DLP: No todos los sistemas son útiles en la nueva realidad 2021

¿Cómo elegir un sistema DLP (Data Lost Prevention) y no decepcionarse con los resultados de la seguridad interna de la compañía?

¿Qué debe saber una empresa para distinguir un DLP proactivo de una solución con limitaciones molestas?

Para muchas empresas, un sistema DLP es una solución imprescindible cuando se trata de la prevención de fugas de datos y la protección contra otras amenazas internas. Pero la experiencia del cliente que usa un DLP no siempre es agradable. Este artículo comenta los reproches merecidos e injustos a los sistemas DLP, aclara cuáles son las limitaciones naturales de este tipo de sistemas y cuáles son los inconvenientes de productos particulares.

  1. No hay suficientes funciones para resolver una tarea

IT CONNECT

Información valiosa para ejecutivos de IT

Hace tiempo los sistemas DLP han superado su propósito original de control de fugas de datos. Ahora se utilizan para una gama mucho más amplia de tareas en materia de seguridad de la información, la economía y los recursos humanos.

Hoy en día las soluciones DLP son verdaderas super herramientas.

DLP Searchinform

Sin embargo, un cliente puede requerir más funciones.

Esto a menudo se hace evidente poco después de la etapa de implementación, ya que un cliente ignora una versión de prueba completa y se basa en la descripción de marketing y tablas de comparación de terceros.

Las pruebas toman su tiempo al principio, pero lo ahorran notablemente cuando comienza el trabajo real con la solución.

Es por eso que la implementación real requiere preparación.

Compile su propia tabla de comparación, pruebe gradualmente cada sistema y vea cómo funcionan con respecto a las tareas que más le interesan.

Por ejemplo, uno de nuestros clientes quería bloquear la transferencia de archivos por metadatos, y otros casos de transferencia de archivos no fueron un problema para ellos.

Antes de comprar un sistema DLP, su compañía probó algunas otras soluciones, y parecía que esos productos no lograron abordar este problema, aunque los folletos parecían garantizar este tipo de bloqueo.

Los límites de funcionalidad también pueden estar asociados con el hecho de que los sistemas DLP utilizan tecnologías de terceros.

A veces estos son los motores completos, módulos, plataformas o incluso el etiquetado blanco de un producto de terceros como una solución patentada.

Como resultado, los proveedores están limitados por la funcionalidad del software de otra persona y su plan de desarrollo. Este es un problema común para muchos sistemas DLP.

Hemos decidido construir nuestro sistema basado en nuestro propio motor, y lo usamos no solo en nuestro DLP sino también en otras soluciones.

Todos los demás elementos de nuestros sistemas también están codificados por nuestro equipo.

Si un cliente necesita algún ajuste, corrección de errores o soporte técnico garantizamos nuestra ayuda.

A menudo, un DLP parece estar limitado en su funcionalidad cuando un cliente desea algunas características específicas.

Si estas características son cruciales, y otros clientes también podrían beneficiarse de ellas, los proveedores tienden a incluir estas en su plan de desarrollo.

Así es como hicimos posible la integración con sistemas de control de acceso, y posibilitamos el trabajo conjunto con sistemas de BI (del inglés business intelligence), gestores de tareas, elementos de búsqueda de frases, etc.

De todos modos, en la mayoría de los casos no se necesitan capacidades específicas, y las funciones de software son suficientes para resolver problemas tópicos del cliente.  Un factor más a considerar – si un proveedor puede ofrecer un servicio extra.

DLP se ha convertido en el elemento central de la protección contra cualquier riesgo interno, por eso al elegirlo un cliente elige todo el ecosistema de otras herramientas de protección.

Si un desarrollador no tiene una línea de productos, una empresa puede enfrentar un problema de integración de productos.

A menudo, es una tarea complicada incluso irresoluble, las empresas deben pensar en ello de antemano.

  1. DLP es difícil de implementar, se “come” una gran cantidad de recursos

Este es uno de los temas principales. Los desarrolladores abordan una optimización del sistema DLP de manera diferente, como resultado las soluciones de software difieren significativamente en cuanto a su “voracidad”.

A pesar de que los proveedores describen los requisitos técnicos mínimos en detalle, la etapa de implementación aún puede sorprenderle de una mala manera.

Y cuanto mayor sea el alcance del despliegue, mayor será la posibilidad de una sorpresa tan desagradable.

Hay dos opciones.

El perfecto es lanzar un periodo de prueba completo (desplegar todos los módulos en un número máximo de ordenadores). Pero esto no siempre es posible.

La segunda opción es pedir la opinión de los especialistas de la seguridad de la información que utilizan un sistema DLP en PCs similares al suyo.

Sea curioso, deje que los momentos interesantes o difíciles sean compartidos.

Trabajamos en minimizar los requisitos de hardware.

El año pasado alteramos la arquitectura, y esto permitió aumentar la velocidad DLP hasta un 30% y ampliar la variedad de tareas resueltas – por ejemplo, la búsqueda de datos en redes muy grandes.

Los clientes anteriores tenían que asignar suficiente capacidad, localizar servidores adicionales.

Ahora nuestro DLP requiere 2-3 veces menos recursos de servidor que las soluciones de muchos competidores.

La velocidad de despliegue también importa, no es normal si lleva semanas o meses.

Los procesos pueden durar más tiempo si un cliente limita el acceso o no tiene un especialista técnico.

De todos modos, el ritmo óptimo de despliegue de una versión piloto típica es de unas horas.

Lo garantizamos gracias a que ponemos a disposición de un cliente nuestro especialista técnico (ingeniero) y especialista en implementación (que enseñará a una empresa a trabajar con la solución, ayudará a configurar las políticas y resolver tareas específicas).

Searchinform DLP

  1. Falsa alarma frecuente

Los expertos en seguridad de la información entienden que es inevitable: es mejor verificar falsas alarmas que pasar por alto algo importante.

Pero no significa que todo el trabajo se reduzca al análisis de incidentes posibles.

Un buen software minimiza la cantidad de falsas alarmas gracias a la configuración flexible de políticas de seguridad. Es crucial encontrar el equilibrio.

Por ejemplo, uno puede excluir las alertas que se activan por la palabra “dejar” en el significado de “abandonar” también puede significar “prestar, encargar”. Pero insistimos en que una empresa no hace eso porque es posible pasar por alto la charla de que alguien va a dejar la empresa.

Una de las características más sólidas de nuestro DLP es el ajuste flexible de la política. Muchos métodos de análisis se implementan en la solución: por palabras, por diccionarios, por frases, por atributos, por expresiones regulares, por huellas digitales, la búsqueda de contenido similar patentada, consultas estadísticas o complejas, o cualquiera de estos combinados. Si el enfoque es correcto y los especialistas en implementación son responsables, las políticas de seguridad se pueden configurar de manera precisa y efectiva.

  1. La solución parece demasiado sofisticada, no hay nadie para trabajar con ella

El sistema DLP no funciona como antivirus (o como plug-and-play). La configuración preconfigurada es suficiente para proteger de la violación de datos, supervisar, bloquear la transferencia de datos que contiene elementos ya considerados por las políticas preestablecidas.

Por supuesto, esto garantizará la seguridad de los datos, pero para aumentarla, estas políticas deben revisarse, así como los procesos comerciales, mientras que se debe llevar a cabo una investigación.

Y si un cliente no sabe qué hacer con esta información a continuación, la compañía se beneficiará de solo el 10-20% de todas las capacidades que ofrece el sistema DLP.

Otro problema es que no hay nadie para trabajar con la solución, o la rotación de especialistas en seguridad de la información es tan alta, que una persona nueva simplemente no tiene tiempo para aprender lo suficiente.

Si los proveedores no tienen en cuenta este aspecto, su sistema en algún momento enfrente el riesgo de convertirse en una carga para el balance del cliente, que resulta en inevitable decepción en el DLP software.

Trabajamos con este problema durante mucho tiempo.

Así es como apareció un centro de formación y un fuerte departamento de implementación, que, de hecho, comparte una gran cantidad de trabajo con el cliente.

Como resultado, podemos implementar y garantizar el funcionamiento de un sistema DLP, independientemente de cuáles sean las calificaciones de los especialistas en seguridad de la información.

Pero fuimos aún más allá y lanzamos la solución MSSP para evitar a nuestros clientes los dolores de cabeza de análisis e informes.

En este formato, la externalización también puede funcionar para aquellas empresas donde no hay un departamento de seguridad de la información en absoluto, y si hay uno, entonces servir como un instrumento indispensable.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

90 / 100