DLP, o como prevenir la pérdida de datos

Equifax, Avanti o bien Down Jones, son empresas lamentablemente conocidas en el dos mil diecisiete por haber sufrido esenciales fugas de información sensible. De este modo, quienes tenían el compromiso de velar por la confidencialidad de sus clientes del servicio, se hallan frente al descalabro evidente de unas Políticas de prevención de perdida de datos (DLP) equivocadas.

Y este no es un inconveniente menor. Conforme un informe de IBM Security, el costo en Italia (afín a España) supera los dos millones de euros al año; siendo más perjudicadas las compañías cuanto más tardan en aplicar las medidas que atenúan la pérdida.

En verdad, la aplicación de las DLP con una visión global en su dificultad, es uno de los desafíos más esenciales a los que se encaran las organizaciones a nivel mundial; y, con singular atención en la UE al estar inminente la puesta en aplicación de la nueva ley de Protección de Datos (RGPD).

¿Qué es la pérdida de datos?

La información es una entidad que, como todo en la naturaleza, tiene su ciclo vital. Se crea o bien adquiere, se trasfiere, se emplea, se guarda y, por último es eliminada. A lo largo de todo el periodo en que existe, pueden generarse trasferencias, copias o bien borrados no deseados, de manera intencionada o bien casual.

En el instante en que los datos son guardados o bien publicados, en cualquiera de la miríada actual de mecanismos tecnológicos para la difusión de la información, sin la aprobación explicita del dueño o bien infringiendo las leyes, se debe declarar una pérdida de datos.

Como unos ejemplos tendríamos el guardar información sensible en equipos personales no protegidos por una DLP; tanto en unidades de almacenaje internas, externas o bien en Cloud, imprimirlas en papel, grabarlas en aguantes ópticos (CD o bien DVD), hacerle fotografías, o bien efectuar capturas.

Otra forma de perdida de datos es el borrado no deseado. Generalmente un inconveniente casual, sin intencionalidad, que se genera por error; mas que puede generar daños irreparables a nivel de negocio. Transformándose en un factor de alto peligro cuando se genera de forma imprevisible mas planeada, en la busca de esconder información o bien como forma de ataque.

Considerablemente más sutil, es la fuga de información al compartirla. La dificultad de las leyes y procesos sobre la sensibilidad de los datos y su protección, lleva a los usuarios a no percatarse de cuando están transgrediendo esta confidencialidad al mandarla por correo, publicarla en un foro de discusión inapropiado o bien compartirla a través de mecanismos inseguros.

Para finalizar, lo más llamativo: el hurto de datos. Así sea por un malware, por un virus, por un ataque mediante orificios de seguridad, o bien por hacking social. Son acciones que se mueven, prácticamente siempre y en toda circunstancia, por un trasfondo económico. Y que requieren un alto grado de recursos.

Contextos de aplicación

La primera barrera que hay que edificar para prevenir la perdida de datos, es una configuración adecuada de los cortafuegos, aislando a la red de la compañía de los accesos no autorizados. Sistemas de detección de Intrusos (IDS), los que se fundamentan en análisis detallados del tráfico de red para advertir ataques conocidos, comportamientos sospechosos, bultos malformados, etcétera

La configuración de los Sistemas de Prevención de Intrusos (IPS), que dan un paso adelante en la manera precautoria de enfrentar las posibles amenazas al permitir una monitorización del tráfico de red y las actividades del sistema en pos de actividades maliciosas. Para esto aplica políticas de seguridad o bien estadísticas de anomalías, al análisis del comportamiento de la red.

Para finalizar, ampliando el campo de actuación, tendríamos las Aplicaciones de Prevención de perdida de datos (DLP).
Son sistemas diseñados para controlar, advertir y bloquear información sensible cuando se halla en ciertos 3 siguientes estados:

En red: Aquella información que es transportada por la red (está en movimiento).
En uso: Información con la que el usuario está interaccionando.
En reposo: Información “vieja”, que está guardada permanentemente.
En todos y cada caso, va a aplicar políticas de identificación del dato para clasificar su confidencialidad y sensibilidad. Así sea por el análisis del contenido (palabras claves, clasificación, etiquetas) o bien un análisis contextual (origen, destino, aplicación), o bien aplicando métodos como las buscas con expresiones regulares, análisis bayesiano, análisis estadísticos, y machine Learning.

Justamente, la llegada de los sistemas de “Inteligencia artificial” que son capaces de aprender los comportamientos de los usuarios, han tolerado dar un enorme salto cualitativo, cuantitativo y de confianza en la detección de fugas de información, y la reducción de los falsos positivos.

Funcionamiento

El primordial mecanismo de actuación de la DLP son las Directivas. Que definen el dónde, en qué momento y cuales acciones vamos a aplicar a la información. Y que están compuestas por la Localización y las Reglas.

Localización. Define en donde se aplica la directiva. Por servirnos de un ejemplo, el servidor de e mail, los servicios de almacenaje de datos, o bien cualquier herramienta de trabajo colaborativo.

Reglas. Que por su parte están compuestas por: las Condiciones, que determinan el género de información que se busca y cuando lanzan una acción. Y las Acciones, que pueden ser (entre otras muchas) limitar el acceso al contenido, avisar al usuario o bien inutilizarlo a él o bien a sus comunicaciones.

En las Condiciones vamos a poder incorporar lógica compleja de busca de información, usando patrones de coincidencia que emplean una función o bien expresión regular que define un género de información confidencial; pudiéndose, asimismo, ser detalladas por palabras clave y sumas de comprobación.

Se puede redactar múltiples Reglas en una misma directiva, por servirnos de un ejemplo, para diferentes acciones en dependencia del grado de certidumbre; y reunir por su parte compilaciones de directivas.

Y estás directivas, van a ser las usadas por el servicio DLP para efectuar diferentes acciones con el propósito último de eludir la pérdida de datos en nuestro sistema.

Además de esto, vamos a tener servicios para el tratamiento de la información obsoleta o bien en desuso, como son los sistemas de Archivado; o bien los de Retención, que describen cuanto tiempo resguardamos la información y qué sucede al acabar este periodo.

Las Copias de seguridad/restauración, como piedra angular de la disponibilidad y resiliencia de nuestra plataforma, se mezclan con la encriptación de la información y su transmisión por canales seguros (por servirnos de un ejemplo, TSL).

Asimismo vamos a deber configurar nuestra plataforma de administración de BYOD para eludir fugas de información en dispositivos con una alta incidencia de pérdidas o bien sustracciones, y que deben poder ser transformados en pisapapeles, llegado el momento.

Aun podemos llegar a emplear una plataforma de administración de derechos de autor (DRM), en donde eludir operaciones como la captura, la impresión o bien la descarga de documento protegidos.

Para finalizar, y no más esencial, el servicio de notificaciones y de reportes, son los que van a permitir valorar el impacto de la implantación de DLP en nuestro sistema, y la aplicación de los procesos.

No todo es software

¿Dónde se encuentra la información de la compañía? ¿De qué manera se emplea? ¿De qué manera podemos eludir su pérdida? ¿Quiénes van a tener acceso? ¿Exactamente en qué dispositivos se va a poder guardar? ¿A quiénes se va a poder trasferir? ¿Dónde puede publicar? ¿A lo largo de cuánto tiempo va a ser útil?

Todas y cada una estas preguntas, y considerablemente más, son precisas hacérselas y responderlas en profundidad en el momento en que nos hacemos siendo conscientes de los peligros que implica la fuga de información.

Y, a partir de ellas, diseñar y configurar la infraestructura que nos deje implantar el software DLP que mejor se ajuste a nuestras necesidades.

No obstante, DLP es un tema que va alén de la tecnología. Resguardar la información y eludir su pérdida requiere aparte de 2 factores clave: tener procesos establecidos y también implicar al personal.

Algo tan simple como hacer firmar un adecuado Pacto de No Divulgación (NDA) a quienes tendrán acceso a información sensible, nos va a eludir múltiples cefaleas en un posible futuro. De la misma manera que dar capacitación a todos y cada uno de los miembros de la compañía, sobre las definiciones de lo que es reservado y de los procesos para eludir su pérdida.

Hay que incluir un sistema automatizado y eficaz de notificaciones que, a través de avisos, vaya guiando a los usuarios cuando active ciertas protecciones DLP; indicándoles el proceso que ha infringido, los efectos que puede generar y los procesos existentes para atenuar la fuga de datos.

Asimismo es vital delimitar quiénes son los responsables de efectuar las labores establecidas en el caso de una pérdida de datos para, por poner un ejemplo, conforme a la gravedad de la fuga, implicar a gerencia, dirección, jurídico o bien, aun, relaciones públicas en los casos de gran impacto mediático.

Y siempre y en toda circunstancia partiendo de la base de que prácticamente absolutamente nadie soporta un pepaso de cincuenta pesos. Y ni el mejor software de DLP puede cubrir la seguridad de los datos al cien por ciento , al existir siempre y en todo momento el factor humano en último término.