En la implantación de una solución de IRM, Information Rights Management, existen dos partes fundamentales: Una, el despliegue técnico de la solución que abarca la instalación del software, servidores en local o en la nube, configuración, etc. Y la otra, la de establecimiento de los procesos de protección necesarios dentro de la organización para que la solución se utilice de una forma eficiente y cumpla su función de protección al 100%. Sigue leyendo para saber los retos, soluciones y enfoque a la hora de abordar su despliegue.
¿Por qué fracasan algunos proyectos de seguridad con IRM implantado?
Algunos proyectos de seguridad centrada en los datos, incluyendo clasificación de información, DLP (Data Leak Prevention) o IRM (Information Rights Management) fracasan por que se centran únicamente en la primera parte: El despliegue puramente técnico. Es evidente que el producto tiene que ser estable, fiable y probado para que tenga éxito el proyecto, pero una implantación de este tipo de tecnologías no puede detenerse exclusivamente en la parte de implementación técnica.
En algunos proyectos fallidos, hemos visto cómo se le ha dejado al cliente una solución instalada y se le ha transmitido que ya está listo para proteger la documentación. El resultado es que pasan los meses y el cliente no la utiliza porque no sabe por dónde empezar. En el caso de un DLP la complejidad está en definir una serie de reglas bien configuradas para determinar qué es confidencial y qué no lo es, quién puede sacar cierta información y quién no. Dejar esto en manos del equipo de IT o Seguridad es una tarea titánica ya que es muy difícil para estos equipos saber qué es confidencial y qué no lo es.
Aquí es donde a priori entran las herramientas de clasificación de información: Se les da a los usuarios unas opciones en Office, Outlook, y sus herramientas habituales, para que clasifiquen cada email que envían o cada documento que generan. El usuario tiene que determinar si es información Pública, de Uso Interno, Restringido, Confidencial, Alto Secreto, etc. etc. Si un usuario tiene información sensible, con datos por ejemplo financieros de la empresa, puede etiquetarlo como “Confidencial”.
Si no se va a proteger esta documentación en sus tres estados y si no hay reglas de DLP asociadas a este tipo de nivel de clasificación, etiquetar el documento es sencillo y no tiene ningún impacto, pero ¿Para qué vale realmente si al final la información no se está protegiendo?. Se está dedicando esfuerzo en la compañía y tiempo a acciones que realmente no van a proteger nuestros datos.
Por otro lado, si se crea por ejemplo una regla en el DLP para que bloquee la salida de estos datos, puede generar mucha fricción ya que es posible que tenga que compartirlo con terceros de forma controlada, pero si el DLP lo va a bloquear, va a impedir al usuario hacer su trabajo. Al final el usuario puede clasificar algo como “Confidencial”, pero si al realizar esa acción el usuario no sabe quién lo va a poder ver y quien no, se encuentra perdido, y aquí empiezan las excepciones, la desactivación de reglas y finalmente la solución cae en desuso, a veces incluso antes de empezar.
En el caso de IRM sucede algo similar, hemos visto cómo en ocasiones se le ha dejado a los usuarios una solución donde para cada documento en Office el usuario tiene qué indicar con quién lo quiere compartir, los permisos que le da, y otras opciones. Puede hacerlo para uno o dos ficheros, pero para el tercero dejará de utilizarlo. O en ocasiones se le dan políticas excesivamente generales, similares a las de Clasificación o unidas a ellas como “Confidencial”, etc. que protegen el documento para un colectivo de personas dentro de la empresa, pero ¿Y si algo es “Confidencial” pero tengo que compartirlo con otras personas e incluso fuera de la organización? El desconcierto o caos que generamos en los usuarios puede ser muy alto.
Retos y dudas a las que se enfrenta un CISO a la hora de abordar un despliegue de IRM
Un CIO o CISO sabe que debe proteger uno de los activos más importantes de su organización que son los datos, especialmente los más sensibles y confidenciales. Gran parte de las inversiones de seguridad no van destinadas a proteger las redes en sí, sino a prevenir que los malos accedan a datos que guardo en el interior de la red.
Las soluciones de IRM o protección de información son las más eficaces para proteger los datos allí donde viajen, tener una auditoría completa de acceso a la información sensible, poder destruir los documentos en remoto o revocar su acceso en el caso de que alguien no deba tenerlo. Las ventajas son inmensas para la organización, pero también plantean al CIO/CISO ciertos retos o cuestiones a la hora de abordar el despliegue. Algunas de ellas por ejemplo son:
- Quiero proteger los datos críticos, pero ¿Por cuál empiezo?
- ¿Cómo convencer a los usuarios para que protejan la información sensible?
- ¿Hasta qué punto puedo automatizar la protección de información?
- ¿En qué medida debo dejar el control a los usuarios o tenerlo centralizado?
En ocasiones las respuestas que se dan al CIO a estas preguntas siguen un enfoque excesivamente simple o extremadamente complejo.
Enfoque simple vs Extensa consultoría de procesos
Muchas veces para un partner de servicios o fabricante interesa transmitir que el enfoque en cuanto a la gestión de política de protección es extremadamente sencillo: “Crea cuatro políticas básicas como Confidencial, Restringido, etc. y con eso vale para que los usuarios protejan su información la mayor parte de su información y para el resto que el usuario lo proteja como quiera”. Se centran nuevamente en realizar un despliegue, o mejor dicho una instalación y configuración de software rápida, y terminan diciendo lo que el cliente a veces quiere oír, que con eso vale. Normalmente este enfoque simple está ligado al uso de una solución de clasificación de información. Como hemo comentado antes, este enfoque resulta fallido ya que al clasificar o proteger como “Confidencial” el usuario no tiene claro quién podrá abrir su documento protegido y si lo podrá pasar al proveedor al que debe dejar acceso a sus ficheros o planos con información sensible.
En otros casos, el enfoque es el de la “extensa consultoría de procesos”. Una legión de consultores tiene que desembarcar en la empresa para identificar dónde está la documentación confidencial, establecer 75 o 100 niveles de clasificación de información, definir decenas de procesos de protección, configurar decenas o centenas de reglas de DLP. Para ello, se pasan meses haciendo entrevistas a personal de seguridad, usuarios de negocio, etc. Además de los años que se necesita para implantar un proceso así, la inversión en tecnología puede ser ingente ya que además de la protección de IRM es conveniente tener soluciones de identificación de dónde tenemos documentación sensible, y si alguien en su equipo en una carpeta temporal tiene un documento con un número de identificación fiscal (¿Es realmente importante saber esto y eficiente cara a proteger los datos?), soluciones de clasificación de información para que cada usuario etiquete documentos eligiendo entre decenas de niveles y subniveles de clasificación que si asociamos de forma descuidada pueden producir fricción, o el DLP para bloquear la salida de datos clasificados con un determinado nivel, CASB si hablamos de documentación en nube, etc.
Una metodología práctica y probada para desplegar con éxito una solución IRM
A continuación, describimos una estrategia de implementación probada en diferentes tamaños de organización para desplegar los procesos de protección asociados al despliegue de una solución IRM Además de las etapas de despliegue técnico de la solución, esta metodología se centra en cómo enfocar la creación de políticas de protección, su aplicación y su uso por parte de la organización. Esta metodología, ha sido construida a lo largo de los años trabajando con cientos de organizaciones en todo el mundo de diferentes tamaños, desde algunas de unas decenas de usuarios a otras de decenas de miles de usuarios.
A través de los pilares de esta metodología, conseguirá extender una cultura de seguridad en la organización que le permitirá tener la información más sensible de la empresa protegida y bajo control, tanto si está dentro como fuera de la organización.
La profundización en algunos de estos puntos de esta metodología depende también del tamaño de la empresa. No es lo mismo desplegar la solución en una empresa de Ingeniería pequeña donde la mayor parte de los usuarios gestiona el mismo tipo de información que en una con decenas de miles de usuarios donde hay diferentes divisiones y departamentos que gestionan diferente tipo de documentación sensible.
Esta metodología está formada por estas seis fases o etapas:
- Involucrar.
- Priorizar.
- Educar y comunicar.
- Proteger.
- Automatizar.
- Afinar y evolucionar.
1. Involucrar
Como se ha comentado anteriormente, la implantación de una solución de protección de información o IRM, permite extender una cultura de seguridad dentro de la organización. Para ello es importante que la Dirección de la empresa esté alineada con este objetivo.
Existen diferentes razones para implantar una solución de IRM como pueden ser: Protegerse frente a posibles fugas de información de origen interno o externo, habilitar una colaboración segura y contralada de forma interna y con terceros, implantar una protección adicional frente a posibles brechas en la red (causadas por ransomware y otras amenazas), y facilitar el cumplimiento de regulaciones (EU-GDPR, PCI, etc.).
Los beneficios son muy altos, pero al igual que los usuarios se han acostumbrado a tener controles de acceso físicos a su organización, control de acceso a aplicaciones, y portales de documentación, tendrán también control de acceso y permisos sobre los propios documentos en cualquier parte.
En ocasiones estas necesidades pueden venir por el área de seguridad/IT, por la parte de Dirección y usuarios de negocio, o por ambos. En cualquier caso, el éxito del proyecto se incrementará si se tiene el respaldo de la Dirección, áreas de negocio y departamentos de seguridad/IT desde el inicio y por eso es importantes hacerles partícipes del objetivo que se desea alcanzar, y el beneficio que tiene para toda la organización desde el inicio.
2. Priorizar
Es necesario analizar qué tipo de información o casos de uso conviene abordar primero. En todas las organizaciones existe información sensible o confidencial, pero la preocupación por parte de la organización respecto a determinados tipos puede variar.
Existe información del área de Dirección o Consejo Ejecutivo que no queremos que llegue a manos indebidas. Información de tipo financiero, legal, recursos humanos que es necesario tener bajo control. Documentación técnica y de know-how de la compañía, etc. Datos protegidos por una determinada regulación como son los datos de pacientes o medios de pago.
Por otro lado, aparte del tipo de información, hay casos de uso que son más importantes que otros. Datos que pasamos a proveedores o subcontratas y queremos mantener bajo control. Información de datos que se desean pasar a auditores. Compartición de datos internos con equipos comerciales distribuidos donde la rotación de personal puede ser alta.
En algunos casos, determinadas organizaciones parten de la idea de que “mejor protegerlo todo”. Aunque esto pueda aplicar en determinados entornos como el sanitario, por ejemplo, la fricción que puede crear en los usuarios puede ser alta. Es más conveniente analizar dónde se encuentra el mayor riesgo para la organización en lo que respecta a gestión de la información sensible y abordar esos casos, además de dar la opción a los usuarios de proteger emails y ficheros cuando lo crean conveniente en casos de uso que se salgan de los más prioritarios.
Este análisis permitirá determinar luego las políticas de protección principales de la organización, más adaptadas a los casos de uso más relevantes, para hacerlas disponibles a los usuarios y facilitar el proceso de protección de información.
3. Educar y comunicar
Es recomendable que la comunicación a los usuarios sobre la necesidad de proteger la información venga con un enfoque de arriba hacia debajo (top-down) de la organización. Como decíamos en el apartado de “involucrar”, es un proyecto que debe ser apoyado por Dirección, aunque sea gestionado por Seguridad o IT.
Si los usuarios se encuentran con una herramienta para proteger documentación sensible, pero nadie les comunica la necesidad de usarla, cómo se usa, etc., se corre el riesgo de que no se utilice. Si los usuarios encuentran documentos protegidos y nadie les ha explicado porqué van con permisos restringidos o cómo acceder a ellos, encontraremos fricciones en el uso y posibles resistencias al cambio por parte de usuarios.
Al haber involucrado desde el inicio a determinados stakeholders en la necesidad de proteger la información, estos pueden ayudar a transmitirla internamente para tener un cambio cultural lo más suave posible por parte de los usuarios. Mensajes de comunicación interna, más frecuentes al inicio y periódicos pueden ayudar a extender esta necesidad de proteger la información.
El proceso debe ir acompañado de formación. El enfoque de la formación depende del tamaño de la organización. Además de a los equipos de seguridad, IT, o helpdesk es importante formar a responsables de datos. Cuando hablamos de muchos usuarios, resulta más beneficioso un enfoque de formación online con pequeños videos que muestren fácilmente cómo proteger los datos. Aquí resulta fundamental disponer de una herramienta sencilla de utilizar y con una mínima curva de aprendizaje.
4. Proteger
La comunicación/educación/formación comentada en el paso anterior tiene más impacto cuando los usuarios ven que en la herramienta ya se han creado determinadas políticas asociadas a sus casos de uso, priorizados anteriormente.
En esta parte puede haber dos enfoques o vertientes:
- Empezar un despliegue por fases donde se han priorizado los casos de uso o tipos de información más críticos para la organización: Los usuarios tienen políticas ajustadas a estos casos de uso y se les ha comunicado cómo protegerla para evitar posibles fricciones. Esto permitirá ajustar determinadas políticas o el enfoque antes de pasar a otros casos de uso, tipo de información o áreas.
- Hacer disponible la herramienta a toda la organización: Además de haber ajustado políticas para determinados casos de uso, existe información fuera de estos casos que es necesario proteger. En ocasiones son los usuarios de negocio qué información es relevante y cuál no, incluso más que alguien de IT. Junto a la necesaria comunicación/formación/educación, tienen a su disposición una herramienta de fácil uso que les va a permitir proteger determinados adjuntos, o documentación, monitorizar su uso, revocar accesos, etc., cuando la compartan con terceros. En este caso, la comunicación no debe darse sólo al inicio, sino que deben hacerse refrescos periódicos.
Es en la fase de inicio, donde más dudas pueden surgir y la agilidad para resolverlas es fundamental. Esto permitirá que la protección se haga con mayor fluidez y se minimice la aparición de dudas posteriores.
5. Automatizar
Una buena solución de IRM debe facilitar la automatización de la protección allí donde sea posible. En una organización, se guarda determinada información en servidores de ficheros, gestores documentales, sistemas cloud, etc. y los usuarios se han acostumbrado a dejarla allí.
Si creamos reglas que permitan proteger esta documentación de forma automática, facilitaremos el despliegue de la solución de forma interna. No se dependerá de los usuarios para proteger ciertos datos sino que ellos sabrán que una vez almacenados en determinados repositorios los datos se protegerán de forma automática.
De igual forma es posible hacerlo con el email. Dependiendo del tipo de datos (ej. números de cuantas bancarias, números de tarjetas de crédito, etc.), si se ponen reglas de protección en la pasarela de email que permiten autoprotegerlos, facilitaremos que algunos se escapen de la organización por error.
Si disponemos en la organización de sistemas de DLP, complementándose con IRM, puede ser posible autoproteger estos datos en los equipos de los usuarios o repositorios cuando se encuentre un fichero con datos sensibles que deba ser protegido.
Por otro lado, si la organización dispone de una herramienta de clasificación de información, y se desea ponerla en valor para que realmente se protejan los datos, ayudaría poder asociar una política de protección a un determinado nivel de clasificación que haga que si un usuario clasifica un documento como “Confidencial – RRHH”, por ejemplo, éste se proteja deforma automática con una política donde sólo el área de RRHH tenga acceso.
Hay que recordar que la automatización no es una panacea. El enfoque de clasificar algo como “Confidencial” por ejemplo y asignar una política que lo proteja, no vale de nada si quien protege la información no tiene claro quién va a tener acceso (¿Podrá abrirla mi colaborador en la empresa X que necesita urgentemente estos datos?). Sin embargo, bien enfocado, sobre repositorios que se protejan de forma cómoda y automática, los beneficios pueden ser muy altos.
6. Afinar y evolucionar
Según el despliegue va madurando, conviene realizar puntos de control internos para ver cuáles son las políticas de protección más usadas, quién está protegiendo o no documentación, por qué, etc.
Esto permitirá afinar determinadas políticas de protección, refrescar la comunicación a determinados usuarios, etc. Por otro lado, permitirá detectar situaciones en las que la automatización puede ayudar, viendo por ejemplo que, si determinados datos se guardan en una carpeta de red, del equipo o nube, protegerla de forma automática facilitará la vida a los usuarios. Es importante proteger nuestros datos en la nube.
Es importante ir recogiendo feedback por parte de los usuarios, afinando el proceso y ampliando la protección a más áreas de la compañía. También fomentar la formación en áreas donde no se había dado, nuevas incorporaciones, etc. En este sentido, el soporte de unos servicios profesionales externos proactivos puede simplificar las tareas a los equipos de seguridad e IT.
Un enfoque flexible dependiendo del tipo de organización
No todas las organizaciones son iguales. Varía el tamaño, sector y casos de uso. Sí encontramos información del mismo tipo en empresas de diferentes sectores que tienen las mismas necesidades de protección, pero el enfoque en el despliegue debe estar adaptado a la casuística de cada una.
En una empresa más pequeña, la comunicación a los usuarios es más ágil, hay interlocutores bien identificados y la gestión de seguridad e IT muy centralizada. En una empresa más grande, la gestión de seguridad e IT puede estar distribuida, puede haber decenas de sistemas de almacenamiento de documentación, múltiples herramientas, y casuísticas muy diferentes dependiendo de los departamentos.
Sin embargo, conviene seguir una metodología similar, aunque se profundice más o menos determinados puntos. Por ejemplo, en una organización con decenas o centenas de miles de usuarios puede haber un enfoque de casos de uso para determinadas áreas clave, pero un enfoque de políticas más generales (ej. uso interno) para determinada información y que los usuarios tengan herramientas sencillas de utilizar para proteger la información de forma autónoma y sin depender de IT.
En todos los casos, tener el apoyo de Dirección y determinados “stakeholders” va a ayudar a extender una cultura de protección dentro de la organización, facilitar la implantación, y conseguir en definitiva los objetivos marcados de protección para minimizar posibles fugas de información, facilitar la colaboración segura, tener una mayor protección frente a brechas en la red o ayudar en el cumplimiento regulaciones.
Metodología probada implantando SealPath IRM en organizaciones de todos los sectores
SealPath dispone de una metodología práctica y probada en diferentes clientes de diferentes sectores y tipos de organización a lo largo de los años. SealPath trabaja con sus partners de canal para que esta metodología se implante en los clientes, facilitando despliegues exitosos de la protección IRM.
La estrategia de SealPath se basa en tres pilares: Facilidad de uso, clave para que el despliegue sea exitoso en usuarios de negocio, adecuación a las necesidades de empresas de cualquier tamaño incluyendo el área de Enterprise, y la automatización e integración con otras tecnologías (Cloud, DLPs, Clasificación, Repositorios de documentación, etc.). Uniendo estos tres pilares clave, con una buena metodología de despliegue y junto al foco de SealPath en la protección IRM o seguridad centrada en los datos, ya que no hacemos o comercializamos otro tipo de soluciones, hacen que podamos garantizar un despliegue exitoso de la tecnología en cualquier tipo de organización.
¿Quieres saber más? Ponte en contacto con nosotros y nuestros expertos te asesorarán e intentarán resolver todas tus dudas.
