Inicio / Blog / Information Rights Management

Information Rights Management

Publicado el 24/02/2014, por Asier Martínez (INCIBE)
Information Rights Management

 

Antecedentes

 

La protección de la información corporativa ha supuesto desde siempre una preocupación importante en el ámbito empresarial, al ser considerada ésta uno de los activos de mayor valor. Evitar la pérdida de control sobre los datos, contar con soluciones de respaldo de la información para anticiparse a los posibles incidentes de seguridad que pudiesen poner en peligro la integridad de los mismos, así como prevenir el acceso no autorizado o la fuga de información, son aspectos que constantemente han supuesto un quebradero de cabeza para los responsables de seguridad y sistemas en las organizaciones.

Este hecho se ha visto notablemente incrementado durante los últimos años con la aparición del fenómeno BYOD «Bring your own device» o «Trae tu propio dispositivo», provocado principalmente gracias a la proliferación de diferentes dispositivos como portátiles, teléfonos móviles, tablets, etc. Esta práctica consiste en la utilización de dispositivos personales para la realización de funciones propias del trabajo, hecho que presenta connotaciones en lo que a seguridad y privacidad de la información se refiere ya que la convivencia entre el uso personal y el uso profesional de un dispositivo puede resultar complicada en este aspecto.

Esta problemática es una de las razones que motiva la aparición de sistemas DLP e IRM, cuya implantación en las empresas es cada vez más habitual.

 

Descripción

 

Information Rights Management (IRM) es un término que hace referencia a la tecnología utilizada para proteger información sensible de accesos no autorizados. Dicha tecnología incorpora una serie de funcionalidades que permiten el control, la gestión y la protección de la información. Algunas de las más importantes son las siguientes:

  • Protección frente al acceso a información no autorizada.
  • Protección frente a copia o modificación.
  • Registro de acceso a los ficheros.
  • Protección frente a la realización de capturas de pantalla.
  • Protección frente a la impresión de documentos.
  • Protección frente a la descarga.

Modelo IRM

Todas estas funcionalidades tienen un objetivo común que consiste principalmente en prevenir las fugas de información confidencial como planes estratégicos, datos presupuestarios, previsiones, datos de clientes, código fuente, especificaciones de diseño, etc.

Las fugas de información provocan anualmente grandes pérdidas para las empresas. Según el estudio «El impacto económico del cibercrimen y el ciberespionaje» realizado por McAfee sobre el impacto económico del cibercrimen, éste provoca a nivel mundial, pérdidas de hasta 400.000 millones de dólares siendo uno de los principales motivos el robo de la propiedad intelectual y las fugas de información.

Este tipo de fugas son causadas por diferentes motivos, entre los que destacan:

  • Filtración por parte de empleados.
  • Phishing.
  • Malware.
  • Extravío de ordenadores, teléfonos móviles, pendrives, etc.
  • Negligencia en la gestión de los sistemas por parte del personal técnico.
  • Robo de ordenadores, teléfonos móviles, pendrives, etc.

El problema tiene varias dimensiones: saliente, interna y entrante.

  • Saliente: hace referencia la información perdida a través del acceso a Internet (correo electrónico, web, redes sociales y mensajería instantánea). Un ejemplo de ello es la filtración de documentos provocada por la utilización de algún programa de intercambio p2p o la filtración de información corporativa medios de comunicación.
  • Interna: hace referencia al envío de información dentro de la empresa que infrinja las normas de seguridad internas. Un ejemplo es el envío de un trabajador a otro de un informe que evalúa la venta de la propia empresa, o una serie de despidos, etc.
  • Entrante: hace referencia principalmente a las amenazas provenientes de internet y que se pueden catalogar esencialmente en malware, apts , phishing o spam. Un ejemplo es la fuga de información provocada por un ordenador infectado tras acceder a un sitio web comprometido.

 

Situaciones de uso

 

Constantemente aparecen en los medios de comunicación noticias con referencia a casos en los que se ha producido una fuga de información confidencial, en ocasiones provocada por un error humano y en otras de manera voluntaria. Este hecho, como ya se ha indicado, provoca un gran perjuicio o incluso, en ocasiones, un daño irreparable a la empresa afectada. Este perjuicio no es sólo económico, sino que también hace referencia a la visión y reputación de la empresa por parte de clientes, empleados y público en general.

En los últimos tiempos han surgido casos con una gran repercusión como el del soldado Bradley Manning, quien sustrajo más de 700.000 documentos clasificados referentes a secretos militares mediante varios dispositivos externos. Pero el que sin ninguna duda ha tenido un mayor impacto ha sido el caso de Edward Snowden con la filtración de miles de documentos de la NSA, extraídos mediante un pendrive, y la revelación de la utilización de PRISM (programa de vigilancia electrónica) por parte del gobierno de Estados Unidos. La extracción de dichos documentos podría haber sido evitada mediante la utilización de un sistema IRM.

 

Limitaciones

 

Se debe tener presente que la implementación de este tipo de tecnologías no es la solución definitiva contra la fuga de información, si bien añaden una capa de protección importante a la misma. Existen casos frente a los que un sistema IRM, por sí solo, no protege como por ejemplo:

  • Corrupción de la información en casos de infección por malware.
  • Obtención de una fotografía o grabación de una pantalla que muestre contenido confidencial.
  • Copiado a mano de la información privada.
  • Capturas de pantalla realizadas mediante herramientas de terceros.
  • El «boca a boca» de los empleados con otros empleados o personas de fuera del entorno de la empresa.

Es por ello que estos sistemas se deben acompañar con diferentes metodologías, estrategias, procedimientos y políticas de seguridad con el fin de mitigar tanto las fugas de información accidentales como las deliberadas.

 

Funcionalidades implementadas por un Sistema IRM

 

Las soluciones IRM implementan un amplio grupo de funcionalidades que permiten realizar la gestión óptima de la información en lo que a seguridad y privacidad se refiere. Dependiendo de la solución IRM utilizada las funcionalidades pueden variar ligeramente, si bien todas ellas incorporan aspectos muy similares por los que se pueden identificar los siguientes grupos:

  • Protección frente al acceso a información no autorizada: Este tipo de herramientas tienen integrada la posibilidad de cifrar la información con el fin de evitar el acceso a la misma por parte de usuarios no autorizados. Este hecho permite manejar y transmitir la información con un alto grado de fiabilidad en lo que a la seguridad de la misma se refiere.
  • Protección frente a lectura, copia o modificación: Incorporan un sistema de control que permite denegar el acceso a la información o incluso imposibilitar la copia o modificación de la misma.
  • Registro de acceso a los ficheros: Audita el acceso a la información de manera que quede registrado el usuario que ha accedido a la información, la hora del evento en cuestión, etc.
  • Protección frente a la realización de capturas de pantalla: Poseen la capacidad de impedir la realización de capturas de pantalla mediante la funcionalidad integrada en el sistema operativo. Si bien esta funcionalidad permite controlar las fugas de información a través de funcionalidades nativas del sistema, seguiría siendo posible realizar capturas de pantalla a través del uso de herramientas externas.
  • Protección frente a la impresión: Permiten bloquear la función de impresión de los documentos. En ocasiones, los datos extraídos por trabajadores no se filtran al exterior a partir de correos electrónicos o dispositivos USB, sino directamente impresos en papel.
  • Protección frente a la descarga: Tienen la facultad de prevenir la descarga de la información, de modo que sólo pueda ser accedida online.
  • Firma digital: Los sistemas IRM incorporan la posibilidad de firmar digitalmente la documentación con el fin de asegurar aspectos tan importantes como la autenticidad, la integridad y el no repudio de la información.
    • Autenticidad: Permite asegurar que el firmante del documento sea legítimo y no haya sido falseado.
    • Integridad: Certifica que el contenido del documento no ha sido modificado o manipulado. ­
    • No repudio: Asegura que el firmante del documento no pueda negar en un momento dado su relación con el propio documento.

Hay algunas soluciones, con características más avanzadas que integran las siguientes características:

  • Caducidad de la información: permiten establecer caducidad a la información de manera que una vez superado el plazo se convierta en ilegible.
  • Creación de Roles: Permiten establecer diferentes roles a los usuarios de manera que pueden realizar distintas acciones sobre la información.
  • Uso offline de la información: Estas soluciones permiten utilizar la información en local con el mismo nivel de protección al que están sometidos en el contexto del sistema IRM.

 

Conclusiones

 

Como se ha indicado, la implementación de un sistema IRM permite tener un mayor control sobre la información, lo que deriva en una protección de la misma de manera que se pueden prevenir fugas. Es por ello que es recomendable la utilización de este tipo de soluciones cuando se trabaje con información sensible, sin olvidar emplear otro tipo de herramientas y aplicar procedimientos y políticas de seguridad que a su vez añaden diferentes capas de protección a la información.

Etiquetas: 
Buenas prácticas
Desarrollo seguro
Políticas
Protección de datos