Next-Gen Encryption: El enfoque de Sophos

Vicente Pérez López - Key Account Manager Sophos Iberia.

Las fugas de datos siguen siendo una gran preocupación para todas las organizaciones; no hay nadie en el mundo que sea inmune, independientemente de su ubicación, tamaño o sector. Según Privacy Rights Clearing House, aunque la mitad de las filtraciones de datos en 2014 tuvieron que ver con piratería o malware, la divulgación no intencionada de información fue la segunda causa más común (16%).

Al mismo tiempo, el entorno de trabajo ha cambiado sustancialmente en los últimos años. Las empresas de hoy necesitan protegerse frente a las fugas de datos (respetando la legislación vigente relativa a la protección de datos), a la vez que se aseguran de que sus empleados puedan ser lo más eficientes posible en un entorno tan competitivo como el actual.
La estrategia de Next-Gen Encryption de Sophos se ha diseñado específicamente para satisfacer estas necesidades.

El entorno de trabajo de hoy en día es muy distinto al de hace cinco o diez años. Las diferencias en el panorama de dispositivos y amenazas son significativas. Echemos un vistazo a dos grandes cambios que han repercutido en la protección de datos.
El dispositivo no es móvil; el usuario, sí
Un usuario medio tiene, de media, tres dispositivos. Mientras que antes solía haber ordenadores de sobremesa y un portátil de vez en cuando, el panorama se ha ampliado y ha pasado a incluir tabletas y dispositivos móviles.

Los dispositivos móviles a menudo contienen la misma cantidad de información confidencial, o incluso más, que un portátil. Además, pueden perderse con mucha más facilidad. Esto significa que la superficie de ataque potencial aumenta a medida que los usuarios tienen más dispositivos que contengan datos corporativos.
El empleado medio es móvil y se espera que se mantenga productivo mientras se desplaza. En último término, la productividad significa poder acceder a los datos corporativos en el dispositivo de su elección, desde cualquier lugar y en cualquier momento.

Es medianoche. ¿Sabe dónde están sus datos?
¿Sabe dónde están los datos de su empresa? Se encuentran en servidores, ordenadores de sobremesa, portátiles, dispositivos móviles, tabletas y dispositivos de medios extraíbles, así como con proveedores de almacenamiento en la nube. Los datos corporativos confidenciales se hallan fuera de los límites tradicionales de la empresa, principalmente porque la noción de límite de una empresa ha desaparecido.
¿Cómo se define el límite de una empresa para los datos si se encuentran en una amplia gama de dispositivos móviles y soluciones de almacenamiento? Estos dispositivos no están administrados o bien pasan poco tiempo en la red de una empresa. O, en el caso de un proveedor de almacenamiento en la nube, es posible que ni sepa dónde se guardan sus datos físicamente y quién tiene acceso a ellos realmente. Todo esto pone de manifiesto que es necesario proteger los datos donde los usuarios los almacenan.

Definición de la estrategia de Next-Gen Encryption
A la hora de elaborar nuestra estrategia de Next-Gen Encryption, hemos estudiado varias áreas en las que una empresa podría verse afectada por pérdidas o filtraciones de datos, lo que podría llevar a infracciones de normativas. Nuestra estrategia considera las áreas siguientes:
1. Impacto de los dispositivos perdidos o robados
2. Cómo utilizan los datos los usuarios
3. Divulgación no intencionada de información causada por fallos humanos
4. Ataques de piratería o malware
5. Simplicidad

Impacto de los dispositivos perdidos o robados
El usuario medio tiene tres dispositivos, que pueden robarse o perderse con gran facilidad. Un usuario quizá se deja el teléfono en el tren de camino al trabajo, o se deja sin querer el portátil en los controles de seguridad del aeropuerto al salir corriendo porque va a perder su vuelo. Los dispositivos son pequeños y los accidentes ocurren. El cifrado de disco completo es útil para la protección de los datos en reposo y es una buena primera línea de defensa.

¿Cómo utilizan los datos los usuarios?
Observe a sus usuarios durante una hora y vea cómo utilizan los datos. Los crean, en forma de documentos, presentaciones, etc. Copian archivos en recursos compartidos de red o unidades USB o los suben a un proveedor de almacenamiento en la nube. El usuario trabaja con archivos y los archivos se mueven entre dispositivos y las distintas opciones de almacenamiento. En estos tipos de situaciones, la protección de datos es imprescindible.

Simples errores humanos
Todos somos humanos. Todos cometemos errores. Todos hemos creado un correo, adjuntado el archivo equivocado y enviado el correo (o enviado el archivo correcto al destinatario equivocado). Existen muchos ejemplos de simples errores humanos que pueden provocar pérdidas o filtraciones de datos. Los navegadores web y clientes de correo electrónico son buenos ejemplos de herramientas de productividad que los usuarios utilizan para compartir datos, pero que pueden accidentalmente exponer datos corporativos a la nube o a la persona equivocada.

Ataques de piratería o malware
El análisis de Privacy Rights Clearinghouse de las filtraciones de datos en 2014, que está clasificado por tipos de filtraciones, reveló que la piratería o el malware representaban el 51% de las filtraciones de datos. Los programas maliciosos no dejan de crecer en número y complejidad. Aquí también se incluye el robo oportunista de datos.

Simplicidad
El cifrado funciona mejor cuando nadie sabe que está ahí. Proporciona protección de forma silenciosa sin afectar a la productividad del usuario. Por ejemplo, pensemos en el protocolo HTTPS. La S significa seguro, y quiere decir que todas las comunicaciones entre el navegador y el sitio web están cifradas. Pero la mayoría de usuarios no perciben la diferencia en la dirección URL que visitan.
El cifrado debe ser fácil de utilizar tanto para el administrador como para el usuario para poder conseguir un alto nivel de aceptación.

Sophos Next-Gen Encryption
La estrategia de Sophos Next-Gen Encryption parte de dos afirmaciones:
1. Todos los datos que crea un usuario son importantes y deben protegerse (cifrarse). Esto se conoce como cifrado "siempre activo" o cifrado por defecto.
2. El cifrado debe ser persistente dondequiera que un archivo se ubique, copie o mueva.

En general, se considera que el cifrado es una de las mejores formas de proteger los datos. Tanto si el usuario está creando un documento donde explica su nueva idea para patentar o una hoja de cálculo para justificar un nuevo concepto de negocio, todos ellos son datos importantes y deben cifrarse de forma automática y transparente. Un usuario no debería preocuparse por tener que decidir si cifrar un archivo o no en función de la impresión que tenga de lo importante que es. De hecho, es posible que los usuarios ni se den cuenta de que los datos están cifrados. Esto permite que el usuario se mantenga productivo y sus datos estén seguros al tiempo que sigue flujos de trabajo existentes.
Una vez se cifra el archivo, debe permanecer cifrado. Independientemente de lo que le pase al archivo, ya sea que lo muevan, copien o cambien de nombre, y de si el archivo permanece dentro de los límites del dispositivo, el cifrado debe ser persistente. Si un usuario pierde sin querer un archivo, se perderá en su forma cifrada, haciéndolo inservible/ilegible para cualquier persona que no tenga permiso para verlo.

¿Qué hay de la protección DLP?
Cuando pensamos en la protección de datos, a menudo nos viene a la cabeza la prevención de pérdida/fuga de datos (DLP, por sus siglas en inglés). Históricamente, DLP y cifrado han ido de la mano. Aunque DLP es una gran tecnología, existen muchos ejemplos de empresas que fallan a la hora de implementar una estrategia DLP después de gastar una cantidad considerable de tiempo o dinero en el esfuerzo. El problema es la complejidad de la tarea. Hay que establecer reglas para datos que quizá no haya creado todavía. Una problemática común es que los administradores definen reglas demasiado estrictas y luego tienen que hacer frente al volumen de trabajo generado por los falsos positivos. A veces, los administradores hacen las reglas más flexibles y entonces los datos salen de la organización a pesar de los sistemas DLP. Sophos le da la vuelta a la tecnología DLP al eliminar la necesidad de clasificar los datos. Esta simplificación ayuda enormemente tanto al usuario como al administrador.

Esto no quiere decir que DLP no sea importante. Sigue teniendo un papel dentro de Next-Gen Encryption. Sin embargo, debería ser la excepción, no la norma. Cuando el usuario quiere descifrar datos, suprimir la protección de un archivo es una decisión consciente. Ese es el momento para que se ejecuten las reglas DLP si se desea. Si no se generan señales de alerta, el usuario obtiene el permiso para descifrar el archivo porque no contiene nada que se considere delicado. No obstante, si se genera algún tipo de alerta, se deniega la solicitud para descifrar el archivo. Este enfoque es un mecanismo a prueba de fallos para garantizar que los archivos permanezcan cifrados. Además, se registran y auditan todas las solicitudes de descifrado de archivos.
El uso de este enfoque simplifica enormemente la tecnología DLP y, puesto que la evaluación de las reglas DLP pasa a ser la excepción (usadas solo cuando los datos se descifran), reduce considerablemente los requisitos de procesamiento.

Synchronized Encryption
Partiendo del hecho de que todos los datos del usuario se cifran, el siguiente elemento importante que proteger son las claves de cifrado que han cifrado todos esos datos.
La idea fundamental de las claves de cifrado es que solo los dispositivos, aplicaciones y usuarios de confianza deben tener acceso a los datos cifrados.
Para lograrlo, Sophos fusiona los conocimientos y funcionalidades de los productos Sophos Endpoint y Sophos SafeGuard Encryption (SafeGuard) para convertir el cifrado en una tecnología de protección contra amenazas. Sophos Endpoint se encargará de aquello en lo que siempre ha destacado: determinar el estado de seguridad del equipo en cuestión y decidir si los procesos en ejecución son de confianza. Y el producto de protección de datos hará lo que siempre se le ha dado mejor: cifrar datos y proteger el acceso a las claves.
A la hora de determinar cuándo se emiten las claves y se permite el acceso al contenido cifrado, triangulamos y sincronizamos la identidad del usuario, el dispositivo y la aplicación o proceso.

Estas tres condiciones deben validarse para poder acceder a la clave de cifrado y visualizar los datos.
En casi todos los casos, un usuario corporativo legítimo puede acceder a los datos de forma transparente mediante un dispositivo de confianza (es decir, un dispositivo proporcionado por la empresa) y aplicaciones de confianza. Si no se cumple una o varias de estas condiciones, se le denegará el acceso a la clave y, aunque podrá ver el archivo cifrado, no podrá ver su contenido. De este modo, es posible que los programas maliciosos que roban datos puedan acceder a un archivo, pero ese archivo se quedará inutilizado sin la clave de acceso.

Dispositivo de confianza
Existen muchas formas de determinar si un dispositivo es de confianza. Por ejemplo, puede ser porque los productos de Sophos adecuados están instalados. O quizá porque el agente Sophos Endpoint ha evaluado el sistema y ha calificado su estado como correcto. Además, un dispositivo de confianza puede ser un dispositivo móvil que esté administrado por la solución EMM de la empresa y, por consiguiente, cumpla con la política de seguridad de la organización. Por otro lado, un administrador puede indicar explícitamente que un sistema no es de confianza, por ejemplo, para el uso de un externo a la organización.

Si un portátil Windows o Mac se encuentra en estado de infección activa, dado que la estación está en proceso de eliminar malware, el sistema probablemente no debería considerarse de confianza. Para un dispositivo móvil, como un iPhone o teléfono Android, si no cumple la política de cumplimiento corporativa (por ejemplo, si un dispositivo está desbloqueado o no tiene una contraseña para la pantalla de bloqueo), tampoco se debería considerar de confianza.

Usuario de confianza
Al igual que existen muchas formas de determinar si un dispositivo es de confianza, hay muchas maneras de establecer si un usuario es de confianza. Puede ser en función de su identidad o simplemente porque haya podido iniciar sesión en el sistema correctamente. Existen casos de uso, como cuando un usuario deja una empresa, en los que los usuarios pueden iniciar sesión en su dispositivo correctamente pero no deberían tener acceso a los datos cifrados.

Proceso de confianza
Sophos Endpoint será el principal encargado de determinar si un proceso es de confianza o no. De forma genérica, la lógica interna no considera de confianza las PUA (aplicaciones no deseadas), el malware, los virus, los navegadores web o los clientes de correo electrónico. Sin embargo, hay otros tipos de aplicaciones, como los programas de torrents, que quizá las empresas instintivamente no consideren de confianza para acceder a los datos cifrados. Por defecto, los navegadores web y los clientes de correo electrónico no son de confianza, ya que constituyen formas en las que los usuarios pueden compartir o perder datos accidentalmente. Esto ayuda a protegerse contra los simples errores humanos.
¿Por qué hablamos de procesos y no de aplicaciones? En primer lugar, esta cuestión gira en torno a garantizar que se mantenga la productividad del usuario. Al bloquear solamente el proceso que realmente pone en peligro la seguridad, se permite que todos los procesos de confianza se ejecuten sin obstáculos.

Supervisión continua de integridad antes de otorgar confianza
En general, uno quiere que la tecnología de protección de datos supervise continuamente el estado de seguridad, la integridad y la confianza del proceso o aplicación del sistema. El objetivo es mantener la productividad de los usuarios al tiempo que se garantiza la seguridad de los datos. Como se ha mencionado anteriormente, si un proceso no es de confianza solo puede acceder al archivo en su forma cifrada pero no a la clave de cifrado para descodificar el contenido. La mayor parte del tiempo los usuarios no se darán cuenta de que esto se está produciendo. Sin embargo, si el proceso es malicioso, como el malware, evidentemente no debería ejecutarse en absoluto. Y, si el sistema se encuentra en un estado de infección activa, no debe considerarse de confianza. La confianza del proceso es la primera reacción ante la integridad, pero el estado general de seguridad del sistema también desempeña un papel importante.

Volvamos al concepto del mantenimiento de la productividad de los usuarios. Uno quiere impedir que los procesos que no son de confianza accedan a datos de texto sin formato y evitar que se ejecuten. Pero, por ejemplo, si se tienen abiertos dos documentos de Word - el primero con documentación importante en la que se está trabajando y el segundo un archivo enviado por un amigo o compañero - si el segundo documento resulta ser malicioso, solamente bloquearíamos el proceso del segundo documento. Permitiríamos que el usuario siguiera trabajando en el primer documento.

Si el sistema del usuario se ve gravemente infectado por uno o más programas maliciosos y está en proceso de limpiarse, Synchronized Encryption puede, como último recurso, revocar temporalmente las copias locales de las claves de cifrado. La revocación de claves garantizaría que no haya nada en el sistema que pueda usar datos de texto sin formato. Esto sí afecta a la productividad del usuario, ya que no puede acceder a los datos cifrados, pero realmente esa es la cuestión. ¿Queremos que un usuario (y las aplicaciones o procesos que utiliza) acceda a los datos cifrados en un sistema infectado? No. Cuando las infecciones de malware se hayan eliminado y el sistema obtenga el visto bueno, se devuelven las claves de cifrado al sistema y el usuario puede seguir trabajando productivamente.

¿Es malo un proceso que no sea de confianza?
Si un proceso no es de confianza, ¿significa que es malo? No, no necesariamente. Hay muchos casos de uso en los que se puede querer que un proceso acceda a los archivos pero solo de forma cifrada. Por ejemplo, los usuarios pueden utilizar un cliente de correo electrónico como Outlook para enviar un archivo adjunto. El cliente Outlook no es de confianza, pero puede acceder a los archivos en su forma cifrada para llevar a cabo las funciones de adjuntar y entregar. Pero una vez llega al destinatario, Outlook pide a una aplicación de confianza como Word o Excel que abra la aplicación. A los ojos del usuario, el proceso es totalmente transparente y, al mismo tiempo, los adjuntos están cifrados y, por consiguiente, seguros durante la transmisión.
Esto también ilustra por qué el concepto de Sophos Synchronized Encryption es distinto de las listas blancas de aplicaciones. Se puede confiar en las aplicaciones incluidas en las listas blancas para que se ejecuten, pero eso no significa que deban tener acceso a los datos cifrados. Con Synchronized Encryption, lo que se hace es determinar si se confía lo suficiente en una aplicación de confianza en ejecución para que vea la versión de texto sin formato de los datos cifrados.

Hacer la vida más fácil a sus usuarios
Para facilitar la vida de sus usuarios, Sophos ofrece elementos, como un complemento de Outlook, que pueden detectar que se está enviando correo fuera de la organización con un archivo adjunto. Puede informar al usuario de que está a punto de enviar un archivo cifrado y preguntarle qué opciones quiere elegir para la colaboración externa e indicarle las medidas adecuadas que tomar. Otra posibilidad es que un administrador especifique una acción predeterminada, a través de una política, que se realizaría de forma automática.

Acceso a datos en múltiples plataformas
Para permitir que los usuarios se mantengan productivos, la funcionalidad de Next-Gen Encryption debe ejecutarse en todos los dispositivos de uso habitual entre los usuarios. Esta funcionalidad funciona en Windows, OS X, iOS y Android.
Antes hemos mencionado que los usuarios tienen una media de tres dispositivos. Si el equipo Windows se ve gravemente infectado por un programa malicioso, se bloquea y pasa a considerarse de no confianza, el usuario puede seguir trabajando y mantenerse productivo con su Mac o iPad, independientemente de si está en la oficina o fuera de ella. Si un dispositivo se ve afectado es inoportuno, pero el usuario puede simplemente utilizar otro dispositivo.

Protección de datos y contra amenazas de última generación
Con Sophos, los clientes pueden conseguir una seguridad aún mejor al combinar Next-Gen Encryption con nuestra oferta más amplia de seguridad sincronizada. Si un cliente tiene Sophos Endpoint, Sophos UTM/firewall y Sophos SafeGuard, los tres productos trabajarán de forma conjunta no solo para ofrecer una fantástica solución que detecte y elimine las amenazas con mayor eficacia, sino también para asegurarse de que las amenazas no puedan acceder a los datos cifrados. Es la protección de última generación para su empresa.

Next-Gen Encryption cambia el paradigma de la protección de datos. El cifrado siempre activo, a diferencia del cifrado tradicional de archivos y carpetas, permite que los usuarios se libren de tener que decidir qué es importante y qué debe cifrarse. En consecuencia, se le facilita la vida al usuario al cifrar y descifrar archivos de forma transparente y automática sin afectar a su flujo de trabajo. Para proteger los datos contra las amenazas, Synchronized Encryption revoca las claves de los sistemas infectados y deniega el acceso a las aplicaciones maliciosas o que no son de confianza. Todo ello garantiza que se mantenga la productividad del usuario al tiempo que sus datos, y su organización, están seguros.