Como bien sabemos, los datos son uno de los recursos más importantes de cualquier compañía y es fundamental el asegurarlos y protegerlos.
Las empresas sufren la pérdida de datos de diversas maneras: negligencias en la gestión de los dispositivos internos de almacenamiento, robo de información por parte de empleados malintencionados o ataques informáticos que buscan obtener información sensible de la empresa entre otros.
Podríamos decir que DLP (“Data Loss Prevention” en inglés) o prevención de “pérdida de datos”, es un conjunto de técnicas utilizadas dentro de una organización para prevenir la fuga o sustracción de la información por parte de los empleados.
¿Es el enfoque clásico del todo correcto?
La mayoría de las empresas utilizan el enfoque “Identificar, clasificar y proteger” en términos organizativos y de protección de la información.
Básicamente, consiste en identificar todos los datos, calcular el nivel de importancia o de “sensibilidad” si lo preferimos de cada uno de ellos, y proteger aquellos que sean esenciales
Pero ¿es esto suficiente a día de hoy?
La identificación de los datos ha funcionado todos estos años, gracias a que el alcance de la localización de estos era finito.
Los usuarios finales creaban los datos en sus “endpoint” (equipos) y los almacenaban en estos o en una ubicación de almacenamiento centralizada de la empresa, desde la cual, a su vez, transferían los datos para verlos y modificarlos en sus respectivos “endpoint” consiguiendo así lo que podríamos llamar un “circuito cerrado y controlado”.
Sin embargo, hoy en día la realidad es bastante distinta. Los usuarios pueden crear nuevos datos en cualquier lugar, desde cualquier dispositivo y, lo más importante, en los nuevos servicios “Cloud” de los que la empresa disponga lo cual dificulta esta identificación.
Con la clasificación ocurre algo parecido, y es que no sería suficiente. Las “etiquetas” que ponemos a los datos para clasificarlos según su importancia pueden no ser del todo eficaces, ya que requieren que los usuarios participen en el proceso y contradice directamente el principio básico de la implantación de un Data Loss Prevention.
Tengamos en cuenta, además, que los usuarios siguen cometiendo errores de seguridad y esto sin considerar a aquellos con malas intenciones que se saltan la seguridad a propósito.
Como último pilar de este enfoque, tenemos la protección, que tampoco está exenta de problemas muy similares a los mencionados anteriormente.
Nuevo Paradigma del Data Loss Prevention: SASE y ZERO TRUST
La protección de los datos debe tener en cuenta los siguientes principios básicos:
- Proteger todos los datos: No hay que decidir qué datos proteger. Lo ideal es proteger todos los datos.
- La protección de los datos debe seguir a estos independientemente de donde vayan, incluyendo el traslado a la nube y a las aplicaciones SaaS.
- Complementar la clasificación por una protección automatizada basada en el contexto y el contenido.
- Los usuarios pueden saber que la seguridad existe, pero no entorpecerles el trabajo. El flujo de trabajo de los usuarios o de la empresa no debe cambiar para amoldarse a las necesidades de seguridad.
- Sustituir las interminables reglas de DLP por políticas de salida de datos fáciles de mantener.
La aproximación de OPEN3S
En OPEN3S contamos con soluciones eficaces que ayudan a las organizaciones a proteger sus datos sensibles.
Soluciones centradas no solo en los silos tradicionales corporativos, sino también en el control del acceso a la nube y a las aplicaciones web, que entienden la necesidad de identificar con precisión las posibles violaciones y los riesgos a los que los datos pueden estar expuestos.
Nuestras soluciones se centran en cuestionar, permitir, bloquear, poner en cuarentena, cifrar o aplicar restricciones, así como integrarse con soluciones locales para evitar la pérdida y la exposición de datos que puedan significar pérdida de negocio, competitividad y reputación.
Por ejemplo, utilizar un Next Generation Secure Web Gateway (NG SWG) para inspeccionar los datos que se mueven en tiempo real hacia y desde distintos sitios web, o bien utilizar las capacidades CASB ya sea tanto datos en tránsito, en tiempo real, como por API para examinar los datos en reposo de aplicaciones SaaS (como Microsoft Office 365) o servicios IaaS (como AWS S3).
Porque el Digital Loss Prevention es más que usar patrones, keyword matching, regular expressions y diccionarios. Es aprovecharse del Machine Learning y la Inteligencia Artificial en el Cloud para reconocer textos en imágenes (OCR) o realizar fingerprinting, y todo ello en dispositivos corporativos y los no gestionados (unmanaged).
Si quieres saber más acerca de nuestras soluciones tanto en Infraestructura IT como en ciberseguridad, contacta con nosotros.
Autores: Gerardo Herrero (Inside Sales en Open3s) y Juan Fernando Romero (Business Development en Open3s)