniones de negocios. Incluso como resultado del robo y el acceso no autorizado, la información estará protegida de manera confiable y será imposible piratearla sin conocer la clave.

Razón 4 - Cooperación con otras empresas

La mayoría de los sistemas de seguridad automatizados son capaces de limitar el acceso a información patentada sólo dentro de un edificio o una empresa (si varias sucursales utilizan un servidor de almacenamiento de datos común).

En el proceso de implementación conjunta de un proyecto por parte de varias empresas, los servicios de seguridad no pueden controlar completamente cómo se realiza el acceso a los secretos oficiales de cada una de las empresas.

Como en el caso anterior, el uso de criptocontenedores (sistemas de cifrado de discos duros) protegerá la información secreta del hackeo.

Razón 5: uso de infraestructuras de TI complejas

Las grandes corporaciones utilizan sistemas integrales para proteger la información patentada. Los sistemas automatizados implican la presencia de varios departamentos de seguridad y el trabajo de más de cinco administradores de sistemas, cuya tarea es únicamente mantener la seguridad de los secretos comerciales.

La complejidad del sistema también supone un riesgo de fugas, ya que no está bien establecido el trabajo simultáneo de varias personas. Por ejemplo, un administrador puede implementar o eliminar reglas de control de acceso, mientras que otro puede olvidar ingresar datos sobre los derechos de acceso a los servidores.

Cuando se utilizan sistemas complejos de seguridad de la información, es importante separar correctamente todas las responsabilidades y controlar su implementación oportuna. De lo contrario, el sistema creado puede perjudicar a la empresa.

Puede limitar el acceso del personal de seguridad a ciertos informes y operaciones en el sistema. Es más seguro confiar el máximo número de poderes al jefe del servicio de seguridad de la información.

Razón 6: averías del equipo

Errores de software

Todo tipo de fallos en el software ocurren todo el tiempo. En el momento en que aparece una vulnerabilidad, los archivos protegidos corren el riesgo de ser interceptados por un pirata informático. Es importante identificar rápidamente cualquier problema en el funcionamiento de los componentes de software y hardware instalados. El administrador de seguridad es responsable de la funcionalidad y la interacción de todos los módulos de protección.

Como resultado de una falla en la base de datos, se pierde una cantidad significativa de documentación importante. Recuperar discos duros es una tarea compleja que no garantiza la devolución de los datos perdidos.

Mal funcionamiento del hardware del servidor

Es más seguro almacenar toda la información utilizando la computación en la nube. Las plataformas en la nube aumentan la velocidad de procesamiento de la información. Con su ayuda, cada empleado podrá acceder al archivo deseado desde cualquier dispositivo. El sistema de cifrado lo utiliza el servidor remoto, por lo que no es necesario proteger los canales de transmisión.

Las fallas en los servidores del proveedor de servicios pueden ocurrir debido a desastres naturales o ataques masivos de piratas informáticos. Como regla general, los propietarios de plataformas en la nube siempre guardan copias de seguridad archivadas del contenido de las cuentas de los usuarios, para que los fallos se puedan resolver rápidamente sin perder documentos importantes.

Avería de los equipos técnicos de protección.

Para proteger los secretos comerciales, se recomienda proteger no solo los sistemas operativos y los dispositivos, sino también todo el perímetro de las instalaciones de la oficina, así como el área de control de las comunicaciones de la calle. Para estos fines, se utilizan tapones para ventanas, sellos para estructuras arquitectónicas (para evitar escuchas telefónicas), dispositivos de protección y ruido (para evitar la interceptación de ondas de radio) y otros dispositivos.

Debido a la avería de uno de estos dispositivos, surge un canal de fuga de información, que queda a disposición de un atacante para interceptar datos secretos.

Si las computadoras y otros equipos de procesamiento de datos se estropean, deben repararse en un centro de servicio. Sacar el dispositivo fuera del local y entregárselo a un extraño (incluso si no está interesado en recibir secretos oficiales) es una posible causa de filtración. El departamento de seguridad de la empresa no puede controlar los dispositivos mientras se encuentran fuera de la empresa.

Razón 7 - Fuga a través de canales de transmisión técnicos

Un canal de fuga de datos es un entorno físico dentro del cual no se controla la distribución de información secreta. Cualquier empresa que utilice computadoras, racks de servidores o redes tiene canales de fuga. Con su ayuda, un atacante puede obtener acceso a secretos comerciales.

Existen los siguientes canales de fuga:

• Discurso. Los competidores suelen utilizar escuchas telefónicas y otros secretos para robar secretos.
• Vibroacústica. Este canal de fuga se produce cuando el sonido choca con estructuras arquitectónicas (paredes, suelos, ventanas). Las ondas de vibración se pueden contar y traducir en texto de voz. Utilizando micrófonos direccionales a una distancia de hasta 200 metros de las instalaciones, un atacante puede leer una conversación que incluye información privada.
• Electromagnético. Como resultado del funcionamiento de todos los medios técnicos, surge un campo magnético. Las señales se transmiten entre elementos de hardware que pueden considerarse equipos especiales a largas distancias y se obtienen datos secretos.
• Visual. Un ejemplo del surgimiento de un canal de robo visual es la celebración de reuniones y conferencias con las ventanas descubiertas. Desde un edificio cercano, un atacante puede ver fácilmente todo lo que se produce. También es posible utilizar marcadores de vídeo que transmiten una imagen de lo que está sucediendo a los competidores.

• Cámara termográfica. Con un dispositivo de este tipo, puede escanear todas las paredes y partes del interior en busca de dispositivos integrados (insectos, cámaras de video).
• Dispositivos que interfieren la señal de radiofrecuencia.
• Medios para proteger estructuras arquitectónicas: sellos para ventanas, puertas, pisos y techos. Aíslan el sonido y hacen imposible leer las ondas de vibración de la superficie del edificio.
• Dispositivos de blindaje y reducción de ruido. Se utilizan para proteger el canal de fuga electromagnética.

También se deben poner a tierra todas las comunicaciones que se extiendan más allá de las instalaciones y el área controlada (tuberías, cables, líneas de comunicación).

¿Cómo minimizar el riesgo de fugas?

Existen varias formas efectivas de ayudar a reducir el riesgo de fuga y divulgación de información. Una empresa puede utilizar todos los métodos de protección o sólo algunos de ellos, porque el sistema de seguridad debe ser rentable. Las pérdidas por pérdida de información clasificada no pueden ser menores que el costo de implementar y mantener un sistema de seguridad.

Cifrado

El cifrado es un método sencillo y eficaz para proteger los secretos comerciales. Los algoritmos de cifrado modernos utilizan estándares mundiales en el campo de la criptografía (cifrados AES, GOST), intercambio de claves bidireccional (con su ayuda, un pirata informático no podrá descifrar el cifrado incluso después de obtener acceso al canal de transmisión), curvas elípticas para generar protección. Este enfoque hace que sea imposible descifrar un mensaje cifrado para las computadoras estándar.

Beneficios de utilizar cifrado para evitar la fuga de información comercial:

• Fácil de usar. El cifrado se implementa mediante un software especial. El programa debe instalarse en todos los ordenadores y dispositivos móviles en los que circule información clasificada. La aplicación la configura el administrador del sistema o el administrador de seguridad. Por tanto, el usuario medio de un altavoz no necesita aprender a utilizar el sistema de protección. Todos los archivos se cifran y descifran automáticamente dentro de la red corporativa.
• Si es necesario transferir documentos electrónicos importantes fuera de la red comercial, se almacenarán en medios flash, en la nube o en el correo del cliente exclusivamente de forma cifrada. Desventaja: sin un software especial, el empleado no podrá ver el contenido del archivo.
• Alto grado de confiabilidad. Al utilizar potentes algoritmos de criptografía computacional, es difícil para un atacante interceptar el tráfico o los mensajes secretos de una empresa, y el descifrado sin conocer las claves pública y privada es imposible.

Tenga en cuenta que el cifrado no es la única opción para proteger los secretos de todos los posibles ataques. Los trabajadores pueden leer fácilmente el contenido de los documentos electrónicos dentro de una red comercial, por lo que persiste el riesgo de divulgación no autorizada a terceros. El uso de criptografía es una parte integral de la funcionalidad de todo sistema de seguridad integral.

control de personal

Si bien los medios técnicos son fáciles de controlar, el personal es una de las fuentes de fugas más peligrosas. El factor humano siempre está presente e incluso los empleados del departamento de seguridad no siempre pueden determinar qué empleado puede representar una amenaza.

Como regla general, la búsqueda de un atacante entre el personal se lleva a cabo cuando se conocen los primeros casos de transferencia de datos a la competencia. Los administradores de seguridad comprueban la posibilidad de interceptar información a través de canales técnicos de fuga y, si todos los canales están protegidos de forma fiable, las sospechas recaen en los empleados.

Las actividades de los empleados de la organización se controlan mediante sistemas de seguimiento del tiempo. Se trata de un complejo hardware y software que documenta la hora exacta de llegada al trabajo, la hora de salida, las actividades del personal en la computadora, registra la correspondencia del correo electrónico corporativo, realiza videovigilancia y transmite todos estos datos a la dirección de la empresa. o el jefe del departamento de seguridad. A continuación, se analiza toda la información recibida y se identifica el número de empleados que podrían difundir secretos comerciales.

Estándares para documentar y transferir secretos comerciales

No sólo se deben proteger los documentos electrónicos, sino también toda la documentación impresa que contenga información sensible. Según la Ley sobre almacenamiento y procesamiento de declaraciones que contengan secretos comerciales, se deben cumplir los siguientes requisitos:

• Guarde todos los documentos que contengan secretos comerciales exclusivamente en locales cerrados separados, vigilados las 24 horas por sistemas de videovigilancia o guardias de seguridad.
• Sólo los empleados que lo necesiten en el ejercicio de su trabajo podrán tener acceso a los secretos oficiales.
• En el diario de registro se deja constancia de la eliminación de un documento del archivo. Se indica la fecha exacta, sello del documento y las iniciales de la persona que recibió copia del expediente. Se llevan a cabo acciones similares al devolver un objeto.
• Un documento que contenga un secreto comercial no se puede sacar de la oficina sin notificar al jefe del departamento de seguridad sobre esta acción.
• Para transferir documentos secretos entre sucursales de una empresa, se utiliza el correo de mensajería: transferencia segura por mensajería de documentos de especial importancia.