Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo seleccionar una solución de DLP: 9 consideraciones inusuales

[05/03/2021] La prevención de la pérdida de datos (DLP, por sus siglas en inglés) es una solución cada vez más popular en los conjuntos de herramientas de los equipos de seguridad de la información de las empresas. Sin embargo, los criterios para elegir los sistemas de DLP suelen ser borrosos y se asemejan a una lista de comprobación para comprar un antiséptico. Como resultado, eligen una marca que emplea una publicidad más intrusiva y promete campanas y silbatos, todo ello con una etiqueta de precio atractiva.

La advertencia es que estos sistemas ofrecen muchas características que no aparecen en los folletos de marketing. El costo de una elección errónea en este caso es mucho mayor que cuando se compran productos químicos para el hogar. Es mejor que los expertos en infoseguridad examinen las características más allá de una comparación formal de las funciones disponibles.

Hoy en día, muchos sistemas DLP ofrecen diferentes niveles de sofisticación entre los que elegir. Una característica extra mencionada en la tabla comparativa es siempre un reclamo, pero no significa necesariamente que la ventaja vaya a satisfacer las expectativas del cliente. Con las prisas por lanzar sus productos, algunos editores de software descuidan la calidad, la experiencia del usuario y la fiabilidad.

La principal ventaja de una solución empresarial tecnológicamente madura es que el proveedor puede mantenerla adecuadamente y lanzar nuevas funcionalidades. Los sistemas de DLP suelen seleccionarse sobre la base de un horizonte de planificación de tres o cinco años, por lo que el cumplimiento de los requisitos actuales no es el único criterio de selección. Es necesario entender hacia dónde se dirige el proveedor, y predecir qué tareas y problemas podría afrontar su empresa en el futuro.

Las siguientes consideraciones le indicarán la dirección correcta para entender la calidad de la solución. y si su inversión le permitirá obtener un producto que cumpla plenamente con los estándares fundamentales del software empresarial.

Bloqueo de contenidos

Un sistema de DLP está orientado a frustrar las fugas de datos causadas por descuidos de los empleados o por malware. Terminar una operación dudosa de forma proactiva es la única manera de lograr este objetivo. Sin embargo, algunas empresas optan por aprovechar estas soluciones en modo de supervisión en lugar de manipular directamente los movimientos de datos.

Al mismo tiempo, toda la información se almacena en archivos, y los responsables de seguridad suelen responder a las filtraciones a posteriori. Dicho esto, la necesidad de funciones de bloqueo de contenidos puede perder prioridad, ya que su uso activo no está previsto.

Al tomar la vía de la monitorización menos intrusiva, los profesionales de la infoseguridad también pueden intentar evitar los falsos positivos o las fallas del sistema de DLP. Por ejemplo, si la solución reacciona de forma exagerada ante un evento sospechoso interrumpiendo el correo electrónico u otro servicio igualmente crítico, las consecuencias podrían superar las consecuencias de una fuga de datos.

Este escollo es principalmente inherente a los sistemas de DLP poco sofisticados que ofrecen escasas opciones de configuración. Una filtración de datos que se produzca por la falta de un modo de bloqueo puede ser tediosa y costosa de recuperar. Además, un número cada vez mayor de normativas internacionales (como el GDPR de la Unión Europea) exigen que las organizaciones utilicen el bloqueo de contenidos para evitar las filtraciones de datos, y las empresas corren el riesgo de pagar enormes multas por incumplimiento.

Algunos mecanismos de comunicación supervisados por las herramientas de DLP no pueden bloquearse por razones técnicas. Por ejemplo, la supervisión pasiva es la única opción con los sistemas de mensajes de Telegram y WhatsApp debido a las peculiaridades de las técnicas de cifrado de datos que utilizan. No obstante, un sistema de DLP es ineficaz si no permite bloquear el correo electrónico, las impresoras, los puertos USB y los servicios web basados en HTTP/HTTPS cuando se detecta una actividad anómala.

Políticas y análisis de contenido

No todos los sistemas de DLP actuales se diseñaron originalmente como instrumentos de protección completos. Algunos desarrolladores incorporaron una capa de seguridad desde el principio y la complementaron con controles adicionales para supervisar el resto de los canales de comunicación más adelante. Dado que las restricciones y características únicas del módulo original deben alinearse con las mejoras posteriores de la arquitectura, el resultado podría estar en desacuerdo con la eficiencia esperada del producto final.

Por lo tanto, las peculiaridades de cómo un sistema de DLP implementa el análisis de contenidos pueden dar pistas sobre el punto de partida de su evolución. Por ejemplo, si un agente de punto final en un dispositivo supervisado utiliza el protocolo SMTP para enviar datos al servidor de DLP para su análisis, entonces es seguro deducir que la solución solo contenía un módulo de inspección de correo electrónico en sus inicios. En este escenario, el agente podría no recibir el veredicto de análisis del servidor. Si no lo hace, entonces el bloqueo de contenidos no es posible para situaciones en las que un archivo se imprime o se guarda en una unidad de disco duro.

Otro punto débil de esta implementación es que depende de una conexión permanente con el servidor, lo que significa que la congestión de la red puede interrumpir el proceso. Es una buena idea comprobar si una solución de DLP puede priorizar el tráfico de red.

Con una arquitectura bien pensada, el análisis de contenidos debe llevarse a cabo en el lugar donde las políticas están en vigor, a nivel del agente del punto final. De este modo, no es necesario enviar grandes cantidades de datos a través de la red, y el reto de la priorización del tráfico no forma parte de la ecuación de seguridad.

Sin conexión a la red de la empresa

Además de implementar el análisis de contenidos y aplicar las políticas de la empresa, el agente de DLP necesita enviar al servidor los registros de eventos, las copias en la sombra de diferentes archivos y bastante otra información. Estos valiosos detalles no deben perderse si el repositorio de datos del servidor es inaccesible. Normalmente, dicha información permanece en un disco local y se envía al servidor en cuanto se reanuda la conexión.

Según el estado de la conexión con el servidor, deben activarse diferentes políticas. Deben especificarse cuando se establece la conexión, cuando el punto final se conecta a través de un servicio VPN, o cuando la conexión está caída. Esto es especialmente importante cuando un empleado con una portátil de la empresa está fuera de la oficina, por ejemplo, en un viaje de negocios o trabajando remotamente desde casa.

Comodidad

Los distintos usuarios pueden tener perspectivas diferentes en cuanto a la comodidad de uso y administración del sistema. Algunos prefieren utilizar una línea de comandos para gestionar un DLP, mientras que otros prefieren establecer políticas y reglas mediante lenguajes de scripting. En muchos casos, la disponibilidad de una interfaz ágil e intuitiva podría interpretarse como el sello de un producto de calidad cuyos módulos importantes están igualmente bien diseñados.

Cuando se trata de la experiencia del usuario con la interfaz, hay que tener en cuenta varios matices. En primer lugar, es preferible un panel de control administrativo todo en uno. Las consolas web son las más comunes hoy en día. Son compatibles con diferentes plataformas, no requieren ningún software adicional y son muy fáciles de usar en dispositivos móviles.

Si un producto ofrece consolas separadas para trabajar con diferentes módulos, significa que no fue creado como un sistema único y completo. Lo más probable es que estos componentes hayan sido integrados en la solución por diferentes equipos de ingeniería de software o proveedores, y luego encadenados entre sí durante el ciclo de desarrollo.

Otra faceta de un sistema bien adaptado se reduce a lo que se denomina políticas "omnichannel". A modo de ejemplo, si hay que establecer una política para gestionar los contratos legales, se puede hacer una vez y solo hay que especificar los canales (correo electrónico, unidades USB, servicios web, etc.) que debe cubrir.

En un sistema de DLP de diseño rudimentario, hay que crear por separado políticas similares para cada canal. Aunque al principio esto parece no ser gran cosa, se convierte en un lío a medida que crece el número de políticas. Cuando hay docenas de ellas, y sus reglas definen condiciones múltiples que incluyen plazos y grupos de usuarios, resulta enormemente engorroso mantenerlas todas sincronizadas.

Requisitos de recuento de servidores

Otro signo revelador de un diseño de DLP inmaduro es un número excesivo de servidores que el sistema requiere para su correcto funcionamiento. Por ejemplo, si un proyecto piloto para hasta 100 empleados necesita más de un servidor, esa arquitectura podría mejorar y lo más probable es que requiera recursos adicionales en la fase de producción.

Una solución de primera categoría garantiza un escalado bien equilibrado en todas las direcciones. Para las grandes organizaciones, debería existir la opción de aislar algunos componentes del sistema y asignar recursos de servidor independientes a cada uno. Sin embargo, para las redes informáticas más pequeñas, el número de servidores para mantener el sistema de DLP funcionando sin problemas no debe ser desproporcionado.

Implementación flexible

Un sistema de DLP que se precie debe ofrecer suficiente margen de maniobra en cuanto a los mecanismos de implementación. Esto no solo facilita el entrelazamiento de la solución con la infraestructura digital existente, sino que también le permite lograr un equilibrio entre la funcionalidad y la carga de procesamiento mientras mantiene el control de múltiples canales.

Varios sistemas de toda la gama de DLP ofrecen la opción de controlar todos los canales a nivel del agente de punto final. El proveedor puede beneficiarse de una herramienta así al reducir el tiempo de desarrollo y disminuir los gastos de ingeniería de software.

Esta arquitectura no está a la altura de los estándares empresariales. Tiene más sentido administrar los canales de red en el nivel del gateway. Para los despliegues de DLP a gran escala, ésta podría ser la única opción razonable. Aparte de utilizar el agente de punto final como fuente para controlar los movimientos de datos, una herramienta eficaz de DLP ofrece los siguientes vectores de implementación alternativos:

  • Integración con el servidor de correo. Esta táctica permite, además, supervisar el correo electrónico interno.
  • La opción de recibir la correspondencia del correo desde un buzón técnico.
  • El uso del Protocolo de Adaptación de Contenidos de Internet (ICAP, por sus siglas en inglés) para integrarse con la pasarela de Internet existente.
  • }Un servidor de transporte de correo independiente.

Los principales proveedores ofrecen sus propios servidores proxy que se integran perfectamente con el sistema DLP para supervisar tanto el tráfico HTTP como el HTTPS.

Infraestructura en la nube

Dado que numerosas empresas están cambiando al modo de trabajo remoto y al mismo tiempo quieren ahorrar dinero en servicios de seguridad, las soluciones de DLP en la nube crecerán definitivamente en calidad y cantidad. Ya hoy en día, a menudo se requiere mantener los componentes del servidor de un sistema de DLP en la nube. Esto ocurre, por regla general, con proyectos piloto o en organizaciones pequeñas.

El archivo de un sistema de DLP contiene todos los secretos corporativos, y no muchos empresarios están dispuestos a colocarlo en un entorno no controlado. Sin embargo, si el sistema de DLP no admite la opción de alojar módulos de servidor en la nube, esto puede tener consecuencias adversas en algún momento.

También hay problemas con el control del almacenamiento y los servicios en la nube. Pueden darse, por ejemplo, cuando una organización utiliza Google Workspace (el renombrado G Suite) o los servicios de correo de Office 365. Aquí hay muchos matices. Por ejemplo, para acceder a los servidores de correo, se puede utilizar tanto el navegador como un cliente clásico como Microsoft Outlook. Para cada opción, hay que aplicar protocolos diferentes.

Además, cuando se utiliza el almacenamiento en la nube en una organización, es necesario asegurarse de que un sistema de DLP escanea regularmente todas las carpetas de la nube para controlar la información confidencial almacenada en ellas. Para resolver estos problemas, ha irrumpido en escena todo un nuevo grupo de soluciones llamadas brokers de seguridad de acceso a la nube (CASB). En cuanto a las tareas que resuelven, estos sistemas son conceptualmente cercanos a los DLP.

Integración con otros sistemas de seguridad de la empresa

En este contexto, no me refiero a la integración con Microsoft Active Directory, ya que ésta debería ser una característica incorporada por defecto en cualquier sistema de DLP actual. En cambio, me refiero a la integración con los siguientes tipos de soluciones:

  • Gestión de información y eventos de seguridad (SIEM). Podría decirse que ésta es una de las lagunas de compatibilidad más comunes en el ecosistema de seguridad de las empresas. Todos los especialistas en infoseguridad quieren que los eventos del DLP se integren con el SIEM. Aunque la gran mayoría de los sistemas SIEM modernos son capaces de descargar datos de una base de datos de DLP, este tándem es mucho más eficaz si la solución de DLP es compatible con protocolos como Syslog y CEF desde el principio. Si lo hace, se puede configurar el sistema de DLP para que esté al tanto de la información que acaba en la base de datos SIEM.
  • Gestión de derechos digitales de la empresa (EDRM). Este tipo de sistemas complementan las soluciones de DLP y viceversa. Cuando se combinan, los dos forman una capa de protección sólida como una roca, siempre y cuando se realicen las configuraciones adecuadas. En este escenario, el DLP no tiene problemas para interpretar las políticas de EDRM, y puede utilizar algunas de sus reglas en sus propias políticas en relación con actividades como la generación de informes o la búsqueda en el archivo. Además, el sistema de DLP puede aprovechar plenamente algunas políticas de EDRM de acuerdo con principios predefinidos.
  • Sistemas de clasificación de datos. Las mejores herramientas de DLP deben ser capaces de procesar las marcas y etiquetas de los documentos incorporadas por sistemas de clasificación de datos como Titus y Boldon James. Esto permite tomar un atajo en términos de clasificación de datos si este tedioso proceso ya ha sido completado por un servicio ad hoc.

Compatibilidad multiplataforma

Un buen sistema de DLP debe ser compatible con diferentes plataformas de puntos finales. La funcionalidad de las herramientas más rudimentarias se limita a la compatibilidad con Windows. Sin embargo, esto podría ser insuficiente. Quién sabe, quizá algún día nos enfrentemos a un cambio masivo a Linux. El lado positivo es que varios sistemas de DLP ya ofrecen módulos de agente para Windows, Mac y Linux.

También hay que mencionar los dispositivos móviles con iOS y Android. Por razones técnicas, actualmente es casi imposible crear un agente completo para smartphones y tabletas, especialmente los fabricados por Apple, que también sufren diversos ataques. Dadas las circunstancias, una consola web es una forma óptima de interactuar con un DLP sobre la marcha. Por lo tanto, al aplicar la estrategia BYOD, puede (y debe) utilizar una solución de gestión de dispositivos móviles (MDM). Ésta le permitirá utilizar las capacidades integradas en el sistema operativo móvil, crear políticas de privacidad y minimizar el riesgo de fuga de datos.

Los sistemas de DLP han evolucionado de forma heterogénea. Este factor afecta al grado de su integridad, a su funcionamiento bien coordinado y a la capacidad de soportar canales individuales de distribución de información. En el mundo moderno, el precio de una solución de este tipo y los consiguientes costes de mantenimiento marcan la diferencia. Sin embargo, una DLP fiable merece la pena la inversión, ya que aborda diferentes problemas de seguridad.

Puede ver también