¿Reducir el riesgo de fuga de información?

Hoy un cliente me preguntaba sobre posibles medidas a implantar para evitar la fuga de información corporativa, y me apuntaba a la utilización de DRM (Digital Rights Management) y DLP (Data Loss Prevention) para controlar el flujo de información, sobre lo que además tal y como me indicaba no hemos escrito nada en el blog. Me comprometo ya mismo a escribir sobre ello en las próximas semanas (si no pueden esperar hasta entonces, sobre DLP la gente de Websense tiene un PDF bastante detallado en este enlace), pero en cualquier caso, es pertinente comentar unos puntos básicos al respecto de estas tecnologías:

  • Este tipo de soluciones suelen tener un coste de adquisición e implantación no despreciable, si se pretende obtener una buena efectividad.
  • Además del coste económico implícito, el mantenimiento y gestión de estos sistemas y la información que generan requiere su tiempo, que puede ser significativo y que al final se traslada en un mayor coste.
  • Estos sistemas no son infalibles 100%; aunque limitan mucho la gestión no autorizada de información, no son la panacea ni hay que olvidar el resto de medidas (que incluyo en la segunda parte de esta entrada).
  • Finalmente, estos sistemas introducen restricciones al flujo de información que pueden generar un torrente de quejas entre el personal, que el Departamento de Informática debe estar listo para asumir y gestionar; dicho de otra forma, es bueno que la organización sea consciente de qué está implantando y que Dirección ofrezca todo su respaldo… para poder utilizarla de escudo en caso de apedreamiento público.

Teniendo estos puntos en cuenta, es lógico que algunas organizaciones decidan llevar a cabo la implantación de DRM/DLP, por las indudables ventajas que aportan al control de la información que fluye por la organización. No obstante, sin que sirva de comparación o contrapartida, dejando de lado sistemas específicos, mis recomendaciones (bastante más baratas, por otro lado) son las siguientes:

  • Disponer de normativas internas que especifiquen las funciones y obligaciones del personal, y de contratos de confidencialidad firmados con los empleados, que garanticen un respaldo legal en caso de robo «evidente» de información (el problema es que a veces no tiene nada de evidente).
  • Implantación de controles técnicos que eviten que una persona pueda acceder a recursos y documentación a la que no debería tener acceso.
  • Seguir la regla del need-to-know, y que a cada usuario se le otorgue acceso exclusivamente a lo que necesita para su trabajo, y no más que eso.
  • Definir niveles de confidencialidad que establezcan de manera incremental los controles necesarios para el acceso a los recursos.
  • Por último, pero casi lo más importante, concienciar a los usuarios sobre el buen uso de la información corporativa; quizá compartir el identificador de usuario con «el nuevo» que acaba de llegar y todavía no tiene acceso no sea tan buena idea, después de todo.

Todas estas medidas forman parte de un SGSI implantado y bien gestionado, que añade muchas más. Una opción alternativa es establecer restricciones a aquellos medios que pueden ser utilizados para la extracción de información, como son el acceso a Internet, los puertos USB y las grabadoras de CD/DVD, pero es algo para lo que también hay que estar (muy) preparado.

En definitiva, mi opinión es que una solución DLP/DRM es útil cuando se ha alcanzado un buen nivel de madurez en la gestión de la seguridad de la organización; hacerlo antes implica muy probablemente una implantación ineficaz que no (a)traiga más que problemas. ¿Cuál es su opinión al respecto?

Comments

  1. En 2 palabras: IM-POSIBLE. Hemos visto unas cuantas soluciones y considerando el coste que supone no compensa para nada (no cubren todos los escenarios y su integración con según que sistemas es complicado). Al final hemos optado por hacer «inventos» propios y sobre todo registrar, registrar y registrar la actividad de los usuarios. Cuando son conscientes de que dejan rastro hasta de los movimientos del ratón (por decir algo) se lo piensan 2 veces……

  2. Francisco Benet says

    Me dijeron una vez que cuando no existe la respuesta a una pregunta siempre se debe dar la mejor solución, en este ‘problema’ para mi la críticidad y por lo tanto el coste depende del entorno, que entiendo que es un entorno de datos críticos, no por su disponibilidad sino por su contenido.

    Si bien no existe la solución total, minimizar el riesgo es acometible desde varias perspectivas, pero no me atrevo a decir que aproximación coger ya que me parece que estan demasiado acopladas al entorno tecnológico y contexto de negocio de la información.
    Eso sí, seguro que en las siguientes semanas nos ilustrareis con diferentes ‘posibilidades’.

  3. Yo escribí hace un par de años sobre este nuevo enfoque de protección perimetral que cambiaba el foco de velar por la protección «Fuera–>dentro» a mirar desde la perspectiva contraria «Dentro->Fuera».

    No he visto soluciones tecnológicas funcionando pero las problemáticas que me plantean las habéis clavado vosotros ya en el post. Creo que es imprescindible gozar de un sistema de clasificación maduro de forma que podamos asumir que si filtramos por contenidos, todo lo que sea confidencial siempre estará etiquetado como tal.

  4. Alberto Rivas Sr says

    Aunque ya lo habeis dicho casi todo, podríamos añadir la formación y concienciación del personal como un elemento clave en la protección de los activos de información de la compañía. Las herramientas de trabajo que permiten compartir información, son una puerta abierta a la salida de la misma, copiar-adjuntar-enviar puede convertirse en una rutina sin limitaciones para los usuarios de los sistemas de información y dado que esta resulta ser una operación digamos íntima, -salvo que hayan sistemas de registro y seguimiento (logs), nada frecuentes-, es muy fácil caer en ello, excepto que se conciencie a cada usuario sobre su responsabilidad en el acceso, uso y transmisión de la información y en la necesidad de mantener el mínimo número de copias de la misma y destruirla cuando no sea necesaria. Este es otro punto interesante, la información no se tira a la papelera o al cubo de basura, sino que se destruye o se deposita en contenedores seguros para su destrucción.
    Parece una broma, pero la información se busca, se compra y se paga. Copias de diseños de procesos y sistemas son diariamente obtenidos de manera ilegal, por expertos en la búsqueda y siembra de fuentes de información que son bién cuidadas y compensadas, hasta ser descubiertas y sustituidas por otras. Lo que suele ocurrir es que estas fugas no se publican, en beneficio del buen nombre de las empresas que las sufren. Es entonces cuando se llama a los expertos que son requeridos a solucionar el problema de manera rápida, efectiva y económica, cosa poco menos que imposible ya que un plan de seguridad require análisis, tiempo y dedicación, sobre todo del personal interno, con la colaboración del departamento de Recursos Humanos que debe establecer calendarios obligatorios de asistencia a cursos, normas de actuación desde el punto de vista ético y medidas disciplinarias en caso de incumplimiento. Después de esto, podremos pensar en sistemas automatizados de control – que no de corección- para la detección de incidencias que muestren las debilidades a corregir (siempre las hay).