Cómo evitar errores de implementación de DLP

Las herramientas de prevención de fuga de datos (Data Leak Prevention, DLP) son muy eficaces para reducir el riesgo de que los datos sensibles terminen donde no deben, pero como cualquier herramienta, si no se utilizan adecuadamente, los resultados no serán positivos. Al evitar algunas trampas comunes, una organización puede ahorrar tiempo y dinero al tiempo que se protege mejor a sí misma.

Estos son algunos puntos clave a tener en cuenta al implementar y usar herramientas de DLP:

• Establezca las expectativas correctas: Uno de los errores más comunes en las implementaciones DLP es no comprender qué es capaz de hacer la tecnología, y cómo integrarla adecuadamente en los procesos de negocio. DLP no es magia, y diferentes herramientas tienen diferentes capacidades, especialmente en relación con el análisis de contenido. Ninguna de ellas puede proteger completamente todos los datos de cada amenaza concebible. DLP se trata de la reducción del riesgo, no de la eliminación de amenazas. Es importante saber qué tipo de políticas pueden ser definidas, y qué opciones para hacerlas cumplir están disponibles, antes de comenzar una implementación. Luego, se debe tener el flujo de trabajo adecuado para manejar las violaciones a la  política. Si bien los recursos humanos y equipos legales rara vez participan en una infección por virus, pueden estar íntimamente involucrados cuando un empleado intenta enviar una lista de clientes a un competidor. Establezca una buena base de referencia desde el principio; sepa qué datos necesitan protección, las capacidades de las herramientas instaladas para protegerlos, y el flujo de trabajo para el manejo de incidentes.

• Comience con políticas pequeñas y bien definidas: Las herramientas de DLP no son necesariamente propensas a muchos falsos positivos, pero construya una mala política y una organización será inundada con malos resultados, o pasará por alto importantes pérdidas. Inicie una instalación con una sola política simple, de alcance limitado, en modo de monitoreo. Tómese el tiempo para ajustar la política, hasta que los resultados esperados se materialicen, y a continuación expanda la implementación añadiendo políticas y acciones de cumplimiento.

• Utilice la técnicade análisis adecuada, para el contenido correcto: Una vez hablé con una organización que se quejó sobre todos sus falsos positivos en DLP, pero resultó que había utilizado una técnica de análisis de contenido menos eficaz de la que ofrecía su herramienta DLP. Al cambiar a una nueva técnica (fingerprinting de base de datos, una metodología de asignación de "huellas" y características únicas), la organización redujo los falsos positivos a un nivel aceptable. La mayoría de las veces, los falsos positivos son positivos reales, pero denotan contenido que no representa ningún riesgo en ese contexto empresarial (por ejemplo, un empleado que utilice su número de tarjeta de crédito personal en un sitio web contra abusar del número de tarjeta de crédito de un cliente). Utilizar la técnica de análisis de contenido correcta o añadir contexto a una política puede reducir los falsos positivos, lo que permite un uso más eficaz de las herramientas DLP.

• Limpie los datos registrados antes de cargarlos en una política: Algunas políticas protegen los datos registrados, como una base de datos o un repositorio de documentos. Sin embargo, escanear contenido malo no proporcionará resultados eficaces. Para bases de datos, asegúrese de someterse a alguna limpieza de datos para eliminar el contenido malo (a menudo los datos de prueba) que puede crear falsos positivos. Por ejemplo, uno de mis clientes tenía listado '0 ' como número de seguro social en su base de datos, haciendo que cada 0 en un correo electrónico activara una alerta. Para los documentos no estructurados, excluir los membretes o pies de página corporativos que son comunes. No toma mucho tiempo, y mejorará sustancialmente los resultados.

• Comience con una buena integración de directorios (y con directorios limpios): Las políticas de DLP están estrechamente ligadas a los usuarios, grupos y listas. Es importante asegurarse de que la herramienta de DLP se integra correctamente con la estructura de directorios de la organización, y utiliza la función que existe en la mayoría de las herramientas de DLP para enlazar a los usuarios con sus direcciones de protocolo de configuración para cliente dinámico (DHCP). Algunas organizaciones son descuidadas con sus directorios, lo cual puede hacer difícil localizar a un usuario infractor (o aplicar políticas a las personas adecuadas). Revise los directorios para encontrar datos malos antes de la integración, y luego haga pruebas para asegurarse que la integración funciona correctamente (odiaría despedir a un empleado porque las direcciones IP se transpusieron).

• Trabaje estrechamente con las unidades de negocio, no solo inicie la imposición: Por último, no hay garantía de que los efectos de una política de DLP en las unidades de negocio serán completamente entendidos. Trabaje con la gerencia de esa unidad, y luego implemente las políticas, primero en modo de monitoreo, y luego en modo de notificación (es decir, que a un empleado se le dice cuando él o ella ha violado una política, incluso si la acción no está bloqueada). Recoja retroalimentación para afinar la política, y así equilibrar las necesidades del negocio y la gestión del riesgo.

Las herramientas de DLP son una poderosa manera de proteger el contenido sensible. Aunque sean eficaces y eficientes, fracasar al evitar los escollos arriba mencionados puede distanciar a la empresa y llevar a resultados pobres de DLP.

Sobre el autor: Rich Mogull tiene más de 17 años de experiencia en seguridad de la información, seguridad física y gestión de riesgos. Antes de fundar la firma independiente de consultoría de seguridad de información Securosis, Rich pasó siete años en la reconocida firma de investigación Gartner Inc., más recientemente como vicepresidente, donde asesoró a miles de clientes, fue autor de decenas de informes y fue constantemente calificado como uno de los principales ponentes internacionales de Gartner. Él es una de las autoridades más importantes del mundo en tecnologías de seguridad de datos, y ha cubierto temas que van desde las vulnerabilidades y amenazas, hasta marcos de trabajo para gestión de riesgo, y seguridad de aplicaciones.