docREDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP
download 
Demanda Transcripción
REDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP
REDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP Por David Montero Abujas, CISA, CISM Las continuas pérdidas de importantes cantidades de datos confidenciales por parte de organizaciones, tanto públicas como privadas, ponen en evidencia la ineficacia o insuficiencia de las medidas de seguridad habituales adoptadas para su protección. Y es que el control de las fugas de información es un grave problema de difícil solución, que está generando consecuencias indeseables en todas las organizaciones. La variedad de canales a través de los cuales los datos pueden abandonar el perímetro de la compañía es bastante grande: correo electrónico, todo tipo de servicios de Internet (web, mensajería instantánea, etc.), dispositivos extraíbles, CD/DVD, impresión, acceso no autorizado a equipos y medios (incluso dispositivos móviles). Desde hace años, han proliferado en el mercado distintas soluciones o tecnologías cuya finalidad es la prevención de dichas fugas, mediante el control de los canales de información, la protección del equipo de proceso de información (end-point) y la encriptación de la información, tres áreas imprescindibles para el control total de la información que gestiona cualquier organización. Figura 1.- Ámbito DLP. Dichas soluciones DLP (Data Loss Prevention) se encuentran divididas en dos familias: puras y mixtas. Las soluciones DLP puras son aquellas que únicamente contemplan tecnologías DLP, a diferencia de las soluciones DLP mixtas, que combinan algunas tecnologías DLP con otro tipo de funcionalidades, como antivirus, y cuyo objetivo es únicamente el control del punto final o equipo de proceso de información. A lo largo de este artículo vamos a desgranar las tecnologías DLP y analizar cómo pueden ayudar a las organizaciones a alcanzar un objetivo básico en el tratamiento de la información, su control. Datos y canales sometidos a fuga Según los estudios del Centro de Investigaciones de InfoWatch, la gran mayoría de los datos sometidos a fugas la constituyen los datos de carácter personal, lo que supone un impacto potencial no solamente en la imagen de la organización, sino también en el ámbito de las sanciones económicas, como consecuencia de las diferentes legislaciones nacionales en materia de protección de datos de carácter personal. Secretos de gobierno; 1% Know‐how; 2% Desconocido; 2% Datos personales; 95% Figura 2.- Datos sometidos a fuga. Fuente: InfoWatch Por otro lado, los canales más vulnerables son Internet y red local (29%) y dispositivos extraíbles (25%). Muchos casos de fuga de datos están relacionados con robo o pérdida de portátiles (12%). Es curioso que el correo electrónico no sigue siendo el canal principal de fuga de datos (sólo 4% en conjunto con el fax), eso significa que la gente es consciente de la implementación de sistemas de control de correo y no se arriesgan a usar este canal porque saben que sus acciones se monitorizan. Así que cuando se construye REDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP Por David Montero Abujas, CISA, CISM un sistema de seguridad, hace falta considerar todos los canales potenciales de fuga de datos y los métodos de su transmisión fuera de la red corporativa. Desconocido; 14% Dispositivos móviles; 25% Otro; 4% Archivo; 3% Papel; 9% PC Local; 12% E‐mail, fax; 4% Red local; Internet ; 29% Figura 3.- Canales de fuga. Fuente: InfoWatch En relación a las causas que originan las fugas de datos algunos piensan que el problema puede ser resuelto por medio de las políticas que garantizan que exclusivamente los usuarios autorizados tengan acceso a la información confidencial. Pero la verdad es que la mayoría de los casos de fuga de datos no tiene nada que ver con una mala intención del empleado. Según los datos estadísticos las fugas no intencionales constituyen la mitad de todos los incidentes con la información confidencial. Y el usuario autorizado puede causar daño a la compañía sin darse cuenta de esto. Por lo tanto el problema de prevención de fuga de datos confidenciales puede ser resuelto por medio de un complejo control sobre los dispositivos y canales de fuga, en combinación con establecimiento de políticas de acceso a la información confidencial. Desconocido 13% Intencional 37% Ocasional 50% Figura 4.- Causas fuga de datos. Fuente: InfoWatch Tecnologías DLP Durante los últimos diez años han ido apareciendo distintas tecnologías en materia de prevención de fuga de datos. Las tecnologías de primera generación estaban más centradas en la protección de datos estáticos, utilizando palabras clave, expresiones regulares y diccionarios preinstalados. Estas tecnologías siguen presentes en las soluciones más recientes, puesto que permiten proteger los documentos estáticos. El problema de las tecnologías de primera generación es que eran insuficientes por sí mismas, debido a que continuamente se crean documentos nuevos, y antes de que sean indexados como confidenciales es posible que abandonen la red sin ningún problema. De ahí surgen las tecnologías DLP de segunda generación, como el análisis lingüístico, marcas de agua, fingerprints y el análisis de contexto. Actualmente se encuentran en el mercado las tecnologías de tercera generación, que combinan todas las tecnologías existentes en un análisis híbrido, logrando el máximo de protección tanto para datos estáticos como datos dinámicos. REDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP Por David Montero Abujas, CISA, CISM Figura 5.- Tecnologías DLP. Riesgos Cualquier empresa está sometida a una serie de riesgos en materia de seguridad de la información, de los cuales destacamos: • Acceso no autorizado a la información. • Robo. • Escapes de información. • Divulgación de la información. • Interceptación de la información. Los riesgos de robo e interceptación de la información pueden ser minimizados mediante la encriptación de la información. El acceso no autorizado, al igual que los escapes y divulgación de la información, pueden ser minimizados mediante el control de la red y el punto final. De esta manera, cinco de los principales riesgos en la información pueden ser gestionados de manera eficiente mediante una solución DLP. Beneficios Hemos visto algunos de los beneficios derivados de la implantación de una solución DLP, en concreto los relacionados con la reducción de riesgos, pero no son los únicos. • Conocimiento de los procesos de negocio. Una correcta implantación de una solución DLP permite conocer con más profundidad los procesos de negocio existentes, en relación al flujo de documentación, información confidencial, etc. Una oportunidad inmejorable de enterarse de los puntos débiles del negocio y optimizar todos los procesos basándose en ese conocimiento. • Análisis retrospectivo. El almacenamiento de las operaciones con datos confidenciales nos habilita la investigación de incidentes, ya que permite tener todos los detalles de cada caso. • Cumplimiento legal. El artículo 9 de la LO 15/1999 de Protección de Datos de Carácter Personal indica la necesidad de usar las mejores prácticas según el estado actual de la tecnología para la protección de los datos de carácter personal. Una solución DLP garantiza que dicha información no abandone el perímetro de la organización. Figura 6.- Beneficios DLP. REDUCCIÓN DE RIESGOS MEDIANTE SOLUCIONES DLP Por David Montero Abujas, CISA, CISM Problemática Llegado a este punto, cualquier lector podría preguntarse: “Queridas tecnologías DLP, ¿dónde habéis estado todo este tiempo?”. Existen multitud de organizaciones en España que se encuentran desde hace años evaluando tecnologías DLP. Entonces, ¿por qué aún no se han popularizado? Vamos a enumerar los factores que subyacen detrás de la falta de implantaciones de DLP en España: • Tecnología. Hasta la tercera generación de tecnologías DLP que han salido hace poco al mercado, las soluciones que existían no satisfacían totalmente las necesidades de las empresas, tanto en el control de los datos estáticos como dinámicos. • Precio. Un coste elevado de las licencias de los diferentes fabricantes de soluciones DLP, que dificulta y alarga enormemente el retorno de inversión, excepto sectores muy específicos. Esto va unido, evidentemente, a la falta de recursos económicos por parte de las empresas, sobre todo en los últimos años. • Productividad. Una solución de seguridad que es capaz de bloquear, autorizar o dejar en espera cualquier información que circula o sale de la red corporativa supone un compromiso de cara a la implantación de la solución, de manera que haya que llegar a un balance entre productividad y seguridad. • Experiencia. Al ser tecnologías de reciente aparición, se demanda por parte de las empresas un portfolio de experiencia previa en el mismo sector, aspecto que pocos fabricantes pueden ofrecer. • Miedo. Por supuesto, un miedo inconsciente por parte de los responsables de seguridad a que un fallo en la implantación de la solución DLP bloquee totalmente la información de la empresa y paralice su gestión, provocando cuantiosos daños económicos. Más allá de reconocidos informes acerca de DLP, como Gartner o Forrester, cuatro de los cinco factores expuestos son los que deben configurar la solución DLP ideal: una solución de tercera generación, con un precio por licencia competitivo con un retorno de inversión bajo, con una capacidad elevada de configuración para llegar a un balance entre productividad y seguridad, y con una experiencia contrastada en el mismo sector. Seguridad vs. Privacidad Uno de los puntos que se le han cuestionado a las soluciones DLP es hasta qué punto pueden comprometer la privacidad de la información de los trabajadores. Este aspecto es un tema recurrente en este tipo de soluciones, debido a la disparidad de las resoluciones judiciales y la legislación existente en España, que garantiza el derecho a la privacidad en las comunicaciones electrónicas de los trabajadores. En términos generales, una solución DLP no tiene por qué comprometer la privacidad de la información de los trabajadores, puesto que las tecnologías de tercera generación cuentan con mecanismos y políticas que garantizan exclusivamente la intercepción de la información confidencial de la empresa, evitando que puedan ser interceptados mensajes privados que no contengan información sensible. Conclusiones En definitiva, nos encontramos ante la etapa de madurez de una tecnología largamente esperada, cuya finalidad no es otra que el control y aseguramiento de los activos de información de las organizaciones.
