Zecurion el DLP más seguro

DLP ¿es un dolor de cabeza más?

Si usted es de las personas que cree que un DLP (Data Loss Prevention) es una funcionalidad adicional a su antivirus, este artículo es para usted, y no para cambiar su opinión, sino para darle argumentos que pueden reforzar su pensamiento o evaluarlo, y evitarle dolores de cabeza futuros.

DLP es una tecnología madura, con más de 10 años en el mercado y que siempre ha causado curiosidad. Ahora, el alcance de un DLP depende de las necesidades de su empresa, y de como quieran aprovechar un sistema DLP en su organización.

Son muchas las personas que consideran que DLP es bloquear (lógicamente) los dispositivos USB y con eso quedan satisfechas.

¿Es esa su necesidad? ¿Que no se copie información a medios externos?

Si la respuesta es sí, entonces DLP para usted es control de dispositivos y la mayoría de los antivirus del mercado tiene esa funcionalidad, por lo tanto, casi que sin comprar ningún elemento adicional usted puede bloquear dispositivos y tener la sensación de un DLP, con eso no le va a doler más la cabeza.

Probablemente su pensamiento de DLP = Control de dispositivos, tenga algún asentamiento en alguna certificación para su organización.

El primer motivador para implementar un DLP (o características de DLP) usualmente es cumplir con alguna regulación de algún sector especifico.

Cumplimiento es una oportunidad excelente para mentes inquietas que aprovechan las ordenes legales para mejorar las condiciones de la empresa, en este caso condiciones de seguridad.

Sin embargo, cumplir muchas veces es solamente llenar un requisito (que pudiese convertirse en un dolor de cabeza) para obtener la tan necesitada certificación.

Se debe entender en seguridad informática, que una cosa es cumplir y otra (casi siempre independiente de una certificación) es proteger o estar seguro.

Casos se han visto de compañías que instalan algún antivirus para obedecer la norma y con eso demuestran que tienen una herramienta requerida (y cumplen su certificación) y a pesar de tener protección están infectadas hasta las cafeteras inteligentes.

En estos casos tener un sistema adicional (un antivirus) es un dolor de cabeza, que no es administrado, actualizado ni aprovechado para mejorar las condiciones laborales y de seguridad de la empresa.

Volviendo al tema del DLP, conozco el caso de una empresa de químicos, con antivirus líder del mercado que brinda posibilidades de DLP y que está viendo como en su mercado productos muy similares a los desarrollados por la compañía son ofrecidos por competidores con menos recursos de investigación y desarrollo que los de ellos.

Hay sospechas (ya difíciles de confirmar) que sus formulaciones están en manos equivocadas y que tal vez, aunque no es posible copiar información a USBs, esta información confidencial se encuentra en las manos que no deben estar.

Esta compañía que menciono tiene cumplimiento y certificaciones de “DLP”, pero también tiene una pérdida de información gravísima.

El valor de la información

Para saber si se filtró alguna información y quien lo hizo se requeriría un análisis forense de alto nivel que probablemente a estas alturas no arroje ninguna pista.

Este análisis forense de todos los sistemas tratando de esclarecer quien lo hizo y cuando, estoy seguro sería un gran dolor de cabeza y muy difícil de manejar.

DLP, aparte de ofrecer los servicios de vigilancia permanente sobre la actividad de los usuarios, debe permitir agilizar investigaciones forenses y más que prevenir (evitar que alguien copie algún archivo o lo envíe por correo), ayudar a predecir cómo o quién puede estar involucrado en una fuga de información (sí, predecir, basado en comportamiento del usuario, saber quién es más propenso a promover una fuga de información).

Canales como correo, navegación de internet, unidades internas de almacenamiento deben ser monitoreadas y cualquier acción no tradicional en el computador o en algún sistema de cualquier empleado debe ser alertado.

Estas alertas deben ser analizadas por personal experto que puede tomar decisiones y saber a qué sospechoso “seguir”, grabar pantallazos, teclado, encender micrófonos para tener toda la evidencia y evitar la fuga de información.

Como pueden ver estas son ventajas que una oferta de control de dispositivos tal vez no permite. Volviendo a la compañía de químicos, cuantos dolores de cabeza se hubieran evitado si un DLP les hubiera ayudado.

Si por cumplimiento su compañía debe tener un DLP, piense que esta funcionalidad obligada por una tercera parte puede representarle a su empresa muchas posibilidades de protección y asegurar su permanencia en el mercado y es la oportunidad de asegurar su información y evitarse dolores de cabeza futuros.

Aproveche la coyuntura legal y ayude a su empresa a tomar la decisión más acertada y que esa decisión sea una herramienta que ayude a la seguridad informática de la organización.

Qué debe tener en cuenta antes de escoger e implementar un DLP

Prepararse para la selección e instalación de un sistema DLP (Data Loss Prevention) en su infraestructura, es una labor que requiere dedicación y que puede asegurar el éxito del nuevo sistema de prevención de fuga de información en su empresa.

Tener los conceptos claros de esta tecnología le simplificará ambas labores.

Sin importar las motivaciones de la organización, incluir un DLP en su infraestructura es una gran ventaja que puede complementar la estrategia de protección de información confidencial.

Antes de seleccionar cualquier opción del mercado contabilice las características del producto que mejor ayude a prevenir la fuga de información.

Tenga en cuenta que más características no significan mas costo, significan una mejor definición de sus necesidades.

¿Qué características son las recomendadas para escoger el DLP que mejor se adapte a las necesidades de la organización?

Control de dispositivos (incluyendo copia oculta de toda la información que salga, posibilidad de cifrado y/o bloqueo de la información a copiarse).

Búsqueda de información (tanto en los equipos de los clientes como en los servidores de la red sin importar si es un documento de ofimática o una imagen) y posibilidad de definir esa búsqueda conforme a los indicadores propios de la organización (definir huellas digitales propias, tecnologías.

Análisis de trafico (tanto web como correo deben poder ser analizados buscando información que NO debe salir de la organización).

Análisis de relaciones de empleados (con esto se simplifica cualquier análisis forense, conociendo de antemano los posibles implicados).

Posibilidad de grabado de pantallas, teclado y micrófono de los computadores de la organización (todo esto en la mayor discreción y sin que se vea nada en los computadores de los usuarios).

Facilidad de reportes y gestión de logs y de toda la información recopilada por si debe ser llevada ante algún juez.

No olvide: facilidad de gestión (usualmente consolas unificadas web son más sencillas de administrar).

Posibilidad de crecimiento (un producto DLP debe poder crecer hasta varias decenas de miles de dispositivos en la red).

Lea a los analistas de mercado (el estar incluido en sus análisis puede no significar mucho, el no estarlo significa todo); más que ser recomendado, haga pruebas con el sistema para asegurarse que va a cumplir con las expectativas de la organización.

¿Ya hice la mejor selección, y ahora qué?

Una vez usted escoja el producto que más características le ofrezca a la organización, los detalles previos a la implementación aseguraran el éxito del nuevo sistema.

El primero punto a tener en cuenta: evite conflictos DLP – Antivirus, usualmente es simplemente crear exclusiones en el antivirus ya que algunas funciones del DLP (recopilar información de teclado y USBs, grabar pantallas y micrófonos, permanecer totalmente imperceptible al usuario entre otras) pueden asimilarse a malware y lo que se quiere es una operación simple y sencilla.

Un DLP, en palabras simples, es un agente en el computador encargado de vigilar que las acciones del usuario estén conformes a las directivas de seguridad para evitar perdida de información, este agente debe informar al sitio de gestión toda acción no conforme a las directivas.

El sistema central (el DLP como tal) es el encargado de revisar toda la información recopilada para presentar reportes y conocer que usuarios están haciendo acciones prohibidas y cuando y donde.

Es de vital importancia definir las directivas de seguridad de la organización y probarlas en pequeños grupos; esta prueba principalmente es para revisar que si se esté compilando la información necesaria y que el sistema de los reportes que se requieren.

La configuración

Una mala configuración del sistema podrá recopilar información no valiosa y llenar bases de datos con datos inservibles o silenciar la información importante necesaria para establecer acciones.

Tenga en cuenta que DLP requiere infraestructura propia e independiente para operar correctamente.

El agente como tal no debe consumir muchos recursos, pero el servidor(es) central que recopila eventos e incidentes y presenta la información puede requerir una configuración generosa.

Un dimensionamiento orientado por el fabricante le dará un sistema que opere eficientemente para sus necesidades sin retardos o problemas.

Resumiendo: defina necesidades, establezca alcances y dimensione su infraestructura, adelante con su proyecto de DLP, que siendo exitoso puede dar muchos beneficios y seguridad a la organización.

Porque considerar a Zecurion DLP

En esta serie de artículos de DLP (Data Loss Prevention) se ha dado un vistazo a la tecnología y a cómo esta tecnología puede ayudar a su empresa, en este artículo se presenta la opción de Zecurion DLP, si usted elimina la palabra Zecurion y la reemplaza por otras marcas es factible que las razones sigan siendo válidas y si no es válido, es probable que Zecurion sea su opción.

Los primeros en dar razones para considerar a Zecurion son los analistas de mercado.

Gartner, Forrester, IDC y otros incluyen a Zecurion en sus estudios de mercado.

La oferta de Zecurion no está desapercibida y sus más de diez mil clientes hablan por la compañía.

Un estudio de mercado analiza qué tanto del mercado pertenece a un fabricante, qué entendimiento del mercado tiene el fabricante (según el criterio del analista) y si la estrategia de mercado de éste está orientada a satisfacer a los usuarios.

Zecurion se posiciona como el DLP más seguro
Zecurion se posiciona como el DLP más seguro

Todas estas son razones importantes para considerar un producto de DLP pero que no orientan sobre que producto protege sus datos mejor.

En el área de DLP no existen laboratorios independientes que comparen fabricantes y califiquen rendimientos, así que muy probablemente entre sus productos preseleccionados se debe hacer una prueba de concepto, para analizar el comportamiento del producto y así determinar cuál es el que mejor se acomoda a su organización.

Ahora, si el producto que usted tiene en la mira no está incluido en estudios de mercado independientes, analícelo bien; estar mencionado por un analista puede no ser importante, pero no estarlo si que lo es.

Un producto que los analistas no mencionen puede ser un producto tan nuevo en el mercado que nadie lo conozca, o que no tenga un portafolio de clientes representativo, o que tiene una oferta tan novedosa que seguramente será importante a futuro, pero la decisión debe hacerse ya.

La oferta de Zecurion es bien completa e interesante, empezando por el control de dispositivos (tal vez el medio más común de fuga de datos), continuando por el control de tráfico (incluyendo el correo electrónico y la navegación por internet) y siguiendo por el descubrir información en los computadores (incluyendo OCR, definición personalizadas de huellas e inteligencia artificial) de la red para bloquear dicha información, centralizarla o simplemente contabilizarla.

Todo esto dentro de la mayor discreción y sin que el usuario sepa que en su máquina esta el agente de Zecurion.

Probablemente usted dirá, pero, esa es la oferta de todos los fabricantes de DLP y con la que puedo cumplir con regulaciones que mencionan al DLP (y si el DLP que usted está considerando no tiene todos esos elementos, replantee pronto su elección).

Los componentes de la oferta de DLP de un fabricante dicen mucho de la orientación del producto.

Además de los componentes mencionados que protegen y proscriben la pérdida de datos bloqueando copias, adjuntos y envíos de información confidencial, Zecurion permite recopilar toda la información acerca del comportamiento del usuario, a saber, pantallazos del equipo con Zecurion, encender el micrófono (si es un portátil), y recopilar todo lo digitado en el teclado por dicho usuario.

Todo esto con el fin de tener pruebas de comportamientos hostiles dentro de la organización y evitar que el enemigo interno pueda hacer daño.

Si el DLP que usted considera no tiene esto, es factible que la orientación del fabricante sea a la de dar cumplimiento a regulaciones, pero no más.

La orientación de Zecurion es a colaborar a la organización a detectar el enemigo interno y a ser una herramienta útil en la investigación forense, en caso de requerirse, y en la prevención de incidentes de fugas de datos que puedan dañar la imagen de la compañía.

En Zecurion la P de Protection

En DLP tiene una connotación de Prediction (Predicción).

Zecurion se basa en experiencias de compañías en todo el mundo que han sufrido pérdida de datos y ataques internos y quiere con su oferta proteger, proscribir y predecir la perdida de información confidencial de la compañía.

Al tener un agente en cada computador, es factible recopilar información y analizar comportamiento de usuarios.

Este análisis de comportamiento permite saber con quién de sus compañeros interactúa el empleado monitoreado, que comportamientos pudiesen poner en peligro la información de la compañía, cual es la frecuencia de comportamientos peligrosos y hasta predecir cuándo se va a presentar un comportamiento no tolerable para la compañía basado en el historial de comportamiento del empleado.

Más que cumplir con una regulación (que lo hace y sirve para certificarse), Zecurion busca ser útil a la compañía ante posibles fugas de información, dando toda la visibilidad sobre incidentes y comportamientos para tener toda la trazabilidad y pruebas y en especial permite predecir donde pueden presentarse estas fugas.

Jesús Calle Analista de Seguridad de CAD

 

 

 

 

 

Por Jesús Calle – Analista de Ciberseguridad CAD Security