Herramienta de ciberseguridad para prevención de fugas de información en un entorno corporativo

Abstract

En el proyecto “Herramienta de ciberseguridad para la prevención de fugas de información a través del correo electrónico en un entorno corporativo”, se pretende buscar una solución a las malas prácticas realizadas en las empresas por parte de sus empleados, relacionadas con el envío de información confidencial o privada a través de correo electrónico. Estas malas prácticas pueden llevar a fugas de información o a ciberataques y con ello, a grandes pérdidas económicas. Dada la evolución tecnológica que está afectando a nuestra sociedad y el tráfico continuo de información a través de Internet mediante el correo electrónico corporativo o los sistemas de almacenamiento en la nube, es necesaria la implementación de un ambiente de seguridad e integridad para el tratamiento de los datos corporativos confidenciales. Por consiguiente, se deben establecer los mecanismos y protocolos de seguridad necesarios para asegurar que la información no pueda ser modificada ni robada por parte de atacantes externos o internos. Por esta razón, y debido al gran número de casos conocidos actualmente, se desea a través de este proyecto rellenar el vacío de seguridad que sufren las empresas en el apartado de las fugas de información realizadas tanto por descuidos internos, como por ataques externos. Actualmente, existen productos de empresas dedicadas a la ciberseguridad que ofrecen diferentes medidas para proteger los puntos de la red de la empresa. Algunos de estos productos se reflejan en este documento. No obstante, la mayoría de los productos que se comercializan actualmente están destinados a proteger a la empresa de ataques externos, pero en general, no protegen de forma adecuada ante ataques internos y fugas de información de sus empleados, por ello uno de los principales objetivos de este trabajo será el de evitar los ataques internos. Para lograrlo se ha desarrollado una herramienta completa de correo electrónico apoyada en un servidor de correo que permite proteger los activos de la empresa y la información de sus empleados de forma confidencial. A su vez, se ha proporcionado un ambiente de seguridad para el envío de información confidencial de tal manera que sea posible garantizar la protección de la información que es enviada a través del correo electrónico. Esta herramienta se basa en la categorización de la información confidencial y en la protección de los datos personales de los empleados, apoyándose en el nuevo Reglamento General de Protección de Datos (RGPD), aprobado el 14 de abril de 2016 y actualmente vigente. Con todo esto, el sistema de correo electrónico garantiza el proteger los activos de la empresa, proteger la red ante ataques externos y garantizar el buen uso de los activos corporativos solventando así, los vacíos de seguridad que no pueden rellenar las soluciones actuales y reforzando los puntos débiles que presentan las actuales herramientas de email corporativas, las cuales no tienen ningún mecanismo de protección ante fugas de información, salvo por el acuerdo de confidencialidad que se firma con el empleado, quien a pesar del acuerdo, puede realizar un mal uso de los activos de las empresas. Para solventar estos problemas y otros puntos débiles de las herramientas de correo electrónico actuales se buscará dar un paso más allá, planteando la solución de ciberseguridad corporativa que se expone a lo largo de este documento. Abstract: the project “Cybersecurity tool for the prevention of information leaks through email in the corporate environment”, we try to find a solution for bad practices, executed in companies by employees related to the sending of confidential or private information through email. These practices can carry out information leaks or cyber-attacks and therefore, a great economic loss. Given the technological evolution that is affecting our society nowadays and the continuous traffic of information through the Internet using the corporate email or cloud storage systems, it is mandatory to implement an environment of security and integrity for the treatment of confidential corporate data. Therefore, security mechanisms and protocols must be established to ensure that the information cannot be modified or stolen by internal or external attackers. Consequently, due to the large number of cases currently known, this project aims to fill the security gap that companies suffer leak ways as much by internal negligence as external attacks. Currently, there are companies developing security tools to protect companies’ networks points. Some of these products are shown in this project. However, most of these products mentioned are intended to protect the company from external attacks, but in general most are not adequate to prevent confidential information from internal attacks. For this reason, a completely new email tool has been developed, supported by a mail server that enables the confidentiality of the company's assets and the information of its employees. At the same time, a security environment has been provided to be able to send confidential information in such a way that it is possible to guarantee the protection of said information through the e-mail. This tool is based on the categorization of confidential information and the protection of employee’s personal data, based on the new General Data Protection Regulation (GDPR) approved on April 14, 2016 and currently in force. With all this, this email system guarantees the protection of the company's assets, protecting the network against external attacks and guaranteeing the proper use of corporate assets. With the compromise of solving the security gaps that cannot be filled by current solutions and reinforcing, the weak points that present current corporate email tools that have no protection mechanism to fight information leaks except for the confidentiality agreement signed by the employee, who despite the agreement can misuse the companies’ assets. To solve these problems and other weaknesses of current e-mail tools, it is necessary to go one-step further, by proposing the solution through this corporate cybersecurity tool explained throughout this project.