Contra la fuga de datos Los cambios que se han producido durante los últimos años en el entorno de negocio han alterado radicalmente el modo operativo de los profesionales de seguridad. Ya no se trata tanto de proteger la infraestructura como de prevenir la pérdida de información. La evolución que se ha producido en la naturaleza, métodos y propósitos de los ataques de seguridad seguridad ha aumentado enormemente la importancia de proteger la información y los datos corporativos, más que la propia infraestructura en que residen. Esta transformación sin precedentes de la naturaleza y consecuencias de las brechas de seguridad está obligando a su vez a los responsables de seguridad en particular y a los gestores del negocio en general a concebir y abordar la seguridad corporativa de un modo diferente. El rol de “bombero” que hasta ahora ha venido desempeñando el profesional de seguridad, reaccionando ante constantes alarmas, está evolucionando hacia el de “detective privado”, más centrado en la investigación constante para, primero, mantener intacta e inviolable la información corporativa crítica, y, segundo, saber si, a pesar de todo, ha habido filtraciones de información por parte de un agresor silencioso. En la primera mitad de la década, el principal objetivo de los hackers se limitaba a demostrar al resto del mundo su pericia en perpetrar ataques y, en consecuencia, sus acciones iban dirigidas a, por ejemplo, dejar inutilizable un servidor de email. Hoy, los piratas informáticos se mueven por motivos muy diferentes en busca de beneficios concretos, como conseguir cualquier tipo de información por la que alguien esté dispuesto a pagar. Se entiende así que, lejos de pretender la publicidad de sus actos, los hackers traten hoy de hacer pasar desapercibidas sus fechorías el mayor tiempo posible a fin de capturar cuanto más datos mejor antes de tener que investigar y atacar a una nueva presa. Este cambio de modelo de ataque exige a los profesionales readaptar sus estrategias de seguridad a la nueva situación, poniendo el foco de la protección más en los propios datos que en la infraestuctura donde residen. Pese a ello, existen aún proveedores y usuarios que prefieren insistir en la protección de la infraestructura como primer objetivo, haciéndolo evolucionar para estar a la altura de los nuevos retos. Evolución que, fundamentalmente, ha consistido en intentar adaptar el modelo convencional de perímetro seguro a un mundo tan fluido y cambiante como el actual. La introducción en las organizaciones de numerosos y diversos dispositivos móviles y métodos de acceso que aportan una gran movilidad a los usuarios está creando un entorno que se podría describir como de perímetro variable, tan difícil de definir como de implementar, mantener y adaptar a los constantes cambios que son hoy más la norma que la excepción en los modelos de negocio de hoy. Si a esto se añade el perfil variable y múltiple de los usuarios que en la actualidad acceden a los recursos de la empresa –desde el personal interno a socios y proveedores–, gana peso por sí misma la opción de poner el énfasis de la protección en la información a lo largo de todo su ciclo de vida, aunque sin abandonar la securización de la infraestructura que la alberga y la transporta. Pero, ¿cómo hacerlo? Clasificación de la información Antes de dar una respuesta inteligente a ese cómo, conviene delimitar los distintos tipos de información corporativa y dónde reside en esta nueva realidad. La fuga de información no es un problema nuevo, pero sí lo es la naturaleza y el número de los que están dispuestos a acceder a ella por métodos ilegales. Y cuando lo consiguen, siempre se produce un impacto negativo en el negocio, desde sanciones por incumplimiento normativo a pérdida de imagen, confianza y credibilidad. La información ha de ser categorizada en función de su valor para el negocio y las posibles consecuencias de su pérdida o exposición pública mediante una política de clasificación de los datos. Tal política ha de definir cuatro niveles de datos: públicos, internos, confidenciales y restringidos. Los datos públicos –como los referentes a materiales de marketing de producto o el informe anual de la compañía– se definen típicamente como aquellos a los que cualquiera puede acceder sin consecuencias negativas para la organización. Por datos internos se entiende la información, los registros y la correspondencia relativa al negocio generados durante el curso normal de una transacción comercial que no es identificada como confidencial o restringida. Por el contrario, la información técnica, financiera y de negocio –como la relativa a clientes, productos, precios o diagramas de redes y sistemas– creada en el curso habitual de una transacción pero que, de hacerse públicos, podrían dañar a la organización se consideran confidenciales. Finalmente, como datos restringidos hay que considerar la información sujeta al cumplimiento normativo o a obligaciones contractuales con el cliente en lo relativo a su acceso, almacenamiento o procesamiento, o cualquier otra información propiedad de una organización o bajo su administración cuya exposición, acceso o modificación inapropiados podrían causar un impacto negativo en el negocio. Otro importante aspecto que es relevante en la fuga de la información es definir el ciclo de vida de los datos a fin de determinar cuándo y cómo disponer de ellos y eliminarlos en el momento en que ya no son necesarios para el negocio. Tal ciclo de vida debería quedar reflejado en una política de retención de datos, una herramienta que, pese a ser clave, no siempre está presente en las empresas. Una vez identificado el qué, estaremos en condiciones de centrarnos en el cómo. Un cómo que se divide en dos partes. La primera se centra en la forma en que los datos y la información se “fugan” de una organización. La segunda analiza el modo en que una empresa puede protegerse contra las filtraciones y reducir los riesgos asociados a esas pérdidas. Son muchos los elementos que intervienen en la filtración de datos, como correo electrónico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniería social electrónica y no electrónica, comunicaciones de fax a email, medios no autorizados (CD/DVD, discos y memoria USB), servicios postales convencionales y un largo etcétera. Y todos ellos deben ser controlados al nivel de seguridad requerido para proteger la mayor parte de la información del entorno. Y decimos “mayor parte” porque, como sucede con cualquier otro sistema de controles de seguridad, nada debería ser considerado infalible. Aunque es esencial que las organizaciones tomen precauciones para proteger sus datos, es imposible garantizar que toda esa información de carácter privado o restringido permanezca continuamente segura, especialmente en aquellos negocios con más riesgo de sufrir filtraciones. Cómo protegerse La segunda parte del cómo se centra en el despliegue de un conjunto de controles que garanticen un nivel de protección óptimo. Y la mejor forma de acercarse a este punto es no olvidar nunca que resulta vital no depender en exclusividad de un solo tipo de solución o proceso. Hay una variedad de herramientas, técnicas y no técnicas, que asisten al profesional de seguridad en la tarea de conseguir un nivel razonable y apropiado de seguridad para los distintos tipos de información que por lo general existen en una empresa. El concepto de “defensa a fondo” es aplicable tanto para securizar las infraestructuras como para combatir la fuga de datos, con la única diferencia de que en el primer caso se ejerce fundamentalmente desde el exterior al interior. Por ello, dando por sentado que la infraestructura ya está suficientemente protegida, para el propósito de impedir las filtraciones está “defensa a fondo” debe ser adaptada para poder operar de dentro a afuera. Aquellos con experiencia técnica pueden crear una lista de accesos en un dispositivo de red o desplegar un sensor de intrusiones tan cerca de la fuente que se intenta monitorizar como sea posible. Y como los datos están dentro, el enfoque a adoptar debería comenzar ahí y avanzar después hacia el exterior. Este concepto es extremadamente importante a medida que empezamos a considerar soluciones tecnológicas concretas para mejor gestionar la cuestión de la fuga de datos. Desde una perspectiva organizacional, hay una alternativa que todos los profesionales tienen a su disposición y que en muchos casos no se utiliza de forma óptima. Este arma representa en último término la primera y la última línea de defensa en la protección de los datos y la información corporativa, aunque también es la más imprevisible en su funcionamiento. Se trata de los propios empleados de la organización, que, al ser quienes se encuentran más cerca de los datos críticos, pueden ser los mejores aliados de la seguridad o sus peores enemigos. Por ello, se debería concienciar a los empleados sobre la importancia de la protección de la información corporativa mediante programas de formación y educación, y tener en cuenta esta mentalización en cualquier revisión de política laboral y de contratación de nuevo personal. Formar a los empleados y socios para que comprendan la importancia de este problema y cómo puede afectarles es una buena manera de reducir los riesgos que supone la fuga de datos e información. Soluciones tecnológicas Todo lo visto hasta ahora forman una sólida base contra la filtración de datos pero no es suficiente. Es preciso además monitorizar y aplicar las políticas de seguridad mediante el despliegue de las soluciones tecnológicas apropiadas, entre las que se incluyen infraestructura de identidades, gestión de derechos de propiedad, prevención contra fugas y encriptación. Una infraestructura de identidades es el componente base del que dependen la mayor parte del resto de soluciones y herramientas para operar de forma óptima. Sin ella cabe la posibilidad de que la asignación de derechos y privilegios para acceder a los recursos e interactuar con los datos no se realice de forma consistente. Hay que tener en cuenta que las organizaciones disponen en la actualidad de múltiples recursos humanos en movilidad, y sin una infraestructura de identidades adecuada con un conjunto muy detallado de atributos de usuario, las herramientas específicamente diseñadas para proteger, monitorizar y controlar datos sólo tendrán un éxito limitado. Igualmente, también son necesarias las herramientas de protección de derechos de propiedad y contra fugas, conocidas como DRM (Digital Right Management) y DLP (Data Leakage Prevention), respectivamente. DRM encripta contenido a nivel de documento en función de los criterios de accesos y autorización especificados en la infraestructura de identidades para prevenir el mal uso, modificación, pérdida o robo de la propiedad intelectual y de la información sensible para el negocio. Por su parte, las soluciones Data Leakage Prevention (DLP) monitorizan el contenido en las redes y puntos extremo siguiendo criterios definidos como etiquetas en los documentos o búsquedas de palabras clave, entre otros. A medida que se escanea el contenido y se aplican los criterios de parámetros de búsqueda, se activan las reglas. En las soluciones menos sofisticados, estas reglas generan alertas frecuentemente vía mensajes de email al administrador responsable de hacer el seguimiento de estas transacciones. En las soluciones más evolucionadas, el contenido puede ser bloqueado o sometido a cuarentena. A primera vista, DRM y DLP aparecen como soluciones competitivas y mutuamente excluyentes que siguen enfoques diferentes para resolver el mismo problema. Una confusión que ha ralentizado la madurez de estos mercados y su aceptación masiva por los usuarios. Lo cierto es que ambos conjuntos de soluciones tienen su pros y sus contras, y que ninguno de los dos resuelven todos los problemas por sí mismos, por mucho que prometan los fabricantes y suministradores. Cuando se despliegan como solución única, la mayoría de estas herramientas sólo aportan una protección parcial contra la pérdida o exposición de los datos. Otros suministradores más precavidos sólo prometen que sus soluciones luchan contra la fuga, filtración o exposición accidental o inadvertida de la información, pero sin garantizar nada realmente efectivo cuando estas acciones son intencionadas. Los profesionales deben evitar dejarse llevar por cantos de sirena y atenerse a la dura realidad. Estos dos tipos de soluciones aparentemente competitivas tienen algunos similitudes con otras tecnologías surgidas en el mercado de seguridad hace ya algunos años. En la primera parte de la década, los Intrusion Detection Systems (IDS) comenzaron a madurar y ganar un amplio nivel de adopción y aceptación entre la comunidad de seguridad. No mucho después, aparecieron los Intrusion Prevention Systems (IPS), presentados por muchos como la evolución lógica de IDS y, por tanto, llamados a sustituirlos. Sin embargo, el paso del tiempo ha demostrado que cada una de esta clase de herramientas tienen su hueco en la empresa. Aunque a una escala menor, recientemente ha sucedido lo mismo con DLP y DRM. Una vez que se examinan detenidamente ambas tecnologías, se hace evidente su papel complementario en las tareas de aplicación y monitorización de las políticas de protección de datos. Se puede desplegar DRM para proteger información previamente clasificada y residente en bases de datos o repositorios conocidos durante su ciclo de vida, recuperándola cuando sea necesario y bloqueándola para prevenir usos inapropiados, de acuerdo con la política de retención corporativa. Del mismo modo, para información que no ha sido clasificada y que no reside en repositorios conocidos, una solución DLP puede ser una buena opción. A medida que el contenido crítico es detectado por la solución DLP, puede ser clasificado y pasado al repositorio apropiado, bajo el control del sistema DRM de la organización. El último elemento de cualquier programa de protección de datos es la aplicación de encriptación a todos y cada uno de los dispositivos de alto riesgo de la empresa, por lo general, laptops y terminales móviles. Un ejemplo del tipo de información que requerirá encriptación podrían ser los datos recibidos en batch sin cifrar procedentes de clientes para su procesamiento o análisis. A medida que cruzan la organización, estos datos permanecen frecuentemente sin clasificar, y continúan así hasta el resultado de su procesamiento o análisis, haciéndose entonces idóneos para aplicar encriptación en todos los lugares donde finalmente acaben. Una combinación de cifrado de volumen y de disco en laptops, servidores de archivos y dispositivos móviles proporcionarán una protección máxima a este tipo de información. Una combinación de todas estas herramientas, junto a una buena formación y concienciación de los empleados, y unos procesos y políticas apropiados, forman una excelente solución para ejercer un control razonable sobre os datos y la información corporativos a fin de reducir su pérdida, robo o exposición pública. Contra las filtraciones ------------------------------- - Formación y concienciación de los empleados y socios sobre los distintos tipos de datos y su respectivos impactos en el negocio. - Conocer todos los elementos –individuales y a escala empresarial– implicados en el mal uso de la información. - Desarrollar los controles apropiados para proteger la información en todos los elementos identificados. - Desplegar las soluciones tecnológicas más adecuadas para monitorizar y aplicar los controles y políticas. Cómo proteger los datos ------------------------------------ - Política de clasificación de datos. - Programa de formación de los usuarios. - Infraestructura de identidades. - Digital Rights Management (DRM). - Data Leakage Prevention (DLP). - Encriptación en función de los riesgos. - Capacidad de respuesta ante incidentes. Autor: 01/07/2009 Votos: 0 Más sobre: Documentos relacionados . Fundamentos de Oracle para el desarrollo de su base de datos en Windows

Contra la fuga de datos

Los cambios que se han producido durante los últimos años en el entorno de negocio han alterado radicalmente el modo operativo de los profesionales de seguridad. Ya no se trata tanto de proteger la infraestructura como de prevenir la pérdida de información.

La evolución que se ha producido en la naturaleza, métodos y propósitos de los ataques de seguridad seguridad ha aumentado enormemente la importancia de proteger la información y los datos corporativos, más que la propia infraestructura en que residen. Esta transformación sin precedentes de la naturaleza y consecuencias de las brechas de seguridad está obligando a su vez a los responsables de seguridad en particular y a los gestores del negocio en general a concebir y abordar la seguridad corporativa de un modo diferente. El rol de “bombero” que hasta ahora ha venido desempeñando el profesional de seguridad, reaccionando ante constantes alarmas, está evolucionando hacia el de “detective privado”, más centrado en la investigación constante para, primero, mantener intacta e inviolable la información corporativa crítica, y, segundo, saber si, a pesar de todo, ha habido filtraciones de información por parte de un agresor silencioso.
En la primera mitad de la década, el principal objetivo de los hackers se limitaba a demostrar al resto del mundo su pericia en perpetrar ataques y, en consecuencia, sus acciones iban dirigidas a, por ejemplo, dejar inutilizable un servidor de email. Hoy, los piratas informáticos se mueven por motivos muy diferentes en busca de beneficios concretos, como conseguir cualquier tipo de información por la que alguien esté dispuesto a pagar. Se entiende así que, lejos de pretender la publicidad de sus actos, los hackers traten hoy de hacer pasar desapercibidas sus fechorías el mayor tiempo posible a fin de capturar cuanto más datos mejor antes de tener que investigar y atacar a una nueva presa.
Este cambio de modelo de ataque exige a los profesionales readaptar sus estrategias de seguridad a la nueva situación, poniendo el foco de la protección más en los propios datos que en la infraestuctura donde residen. Pese a ello, existen aún proveedores y usuarios que prefieren insistir en la protección de la infraestructura como primer objetivo, haciéndolo evolucionar para estar a la altura de los nuevos retos. Evolución que, fundamentalmente, ha consistido en intentar adaptar el modelo convencional de perímetro seguro a un mundo tan fluido y cambiante como el actual. La introducción en las organizaciones de numerosos y diversos dispositivos móviles y métodos de acceso que aportan una gran movilidad a los usuarios está creando un entorno que se podría describir como de perímetro variable, tan difícil de definir como de implementar, mantener y adaptar a los constantes cambios que son hoy más la norma que la excepción en los modelos de negocio de hoy. Si a esto se añade el perfil variable y múltiple de los usuarios que en la actualidad acceden a los recursos de la empresa –desde el personal interno a socios y proveedores–, gana peso por sí misma la opción de poner el énfasis de la protección en la información a lo largo de todo su ciclo de vida, aunque sin abandonar la securización de la infraestructura que la alberga y la transporta. Pero, ¿cómo hacerlo?

Clasificación de la información
Antes de dar una respuesta inteligente a ese cómo, conviene delimitar los distintos tipos de información corporativa y dónde reside en esta nueva realidad. La fuga de información no es un problema nuevo, pero sí lo es la naturaleza y el número de los que están dispuestos a acceder a ella por métodos ilegales. Y cuando lo consiguen, siempre se produce un impacto negativo en el negocio, desde sanciones por incumplimiento normativo a pérdida de imagen, confianza y credibilidad.
La información ha de ser categorizada en función de su valor para el negocio y las posibles consecuencias de su pérdida o exposición pública mediante una política de clasificación de los datos. Tal política ha de definir cuatro niveles de datos: públicos, internos, confidenciales y restringidos. Los datos públicos –como los referentes a materiales de marketing de producto o el informe anual de la compañía– se definen típicamente como aquellos a los que cualquiera puede acceder sin consecuencias negativas para la organización. Por datos internos se entiende la información, los registros y la correspondencia relativa al negocio generados durante el curso normal de una transacción comercial que no es identificada como confidencial o restringida. Por el contrario, la información técnica, financiera y de negocio –como la relativa a clientes, productos, precios o diagramas de redes y sistemas– creada en el curso habitual de una transacción pero que, de hacerse públicos, podrían dañar a la organización se consideran confidenciales. Finalmente, como datos restringidos hay que considerar la información sujeta al cumplimiento normativo o a obligaciones contractuales con el cliente en lo relativo a su acceso, almacenamiento o procesamiento, o cualquier otra información propiedad de una organización o bajo su administración cuya exposición, acceso o modificación inapropiados podrían causar un impacto negativo en el negocio.
Otro importante aspecto que es relevante en la fuga de la información es definir el ciclo de vida de los datos a fin de determinar cuándo y cómo disponer de ellos y eliminarlos en el momento en que ya no son necesarios para el negocio. Tal ciclo de vida debería quedar reflejado en una política de retención de datos, una herramienta que, pese a ser clave, no siempre está presente en las empresas.
Una vez identificado el qué, estaremos en condiciones de centrarnos en el cómo. Un cómo que se divide en dos partes. La primera se centra en la forma en que los datos y la información se “fugan” de una organización. La segunda analiza el modo en que una empresa puede protegerse contra las filtraciones y reducir los riesgos asociados a esas pérdidas.
Son muchos los elementos que intervienen en la filtración de datos, como correo electrónico, P2P, transmisiones encriptadas no autorizadas, infecciones de malware en los dispositivos de extremo, PDA no autorizadas, smartphones y reproductores MP3, ingeniería social electrónica y no electrónica, comunicaciones de fax a email, medios no autorizados (CD/DVD, discos y memoria USB), servicios postales convencionales y un largo etcétera. Y todos ellos deben ser controlados al nivel de seguridad requerido para proteger la mayor parte de la información del entorno. Y decimos “mayor parte” porque, como sucede con cualquier otro sistema de controles de seguridad, nada debería ser considerado infalible. Aunque es esencial que las organizaciones tomen precauciones para proteger sus datos, es imposible garantizar que toda esa información de carácter privado o restringido permanezca continuamente segura, especialmente en aquellos negocios con más riesgo de sufrir filtraciones.

Cómo protegerse
La segunda parte del cómo se centra en el despliegue de un conjunto de controles que garanticen un nivel de protección óptimo. Y la mejor forma de acercarse a este punto es no olvidar nunca que resulta vital no depender en exclusividad de un solo tipo de solución o proceso. Hay una variedad de herramientas, técnicas y no técnicas, que asisten al profesional de seguridad en la tarea de conseguir un nivel razonable y apropiado de seguridad para los distintos tipos de información que por lo general existen en una empresa.
El concepto de “defensa a fondo” es aplicable tanto para securizar las infraestructuras como para combatir la fuga de datos, con la única diferencia de que en el primer caso se ejerce fundamentalmente desde el exterior al interior. Por ello, dando por sentado que la infraestructura ya está suficientemente protegida, para el propósito de impedir las filtraciones está “defensa a fondo” debe ser adaptada para poder operar de dentro a afuera.
Aquellos con experiencia técnica pueden crear una lista de accesos en un dispositivo de red o desplegar un sensor de intrusiones tan cerca de la fuente que se intenta monitorizar como sea posible. Y como los datos están dentro, el enfoque a adoptar debería comenzar ahí y avanzar después hacia el exterior. Este concepto es extremadamente importante a medida que empezamos a considerar soluciones tecnológicas concretas para mejor gestionar la cuestión de la fuga de datos.
Desde una perspectiva organizacional, hay una alternativa que todos los profesionales tienen a su disposición y que en muchos casos no se utiliza de forma óptima. Este arma representa en último término la primera y la última línea de defensa en la protección de los datos y la información corporativa, aunque también es la más imprevisible en su funcionamiento. Se trata de los propios empleados de la organización, que, al ser quienes se encuentran más cerca de los datos críticos, pueden ser los mejores aliados de la seguridad o sus peores enemigos. Por ello, se debería concienciar a los empleados sobre la importancia de la protección de la información corporativa mediante programas de formación y educación, y tener en cuenta esta mentalización en cualquier revisión de política laboral y de contratación de nuevo personal. Formar a los empleados y socios para que comprendan la importancia de este problema y cómo puede afectarles es una buena manera de reducir los riesgos que supone la fuga de datos e información.

Soluciones tecnológicas
Todo lo visto hasta ahora forman una sólida base contra la filtración de datos pero no es suficiente. Es preciso además monitorizar y aplicar las políticas de seguridad mediante el despliegue de las soluciones tecnológicas apropiadas, entre las que se incluyen infraestructura de identidades, gestión de derechos de propiedad, prevención contra fugas y encriptación.
Una infraestructura de identidades es el componente base del que dependen la mayor parte del resto de soluciones y herramientas para operar de forma óptima. Sin ella cabe la posibilidad de que la asignación de derechos y privilegios para acceder a los recursos e interactuar con los datos no se realice de forma consistente. Hay que tener en cuenta que las organizaciones disponen en la actualidad de múltiples recursos humanos en movilidad, y sin una infraestructura de identidades adecuada con un conjunto muy detallado de atributos de usuario, las herramientas específicamente diseñadas para proteger, monitorizar y controlar datos sólo tendrán un éxito limitado.
Igualmente, también son necesarias las herramientas de protección de derechos de propiedad y contra fugas, conocidas como DRM (Digital Right Management) y DLP (Data Leakage Prevention), respectivamente. DRM encripta contenido a nivel de documento en función de los criterios de accesos y autorización especificados en la infraestructura de identidades para prevenir el mal uso, modificación, pérdida o robo de la propiedad intelectual y de la información sensible para el negocio. Por su parte, las soluciones Data Leakage Prevention (DLP) monitorizan el contenido en las redes y puntos extremo siguiendo criterios definidos como etiquetas en los documentos o búsquedas de palabras clave, entre otros. A medida que se escanea el contenido y se aplican los criterios de parámetros de búsqueda, se activan las reglas. En las soluciones menos sofisticados, estas reglas generan alertas frecuentemente vía mensajes de email al administrador responsable de hacer el seguimiento de estas transacciones. En las soluciones más evolucionadas, el contenido puede ser bloqueado o sometido a cuarentena.
A primera vista, DRM y DLP aparecen como soluciones competitivas y mutuamente excluyentes que siguen enfoques diferentes para resolver el mismo problema. Una confusión que ha ralentizado la madurez de estos mercados y su aceptación masiva por los usuarios. Lo cierto es que ambos conjuntos de soluciones tienen su pros y sus contras, y que ninguno de los dos resuelven todos los problemas por sí mismos, por mucho que prometan los fabricantes y suministradores. Cuando se despliegan como solución única, la mayoría de estas herramientas sólo aportan una protección parcial contra la pérdida o exposición de los datos. Otros suministradores más precavidos sólo prometen que sus soluciones luchan contra la fuga, filtración o exposición accidental o inadvertida de la información, pero sin garantizar nada realmente efectivo cuando estas acciones son intencionadas.
Los profesionales deben evitar dejarse llevar por cantos de sirena y atenerse a la dura realidad. Estos dos tipos de soluciones aparentemente competitivas tienen algunos similitudes con otras tecnologías surgidas en el mercado de seguridad hace ya algunos años. En la primera parte de la década, los Intrusion Detection Systems (IDS) comenzaron a madurar y ganar un amplio nivel de adopción y aceptación entre la comunidad de seguridad. No mucho después, aparecieron los Intrusion Prevention Systems (IPS), presentados por muchos como la evolución lógica de IDS y, por tanto, llamados a sustituirlos. Sin embargo, el paso del tiempo ha demostrado que cada una de esta clase de herramientas tienen su hueco en la empresa.
Aunque a una escala menor, recientemente ha sucedido lo mismo con DLP y DRM. Una vez que se examinan detenidamente ambas tecnologías, se hace evidente su papel complementario en las tareas de aplicación y monitorización de las políticas de protección de datos. Se puede desplegar DRM para proteger información previamente clasificada y residente en bases de datos o repositorios conocidos durante su ciclo de vida, recuperándola cuando sea necesario y bloqueándola para prevenir usos inapropiados, de acuerdo con la política de retención corporativa. Del mismo modo, para información que no ha sido clasificada y que no reside en repositorios conocidos, una solución DLP puede ser una buena opción. A medida que el contenido crítico es detectado por la solución DLP, puede ser clasificado y pasado al repositorio apropiado, bajo el control del sistema DRM de la organización.
El último elemento de cualquier programa de protección de datos es la aplicación de encriptación a todos y cada uno de los dispositivos de alto riesgo de la empresa, por lo general, laptops y terminales móviles. Un ejemplo del tipo de información que requerirá encriptación podrían ser los datos recibidos en batch sin cifrar procedentes de clientes para su procesamiento o análisis. A medida que cruzan la organización, estos datos permanecen frecuentemente sin clasificar, y continúan así hasta el resultado de su procesamiento o análisis, haciéndose entonces idóneos para aplicar encriptación en todos los lugares donde finalmente acaben. Una combinación de cifrado de volumen y de disco en laptops, servidores de archivos y dispositivos móviles proporcionarán una protección máxima a este tipo de información.
Una combinación de todas estas herramientas, junto a una buena formación y concienciación de los empleados, y unos procesos y políticas apropiados, forman una excelente solución para ejercer un control razonable sobre os datos y la información corporativos a fin de reducir su pérdida, robo o exposición pública.

Contra las filtraciones
-------------------------------
- Formación y concienciación de los empleados y socios sobre los distintos tipos de datos y su respectivos impactos en el negocio.
- Conocer todos los elementos –individuales y a escala empresarial– implicados en el mal uso de la información.
- Desarrollar los controles apropiados para proteger la información en todos los elementos identificados.
- Desplegar las soluciones tecnológicas más adecuadas para monitorizar y aplicar los controles y políticas.

Cómo proteger los datos
------------------------------------
- Política de clasificación de datos.
- Programa de formación de los usuarios.
- Infraestructura de identidades.
- Digital Rights Management (DRM).
- Data Leakage Prevention (DLP).
- Encriptación en función de los riesgos.
- Capacidad de respuesta ante incidentes.
Autor:
01/07/2009
Votos: 0

Más sobre:

Documentos relacionados

. Fundamentos de Oracle para el desarrollo de su base de datos en Windows

| Más

Votar |

Últimas noticias

Las ventas de dispositivos WiMAX crecen un 147%

La Universidad de Valladolid migra sus infraestructuras a IP

El teletrabajo fomenta la productividad

El Ministerio de Innovación creará más de 93.000 empleos

Hoy en IDG.es

Noticias

La gestión de centros de datos seguirá siendo una prioridad de inversión este año

Internet, nominada al premio Nobel de la Paz

El presidente de ICANN, criticado por unos comentarios sobre la seguridad de DNS

Denodo e IZO Systems lanzan una plataforma para medir el valor de la información en medios sociales

Microsoft intenta atraer a los clientes de NetSuite con una nueva oferta

La Universidad de Valladolid migra sus infraestructuras a IP

Acrobat Reader, la aplicación más explotada por los hackers

Tecnocom obtiene el CMMI nivel 3

Los programas de trabajo remoto benefician también a los empleados

Dell presenta PowerVault DL2100 Powered by Symantec Backup Exec 2010

Artículos

Loterías y Apuestas del Estado despliega un sistema integrado de gestión

Frente a Frente. Miniproyectores: esencia en frascos pequeños

Crea tus propios dispositivos encriptados

La “segunda convergencia”. Hacia un data center unificado

¿Puedo instalar Windows 7 en mi PC?

Vídeos

Palo Alto Networks abre oficinas en España

Sony presenta su primera cámara compacta con lentes intercambiables

Motorola muestra su apuesta en movilidad

[+]

Buscar

Broadcasts

Evolucionando hacia el cloud computing con seguridad

Usando la virtualización para crecer de forma sostenible

Claves para ganar la web

Maximice la gestión de sus sistemas con el mínimo esfuerzo

Eficiencia empresarial: desarrollo de estrategias de virtualización

Whitepapers

El valor de la confianza: cómo aumentar las ventas por Internet

Calidad de los datos para optimizar su inversión en BI

¿Es capaz de garantizar la continuidad de las operaciones en cualquier circunstancia?

Optimización de la administración del centro de datos con Microsoft System Center

Shell mejora su entorno de trabajo con comunicaciones unificadas

CURSOS Y FORMACIÓN
Cursos
Masters
MBA

Artículos más votados

Red wireless mallada de Jerez de la Frontera

Como parte del proyecto Jerez 2.0, el Ayuntamiento de la localidad gaditana ha puesto en marcha una red Wi-Fi mallada que da cobertura tanto a las dependencias municipales como al centro urbano de la ciudad.Wifijerez, que en sus tres meses de activid...

Unitronics basa su estrategia en la excelencia tecnológica

La ralentización económica no les permitirá conseguir los crecimientos esperados, pero ven el futuro con optimismo ya que son positivos. Servicios gestionados, comunicaciaones unificadas, seguridad y las soluciones orientadas al ...

M2M v2.0: el surgimiento de las máquinas…

No se trata de una nueva entrega de “Terminator”, M2M (Machine-to-Machine) es una abreviación que se refiere al grupo de tecnologías que permiten las comunicaciones con o sin cables entre máquinas (controladores, sensores, ...

[+]

Ofertas Canal Compras

Busca Productos y Compara Precios

Ofertas de Informática

Ofertas de Imagen y Sonido

Ofertas de PDAs y GPS

Ver Más Ofertas

Enlaces patrocinados

Información y recursos para el responsable de seguridad

Trend Micro – Securing Your Web World

iPhoneWorld: la revista para los usuarios de iPhone e iPod

©2010 IDG COMMUNICATIONS, S. A. U. Prohibida la reproducción total o parcial en cualquier medio (escrito o electrónico) sin autorización expresa por escrito de la editorial. En particular, IDG COMMUNICATIONS, S.A.U., se opone de manera expresa, salvo consentimiento por escrito, a la reproducción, recopilación, distribución, comunicación pública o puesta a disposición por parte de terceros de los contenidos publicados en los medios de su titularidad (ya se editen éstos en papel, a través de Internet o cualquier otro soporte), de conformidad con lo establecido en el artículo 32 de la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. En caso de estar interesado en una autorización para reproducir, distribuir, comunicar, almacenar o utilizar en cualquier forma los contenidos titularidad de IDG COMMUNICATIONS, S.A.U. debe dirigir su petición a la siguiente dirección de correo electrónico : idg_nt@idg.es