DLP: Data Loss Prevention, Prevención de la pérdida de datos

 

Contenidos

– DLP: Data Loss Prevention, Prevención de la pérdida de datos
– Tipos de DLP
– Identificación de Estructuras de Datos
– Consejos básicos para prevenir la pérdida de datos
– Recomendaciones previas


Tags:
 pérdida de datos, DLP, data loss prevention, prevención pérdida de datos, backup, seguridad básica empresa 
Relacionados: Hacking, Hacking Ético y HacktivismoProtección Básica para EmpresasAnálisis Forente y Peritaje InformáticoMetadatosSeguridad lógica y FísicaBiometría ,Ciberataques , Ciberguerra , Cloud Computing , Criptografía , Privacidad y Protección de Datos , RootkitSpywareScam, Hoax, Phishing, Pharming e Ingenieria SocialRobo de identidad y Phishing , Botnets: Redes Zombies

 

 

DLP: Data Loss Prevention, Prevención de la pérdida de datos
El mundo ha cambiado. Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. Algunos se llevaban material de oficina (folios, grapas, etc.), otros documentos confidenciales originales o fotocopiados.

En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos.

La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar.

Prevención de la pérdida de datos o Data Loss Prevention es, como muchas otros términos, un término de marketing para resumir un enfoque de gestión de la seguridad de la información con muchos años de vida. El data loss prevention se focaliza en analizar y entender los flujos de datos en una organización, la situación de los datos (en movimiento, en uso o almacenados), e implantar las medidas de seguridad necesarias para proteger su confidencialidad.

La tecnología DLP tiene como objetivo identificar, monitorizar y proteger los datos de una organización. Los datos pueden ser tratados por usuarios en sus estaciones de trabajo (data in use), pueden transmitirse (data in motion) o pueden ser almacenados (data in rest).

En estos tres escenarios se centra la DLP. En la monitorización de datos en uso se realiza habitualmente mediante la instalación de agentes en las máquinas que se desea proteger. Estos agentes controlan especialmente el acceso a datos, su copia en soportes móviles como dispositivos USB y su impresión en papel.

Por ejemplo, un software DLP podría bloquear la impresión de un documento si en él aparecen más de un número determinado de CIFs. La monitorización de datos que se transmiten se realiza interponiendo un dispositivo o un software que inspecciona los paquetes en la red en busca de patrones y determina si la comunicación está autorizada o no. Algunos protocolos habitualmente soportados son SMTP,HTTP, HTTPS, FTP y Telnet.

Por ejemplo, Si un trabajador malintencionado trata de conectarse a su correo corporativo y enviarse a una cuenta externa (Hotmail, Gmail…) documentación confidencial, de manera no autorizada, el software DLP podría bloquear la transmisión, loguearla y generar una alarma o encriptar el fichero para que no pudiera leerse fuera de la organización. La monitorización de datos almacenados se realiza mediante un módulo que “navega” por los repositorios de datos de la organización en busca de patrones.

Inicialmente esto puede ser computacionalmente costoso pero tras el primer análisis pueden realizarse análisis diferenciales para reducir el tiempo de procesado. Como ejemplo, el módulo de descubrimiento de data in rest podría navegar por los recursos compartidos de la organización, identificar si existen ficheros de nóminas fuera de la jerarquía de carpetas de recursos humanos, loguear la incidencia y mover los ficheros a su lugar correcto.

La característica fundamental de la tecnología DLP frente a otros servicios/productos de seguridad es su capacidad de entender los distintos protocolos y formatos de archivo e inspeccionar en el contenido de los datos que se usan, transmiten o almacenan, determinando si la acción que se está realizando cumple la política de seguridad de la organización.

Otros términos para DLP son: Data Loss Protection, Data Leak Prevention/Protection, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF), Information Protection and Control (IPC) , Extrusion Prevention System, Data exfiltration y data leakage protection.

El DLP se entiende mejor pensando en distintos escenarios que afectan a la seguridad de la información de cualquier empresa que en la actualidad necesite proteger activos digitales como diseños, imagenes, planes, documentación sensible, etc. Esta metodología, podría utilizarse para evitar que empleados descontentos se llevaran información sin autorización de una organización imprimiéndola, en un dispositivo USB de almacenamiento (pendrive, disco externo…) o enviándola por Internet (mediante correo electrónico, redes sociales, sistemas de almacenamiento externo como Dropbox).

Las soluciones de DLP no solo permiten bloquear la impresión, el copiado de datos a dispositivos USB o el envío de datos por Internet, sino que permite controlar y monitorizar dichos flujos de datos: permitiendo la impresión, copiado o envío a determinados grupos de usuarios y registrando todas las impresiones, copias y envíos en un histórico.

La implantación de un sistema de este tipo no es trivial. Se requiere un trabajo inicial de análisis de los flujos de datos, clasificación de la información, análisis de riesgos y configuración de sistemas. Sin embargo, con el inicio de un proyecto de este tipo, se pueden obtener resultados inmediatos que ayudan a prevenir daños mayores mientras se trabaja en una implantación global de una solución definitiva.

Tipos de DLP
Aunque las soluciones DLP tienden a ser completas y cubrir todos los frentes podríamos hacer una subcategorización de la siguiente manera:

– DLP de red: Son típicamente sistemas dedicados que monitorizan el tráfico de red en busca de movimientos de datos no autorizados (data in motion).

– DLP basados en host: Estos sistemas se ejecutan en los PCs de trabajo, portátiles o servidores. Pueden monitorizar y controlar el acceso a los dispositivos y soportes móviles (como pendrives) y en algunos casos pueden acceder a los datos antes de que se encripten. La desventaja es que deben instalarse en todos los sistemas de la organización que tengan acceso a la información que queremos proteger.

Identificación de Estructuras de Datos
Una de las características fundamentales de la tecnología DLP es su capacidad para identificar tipos de datos determinados. Para ello, se utilizan distintas técnicas y estructuras de datos como diccionarios, palabras clave o expresiones regulares.

Un indicador de la calidad de una herramienta DLP es su precisión en la identificación de estos patrones y en la cantidad de falsos positivos y negativos que se detecten en este proceso.

Para ajustar mejor la identificación, algunas soluciones DLP permiten que los patrones se enmarquen en un contexto determinado de manera que si se encuentra un tipo de datos en determinado lugar, por ejemplo durante el uso de una aplicación concreta, sea normal y no genere una alarma, pero si se descubre el mismo tipo de datos en otra aplicación, sí que active una alarma.

Al mismo tiempo, el software DLP debe permitir incluir y excluir la identificación de determinados patrones en determinadas carpetas o ficheros.

Generalmente, los productos DLP en el mercado se venden con gran cantidad de patrones predefinidos que pueden ajustarse a los requerimientos de seguridad de la organización, pero también permiten añadir otros patrones necesarios.

Otra característica a tener en cuenta de un DLP es la cantidad de formatos de fichero que entiende y cuyo contenido puede analizar. Si una herramienta DLP no entiende un formato detarminado, aun es posible monitorizar el uso de determinado fichero.

Por ejemplo, de igual modo que las soluciones de integridad del sistema de ficheros, podría generarse un hash de todo el fichero y comparándolo con los hashes de otros ficheros que se transmitan, usen o almacenen.

Consejos básicos para prevenir la pérdida de datos
Una de las características más importantes a garantizar en un sistema es la disponibilidad de la información. En caso de que tengamos un fallo (hardware, software, involuntario o premeditado por otras partes) que inutilice parte o la totalidad de los datos que se encuentran en el sistema, deberemos disponer de mecanismos que nos permitan restaurar el servicio lo antes y mejor posible. 

Es aconsejable llevar a cabo prácticas de mantenimiento y seguir ciertas pautas dada la importancia de una buena política de backups:

– RAID : Desde el punto de vista de los discos duros, el RAID 1 es la disposición en la que más espacio de almacenamiento se desperdicia, pero también es el que mayor disponibilidad ofrece. Si alguno de los dos discos del RAID se muere, el otro tiene toda la información actualizada hasta el momento final. Otra alternativa comúnmente utilizada y bastante eficiente es RAID 5.

– Redundancia : El servicio ofrecido en sí debe estar ofrecido por dos o varios nodos de cada dispositivo en lo que se conoce como un clúster. De esta manera, si un nodo de cualquier parte de un sistema deja de estar operativo, el/los otro/s siguen haciendo la misma función.

Asimismo, es una buena medida, redundar el propio servicio en sí en otra ubicación geográfica diferente para evitar catástrofes (que aunque poco probables, ocurren) en las que un edificio entero que alberga uno o varios CPDs, arden o se destruyen, por algún tipo de atentado por ejemplo.

– Copia fría: instalar un sistema completamente funcional, afinado, optimizado, parcheado y securizado, es imprescindible hacer lo que se llama una copia fría de la instalación. Este mismo tipo de copia es conveniente hacerla con cierta frecuencia para poder volver a un punto de buen funcionamiento conocido, en caso que suceda alguna catástrofe.

Al menos sabe que “hasta aquí” funcionaba bien y siempre puede partir de aquí si toca hacer una restauración. Las copias frías se llaman así porque se hacen sin estar utilizándose ninguno de los datos de los discos, es decir no hay ningún fichero en uso. La mejor forma es hacerlo arrancando con otro sistema operativo Live (ya sea en un CD o en un USB) y copiar las particiones de los discos de forma completa tal cual están, sin ni siquiera acceder a los ficheros en sí.

– Copia caliente: Consiste en copiar los datos que consideramos críticos de un sistema a otra ubicación. La finalidad es tener una copia más actualizada de los mismos de lo que nos puede dar una copia fría. Lo que se guarda y la frecuencia definida, en este caso, depende mucho de la funcionalidad del sistema en sí, así como de lo cambiante de los datos, por lo que debe ser tenido analizado caso por caso por parte de los responsables de la información a guardar.

Para ello se suele utilizar software de backup, comercial o libre, o en algunos casos mediante scripts hechos a mano que copien en un tar.gz/bz2 o (elija su algoritmo de compresión favorito) que empaquete los datos. Con cada paquete de datos copiados, es recomendable no dejarlos en la propia máquina, sino enviarlos a otro sitio.

En caso de una red casera en la que no se quiera tener varias máquinas encendidas, quizá sí que sea válido copiarlos en un DVD regrabable o en un USB permanentemente conectado, para poder tener una copia de actualizada si fallan los discos, pero en el caso de una empresa, lo mejor es tener centralizadas las copias en otra ubicación por ejemplo mediante backup online . 

– Vaulting : Este tipo de backup consiste en que los datos (en caliente) se van replicando en “casi tiempo real” en otra ubicación. Suele ser costosa en términos del ancho de banda necesitado para llevar los datos de muchas máquinas a otro sitio, pero permite que en caso de hecatombe de la ubicación completa, los últimos datos disponibles se encuentran en otros sitios.

Es importante guardar datos de varias “épocas” puesto que si una máquina se ve comprometida o troyanizada y se restituye el último backup existente, se restaura también el troyano en la máquina nuevamente. 

– Time machine : Aunque este concepto se empezó a conocer como original de Apple, y no como un “estándar de backups”, es un híbrido entre Vaulting y Copia Caliente. La idea es definir un dispositivo (ya sea un disco duro externo o un Time Capsule, a través de red inalámbrica) sobre el que con bastante frecuencia se irán haciendo “copias calientes”.

No llega a ser Electronic Vaulting en sí, pero es una buena solución para redes “caseras”. Para sistemas operativos Linux podemos utilizar TimeVault.

 

Recomendaciones previas
La mejor solución ante una pérdida de datos es la PREVENCIÓN . Por eso ofrecemos diversos consejos generales para garantizar sus datos ante posibles desastres, antes de tener que optar por la Recuperación De Datos:

1 ) COPIAS DE SEGURIDAD :

• Servicio de Backup Remoto incluyendo el suministro del sistema necesario para la realización de copias online y que ofrezca la posibilidad de realizar una consultoría previa para diseñar el mejor plan para su caso particular. 

• Backup Local : sistema para asegurar la copia de seguridad de sus datos en su propio local, incluyendo el estudio previo, propuesta técnico-económica y posterior implantación y formación a domicilio. Usted pagará por el servicio una única vez.

2) ANTI-DESASTRE: Contrate un Servicio Anti-Desastre Externo para estar cubierto ante cualquier pérdida de datos. 

3) FILTROS DE CORRIENTE y SAI’s: Son diferentes los factores que pueden causar un deterioro en la calidad del servicio de suministro eléctrico comercial.

Estos pueden deberse a circunstancias muy distintas como a la caída de rayos sobre el tendido el eléctrico, cortocircuitos, errores humanos o fallos en la maquinaria de las compañías eléctricas, interferencias producidas por elementos externos y el arranque/paro de maquinaria eléctrica pesada de empresas colindantes. 

4) ANTIVIRUS ACTUALIZADO : Virus, gusanos y otros códigos maliciosos son mantenidos a distancia de los valiosos datos contenidos en su equipo. 

5) FIREWALL : Ayudan a las organizaciones a detectar y responder ante intrusiones no deseadas o ataques maliciosos. 

6) FILTRO DE CORREO ANTISPAM : Sistema que sólo permite recibir e-mails de quien tenga autorización. De esta manera únicamente le llegarán los correos de los remitentes a los que usted haya querido dar permiso (mientras que la avalancha de correo basura no llegará nunca más pues será rechazada antes incluso de llegar).

 

Relacionados DLP y Cifrado en la nube:
http://www.trendmicro.es/productos/data-loss-prevention/
http://www.symantec.com/es/es/data-loss-prevention
http://www.mydlp.com/
https://code.google.com/p/opendlp/
http://pfsense.org/
http://multicomp.com.mx/seguridad-informatica/sonicwall/
http://www.webtitan.com/
http://www.sophos.com/es-es/your-needs/features/cloud-encryption/products.aspx
https://www.aerofs.com/
http://www.safenet-inc.com/cloud/hsm/crypto-hypervisor/

Anuncios

Acerca de Ciberseguridad GITS Informática

Asesoría para Padres y Adolescentes, Educadores, Empresarios y Trabajadores, Administraciones Públicas y Privadas, Asesoría, Seminarios, Docencia y Divulgación en materia de Ciberseguridad, Delitos Informáticos y Privacidad del Internauta.
Esta entrada fue publicada en Uncategorized y etiquetada , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s