Playbook: Fuga de Datos
Objetivo
Investigar posible exposicion o extraccion de datos.
Severidad Inicial
Sube severidad si:
- hay datos personales o sensibles;
- volumen alto;
- datos expuestos a internet;
- tercero no autorizado accedio;
- hay obligacion contractual o legal;
- la exposicion sigue activa.
Señales
- Descarga masiva.
- Acceso a datos sensibles.
- Bucket publico.
- Exportaciones inusuales.
- Trafico saliente anomalo.
- Credenciales expuestas.
Evidencia
- Que datos.
- Cuanto volumen.
- Quien accedio.
- Desde donde.
- Cuando.
- Como se detecto.
- Si hubo terceros.
Primeros 15 Minutos
- Confirmar que dato esta involucrado.
- Contener exposicion activa.
- Preservar logs.
- Identificar owner del sistema.
- Evitar borrar evidencia.
- Escalar segun proceso interno.
Pasos
- Confirmar tipo de dato.
- Determinar alcance.
- Contener acceso.
- Preservar logs.
- Identificar causa.
- Evaluar impacto.
- Notificar segun proceso interno.
- Remediar control.
- Documentar lecciones.
Clasificacion de Datos
| Tipo | Ejemplo | Impacto |
|---|---|---|
| Publico | informacion publicada | bajo |
| Interno | documentacion interna | medio |
| Confidencial | datos de clientes | alto |
| Sensible | credenciales, salud, financiero | critico |
Contencion
- Revocar acceso.
- Hacer privado storage.
- Rotar credenciales.
- Bloquear exfiltracion.
- Deshabilitar cuenta comprometida.
Analisis de Alcance
El analisis de alcance debe aclarar:
- que datos;
- cuantos registros;
- durante cuanto tiempo;
- quien accedio;
- desde donde;
- si hubo descarga;
- si hay copia externa;
- que logs lo prueban.
Preguntas
- Son datos personales?
- Son datos sensibles?
- Hay obligacion de notificacion?
- Que control fallo?
Cierre
Puedes cerrar cuando:
- exposicion contenida;
- alcance documentado;
- owner informado;
- controles corregidos;
- notificacion evaluada por responsables;
- monitoreo posterior definido.