| Índice de Contenidos: |
La función del Centro de Operaciones de Seguridad, en la postura de seguridad de la información, no se limita a ser únicamente una protección técnica frente a ciberdelincuentes.
Sus funcionalidades y capacidades son aplicadas también con la perspectiva de incrementar el nivel de cumplimiento de los requisitos legales, regulatorios o contractuales a los que está sujeta cualquier organización. RGPD, es un ejemplo de estos requisitos.
Relación entre RGPD y sistemas TI
La Directiva Europea que define el Reglamento General de Protección de Datos (RGPD) establece el marco jurídico para la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que entró en vigor en España el 5 de diciembre de 2018. Una ley exigente en cuanto a las medidas de protección organizativas y técnicas que se deben adoptar para garantizar el derecho a la privacidad de las personas e impedir abusos por la explotación de sus datos personales. El incumplimiento de esta ley lleva aparejadas sanciones económicas de elevada cuantía.
Las funcionalidades del Centro de Operaciones de Seguridad es una de las medidas técnicas que permiten adecuar la operativa de los sistemas TI a los requisitos de esta ley.
¿Cómo usar el SOC para garantizar la protección de los datos personales?
Identificar dónde se encuentran los datos
Para incorporar el Centro de Operaciones de Seguridad en la protección de datos personales, lo primero es identificar dónde se ubican estos, teniendo en cuenta que por datos de carácter personal hay que entender cualquier información sobre una persona viva, que la identifique, datos personales directos; o que pudiera identificarla, datos personales indirectos.
Cubre varios tipos de información, como nombre, dirección de correo electrónico, número de teléfono o dirección IP. Y otras relacionadas con las características físicas, religión, sexualidad o políticas asociadas a las personas. Datos estos últimos que, además, son considerados de especial protección.
El SIEM, por sus funcionalidades y capacidades no puede considerarse un sistema DLP (Data Lost Prevention). Puede detectar anomalías relacionadas con accesos y operaciones no autorizadas sobre la información, pero no sobre la transmisión indebida de la misma. Sí puede potenciar la eficacia de las soluciones DLP especializadas, si los eventos de éstas se hacen llegar al SIEM para su monitorización.
La protección de datos personales se extiende a cualquier tipo de soporte, electrónico o no. Y a cualquier formato, incluyendo fotografía, audio y video. En el ordenador, todos estos datos se encuentran en repositorios de archivos de aplicaciones ofimáticas y, como no, en bases de datos.
Por ello, la monitorización en el acceso y operaciones sobre este tipo de datos pasa, inevitablemente, por localizar los repositorios en donde se encuentran. Es necesario contar con los propietarios de los datos que deben identificarlos. Un ejercicio no sólo de inventario, sino también para identificar sus riesgos, determinar la prioridad de su protección y los controles de seguridad que se deben aplicar. Para el SOC, se trata de identificar qué se debe monitorizar para su protección.
Activar los registros de auditoría
Localizados los repositorios de datos personales, su monitorización será posible en la medida en la que sea posible capturar eventos sobre su acceso y operación. Si se trata de carpetas de archivo, lo primero será ver qué eventos y nivel de detalle es posible recoger desde el sistema operativo o la aplicación que da acceso a los archivos.
O recurrir a la instalación de un agente FIM (File Integrity Monitoring). Un agente de Monitorización de Integridad de Fichero es una aplicación que audita el control de cambios en los archivos. Puede registrar quién, cuándo y cómo se han modificado los ficheros.
Este agente puede formar parte de una solución específica de FIM que monitoriza, centraliza y audita los eventos de acceso y operación en ficheros, en un modelo cliente-servidor. En el mercado existen distintas soluciones, tanto comerciales, como puede ser Qualys y de código abierto, como es Wazuh.
Estos agentes se deben instalar en los hosts en donde se encuentran los repositorios de archivos. Servidores y endpoint de usuario. No hay que olvidar estos últimos, ya que portátiles y equipos de sobremesa son los más propensos a sufrir exfiltraciones de los datos en ellos contenidos.
Para los repositorios de datos personales en forma de bases de datos, la situación es muy parecida. Hay que activar la auditoría del acceso a los registros. La auditoría que incorpore el motor de base de datos puede ser suficiente. En caso contrario, se puede recurrir a un agente externo de los que existen en el mercado, comerciales o de código abierto que extraiga la actividad
En cualquier caso, sea de forma nativa o desde agente, los eventos de acceso a datos se trasladan al SIEM, en donde con los casos de uso adecuados, se monitorizan para determinar si se trata de eventos sobre los que se debe generar alertas y hacer los análisis oportunos.
Monitorización y análisis del comportamiento
La mejor estrategia para analizar los eventos recopilados que están relacionados con el acceso a datos personales desde el SIEM, es el análisis de comportamientos. Lo que se conoce como UEBA (User and Entity Behavioral Analytics) o Análisis del Comportamiento de Usuarios y Entidades.
Se debe prestar atención a eventos como:
- Reiterados intentos fallidos de acceso a los repositorios con datos personales.
- Acceso a los datos en horas intempestiva
- Descargas inusuales de archivos.
- Intentos de inyección SQL que contengan “SELECT”.
- Incluso, un número desmesurado de impresión de archivos o tablas.
Todas estas situaciones pueden ser indicio de que alguien está exfiltrando datos personales y se debería comprobar.
Un ejemplo más específico, puede ser monitorizar en carpetas y archivos los eventos de Windows con ID “4670”, asociados a la “Toma de propiedad”, que pueden representar una violación de acceso a datos intencionada.
Los analistas de seguridad del SOC deben entender los riesgos derivados de las brechas de seguridad con datos personales. Para determinar cuáles son los casos de uso adecuados al sistema, evaluar con precisión las alertas y apreciar el impacto real de los incidentes con estos datos.
Sin olvidar claro está, otros eventos que pueden estar relacionados con una secuencia de ataque en los intentos de comprometer datos personales, como puede ser los ataques de fuerza bruta sobre servidores de fichero y bases de datos o la detección de malware, lo que se conoce como IoA (indicadores de ataque).
Y los casos de uso asociados a este análisis, deben cubrir tanto las amenazas externas como las amenazas internas. El acceso no autorizado o la fuga a datos personales no sólo se producen por un ataque premeditado desde el exterior. Personal interno descuidado, negligente o desleal, puede provocar graves incidentes de seguridad con este tipo de datos.
Importancia de la Alerta Temprana y los tiempos
Otro de los preceptos legales que marca la LOPDGDD es la obligación de comunicar las brechas de seguridad detectadas al regulador (la agencia de protección de datos que corresponda) en un plazo máximo de 72 horas.
Con independencia de la gravedad, impacto y responsabilidad sobre el incidente, no cumplir con este plazo representa, por sí mismo, un incumplimiento punible. Y en el cumplimiento de este requisito, el SOC, la combinación de SIEM y analistas de seguridad, adquiere una especial relevancia.
Con la detección temprana, se pueden cerrar rápidamente las brechas de seguridad que se produzcan y limitar su gravedad e impacto. Por ejemplo, detectar que se está produciendo una descarga masiva de archivos, desde carpetas asociadas a RRHH o a clientes, mientras se está produciendo, posibilita cortar rápidamente la posible exfiltración y limitar el volumen de datos expuestos.
Una rápida reacción que puede evitar, incluso, la necesidad de comunicar a las autoridades el incidente. Y en el caso de que la brecha no se haya podido evitar, la monitorización del SOC podrá advertirla rápidamente, dejando margen temporal para realizar todas las averiguaciones y trámites necesarios, si fuera preciso hacer la comunicación de la misma.
Además, las funcionalidades que proporciona el Centro de Operaciones de Seguridad para evaluar los daños que hayan podido provocar y de análisis forense, conforman la base del preceptivo informe sobre el incidente que el Delegado de Protección de Datos, DPD, tendrá que adjuntar en su comunicación a las autoridades.
Ejercicio de derechos
La ley LOPDGDD, también proporciona garantías a las personas sobre sus datos frente a las organizaciones que los tratan. Y estas garantías se tienen que implementar en el plano técnico. El más controvertido, el derecho de borrado, “derecho al olvido”.
Cualquier persona puede solicitar que sus datos personales sean eliminados y deben ser borrados sin más consideraciones. Técnicamente, la eliminación de datos personales no reviste mayor complicación. Sin embargo, en la práctica no es tan sencillo. Hay determinados tipos de datos que no se pueden borrar. Se deben conservar durante un tiempo para cumplir con otros requisitos legales. Y mientras esos datos se mantengan, no pueden ser accedidos o tratados, a menos que sea necesario como respuesta a un requerimiento.
El Centro de Operaciones de Seguridad puede apoyar técnicamente al DPD en el cumplimiento de esta garantía legal. Se puede definir casos de uso que monitoricen el acceso a los repositorios en los que se encuentran datos de carácter personal bloqueados, alertando de inmediato de quién intenta o accede a esos datos.
Del mismo modo, los eventos de auditoría de esos repositorios que se recolectan en el SIEM pueden ser explotados con otros fines no estrictamente relacionados con la detección de incidentes de seguridad. Se pueden definir cuadros de mando (dashboards) que ayuden a la gestión de esos datos, como, por ejemplo, obtener informes con los que determinar si ha transcurrido el plazo de retención de los datos bloqueados para proceder a su eliminación, tal y como recoge la ley de privacidad.
Dentro de la postura de seguridad de la información corporativa, contar con un servicio de SOC permite alinear las medidas de protección técnicas con los riesgos identificados y necesidades de cumplimiento. Aplicar las funcionalidades que ofrece el Centro de Operaciones de Seguridad para RGPD no se limita a la detección temprana de incidentes de exfiltración de datos, sino que, también, permite cumplir con uno de los principios básicos establecidos en la ley: “responsabilidad activa”.
