Todas las organizaciones generan y manejan en mayor o menor medida información sensible que se debe proteger y que está almacenada en diferentes ubicaciones: Equipos de usuarios, gestores documentales, almacenamiento en nube, servidores de ficheros, etc.
Por un lado, las organizaciones necesitan prevenir amenazas internas: Extracción de información por parte de empleados que abandonan la organización, pérdida de información a través de proveedores o de la cadena de suministro, etc. Muchas organizaciones creen que éste es sólo un problema de las grandes agencias gubernamentales y otras que gestionan información muy sensible, pero este tipo de fugas son un problema mayor del que la mayor parte de las empresas cree y una de las fugas que más costes generan a las organizaciones según Ponemon Institute.
Por otro, las organizaciones están sujetas a regulaciones de protección de datos como EU-GDPR, PCI en el sector financiero, etc. Tener una fuga de información e incumplir una de estas regulaciones puede ser altamente costoso para una organización como las últimas de British Airways (183M£) y Marriott (99M£) por la pérdida/robo de millones de datos de usuarios.
Ante esta problemática, muchos CISOs o CIOs se enfrentan a la decisión de qué tecnologías seleccionar para poder evitar o mitigar una potencial fuga y así proteger información sensible.
Dos de las tecnologías que habitualmente se contemplan son DLP (Context-Aware Data Loss Prevention; Prevención frente a Pérdidas de Datos) e IRM (Information Rights Management; Gestión de Derechos Digitales).
En este artículo te mostramos cómo pueden ayudar a frenar fugas de información ambas tecnologías, sus diferencias y cómo pueden complementarse.
DLP – Data Loss Prevention / Data Leak Prevention
Una solución de DLP trata de impedir la fuga o pérdida de información sensible de diferentes formas. Por un lado, cuando la información está en reposo, escaneando los servidores de ficheros, endpoints, etc. y localizando o clasificando datos sensibles. También en tránsito, cuando la documentación o los datos sensibles se están moviendo a través de la red, a dispositivos extraíbles, etc. Y por último en uso, controlando si un usuario de la red corporativa de tener o no acceso a la misma. Normalmente intentan descubrir información de tipo personal, financiera, propiedad intelectual, etc. en base a diccionarios pre-establecidos.
Podríamos ver a un DLP como un “policía” que se sitúa a la salida de la red, puertos de los equipos y revisa lo que intenta salir y quién lo intenta sacar del perímetro de la red. También vigila repositorios de red en busca de información sensible que está incumpliendo algún tipo de regla corporativa.
Aunque son tecnologías tremendamente potentes, se enfrentan a retos importantes a la hora de proteger la información sensible:
- ¿Cómo determinar de forma eficiente qué debe salir y qué no?
- ¿Es posible “cerrar” de forma eficiente todas las posibles puertas de salida de la información de la empresa o controlarlas?
- ¿Puedo controlar todos los tipos de dispositivos de la empresa incluidos los móviles, la nube, etc.?
- ¿Y si algo sale de la red y escapa al control de este “policía”? ¿Puedo restringir el acceso?
Las soluciones tradicionales de DLP pueden únicamente examinar qué intenta salir y decidir si deben o no salir. Es un proceso binario. Sin embargo, las situaciones del día a día no son “binarias”. Resulta muy complicado para un profesional IT definir políticas que describan los requisitos de salida de información de la organización de forma eficiente sin generar una cantidad alta de “falsos positivos”. Si los datos o la información no están clasificadas es complicado tener respuestas efectivas. Es por ello que en muchos casos es necesario realizar primero un esfuerzo de clasificación o catalogación de la información, indicando al DLP qué repositorios debe escanear y determinando qué es confidencial y qué no.
Esto requiere que el Departamento de IT invierta esfuerzos en el ámbito de la configuración, clasificación y gestión de políticas del DLP para poder afinarlas lo suficiente y que generen el mínimo número de falsos positivos. Sin embargo, hay que tener en cuenta que es complicado para un departamento de IT determinar qué es confidencial y qué no. Son los usuarios que trabajan día a día con la información los que realmente saben que proteger información sensible es importante y debe protegerse.
Otro de los retos que afrontan es qué sucede con los documentos una vez que se han distribuido. Una vez que los datos están fuera de la organización nada impide a los destinatarios reenviarlos a usuarios no autorizados, guardarlo en USBs, etc. Esto aplica también a los dispositivos móviles, donde el enfoque de protección suele ser “todo o nada”. Las empresas suelen delegar el control de la información en dispositivos móviles en aplicaciones MDM para evitar que ciertos datos se abran fuera de aplicaciones corporativas o controladas.
Al requerir una gestión afinada de políticas, clasificación, las compañías suelen empezar por una fase de “monitorización” para detectar qué tipo de información sale de la red, para ir más adelante a una fase de “bloqueo”. Si la política está afinada, el control de salida de la información será eficiente y los bloqueos no generarán falsos positivos. Si no, el ruido generado en la organización por el bloqueo de información que debería ser accesible o que debería poder ser enviada puede ser importante.
En resumen, podemos decir que las herramientas de DLP son muy potentes pudiendo catalogar, monitorizar y bloquear la salida de información sensible de la red, pero los esfuerzos para implantarlas, afinarlas y evitar falsos positivos, no debe ser pasado por alto. Por último, protegen el “perímetro” de la red, pero hay que tener en cuenta que la información puede moverse a cualquier parte.
IRM – Information Rights Management (Gestión de Derechos Digitales)
Esta tecnología, dentro del ámbito de la protección de información centrada en los datos (Data-Centric Security), permite aplicar una protección a los ficheros que viaja con ellos y los acompaña allí donde vayan. También es conocida como E-DRM (Enterprise Digital Rights Management) o EIP&C (Enterprise Information Protection & Control). Es posible monitorizar quién accede, cuándo, si alguien intenta acceder sin permisos, etc., tanto si los ficheros están dentro como fuera de la organización. También puede limitar los permisos sobre los documentos (Sólo Ver, Editar, Imprimir, Copiar y Pegar, etc.). En tiempo real, podemos revocar el acceso a los ficheros, si queremos que determinadas personas no vuelvan a acceder.
Si enviamos un documento a una persona, en 3 minutos puede haber sido impreso, enviado a otras 5 personas que a su vez ya lo han enviado a otras 10 y han hecho cambios en el mismo. Sólo somos dueños del documento en el momento en que lo creamos, pero cuándo lo compartimos, el documento deja de tener dueño y el destinatario puede hacer con él lo que quiera. Éste es uno de los problemas que intenta resolver esta tecnología: Que un usuario pueda seguir siendo el dueño de la información independientemente de con quién se haya compartido.
Teniendo en cuenta que es complicado determinar cuál es el perímetro de la red corporativa, el enfoque del IRM es aplicar una capa de protección a la información que pueda ser controlada, aunque ya no esté en nuestra red, esté en una nube, dispositivo móvil, etc.
Si la información llega a manos de quien no debe o consideramos que ya no debe tenerla podemos revocar el acceso en remoto. Podemos establecer fechas de expiración sobre la documentación. Dar más o menos permisos en tiempo real a los usuarios (Editar cuándo sólo podía ver, o limitar a sólo ver si no queremos que edite o imprima).
Una ventaja de este tipo de soluciones es la sencillez del despliegue que permite comenzar a utilizarla de forma eficiente desde el día 1, pudiendo cifrar, controlar y proteger la información sensible que gestiona la empresa internamente o con terceros.
Uno de los principales retos de esta tecnología es proporcionar la mayor sencillez de uso a los usuarios de la organización y externos de forma que puedan gestionar la información protegida prácticamente como si no lo estuviera. También la compatibilidad con las aplicaciones que suelen utilizar los usuarios de forma habitual, como pueden ser Office, Adobe, AutoCAD o compatibilidad con los repositorios de información que suelen utilizar las organizaciones: Servidores de Ficheros, SharePoint, aplicaciones Cloud tipo Office 365, G-Suite, Box, etc.
Otro de los retos de las soluciones de IRM es la automatización de la protección. Es decir, proteger la información independientemente que el usuario tome la decisión de hacerlo. En este caso, la protección automática de carpetas en servidores de ficheros, o gestores documentales resulta especialmente útil.
También en este punto, la integración con un DLP puede ser de gran utilidad y ser la combinación perfecta.
¿Cómo pueden complementarse el DLP y el IRM?
Como se ha comentado, a través del DLP el administrador puede establecer reglas para identificar información sensible. Una vez detectada, en reposo, tránsito o en uso, el administrador puede aplicar una acción de remediación tipo dejar log, bloquear el acceso, eliminar el fichero, etc.
A través de la integración con el IRM, el DLP puede establecer como acción de remediación la protección automática del fichero con una política de protección IRM. Por ejemplo, si se escanea un endpoint, o una carpeta de red y se detecta que hay datos de tarjetas de crédito, información personal, etc. en los documentos, el DLP puede hacer que estos se protejan automáticamente con una política tipo “Uso Interno” de forma que sólo personas del dominio o de determinados departamentos puedan acceder a ella.
¿Qué ventajas obtenemos a través de esta integración?
Entre otras ventajas están:
- Que los documentos sensibles puedan auto-protegerse sin depender de la acción del usuario.
- Estos quedarán protegidos tanto si se mueven dentro como fuera de la red corporativa.
- Podremos monitorizar el acceso a los mismos independientemente de dónde se encuentren.
- Podremos revocar el acceso a la información sensible, aunque esté fuera de la organización.
SealPath puede proteger información sensible de forma sencilla y eficiente integrándose con las principales soluciones de DLP del mercado como ForcePoint, McAffee o Symantec, facilitando la protección de información sensible en la organización y su control independientemente de dónde esté.
SealPath pone especial foco en tener la mejor experiencia de uso para los usuarios, integrándose con las herramientas de trabajo comunes de los usuarios, con un producto especialmente diseñado para la gran empresa e integrado con multitud de sistemas corporativos:
- DLPs
- SIEMs
- Office 365
- SharePoint
- G-Suite
- Alfresco
- OneDrive
- etc…
¿Quieres ver una demo de cómo SealPath se integra con DLPs? Contacta con nosotros aquí.
