Una solución integral de Data Lost Prevention (DLP) permite a los usuarios conocer con mayor facilidad las políticas sobre la pérdida de datos y cumplirlas, ya que ofrece diversos niveles de respuesta en tiempo real.
Cada día, siglas como DLP, que se refieren a Data Lost Prevention o Prevención de Pérdida de Datos, ganan mayor presencia en la tecnología y los negocios. Sin embargo, el despliegue publicitario que se ha hecho de este concepto en una amplia variedad de soluciones de seguridad, ha contribuido a generar cierta confusión en el mercado, por lo que su significado e importancia aún no son valorados del todo.
Entre otras cuestiones, la relevancia de DLP en una organización radica en que los directores de tecnología en general y aquellos más especializados en aspectos de protección pueden encontrar respuesta a tres preguntas críticas que les preocupan:
- ¿dónde está la información de la compañía?
- ¿cómo se utiliza?
- ¿cómo podemos evitar su pérdida?
De acuerdo con datos del IT Policy Compliance Group, 68% de las organizaciones sufren en promedio seis pérdidas de datos confidenciales al año, mientras que 20% sufren 22 o más pérdidas en el mismo periodo de tiempo. Asimismo, Ponemon Institute estima que la pérdida de datos tiene un costo aproximado de $200 dólares por registro.
Ante este panorama, las compañías requieren tener una solución y procesos claros para evitar sufrir pérdidas o fugas de información. En el mercado existen ya varias tecnologías DLP que evitan la pérdida de datos en uno o más puntos del ciclo de vida de la información, ya sea mientras ésta se encuentra transitando la red, almacenada y sin movimiento, o bien, en un punto final. Adicionalmente, varias empresas están adoptando DLP como una forma de mitigar los riesgos de hacer negocios a través de conexiones de alta velocidad y comunicaciones móviles.
Sin embargo, DLP es un asunto que va más allá de la tecnología. Proteger la información y evitar su pérdida requiere además de dos factores clave: tener procesos establecidos e involucrar al personal. Como parte de los procesos, es importante identificar los riesgos, establecer políticas, procesos y educar a los usuarios.
En términos de capital humano, DLP requiere el respaldo de múltiples equipos y colaboración de varios departamentos que van desde planta física, jurídico, administración, gerentes de riesgo empresarial, recursos humanos, mercadotecnia y ventas.
Importancia de las iniciativas de DLP
Proteger la información va más allá de implementar tecnología, pues de hecho, en ocasiones las soluciones tecnológicas no pueden diferenciar entre cuál información es confidencial y cuál no. Por ello, evitar la pérdida de datos es un problema empresarial que requiere una solución empresarial e involucra al personal.
Un elemento fundamental es que antes de implementar la tecnología para evitar la pérdida de datos, los accionistas y gerentes de cada unidad de negocios clave deben reunirse para identificar qué datos que necesitan más protección.
Ahora bien, ¿qué se debe hacer para que las iniciativas de prevención de pérdidas de datos sean reconocidas en la empresa? En la mayoría de los casos, significa obtener la información correcta para las personas adecuadas en el idioma apropiado. Para ello, existen factores clave que deben considerarse para transmitir el mensaje adecuado de por qué la prevención de pérdida de datos es importante en una estrategia de protección:
- Piense bien lo que va a decir. Hable en términos de ventajas empresariales. En lugar de hablar de amenazas de violación de la información o de un ataque malicioso, tenga en cuenta que debe simular el impacto económico y de productividad de un incidente potencial en términos de pérdidas para la compañía.
- Use los titulares en beneficio propio. A la mayoría de líderes empresariales les da pánico la idea de un "programa de jubilación en la cárcel". Existe una oleada de problemas de privacidad y fuga de datos que continuarán siendo noticia. Haga uso de estos "escándalos públicos" para ilustrar los riesgos reales.
- Establezca objetivos. Antes de buscar el respaldo de múltiples equipos, establezca tres objetivos que espera alcanzar y explique en términos empresariales cómo estos objetivos brindarán rendimientos a la TI y la empresa.
Evaluando riesgos
Es importante aclarar que el proceso de identificación de riesgos no significa clasificar toda la información que llega, sale o es almacenada en la organización. Por el contrario, significa identificar el tipo de información cuyas pérdidas generan mayor impacto negativo en la compañía y es ahí donde primero se debe aplicar DLP. Para algunas organizaciones, puede tratarse de códigos fuente, diseños de productos o propiedad. Para otras, podría ser información de los clientes o datos financieros.
Otra buena práctica que siguen varias empresas es el uso de soluciones DLP que incluyen un componente de evaluación de riesgos y esto significa que la actividad en la red se supervisa durante dos o tres días y después se elabora un informe que muestra a la organización los datos que salen a través de la red, así como los departamentos involucrados y la frecuencia. Este informe permite a las compañías determinar qué clase de datos están en mayor riesgo y los departamentos que generan los mayores riesgos.
Estableciendo políticas y procesos
Una vez que la organización ha identificado la protección que necesita puede establecer políticas para prevenir y administrar la pérdida de datos. Posteriormente debe diseñar los procesos para controlar estos incidentes y medir su progreso con la consiguiente reducción de riesgos. Es crucial aclarar quién es el responsable de realizar las tareas establecidas en caso de una violación o pérdida de datos, para que cuando ocurra una crisis, el personal adecuado realice los procesos necesarios para mitigar los riesgos.
Por ejemplo, el personal de seguridad de TI, así como los empleados involucrados y sus gerentes deberían ser notificados. Si se sospecha que hay un comportamiento malicioso, es necesario traer especialistas forenses y jurídicos. Si ocurre una gran fuga de datos, las relaciones públicas juegan un papel importante. Asimismo, los gerentes de las unidades de negocio deben rastrear los consiguientes riesgos de dicha pérdida.
Es importante que se configuren las soluciones DLP más actuales para supervisar si los datos más importantes de la compañía salen a través de un Gateway, o bien, de un punto final en particular, por ejemplo. Las organizaciones también pueden utilizar la información real que saben que es importante, para definir las políticas y luego cumplirlas adecuadamente.
Muchas soluciones DLP cuentan con funcionalidades inteligentes de respuesta a incidentes para que las organizaciones puedan automatizar el cumplimiento de las políticas con la flexibilidad necesaria. La inclusión de análisis y flujo de trabajo permiten al sistema calcular la gravedad de los incidentes y proporcionar el nivel de cumplimiento de manera automática. Aún mejor, estas soluciones pueden reducir significativamente el tiempo de configuración de TI al ofrecer plantillas basadas en las mejores prácticas del sector para dar respuesta a incidentes, así como mejorar el flujo de trabajo de las medidas correctivas.
Mayor Conciencia
En ocasiones la eficacia de la mejor tecnología y los procesos pueden verse afectados si los empleados no entienden el valor de la información de la compañía y su papel en la disminución de riesgos. Teniendo una mayor conciencia, los empleados también pueden convertirse en la línea de defensa más fuerte de la compañía y en su recurso más valioso.
Sin embargo, ¿cómo lo harían? los programas de entrenamiento para tomar conciencia de la protección pueden ayudar de la misma manera que la claridad en las políticas internas. Sin embargo, quizás la educación más eficaz se deriva de la intervención en el momento oportuno. Después de todo, muchas brechas de datos son el resultado de errores sencillos del usuario. Las personas cometen errores, pueden olvidar o entender mal las cosas, pero también corrigen los errores cuando saben que se equivocaron.
Una solución integral de DLP permite a los usuarios conocer con mayor facilidad las políticas sobre la pérdida de datos corporativos y cumplirlas, pues brinda diversos niveles de respuesta en tiempo real, desde medidas correctivas hasta la notificación y prevención. Una compañía de la lista Fortune 100 observó una disminución de 90% en los incidentes de pérdidas de datos en tan sólo 10 días después de habilitar las funcionalidades automatizadas de notificación al usuario.
Claramente, en el mundo de hoy, los directores de TI y seguridad de las empresas de todos los tamaños están comprometidos con la protección de la información, independientemente de donde es enviada, almacenada o utilizada. Con la ayuda de las soluciones DLP que involucran al personal, los procesos y la tecnología, las empresas no solamente pueden saber donde está la información, quién la está usando y a dónde va, también pueden administrar y controlar eficazmente los riesgos de la información ahora y en el futuro.