¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

En 2017 empresas como Equifax, Avanti o Dow Jones,se hicieron tristemente famosas en el 2017 por haber sufrido importantes fugas de información sensible. Así, quienes tenían el compromiso de velar por la confidencialidad de sus clientes, se encuentran ante el fracaso evidente de unas Políticas para prevenir la pérdida de datos (DLP) erróneas.

La aplicación de las DLP, siglas del inglés Data Loss Prevention, con una visión global en su complejidad, es uno de los retos más importantes a los que se enfrentan las organizaciones a nivel mundial; y, con especial atención en la Unión Europea en donde recientemente se puso en marcha la nueva ley de Protección de Datos (RGPD).

¿Qué es la pérdida de datos?

La información es una entidad que, como todo en la naturaleza, tiene su propio ciclo de vida. Se crea o adquiere, se transfiere, se utiliza, se almacena y, finalmente es eliminada. Durante todo el periodo en que existe, pueden producirse transferencias, copias o borrados no deseados, de forma intencionada o casual.

En el momento en que los datos son almacenados o publicados, en cualquiera de la miríada actual de dispositivos tecnológicos para la difusión de la información, sin la aprobación explícita del propietario o contraviniendo las leyes, se debe declarar una pérdida de datos.

Como ejemplos tendríamos el almacenar información sensible en equipos personales no protegidos por una política para prevenir la pérdida de datos (DLP); tanto en unidades de almacenamiento internas, externas o en Cloud, imprimirlas en papel, guardarlas en soportes ópticos (CD o DVD), hacerle fotos, o realizar capturas de pantalla.

Otra forma de pérdida de datos es el borrado no deseado. Comúnmente un problema casual, sin intencionalidad, que se produce por error; pero que puede producir daños irreparables a nivel de negocio. Convirtiéndose en un factor de alto riesgo cuando se produce de forma imprevista pero planificada, en la búsqueda de ocultar información o como forma de ataque.

Mucho más sutil, es la fuga de información al compartirla. La complejidad de las leyes y procesos sobre la sensibilidad de los datos y su protección, lleva a los usuarios a no darse cuenta de cuando están infringiendo esta confidencialidad al enviarla por correo, publicarla en un foro inadecuado o compartirla por medio de mecanismos inseguros.

Por último, lo más llamativo: el robo de datos. Ya sea por un malware, por un virus, por un ataque a través de agujeros de seguridad, o por hacking social. Son acciones que se mueven, casi siempre, por un trasfondo económico. Y que requieren un alto grado de recursos.

Contextos de aplicación

La primera barrera que hay que construir para prevenir la pérdida de datos, es una configuración correcta de los cortafuegos, aislando a la red de la compañía de los accesos no autorizados. Sistemas de detección de Intrusos (IDS), los cuales se basan en análisis pormenorizados del tráfico de red para detectar ataques conocidos, comportamientos sospechosos, paquetes malformados, etc.

Ciclo de vida de la información – Imagen cortesía de Genbetadev.com

La configuración de los Sistemas de Prevención de Intrusos (IPS), que dan un paso adelante en la forma preventiva de enfrentar las posibles amenazas al permitir una monitorización del tráfico de red y las actividades del sistema en busca de actividades maliciosas. Para ello aplica políticas de seguridad o estadísticas de anomalías, al análisis del comportamiento de la red.

Por último, ampliando el ámbito de actuación, tendríamos las Aplicaciones para prevenir la pérdida de datos (DLP). Son sistemas diseñados para monitorear, detectar y bloquear información sensible cuando se encuentra en alguno de los tres siguientes estados:

  • En red: Información con la que el usuario está interactuando.
  • En uso: Información con la que el usuario está interactuando.
  • En reposo: Información “vieja”, que está almacenada de forma permanente.

En cada caso, va a aplicar políticas de identificación del dato para clasificar su confidencialidad y sensibilidad. Ya sea por el análisis del contenido (palabras claves, clasificación, etiquetas) o un análisis contextual (origen, destino, aplicación), o aplicando métodos como las búsquedas con expresiones regulares, análisis bayesiano, análisis estadísticos, y machine Learning.

Justamente, la llegada de los sistemas de “Inteligencia artificial” que son capaces de aprender los comportamientos de los usuarios, han permitido dar un gran salto cualitativo, cuantitativo y de confianza en la detección de fugas de información, y la reducción de los falsos positivos.

Funcionamiento

El principal mecanismo de actuación de la política para prevenir la pérdida de datos son las Directivas. Definen dónde, cuándo y cuáles acciones vamos a aplicar a la información. Están compuestas por la ubicación y las reglas.

Ubicación

Define en donde se aplica la directiva. Por ejemplo, el servidor de correo electrónico, los servicios de almacenamiento de datos, o cualquier herramienta de trabajo colaborativo.

Reglas

Que a su vez están compuestas por:

  • Las Condiciones, que determinan el tipo de información que se está buscando y cuando lanzan una acción.
  • Las Acciones, que pueden ser (entre otras) restringir el acceso al contenido, notificar al usuario o invalidar a él o a sus comunicaciones.

Dentro de las condiciones podremos añadir lógica compleja de búsqueda de información, utilizando patrones de coincidencia que utilizan una función o expresión regular que define un tipo de información confidencial; pudiéndose, también, ser especificadas por palabras clave y sumas de comprobación.

Se puede escribir múltiples reglas dentro de una misma directiva, por ejemplo, para diferentes acciones dependiendo del grado de certidumbre; y agrupar a su vez colecciones de directivas.

Y estás directivas, serán las utilizadas por el servicio para prevenir la pérdida de datos para realizar diferentes acciones con el objetivo último de evitar la pérdida de datos en nuestro sistema.

Además, tendremos servicios para el tratamiento de la información obsoleta o en desuso, como son los sistemas de archivado; o los de retención, que describen cuánto tiempo salvaguardamos la información y qué ocurre al finalizar este periodo.

Las copias de seguridad/restauración, como piedra angular de la disponibilidad y resiliencia de nuestra plataforma, se entremezclan con la encriptación de la información y su transmisión por canales seguros (por ejemplo, TSL).

También deberemos configurar nuestra plataforma de gestión de BYOD para evitar fugas de información en dispositivos con una alta incidencia de pérdidas o sustracciones, y que deben poder ser convertidos en pisapapeles, llegado el caso.

Incluso podemos llegar a utilizar una plataforma de gestión de derechos de autor (DRM), en donde evitar operaciones como la captura de pantalla, la impresión o la descarga de documento protegidos.

Por último, el servicio de notificaciones y de reportes, son los que van a permitir valorar el impacto de la implantación de DLP en nuestro sistema, y la aplicación de los procesos.

Directiva de DLP – Imagen cortesía de Microsoft Support Office

No todo es software

¿Dónde está la información de la compañía? ¿Cómo se utiliza? ¿Cómo podemos evitar su pérdida? ¿Quiénes tendrán acceso? ¿En qué dispositivos se podrá almacenar? ¿A quiénes se podrá transferir? ¿Dónde puede publicar? ¿Durante cuánto tiempo será útil?

Todas estas preguntas, y muchas más, son necesarias hacérselas y contestarlas en profundidad cuando tomamos conciencia de los riesgos que implica la fuga de información.

Y, a partir de ellas, diseñar y configurar la infraestructura que nos permita implantar el software DLP que mejor se ajuste a nuestras necesidades.

Sin embargo, la política prevenir la pérdida de datos es un asunto que va más allá de la tecnología. Proteger la información y evitar su pérdida requiere además de dos factores clave: tener procesos establecidos e involucrar al personal.

Algo tan simple como hacer firmar un correcto Acuerdo de No Divulgación (NDA) a las personas que van a tener acceso a información sensible, nos va a evitar múltiples dolores de cabeza en un posible futuro. Al igual que impartir formación a todos los miembros de la empresa, sobre las definiciones de lo que es confidencial y de los procesos para evitar su pérdida.

Hay que incluir un sistema automatizado y eficiente de notificaciones que, por medio de avisos, vaya guiando a los usuarios cuando active alguna de las protecciones DLP; indicándose el proceso que ha infringido, los efectos que puede producir y los procesos existentes para mitigar la fuga de datos.

También es crucial definir quiénes son los responsables de realizar las tareas establecidas en caso de una pérdida de datos para, por ejemplo, de acuerdo a la gravedad de la fuga, implicar a gerencia, dirección, jurídico o, incluso, relaciones públicas en los casos de gran impacto mediático.

Ni el mejor software de DLP puede cubrir la seguridad de los datos al 100%, al existir siempre el factor humano en última instancia.

Fuentes: Microsoft Office support, Genbetadev.com

Adaptado por la División de Consultoría de EvaluandoSoftware.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores