Cloud Computing | Artículos | 01 JUL 2008

Como humo se van

Data-Leak Protection (DLP)
La prevención de la fuga de datos cada vez integra más funciones. Si antes se limitaba simplemente a detectar la información sensible que sale de la red, ahora también identifica dónde se encuentran los datos críticos. Al ayudar al cumplimiento normativo y a la protección de la propiedad intelectual, su adopción está en auge, pero implica algunos retos que hay que saber minimizar.

El objetivo de la prevención de la fuga o pérdida de datos (Data-Leak Protection) –también conocida como protección de amenazas internas y gestión de contenidos salientes– es monitorizar, documentar y, por lo general, evitar que la información sensible salga de la organización sin autorización. Los productos de este tipo se basan normalmente en una combinación de appliance y software, aunque algunos vienen como paquetes de software servidor y muchos también con agentes clientes.
Estas tecnologías identifican la información sensible asociando términos en un diccionario incluido, y, tras definir cuáles son los datos más delicados de la empresa, utilizan algoritmos para encontrar coincidencias con esas definiciones. La mayoría funcionan escaneando “datos en movimiento”; esto es, información que está abandonando la organización a través del correo electrónico o mensajería instantánea o que está siendo copiada a medios extraíbles. Algunos productos también pueden escanear “los datos en reposo”, entendiendo por tales la información almacenada a lo largo de toda la red corporativa.

Mejores prácticas
Las fugas de datos no se evitan con tan sólo instalar una herramienta DLP, ya que para que tengan un alto nivel de éxito es necesario un poco de trabajo adicional. Estas son algunas de las mejores prácticas que ayudarán a poner en marcha DLP con eficiencia.
- La definición de políticas DLP debe basarse en las necesidades de cumplimiento normativo de la organización, ya que estas herramientas sólo reforzaran las reglas que hayan sido establecidas de antemano. Por ejemplo, como muchas normativas obligan a encriptar cualquier dato personal que sea identificable, la herramienta debería configurarse para cifrar información del tipo de los números de la seguridad social o las tarjetas de crédito.
- DLP es tanto tecnología como comprensión de la empresa. Por ello, para que la herramienta sea efectiva, las unidades de TI y de negocio deben colaborar en el desarrollo de políticas que protejan a la compañía, pero que también sean lo suficientemente flexibles como para permitir a los empleados hacer su trabajo. Y una vez creadas, el equipo TI ha de implicar a la parte de negocio también en su actualización y perfección de forma regular, utilizando el feedback de los usuarios. Una forma de hacerlo es permitir que los usuarios expliquen por qué determinadas acciones que van contra las reglas deberían estar permitidas; muchas herramientas ofrecen una caja de diálogo para ello. Si la herramienta en cuestión no automatiza tales procesos, se ha de ofrecer a los usuarios otros canales para que se expresen. De este modo, se consigue refinar las políticas en un proceso abierto hasta conseguir que reflejen lo más fielmente posible las operaciones de la compañía.
- Las herramientas DLP captarán errores, pero puede que no detecten brechas intencionadas. Afortunadamente, la mayoría de los incidentes de fuga de datos proceden de fallos y no de conductas malintencionadas. Según la consultora The 451 Group, el 98% de los datos filtrados son resultado de la “estupidez o de un accidente por parte del usuario”. Si un empleado descontento está decidido a pasar a la competencia los planes previstos para un determinado producto, será muy difícil impedirlo, pero los usuarios que se envían datos críticos a su propio correo personal para trabajar en casa aprenderán de estas herramientas que este tipo de acciones comprometen la seguridad.
- Antes de activar las funciones de bloqueo de la herramienta, hay que considerar el riesgo de los falsos positivos. Esta cuestión no está relacionada necesariamente con la calidad de la herramienta, sino con la falta de una definición exacta de lo que se considera datos confidenciales. Muchas empresas optan por utilizar inicialmente estas herramientas sólo en modo monitorización, para exclusivamente ver lo que se envía fuera de la compañía mientras definen las políticas a aplicar. Clasificar los datos corporativos es la primera tarea. Si desde el principio se traza la barrera entre información confidencial e intrascendente, se ahorrará mucho trabajo posterior. A este respecto, es útil usar etiquetas de clasificación que sigan a los datos donde quiera que vayan, dentro o fuera de la red, para garantizar que las herramientas DLP captan las brechas de seguridad.
Antes de comprar productos
Implantar un producto contra la filtración de datos puede ser una tarea laboriosa. Obliga a crear las políticas necesarias, determinar dónde residen los datos sensibles y decidir qué canales de comunicaciones deben monitorizarse en busca de violaciones. Pero antes de empezar, hay que encontrar al suministrador adecuado y hacerle algunas de las siguientes preguntas:
- ¿Qué tipos de datos puede identificar el producto? Si simplemente se desea proteger la información básica –como números de la seguridad social de los empleados o de las tarjetas de crédito de los clientes–, se puede optar por un producto de gama baja, que buscan por números basados en estos formatos y bloquear su abandono de la red. Pero si se quiere garantizar que toda la propiedad intelectual de la empresa esté protegida (proyectos de I+D, cifras de ventas y previsiones), un producto de gama superior es la elección más acertada. Este tipo de soluciones utilizan algoritmos más complejos para identificar todo este tipo de datos y bloquearlos si están dejando la organización sin la adecuada autorización.
- ¿Dónde se protegen los datos? ¿Protege la información almacenada en la red (servidores, redes SAN...)? Vinculado a la forma en que un producto identifica los datos confidenciales, se encuentra el lugar donde realiza el escaneo. Si se elige una herramienta que bloquea la información delicada en los canales de comunicación salientes, como el correo electrónico y la mensajería instantánea, pero no se conoce cuando un empleado copia datos de las finanzas corporativas a una memoria USB, puede que se esté abriendo de par en par la puerta de atrás de la empresa. Además, esta categoría de productos se pone en marcha observando datos en movimiento, como el email o la mensajería instantánea. Sin embargo, cada vez más, las herramientas también incorporan funciones de protección de los datos en reposo. Si se opta por esta capacidad, ¿qué puntos finales escaneará el producto? Uno que sólo proteja los datos almacenados en el punto final, pero no pueda encontrarlos en los archivos de email, no ayudará a tener una visión completa de la empresa ni de toda la información sensible que flota a su alrededor.
- ¿Es difícil establecer políticas? Conviene averiguar lo que implica este proceso antes de comprar. ¿Los directores de negocio que no forman parte del equipo TI pueden usar las herramientas para etiquetar datos considerados críticos? ¿Necesitará la creació

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información