This post is also available in: Português English Español
Preservar la integridad y confidencialidad de la información es un desafío constante para los negocios, y que ha crecido de forma alarmante en los últimos años. La integridad asegura la preservación del dato, mientras que la confidencialidad, si así lo desea, garantiza la privacidad del mismo para personas o instituciones autorizadas.
El desafío de garantizar la integridad de la información a lo largo del tiempo, ya sea almacenada, o en tránsito, ha hecho que el mercado se especialice en crear herramientas para minimizar la fuga de información. Esto no es una realidad para todos los negocios, pero cada vez más empresas han desarrollado directrices digitales para asegurar su información.
Existen diversas tecnologías para minimizar los incidentes de seguridad, y una de las metodologías más aplicadas y recomendadas es tratar la defensa en profundidad, añadiendo varias capas para proteger la información.
Entre las tecnologías que han ganado espacio a lo largo del tiempo, se puede destacar la Data Loss Prevention (DLP), que es nada más que tecnologías que permiten actuar directamente en la prevención de fugas o pérdida de información por parte de las empresas. Es un concepto amplio, en el que sus aplicaciones pueden ser muy específicas de acuerdo con la necesidad de cada negocio, respetando lo que se desea proteger.
En este post traeremos de forma más amplia las buenas prácticas involucradas para empresas que desean iniciar su entendimiento en cuanto al tema, ayudando así en el proceso de construcción de conocimiento hasta la implantación de la solución.
Los diversos tipos de datos
Antes de hablar específicamente de Data Loss Prevention, es fuertemente recomendado que se tenga el entendimiento de los variados tipos de datos existentes, posibilitando la determinación del tipo de solución más adecuada para cada necesidad.
En líneas generales la literatura detrás de 3 tipos, que están relacionados no sólo al almacenaje, sino como están representados y accedidos en el tiempo. El primero trata de *datos en uso* que son frecuentemente utilizados por servidores, laptops y etc, vinculados a una actividad recurrente de colaboradores.
El segundo tipo son los *datos en tránsito o en movimiento*, utilizados en las redes de computadoras. En este caso las soluciones de Data Loss Prevention deben ser capaces de interpretar la ocurrencia a nivel de red, además de clasificar y ejecutar las acciones de acuerdo con la política implantada en la empresa.
El tercer tipo son aquellos datos que quedan almacenados en base de datos o servidores de archivos, que la literatura especializada acaba mencionando como datos en reposo.
Lo más importante es entender que los tipos de datos requieren estrategias y muchas veces soluciones diferentes para asegurar su conformidad. Para datos en uso, es necesario prevenir la evasión a través de copia en medios externos y similares. Para datos en tránsito, el DLP debe tener la capacidad de analizar los eventos de red en línea y los datos en reposo, la solución debe ser capaz de supervisar puntos sensibles de datos a los que no se debe tener acceso, copiar o cambiar.
Data Loss Prevention en la identificación y clasificación de datos sensibles
Es imposible crear una política de protección de la información si no hay conocimiento de los tipos de datos existentes en la empresa y clasificarlos en cuanto al criterio de privacidad, riesgo, lugar de almacenamiento (si existe), y otros que se necesitan para distinguir una información de la otra.
Por lo tanto, antes de pensar en una solución de Data Loss Prevention, es necesario hacer la tarea con los artículos que están siendo abordados por este artículo con el fin de adquirir un producto que atienda las necesidades del negocio. Implantar una Data Loss Prevention sin tener los datos debidamente clasificados y sin saber lo que se desea proceder, causará naturalmente una incidencia enorme de falsos positivos, que puede inviabilizar el monitoreo y protección de la infraestructura, así como la propia rutina de trabajo.
Muchas soluciones permiten que estas clasificaciones sean facilitadas, barriendo los datos y creando los índices que permiten clasificar los archivos y otras representaciones electrónicas de datos. Pero si no es posible, cree una organización mínima de lo que se pretende proteger.
Un aditivo interesante en la clasificación es colocar un dato que determine quién es el dueño, o responsable, por aquella información, archivo, carpeta, base de datos, etc. Esto facilitará en la definición de políticas del DLP de quien debe ser notificado en caso de no conformidad, descentralizando el control de primera capa del departamento de seguridad o tecnología de la información.
Definir políticas y monitoreo
Para los tipos de datos, los riesgos presentados y el formato de almacenamiento o presentación, probablemente habrá una política diferente para el control. Por ello, antes de nada, defina las políticas de acuerdo con las capacidades técnicas de la solución.
Las políticas no son más que un conjunto de reglas que determinan un comportamiento esperado de un dato o información. Cualquier movimiento diferente de la normalidad, ya sea realizada por usuario o por intervención directa de algún software, las acciones previstas son tomadas.
Cuanto más simples sean las políticas y se puedan reflejar la necesidad del negocio, más fácilmente se administrará el ambiente. Es interesante siempre iniciar con acciones de monitoreo, de esta forma es posible pasar por un período de adaptación y entender cómo las reglas interactúan con el ambiente. Con el paso del tiempo y la maduración de las políticas, las acciones se pueden cambiar poco a poco para no sólo monitorear, sino tomar acción de bloqueo en caso de no conformidad.
Si su empresa decide implementar una solución de Data Loss Prevention, inicie preferentemente en modo monitor; esto reducirá considerablemente el impacto para los usuarios y la organización, al tiempo que permitirá probar las políticas que se han implementado, comprobar cuáles son las más usadas, lo que es más violado, y hacer los ajustes necesarios para rodar el 100% en conformidad con la necesidad del negocio.
Educar o entrenar a los usuarios
El lado humano es siempre un punto delicado en cualquier cambio, por ello es extremadamente importante que los mismos reciban entrenamiento adecuado del cambio, excepto en los casos en que la solución está siendo colocada de manera transparente para identificar potenciales problemas que ya estén ocurriendo en la institución.
Es importante que los recursos humanos estén debidamente involucrados en este proceso para asegurar de manera correcta los derechos y deberes de los colaboradores con relación a los datos y que acciones se tomarán en caso de violación de las políticas creadas. Este es un paso muy importante, que muchas empresas, especialmente menores, terminan por ignorar.
Es importante contextualizar que las soluciones de Data Loss Prevention no son aplicables solamente para garantizar seguridad frente a fugas pensadas de información, en realidad, son grandes aliados de los colaboradores, y de esa manera que deben ser entendidas como herramienta complementaria a su propia seguridad, en el entorno corporativo.
Por su parte, es interesante que una estrategia de Data Loss Prevention, cuando se combina con una solución de endpoint, informe al usuario de la no conformidad y permita al mismo corregir y continuar con la operación. Esta es una manera importante de educar y traer a los usuarios para el uso y propósito adecuado de la solución.
El universo de soluciones de Data Loss Prevention es extremadamente extenso, por su cuenta, antes incluso de pensar en alguna solución, ver si su negocio está debidamente estructurado con las lecciones básicas traídas en este documento, y si es así, dé los próximos pasos para hacer una análisis comparativa de las soluciones basadas en la necesidad evidenciada.
This post is also available in: Português English Español