Cumplimiento del Esquema Nacional de Seguridad. Asignatura pendiente

miércoles, 26 de junio de 2013


Artículo 5.7.6 del Esquema Nacional de Seguridad. Limpieza de documentos. 


"En el proceso de limpieza de documentos, se retirará de éstos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.

Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.

Se tendrá presente que el incumplimiento de esta medida puede perjudicar:

  1. Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.

  2. Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.

  3. A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer."
Aunque la teoría de la normativa respecto a la fuga de información que se produce a través de los metadatos que no se controlan se encuentra claramente definida en el citado artículo del Esquema Nacional de Seguridad, parece claro que muchas de las entidades analizadas que conforman las administraciones públicas está cayendo en una clara ilegalidad por su parte, de la que parecen no ser conscientes. Un problema acentuado si a eso le sumamos los posibles riesgos de seguridad en los que puede acabar derivando dicha fuga de información sensible.

Un simple análisis en busca de posibles metadatos expuestos a través de los sitios web de determinadas entidades u organismos estatales, revela que no se están realizando procesos en sus entornos para prevenir la fuga de información sensible.

Imagen 1: Metadatos expuestos en el sitio web de una entidad estatal española
Lo preocupante de todo esto, es que si echamos un vistazo al exterior, dejando de lado la normativa interna referente a nuestro país, la cosa no mejora mucho. Entre la fuga de información sensible podemos encontrar servidores, direcciones IP, rutas LDAP, usuarios, cuentas de correo y otro tipo de datos confidenciales que pueden hacer las delicias de usuarios malintencionados.
Imagen 2: Impresoras o rutas LDAP, entre otros metadatos detectados 
Una vez que las organizaciones son conscientes de las posibles brechas en la seguridad (asociándolo siempre a términos de confidencialidad y privacidad) que se pueden producir por un inadecuado tratamiento de los metadatos, se hace necesario establecer una metodología interna que automatice procesos de limpieza de metadatos sobre los archivos expuestos fuera del ámbito de una organización, eliminando cualquier tipo de riesgo de seguridad innecesario.

Para evitar este tipo de problemática, existen soluciones como MetaShield Protector, que se encargan de limpiar de forma automatizada la información proporcionada por los metadatos (generalmente información confidencial o sensible), cuando los archivos se exponen fuera del control de una organización, como ocurre por ejemplo con los archivos proporcionados por un sitio web de cara a Internet.

Las soluciones MetaShield Protector se encargan de limpiar de metadatos cualquier tipo de archivo, independientemente de cual sea el repositorio de almacenamiento donde se encuentre. Tienes más información sobre cómo aplicar estas soluciones en el libro Aplicación del Esquema Nacional de Seguridad. Actualmente, las soluciones MetaShield se encuentran orientadas a diferentes tipos de entornos, según sean las necesidades corporativas:
  • MetaShield Protector for IIS, para prevención de fuga de información sensible en servidores web Microsoft Internet Information Services.
  • MetaShield Protector for SharePoint, para prevención de fuga de información sensible en entornos web con tecnologías SharePoint.
  • MetaShield Protector for File Server, para prevención de fuga de información sensible en servidores de archivos.
  • MetaShield Protector for Client, la solución portable de limpieza de metadatos orientada a las estaciones de trabajo de una organización.
  • MetaShield Forensics, ideal para analistas forenses que necesitan una solución para la recopilación de pistas o evidencias digitales útiles frente a la resolución legal de un caso forense.

No hay comentarios:

Publicar un comentario