El ENS contra la fuga de metadatos

miércoles, 5 de abril de 2017

Ya tenemos entre nosotros la nueva Guía de Seguridad de la TIC más concretamente el CCN-STIC-835 que habla concretamente del borrado de los metadatos y datos ocultos como medida de seguridad y protección de la confidencialidad de la información y que debe ser parte de las medidas para cumplir con el ENS (Esquema Nacional de Seguridad).

Cada vez hay una mayor concienciación por parte de las empresas y personas en eliminar toda aquella información sensible que exponemos cuando publicamos o compartimos documentos o archivos multimedia. Este problema de seguridad está presente en muchas organizaciones y organismos públicos y de cara a cumplir con el ENS el Ministerio de Hacienda ha creado esta Guía de buenas prácticas que nos enseña cómo realizar la detección y el borrado seguro de metadatos que todos los archivos llevan siempre asociados.

Ilustración 1: Información incrustada que puede contener un archivo.



Los metadatos y los datos ocultos incluyen información sensible relativa al entorno donde trabajamos, de nosotros mismos y de los dispositivos que manejamos, lo cual hace que en las manos adecuadas y con herramientas apropiadas se conviertan en un riesgo para las organizaciones y sus usuarios, esto es algo que debemos entender.

Para evitarlo y como bien recomienda esta guía hay que comenzar a tomar unas sencillas medidas, así como el uso de alguna herramienta que ayude en los procesos. El uso de herramientas para el tratamiento de metadatos facilita y automatiza estos procesos que de otro modo podría ser insoportable. No es lo mismo modificar o eliminar metadatos uno por uno y en cada documento que dejar que una herramienta se encargue de ello automáticamente.

La falta de un proceso de tratamiento de archivos adecuado tal como indica el ENS puede perjudicar:
  1. Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.
  2. Al mantenimiento de la confidencialidad de las fuentes y orígenes de la información, que no debe conocer el receptor del documento.
  3. A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer.

El panorama es más serio de lo que se esperaba.
En la siguiente imagen se muestra una pequeña porción de los riesgos y amenazas de la información sensible que contiene habitualmente un documento de uso cotidiano.

Ilustración 2: Parte del contenido de metadatos de un documento Word.


Esta es solo la punta del iceberg de lo que un solo archivo puede proporcionar. Si a esto le sumamos la información obtenida de otros archivos y le aplicamos ingeniería social, podemos generar un primer esquema del entorno de la organización y los usuarios que trabajan con estos archivos, con la certeza de poder realizar ataques dirigidos más efectivos, manipular a los individuos para realizar ciertas acciones, estudiar pautas de comportamiento, suplantación, etc.

El ENS hace especial hincapié en la protección de toda esta información para prevenir su salida incontrolada fuera de la organización por los distintos medios: correo electrónico, sitio web, repositorios documentales, dispositivos de almacenamiento, etc.

La medida de protección [mp.info.6] determina que “En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento”.

Esta medida unida a una mayor concienciación y formación continua del personal que maneja y gestiona archivos ayudará a entender los riesgos que supone la falta de tratamiento o hacerlo inadecuadamente.

Por último, la guía nos permite acceder a un listado de herramientas para la detección y la eliminación de los metadatos, pero tras un primer análisis pudimos observar que necesita una actualización drástica ya que a día de hoy está bastante obsoleta.

¿Quieres prevenir y detectar a tiempo una fuga de información? En ElevenPaths ofrecemos soluciones preventivas contra la fuga de información a través de la familia Metashield. Si quieres saber más sobre el tratamiento de metadatos, habla con nuestros expertos en Ciberseguridad en la Comunidad Técnica de ElevenPaths.

No hay comentarios:

Publicar un comentario