Cómo elegir DLP y no equivocarse: Funcionalidad, coste de propiedad y confianza en el proveedor

Los sistemas de protección contra fugas de información (DLP) suelen ser instalados por bancos, empresas de la industria petrolera y grandes minoristas. Sin embargo, el ámbito de actividad no es tan importante como el número de empleados. Normalmente, las empresas se interesan por los sistemas DLP cuando su plantilla supera las 50 personas. Entonces el control de la gestión se vuelve más difícil y la dirección equipa a especialistas técnicos para que observen más de cerca lo que ofrece el mercado para automatizar el proceso. Puede resultar difícil comprender de inmediato la abundancia de soluciones de diferentes proveedores. Aquí tienes una breve guía que te ayudará a poner los puntos sobre las íes.

Cómo y por qué funciona DLP

Históricamente, los sistemas DLP, como su nombre indica (prevención de pérdida de datos o prevención de fuga de datos), tenían como objetivo proteger a la empresa de fugas de información. Pero con la evolución del software, los clientes comenzaron a establecer tareas que inicialmente eran inusuales para él. Ahora proteger la información confidencial es solo una de las grandes funciones que realiza el sistema.

A veces es suficiente que una empresa reciba una señal a tiempo y bloquee la fuga, pero más a menudo es necesario comprender las causas del incidente para encontrar a los culpables y comprender si hubo malas intenciones. Por lo tanto, idealmente, DLP no sólo debería recopilar datos, sino también sistematizarlos para el análisis y la investigación de las infracciones registradas.

La información de la computadora de un empleado se intercepta a través de agentes: programas especiales instalados en las estaciones de trabajo. Pueden funcionar tanto en modo abierto como en modo oculto, incluso para usuarios avanzados. La segunda opción para interceptar información es a través de plataformas de red.

¿Contra qué estamos midiendo?

• Número de canales de control

Controlar el número máximo de canales de información (desde webmail hasta mensajería instantánea) es el principal requisito para la calidad del programa. Los principales sistemas DLP los rastrean a todos. Esto es útil cuando el sistema está entrenado para «detectar» fugas atípicas, porque los datos confidenciales se pueden transmitir no sólo por correspondencia. Hay muchas opciones: capturas de pantalla, impresión de documentos internos, copiar a una unidad flash, incluso una conversación oral por Skype o transferir archivos a través de Teamviewer.

• Control de calidad

DLP debe poder controlar la información transmitida en servicios de red con diferentes métodos de conexión. Todos los sistemas populares hoy en día le ofrecen la opción de trabajar en una interfaz web o mediante una aplicación. Los sistemas de seguridad de la información deben prever estas cosas; de lo contrario, no podemos hablar de una protección completa del canal.

• Fiabilidad y velocidad de operación DLP.

Los agentes instalados en las PC de los empleados no deben sobrecargar el sistema y el componente DLP de la red no debe provocar retrasos en la comunicación: DLP se verá comprometido y el gerente siempre preferirá la continuidad de los procesos comerciales a la seguridad.

A menudo, un sistema que funciona bien en 200 máquinas no funciona bien en 1000. Por lo tanto, es importante implementar pruebas en la flota de máquinas más grande posible. De esta manera se puede evaluar la carga real sobre la infraestructura y las capacidades técnicas del programa.

Asegúrese de que el agente esté «oculto» de forma segura para que los empleados no puedan eliminar o alterar accidentalmente la configuración del software. Algunos proveedores no le dan mucha importancia a esto, como resultado, el programa es descubierto incluso por un usuario normal, por no hablar de un administrador de sistema avanzado.

La «ligereza» del agente suele significar que la mayoría de los procesos en DLP ocurren en los servidores. Al mismo tiempo, es necesario asegurarse de que los fallos de conexión no afecten la estabilidad de la interceptación.

Los proveedores abordan este problema de manera diferente y es necesario encontrar la solución más confiable. Por ejemplo, si no hay conexión con el servidor, nuestros agentes archivan los datos recopilados y no se pierde nada. Una vez restablecida la conexión, los datos se transfieren para su posterior análisis.

• Capacidades analíticas

Las reglas de «buena forma» para DLP son tales que el software debe «descargar» tanto como sea posible a los especialistas en seguridad de la información, realizando las tareas principales de estructuración de incidentes. Hoy en día, el sistema debe ser capaz de detectar no sólo filtraciones, sino también amenazas no específicas:

• comportamiento fraudulento;
• utilizar la posición oficial y los recursos de la empresa para sus propios fines;
• espionaje corporativo;
• kickers, hechos de promoción de los intereses de los afiliados;
• grupos de riesgo entre empleados;
• Trabajo ineficaz e improductivo, ociosidad.

Pero la automatización completa del control sigue siendo una tarea utópica, y los empleados de seguridad de la información todavía tienen que verificar manualmente los resultados de algunos «trabajos». Para nivelar este factor, los sistemas DLP están avanzando hacia la prevención de infracciones mediante el análisis del comportamiento de los usuarios. Una de las direcciones es UEBA, pero aquí no han aparecido herramientas de trabajo.

Resolvemos este problema mediante la creación de perfiles automatizados. Le permite analizar la información recibida de DLP y determinar las cualidades personales de los empleados y la dinámica de sus cambios. Esto le permite limitar significativamente la búsqueda de incidentes y encontrarlos donde el infractor no deja rastros.

Cuánto cuesta

DLP generalmente se construye como un kit, por lo que es convenientemente escalable y fácil de implementar incluso en empresas con una estructura muy extensa. Pero esto hace que sea difícil calcular el costo de implementación de manera improvisada.

Muy a menudo, el precio consta de las siguientes variables:

• costo de las licencias (por 1 lugar de trabajo);
• costo de implementación;
• costo del soporte técnico;
• costo de obtener nuevas versiones;
• costo de equipos y software de terceros;
• salarios de especialistas en seguridad de la información y TI.

Cuanto más sólidas sean las capacidades analíticas integradas en DLP, menor será el costo de propiedad del sistema. Para analizar la situación de una empresa con la ayuda de un buen sistema DLP para 2000 empleados, basta con un especialista en seguridad de la información. 

Tiene sentido considerar estos costos como inversiones con un período de retorno de 3 a 5 años, aunque en la práctica suele ser más rápido. En nuestra práctica, sólo la identificación de circuitos laterales mediante DLP recuperó el coste de su compra en seis meses.

¿Quién es el vendedor?

Un argumento de peso “a favor” o “en contra” de una propuesta particular es su autor. Al elegir DLP, como cualquier otro producto, es necesario tener una idea sobre su fabricante: qué tan experimentado y confiable es el proveedor. La dificultad es que desde fuera, cuando se conoce por primera vez el campo, esto sólo se puede evaluar mediante signos indirectos: el número de oficinas, la plantilla de personal técnico, el número de clientes y la variedad de áreas que representan.

Algo importante también es no creer lo que el propio proveedor dice sobre sí mismo, ponga a prueba el programa y compruebe sus palabras sobre la experiencia en la práctica. Por ejemplo, entregamos el sistema para que lo pruebe en plena funcionalidad de forma gratuita; le recomendamos que le dé al software la carga máxima en el número máximo de canales. De esta forma podrá evaluar qué tan útil y confiable es el sistema. A continuación se ofrecen algunos consejos más sobre cómo decidir desde el principio si el proveedor le defraudará:

• Pruebe varios sistemas sucesivamente. Esto facilitará la evaluación tanto de los pros y los contras del software en sí como de la calidad del soporte técnico.
• Compare el volumen de interceptaciones en múltiples DLP. Si es demasiado diferente, lo más probable es que a uno de los sistemas le falte algo. En cuanto a la evaluación de las capacidades analíticas, vale la pena prestar atención al contenido informativo de los informes y a la disponibilidad de una base de datos de interceptación completa. Es importante que el sistema DLP recopile toda la información transmitida a través de canales seleccionados, y no solo las incidencias. Estos datos pueden ser invaluables si se necesita una investigación retrospectiva.
• Preste atención a si le resulta fácil encontrar información en la base de datos y analizar los datos. Esto es especialmente importante cuando la empresa no cuenta con un servicio de seguridad dedicado o todos los flujos de información están controlados por un solo especialista. En particular, en nuestra empresa una sola persona supervisa la situación de varios cientos de empleados que trabajan en decenas de sucursales.
• Trabaje con el programa durante al menos 2 semanas para comprender a fondo las posibilidades. Es mejor mantenerse en contacto constantemente con el soporte técnico. Preste atención a lo fácil que resulta para los especialistas navegar por el software.