Cada día es más común escuchar acerca de las leyes de protección de datos personales, así como de estándares y lineamientos a nivel nacional e internacional que buscan cuidar la seguridad de los datos. Año con año van mejorando los controles y tecnología para detectar accesos no autorizados o abusos en el uso de la información sensible.

En México muchas empresas e instituciones gubernamentales están trabajando para implementar los controles necesarios para cumplir con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares), la Ley Federal de Transparencia y Acceso a la Información Pública, o los Lineamientos de Protección de Datos Personales. Por su parte, las instituciones con operaciones de tarjetas de crédito deben cumplir con controles que pasen auditorías de PCI (Payment Card Industry) y no hay que olvidar cumplimientos como la CUB (Circular Única de Bancos) de la CNBV (Comisión Nacional Bancaria y de Valores) o quienes tienen que ser objeto de auditorías tipo Sarbanes-Oxley, por mencionar algunos.

Una herramienta que ayuda a salvaguardar la información es una solución de prevención de fuga de información (Data Loss Prevention, DLP, aunque algunos expertos prefieren decir Leakage). Hay numerosos fabricantes en el mercado que ofrecen soluciones enfocadas a protección de información, por lo que es recomendable conocer qué es exactamente lo que debemos considerar para evaluarlas y cuál es más conveniente para un ambiente particular. Algunos fabricantes con soluciones DLP son Proofpoint, RSA, Symantec, Trend Micro, McAfee, Websense, Check Point, Imperva, IronPort y CA.

Las soluciones de DLP cobran importancia cuando vemos cómo se han disparado los ataques contra la seguridad de la información. En el sitio Web www.datalossdb.org/statistics se presentan diferentes estadísticas en materia de incidentes de seguridad relacionados con pérdida, robo o exposición no autorizada de información personal.

.

¿Cómo protege DLP los datos?

Hoy las soluciones DLP ya tienen mucha presencia en el mercado. Las empresas públicas y privadas se dieron cuenta de que la información no se protege solo por los firewalls o los sistemas de prevensión de intrusos que se pongan en la red, sino que además se requieren herramientas que se dediquen a revisar efectivamente qué está interactuando con la información misma.

Ya que los datos tienen  diferentes matices, se ha convenido una clasificación de datos para protegerlos, dependiendo su ubicación o manipulación. Es necesario considerar cómo se presentan los datos, ya que estas sutilezas determinan cómo serán protegidos:

  • Datos en descanso (Data at rest): se refiere a datos almacenados en cualquier medio y con los cuales no existe interacción alguna con el usuario en un momento específico. La protección se brinda a los dispositivos en los que residen para que no sean copiados, movidos o eliminados, salvo en aquellos casos en que se cumplan las reglas que expresamente lo permitan.
  • Datos en tránsito (Data in transit): flujo de datos a través de cualquier medio. La manera más común de encontrar datos en tránsito es en la red de cualquier corporación.
  • Datos en uso (Data in use): son los datos que están siendo accedidos o manipulados por un usuario o programa. Esto implica colocar la información en memoria volátil, tipo RAM, o que alguna aplicación o proceso esté interactuando con los datos. Como ejemplo para identificar la sutil diferencia digamos que un dato en un dispositivo USB está “en reposo” a menos que sea accedido para su lectura; una vez invocado el dato para lectura cambia de “en reposo” a “en uso”.

Esta naturaleza del movimiento de los datos hace que las soluciones DLP no existan como una manera estática de protección de datos; constan de herramientas colocadas en puntos diferentes de la infraestructura corporativa y por lo general no se pueden ubicar exclusivamente en el perímetro de la red o en servidores específicos. Podemos decir que hay dos clasificaciones básicas de soluciones:

  • DLP de red: es colocada en segmentos de red donde se quiere monitorear el tráfico que fluye en un punto en particular. Se aplican comúnmente para control de flujos de información en correos Web, mensajería instantánea o como puerta de entrada a un correo institucional o servidor especializado (Intranet, base de datos, servidores Web, etcétera).
  • DLP de host: están enfocados al control de la información residente en un equipo de cómputo o servidor, evitando que salga por cualquier medio (red, puertos USB, copiados en memoria, etcétera).

.

¿Estoy listo para contar con una solución de DLP?

Constantemente he escuchado que una solución DLP no funciona, no brinda la solución que el cliente está esperando realmente, la implementación tarda demasiado, o, lo que es peor, afecta la operación crítica del cliente ¿Qué pasa? La tecnología no tiene la madurez de un firewall o un Proxy de navegación Web, sin embargo muchas funcionalidades de los fabricantes son, por lo menos, suficientes para satisfacer las necesidades elementales de protección y prevención de fugas de información.

Los fabricantes tienden a comentar que una solución de DLP está lista y configurada en una semana. Esto no es mentira, una implementación de “fierros” de este tipo suele ser poco complicada. En dado caso, lo más complejo es considerar almacenamiento de evidencias y su manipulación, sin embargo, no nos podemos limitar solamente a la tecnología. Los fabricantes también lo saben, solo que no siempre lo dicen.

Antes de realizar una implementación de DLP, es imprescindible realizar primero trabajos consultivos, que pueden ser considerados como parte del proceso de implementación o como trabajos separados. Una buena implementación de DLP debe estar precedida, por lo menos, de dos actividades previas que son complementarias entre sí:

  • Clasificación de información: ninguna solución de DLP podrá aplicar una política de prevención o fuga de información si antes no se alimenta con una categorización acorde con las necesidades de la organización.

Hay soluciones que permiten hacer descubrimiento de información en activos críticos como bases de datos. Sin embargo, los patrones a buscar pueden o no ser estándares y por ello las reglas del negocio tienen que definir lo que la solución DLP deberá encontrar para filtrar. Una configuración incorrecta en este sentido tendrá dos  posibles fallos: la tecnología bloquea acciones legítimas (afectando la operación de la empresa), o bien, la tecnología posibilita una fuga de información, haciendo inútil el esfuerzo de las implementaciones DLP.

La clasificación de información no es realizada necesariamente por personal técnico. Es posible que incluso la gente de cualquier departamento de sistemas no se involucre del todo. Este trabajo debe ser conducido por personal con conocimiento del negocio y que pueda traducir los términos de negocio a términos de bits y bytes para implementar las soluciones adecuadas. Será común que cualquier esfuerzo aislado consiga resultados limitados.

  • Roles y responsabilidades delimitados y documentados: la clasificación de la información no servirá de mucho en tanto no estén bien delimitados los roles y responsabilidades, al menos para determinar al personal que puede manipular la información. Las reglas del juego deben ser acatadas por todos los jugadores y la solución DLP deberá actuar en concordancia con las necesidades que cada rol tiene definido en la organización. En otras palabras, la solución DLP será la habilitadora de las reglas definidas para cada rol en la organización, actuando en consecuencia y conforme a las necesidades de operación.

La gente que define los roles en una organización no es técnica en sistemas, pero cada gerente o director en una organización debe saber qué responsabilidades, e incluso derechos, tiene el personal a su cargo, y cómo deben interactuar sus subordinados con la información que manejan.

.

Los trabajos consultivos son solo una parte

Como podemos apreciar, el esfuerzo resulta complejo en organizaciones medianas. En grandes corporaciones, la tarea parece ser titánica entre toneladas de información de diferente índole, además de las traducciones que hay que hacer del mundo binario al mundo humano.

El rol de un CISO (Chief Information Security Officer) desarrolla una función clave en las organizaciones. Es aquí donde se percibe por qué el CISO no debe ser visto como una posición de poder y gasto, sino como un habilitador y gestor de una tarea crítica como la protección de la información, entre otras. Es él quien entenderá la visión del negocio y medirá el riesgo en diferentes aspectos de la organización, conformará un equipo de trabajo y traducirá este conocimiento de negocio en necesidades y proyectos técnicos.

El perfil de CISO demanda gente con capacidades combinadas, por lo que es muy complicado encontrar al personal que asuma esas responsabilidades, debido a los llamados “soft-skills” o habilidades de la persona para relacionarse, comprender el negocio, entablar relaciones de confianza, evaluar riesgos y, además, entender el complicado mundo de TI (redes, servidores, cómputo en la nube, bases de datos, seguridad informática, etcétera).

Por si fuera poco, con cada cambio en las organizaciones se requiere de revisiones en los trabajos realizados para mantener corriendo una solución DLP. El CISO, con el apoyo de su equipo de trabajo, podrá brindar a la compañía una revisión periódica que permita que los sistemas de prevención de fuga de información estén en sintonía con las necesidades de negocio.

Finalmente, el CISO siempre debe tener el apoyo de la alta dirección. Traducir de vuelta los bits y bytes en ahorros, inversiones, presupuestos y seguridad es un reto que el CISO deberá cumplir. Cualquier proyecto de seguridad no es palpable y es visto como gasto hasta que causa multas, daños a imagen corporativa o demandas.

Una vez más se puede apreciar que la tecnología, como he escrito en otras ocasiones, no es lo único. La tecnología, con los documentos en su lugar y con la gente capacitada para este fin, podrán ayudar en su conjunto a las organizaciones a proteger el segundo activo más valioso con que cuenta la compañía: la información.

[email protected]