DLP, o como prevenir la pérdida de datos

Equifax, Avanti o Down Jones, son empresas tristemente famosas en el 2017 por haber sufrido importantes fugas de información sensible. Así, quienes tenían el compromiso de velar por la confidencialidad de sus clientes, se encuentran ante el fracaso evidente de unas Políticas de prevención de perdida de datos (DLP) erróneas.

Y este no es un problema menor. Según un informe de IBM Security, el coste en Italia (similar a España) supera los 2 millones de euros al año; siendo más afectadas las compañías cuanto más tardan en aplicar las medidas que mitigan la pérdida.

De hecho, la aplicación de las DLP con una visión global en su complejidad, es uno de los retos más importantes a los que se enfrentan las organizaciones a nivel mundial; y, con especial atención en la Unión Europea al estar inminente la puesta en aplicación de la nueva ley de Protección de Datos (RGPD).

¿Qué es la pérdida de datos?

La información es una entidad que, como todo en la naturaleza, tiene su propio ciclo de vida. Se crea o adquiere, se transfiere, se utiliza, se almacena y, finalmente es eliminada. Durante todo el periodo en que existe, pueden producirse transferencias, copias o borrados no deseados, de forma intencionada o casual.

En el momento en que los datos son almacenados o publicados, en cualquiera de la miríada actual de mecanismos tecnológicos para la difusión de la información, sin la aprobación explicita del propietario o contraviniendo las leyes, se debe declarar una pérdida de datos.

Como ejemplos tendríamos el almacenar información sensible en equipos personales no protegidos por una DLP; tanto en unidades de almacenamiento internas, externas o en Cloud, imprimirlas en papel, grabarlas en soportes ópticos (CD o DVD), hacerle fotos, o realizar capturas de pantalla.

Otra forma de perdida de datos es el borrado no deseado. Comúnmente un problema casual, sin intencionalidad, que se produce por error; pero que puede producir daños irreparables a nivel de negocio. Convirtiéndose en un factor de alto riesgo cuando se produce de forma imprevista pero planificada, en la búsqueda de ocultar información o como forma de ataque.

Mucho más sutil, es la fuga de información al compartirla. La complejidad de las leyes y procesos sobre la sensibilidad de los datos y su protección, lleva a los usuarios a no darse cuenta de cuando están infringiendo esta confidencialidad al enviarla por correo, publicarla en un foro inadecuado o compartirla por medio de mecanismos inseguros.

Por último, lo más llamativo: el robo de datos. Ya sea por un malware, por un virus, por un ataque a través de agujeros de seguridad, o por hacking social. Son acciones que se mueven, casi siempre, por un trasfondo económico. Y que requieren un alto grado de recursos.

Contextos de aplicación

La primera barrera que hay que construir para prevenir la perdida de datos, es una configuración correcta de los cortafuegos, aislando a la red de la compañía de los accesos no autorizados. Sistemas de detección de Intrusos (IDS), los cuales se basan en análisis pormenorizados del tráfico de red para detectar ataques conocidos, comportamientos sospechosos, paquetes malformados, etc.

La configuración de los Sistemas de Prevención de Intrusos (IPS), que dan un paso adelante en la forma preventiva de enfrentar las posibles amenazas al permitir una monitorización del tráfico de red y las actividades del sistema en busca de actividades maliciosas. Para ello aplica políticas de seguridad o estadísticas de anomalías, al análisis del comportamiento de la red.

Por último, ampliando el ámbito de actuación, tendríamos las Aplicaciones de Prevención de perdida de datos (DLP). Son sistemas diseñados para monitorizar, detectar y bloquear información sensible cuando se encuentra en alguno de los tres siguientes estados:

  • En red: Aquella información que está siendo transportada por la red (está en movimiento).
  • En uso: Información con la que el usuario está interactuando.
  • En reposo: Información “vieja”, que está almacenada de forma permanente.

En cada caso, va a aplicar políticas de identificación del dato para clasificar su confidencialidad y sensibilidad. Ya sea por el análisis del contenido (palabras claves, clasificación, etiquetas) o un análisis contextual (origen, destino, aplicación), o aplicando métodos como las búsquedas con expresiones regulares, análisis bayesiano, análisis estadísticos, y machine Learning.

Justamente, la llegada de los sistemas de “Inteligencia artificial” que son capaces de aprender los comportamientos de los usuarios, han permitido dar un gran salto cualitativo, cuantitativo y de confianza en la detección de fugas de información, y la reducción de los falsos positivos.

Funcionamiento

El principal mecanismo de actuación de la DLP son las Directivas. Que definen el dónde, cuándo y cuales acciones vamos a aplicar a la información. Y que están compuestas por la Ubicación y las Reglas.

Ubicación. Define en donde se aplica la directiva. Por ejemplo, el servidor de correo electrónico, los servicios de almacenamiento de datos, o cualquier herramienta de trabajo colaborativo.

Reglas. Que a su vez están compuestas por: las Condiciones, que determinan el tipo de información que se está buscando y cuando lanzan una acción. Y las Acciones, que pueden ser (entre otras) restringir el acceso al contenido, notificar al usuario o invalidarlo a él o a sus comunicaciones.

Dentro de las Condiciones podremos añadir lógica compleja de búsqueda de información, utilizando patrones de coincidencia que utilizan una función o expresión regular que define un tipo de información confidencial; pudiéndose, también, ser especificadas por palabras clave y sumas de comprobación.

Se puede escribir múltiples Reglas dentro de una misma directiva, por ejemplo, para diferentes acciones dependiendo del grado de certidumbre; y agrupar a su vez colecciones de directivas.

Y estás directivas, serán las utilizadas por el servicio DLP para realizar diferentes acciones con el objetivo último de evitar la pérdida de datos en nuestro sistema.

Además, tendremos servicios para el tratamiento de la información obsoleta o en desuso, como son los sistemas de Archivado; o los de Retención, que describen cuanto tiempo salvaguardamos la información y qué ocurre al finalizar este periodo.

Las Copias de seguridad/restauración, como piedra angular de la disponibilidad y resiliencia de nuestra plataforma, se entremezclan con la encriptación de la información y su transmisión por canales seguros (por ejemplo, TSL).

También deberemos configurar nuestra plataforma de gestión de BYOD para evitar fugas de información en dispositivos con una alta incidencia de pérdidas o sustracciones, y que deben poder ser convertidos en pisapapeles, llegado el caso.

Incluso podemos llegar a utilizar una plataforma de gestión de derechos de autor (DRM), en donde evitar operaciones como la captura de pantalla, la impresión o la descarga de documento protegidos.

Por último, y no más importante, el servicio de notificaciones y de reportes, son los que van a permitir valorar el impacto de la implantación de DLP en nuestro sistema, y la aplicación de los procesos.

No todo es software

¿Dónde está la información de la compañía? ¿Cómo se utiliza? ¿Cómo podemos evitar su pérdida? ¿Quiénes tendrán acceso? ¿En qué dispositivos se podrá almacenar? ¿A quiénes se podrá transferir? ¿Dónde puede publicar? ¿Durante cuánto tiempo será útil?

Todas estas preguntas, y muchas más, son necesarias hacérselas y contestarlas en profundidad cuando nos hacemos conscientes de los riesgos que implica la fuga de información.

Y, a partir de ellas, diseñar y configurar la infraestructura que nos permita implantar el software DLP que mejor se ajuste a nuestras necesidades.

Sin embargo, DLP es un asunto que va más allá de la tecnología. Proteger la información y evitar su pérdida requiere además de dos factores clave: tener procesos establecidos e involucrar al personal.

Algo tan simple como hacer firmar un correcto Acuerdo de No Divulgación (NDA) a las personas que van a tener acceso a información sensible, nos va a evitar múltiples dolores de cabeza en un posible futuro. Al igual que impartir formación a todos los miembros de la empresa, sobre las definiciones de lo que es confidencial y de los procesos para evitar su pérdida.

Hay que incluir un sistema automatizado y eficiente de notificaciones que, por medio de avisos, vaya guiando a los usuarios cuando active alguna de las protecciones DLP; indicándoles el proceso que ha infringido, los efectos que puede producir y los procesos existentes para mitigar la fuga de datos.

También es crucial definir quiénes son los responsables de realizar las tareas establecidas en caso de una pérdida de datos para, por ejemplo, de acuerdo a la gravedad de la fuga, implicar a gerencia, dirección, jurídico o, incluso, relaciones públicas en los casos de gran impacto mediático.

Y siempre partiendo de la base de que casi nadie aguanta un pepaso de 50.000 pesos. Y ni el mejor software de DLP puede cubrir la seguridad de los datos al 100%, al existir siempre el factor humano en última instancia.

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta