Los activos más valiosos de una empresa son también los más difíciles de proteger.
Hablamos de datos, la sustancia esencial que mantiene vivo el sistema nervioso de toda empresa. Afortunadamente, existe toda una industria dedicada exclusivamente a ayudar a las empresas a evitar la pérdida de datos. Esta industria está liderada por un puñado de proveedores que brindan una tecnología conocida como Prevención de pérdida de datos o DLP para abreviar.
Las tecnologías DLP realizan dos funciones principales.
- Identificar los datos confidenciales que deben protegerse
- Prevenir la pérdida de tales datos
Los tipos de datos que protegen se pueden dividir en tres grupos principales:
- datos en uso
- Datos en movimiento
- Los datos en reposo
Los datos en uso se refieren a datos activos, típicamente datos que residen en RAM, memorias caché o registros de CPU.
Los datos en movimiento se refieren a los datos que viajan a través de una red, ya sea una red interna y segura o una red pública no segura (internet, red telefónica, etc.).
Y los datos en reposo se refieren a los datos que están en un estado inactivo, ya sea almacenados en una base de datos, un sistema de archivos o una infraestructura de almacenamiento.
En términos de capacidades de cobertura, las soluciones DLP se pueden clasificar en dos categorías.
- DLP empresarial o EDLP
- DLP o IDLP integrado
Las soluciones que entran en la categoría EDLP son aquellas que cubren todo el espectro del vector de fuga. Por el contrario, las soluciones IDLP se centran en un solo protocolo o en uno solo de los tres tipos de datos mencionados anteriormente. Algunos ejemplos de soluciones IDLP son la seguridad web, el cifrado de correo electrónico y el control de dispositivos.
Tabla de contenido
¿Qué esperar de una gran solución DLP?
No existe tal cosa como una solución única en DLP. La solución adecuada para cada necesidad depende de muchos factores. Estos incluyen el tamaño y el presupuesto de la organización, los tipos de datos confidenciales, la infraestructura de la red, los requisitos técnicos, entre otros. Determinar qué solución es la mejor para su empresa requiere esfuerzo e investigación para determinar qué elegir entre enfoques DLP, métodos de detección y arquitecturas de solución.
Después de investigar y analizar sus requisitos, su solución DLP ideal debería proporcionar el equilibrio óptimo de estos aspectos:
- Cobertura integral: los componentes de DLP deben cubrir la puerta de enlace de la red para monitorear todo el tráfico saliente y bloquear las fugas en forma de correos electrónicos y tráfico web/FTP. También deben cubrir los datos almacenados en todos los recursos de almacenamiento de la empresa y todos los puntos finales, para evitar pérdidas en los datos en uso.
- Consola de administración única: la administración de la solución DLP requiere esfuerzo y tiempo dedicado a la configuración/mantenimiento del sistema, la creación/administración de políticas, la generación de informes, la administración/clasificación de incidentes, la detección/mitigación temprana de riesgos y la correlación de eventos. El soporte de estas áreas requiere una única consola de gestión. De lo contrario, puede introducir riesgos innecesarios.
- Gestión de incidentes para el cumplimiento: cuando ocurre un incidente de pérdida de datos, su manejo adecuado es crucial. Debe ser consciente de que la pérdida de datos es inevitable, pero la diferencia entre una multa costosa y un tirón de orejas se puede hacer en la forma en que se maneja un incidente de pérdida de datos.
- Precisión del método de detección: por último, pero no menos importante, este aspecto de una solución DLP separa las buenas soluciones de las malas. Las tecnologías DLP dependen de un conjunto reducido de métodos de detección cuando llega el momento de identificar datos confidenciales. La coincidencia de patrones, utilizando expresiones regulares, es el método de detección más utilizado. Sin embargo, este método es muy impreciso, lo que genera largas colas de incidentes de falsos positivos. Las buenas tecnologías DLP deberían agregar otros métodos de detección a la coincidencia de patrones tradicional para mejorar la precisión.
Principales enfoques de DLP
Cuando las soluciones DLP comenzaron a crecer, todos los proveedores se acercaron a DLP con conjuntos de componentes diseñados para cubrir la infraestructura de la empresa. Hoy en día, la situación ha cambiado y no todos los proveedores utilizan el mismo enfoque. Estos enfoques se dividen en dos categorías principales.
- DLP tradicional
- Agente DLP
Algunos de los proveedores del mercado ofrecen DLP tradicional, como Forcepoint, McAfee y Symantec. El enfoque tradicional que ofrecen estos proveedores también es múltiple: brinda cobertura en la puerta de enlace de la red, en la infraestructura de almacenamiento, en los puntos finales y en la nube. Este enfoque fue lo suficientemente exitoso como para perfilar el mercado actual de DLP y fue el primero en obtener una parte importante de la cuota de mercado.
El segundo enfoque de DLP se llama Agente DLP o ADLP. Utiliza agentes de punto final a nivel de kernel que monitorean toda la actividad del usuario y del sistema. Es por eso que las soluciones que se ajustan a este enfoque también se conocen como soluciones Endpoint DLP.
No es fácil determinar qué enfoque es mejor para los requisitos de una organización. Depende en gran medida de los tipos de datos que deben protegerse, la industria en la que opera la organización y las razones para proteger los datos. Por ejemplo, las organizaciones de los sectores de la salud y las finanzas se ven obligadas a utilizar DLP para el cumplimiento normativo. Para estas empresas, una solución DLP necesita detectar información personal y de salud a través de diferentes canales y en muchas formas diferentes.
Por otro lado, si una empresa necesita DLP para la protección de la propiedad intelectual, la solución DLP a aplicar requeriría métodos de detección más especializados. Además, la detección precisa y la protección de datos confidenciales son mucho más difíciles de lograr. No todas las soluciones DLP tradicionales proporcionarán las herramientas adecuadas para este trabajo.
Arquitectura DLP: cómo sobrevivir a la complejidad de la solución
Las tecnologías DLP son sofisticadas. Requieren aportes de muchas áreas dispares: web, correo electrónico, bases de datos, redes, seguridad, infraestructura, almacenamiento, etc. Además, el impacto de una solución DLP podría llegar a áreas que no son de TI, como legal, recursos humanos, gestión de riesgos, etc. Para hacerlo aún más complejo, las soluciones DLP suelen ser muy difíciles de implementar, configurar y administrar.
Las soluciones DLP tradicionales agregan aún más complejidad a la receta. Requieren múltiples dispositivos y software para ejecutar la solución completa. Estos podrían incluir dispositivos (virtuales o reales) y servidores.
La arquitectura de red de la organización debe integrar esos dispositivos, y esta integración debe incluir inspección de tráfico de red saliente, bloqueo de correo electrónico, etc. Una vez realizada la integración, surge otro nivel de complejidad, la complejidad de gestión, que depende de cada proveedor.
Las soluciones Agent DLP suelen ser menos complejas que las tradicionales, principalmente porque requieren poca o ninguna integración de red. Sin embargo, estas soluciones interactúan con el sistema operativo a nivel de kernel. Por lo tanto, se requiere un ajuste extendido para evitar conflictos con el sistema operativo y otras aplicaciones.
Desglose de proveedores de DLP:
Acronis DeviceLock
Acronis DeviceLock La prevención de pérdida de datos proporciona una solución integral para puntos finales al proteger sus datos confidenciales mientras verifica las operaciones de información. No necesita perder sus datos necesarios debido a personas internas maliciosas o negligencia de los empleados; evitar la fuga de datos bloqueando los intentos no autorizados de transferir datos o acceder a otros archivos.
Obtenga información sobre la protección de datos, sus flujos y el comportamiento de los usuarios, y reduzca la complejidad de la protección de datos y los tiempos de generación de informes. Cumpla con las normas y estándares de seguridad de TI y reduzca los riesgos de fuga de información al manejar y hacer cumplir las políticas de uso de datos.
Vaya con actualizaciones sin interrupciones e integración nativa junto con la política de grupo. Acronis DeviceLock ofrece consolas de gestión central según los requisitos de su empresa. Le permite monitorear la actividad del usuario, recopilar registros, usar herramientas de informes, ver registros y obtener una arquitectura modular para controlar el TCO (costo total de propiedad).
Permita las operaciones necesarias para sus procesos de negocio y minimice las amenazas internas. Acronis DeviceLock ofrece soluciones como Microsft RDS, Citrix XenApp, Citrix XenDesktop, Reproductor de estación de trabajo de VMware, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation y VMware Horizon view. También puede controlar la sombra de datos, las alertas, el registro, el contexto y el contenido.
Regístrese para obtener una prueba GRATUITA de 30 días.
Administrar motor
Control de dispositivos ManageEngine Plus protege sus datos de amenazas al permitirle asignar controles de acceso basados en roles para los dispositivos, protegerlos de ataques de malware y analizar dispositivos.
El uso de dispositivos extraíbles como USB tiende a provocar la pérdida de datos, pero no es así; existen muchos otros problemas. Además, Device Control Plus previene sus datos al bloquear el acceso no autorizado a los dispositivos. Siga políticas simples como configurar el acceso de solo lectura, bloquear a los usuarios para que no copien los archivos de los dispositivos extraíbles y más.
Puede establecer restricciones para el tipo de archivo y el tamaño del archivo en función de los datos que maneja su empresa. Además, asegure la protección de datos en tiempo real al permitir una transferencia limitada de los datos. Identificar y eliminar dispositivos maliciosos es una tarea compleja; cree una lista de dispositivos en la que pueda confiar. Garantizará que ningún dispositivo pueda acceder a los puntos finales a menos que esté autorizado.
Realice un seguimiento de quién está utilizando el dispositivo en qué punto final con informes y auditorías para monitorear los intentos de piratería. La herramienta también ofrece alertas instantáneas si habrá algún acceso no autorizado. Descargue el software y realice una prueba GRATUITA de 30 días con las funciones.
Guardián digital
Guardián digital nació en 2003 como Verdasys, con el objetivo de proporcionar tecnología para evitar el robo de propiedad intelectual. Su primer producto fue un agente de punto final capaz de monitorear toda la actividad del usuario y del sistema.
Además de monitorear actividades ilegales, la solución también registra actividades aparentemente benignas para detectar acciones sospechosas. El informe de registro se puede analizar para detectar eventos que las soluciones TDLP no pueden capturar.
DG adquirió Code Green Networks para complementar su solución ADLP con herramientas DLP tradicionales. Sin embargo, hay poca integración entre las soluciones ADLP y TDLP de DG. Incluso se venden por separado.
Punto de fuerza
Punto de fuerza está situado en una posición privilegiada en el “cuadrante mágico” de proveedores de TDLP de Gartner. Su plataforma de seguridad incluye un conjunto de productos para filtrado de URL, correo electrónico y seguridad web. Esas herramientas se complementan con algunas soluciones de terceros de renombre: SureView Insider Threat Technology, Stonesoft NGFW de McAfee y Skyfence CASB de Imperva.
La arquitectura de la solución de Forcepoint es simple, en comparación con otras soluciones. Incluye servidores para administración, monitoreo de tráfico de red y datos, y bloqueo de correo electrónico/control de tráfico web. La solución es fácil de usar e incluye muchas políticas, clasificadas por país, industria, etc.
Algunas funciones hacen que la solución Forcepoint DLP sea única. Por ejemplo, la capacidad de OCR para detectar datos confidenciales en archivos de imagen. O clasificación de riesgo de incidentes, para permitir que los administradores del sistema vean qué incidentes deben revisarse en primer lugar.
McAfee
Desde su adquisición por Intel, McAfee no invirtió demasiado en su oferta de DLP. Por lo tanto, los productos no recibieron muchas actualizaciones y perdieron terreno frente a los productos DLP de la competencia. Unos años más tarde, Intel escindió su división de seguridad y McAfee volvió a ser una empresa autónoma. Después de eso, su línea de productos DLP obtuvo algunas actualizaciones necesarias.
La solución McAfee DLP se compone de tres partes principales, que abarcan
- La red
- Descubrimiento
- punto final
Un componente es bastante único entre otras ofertas de DLP: McAfee DLP Monitor. Este componente permite la captura de datos de incidentes provocados por violaciones de políticas, junto con todo el tráfico de la red. De esta manera, el componente permite la revisión de la mayoría de los datos y puede descubrir incidentes que de otra manera podrían pasar desapercibidos.
ePolicy Orchestrator de McAfee se ocupa de la mayor parte de la administración de la solución DLP. Pero todavía hay algunas tareas de administración que deben realizarse fuera de Orchestrator. La empresa todavía tiene que integrar completamente su oferta de DLP. Todavía está por saberse si se hará en el futuro.
Symantec
Symantec es líder indiscutible en el campo de las soluciones DLP, gracias a las continuas innovaciones que aplica a su cartera de productos. La empresa tiene la base instalada más grande de todos los proveedores de DLP. La solución tiene un enfoque modular, con un componente de software diferente requerido para cada función. La lista de componentes es bastante impresionante, e incluye Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover, etc.
En particular, el componente único Data Insight brinda visibilidad del uso, la propiedad y los permisos de acceso de datos no estructurados. Esta ventaja le permite competir con productos fuera del ámbito de DLP, lo que proporciona un valor adicional para las organizaciones que pueden aprovechar esta capacidad.
El DLP de Symantec se puede personalizar de muchas formas diversas. Casi todas las características tienen sus configuraciones, lo que proporciona un alto nivel de ajuste de políticas. Sin embargo, esta ventaja tiene el costo de una mayor complejidad. Es probablemente el más complejo del mercado y puede requerir bastantes horas para su implementación y soporte.
RSA
solución DLP de EMC, Prevención de pérdida de datos de RSAle permite descubrir y monitorear el flujo de datos confidenciales, como IP corporativa, tarjetas de crédito de clientes, etc. La solución ayuda a educar a los usuarios finales y a aplicar controles en el correo electrónico, la web, los teléfonos, etc., para reducir los riesgos de comprometer datos críticos.
RSA Data Loss Prevention se diferencia por brindar una cobertura integral, integración de plataformas y automatización del flujo de trabajo. Ofrece una combinación de clasificación de contenido, huellas dactilares, análisis de metadatos y políticas de expertos para identificar información confidencial con una precisión óptima.
La amplia cobertura de EMC incluye muchos vectores de riesgo. No solo el correo electrónico, la web y el FTP más comunes, sino también las redes sociales, los dispositivos USB, SharePoint y muchos otros. Su enfoque centrado en la educación del usuario busca generar conciencia de riesgo entre los usuarios finales, orientando su comportamiento cuando se trata de datos sensibles.
CA Protección de datos
CA Protección de datos (La oferta de DLP de Broadcom) agrega una cuarta clase de datos, además de los datos en uso, en movimiento y en reposo, que deben protegerse: en acceso. Su enfoque está en el lugar donde se encuentran los datos, cómo se manejan y cuál es su nivel de sensibilidad. La solución busca reducir la pérdida y el uso indebido de datos controlando no solo la información sino el acceso a ella.
La solución promete a los administradores de red reducir el riesgo de sus activos más críticos, controlar la información en todas las ubicaciones de la empresa, mitigar los modos de comunicación de alto riesgo y permitir el cumplimiento de las políticas regulatorias y corporativas. También sienta las bases para una transición a los servicios en la nube.
¿Ahorrarle millones o costarle millones?
De hecho, la mejor solución DLP podría ahorrarle millones. Pero también es cierto que podría costarle millones si no elige el adecuado para sus necesidades o si no lo implementa de la manera correcta. Si pensaba que elegir la solución DLP correcta era solo una cuestión de navegar por un cuadro de comparación de características, estaba equivocado.
Así que prepárese para hacer un gran esfuerzo no solo para poner en funcionamiento una solución DLP una vez que la compre, sino también para analizar todas las ofertas y elegir la que mejor se adapte a su organización.