Prevención de Pérdida de Datos (y IV). Pasos para implementar una solución DLP

La Prevención de Pérdida de Datos (Data Loss Prevention o DLP) da nombre a una solución o conjunto de soluciones que identifica, monitoriza y protege los datos de una organización, especialmente en lo relativo a su dimensión de confidencialidad.

En los post anteriores hemos visto ...
Ahora veremos los pasos generales para no perdernos al implementar una solución de este tipo, así como enlaces a las principales soluciones DLP.


Normalmente muchos de estos estos pasos serán respaldados por la empresa que nos implemente la solución DLP que hayamos escogido, pero algunos no será así, y es importante que establezcamos un plan similar al propuesto, porque implantar una solución DLP con éxito no es sencillo en general, y cuanto mayor sea la organización y más distribución de datos haya más complicado será.

El truco, como en todo este tipo de proyectos, es comenzar por lo más crítico e ir añadiendo funcionalidad a través de la mejora continua. Sin embargo, en general es importante no ir mezclando soluciones de distintos proveedores a medida que vayamos detectando necesidades, porque incrementaremos la complejidad con la integración de datos y la gestión centralizada. Una solución bien afianzada requiere por lo tanto de un estudio previo detallado, la parametrización e instalación y el chequeo constante.

Paso 1: Clasificar y mapear los datos


Lo primero es asegurar que se conocen qué tipos de datos sensibles se manejan, como se usan esos datos y bajo qué circunstancias y reglamentaciones. En este paso es importante contar tanto con personal técnico como con personal con conocimiento del negocio, que es quien realmente debe priorizar la información importante.

Para ello los pasos a seguir normalmente pasan por
  • Clasificación de la información sensible (por personal con conocimiento del negocio).
  • Análisis del riesgo de perder esa información.
  • Análisis de los flujos de datos, creando un mapa donde se refleje ese trasiego de datos a través de la red corporativa. 
  • Comprobar los flujos y datos sensibles, bien con herramientas que ya existan en la red, bien con utilidades de sniffing.
Atendiendo al último punto, podemos buscar los controles tipo DLP que probablemente ya existan en la red (por ejemplo, en los firewall existentes). Si existen, activarlos para comprobar los flujos de datos y comenzar a monitorizar los datos sensibles que se han descrito. Si no existen controles, utilizar utilidades de sniffing como Wireshark o TCpdump en varios puntos de la red.  

Wireshark trabajando...

Este primer paso, que debe generar una documentación, nos sirve también para concienciar tanto a los usuarios como a nosotros mismos, tomar contacto con herramientas ya existentes y obtener los datos necesarios para conocer realmente qué pasa con la información sensible.

Paso 2: Determinar el ámbito y alcance de la implantación DLP por fases


Con el análisis del flujo de datos realizado se determina el ámbito y alcance de las fases del proyecto.

Lo habitual es dividirlo en fases para datos en uso (es decir, DLP de agente en servidores y puestos de trabajo), datos en red (dispositivos de control DLP en red) o datos en reposo (escaneo o rastreo de datos). También podemos añadir datos móviles y datos en la nube si procede.

En general, es mejor primero trabajar en planes más generales de control, que deben ir acordes a los datos con mayor análisis de riesgo, para luego ir profundizando, complicando y mejorando con las de menor riesgo, a medida que nos vayamos familiarizando con las tecnologías DLP.

Si se utilizan herramientas DLP integradas, tal vez haya que solucionar el problema de la gestión de los logs de las diferentes utilidades con una herramienta SIEM (security information and event managemenet).

Un ejemplo de esquema general de proyecto de implantación DLP podría ser:
  • Fase 1, de unos 6 meses de duración.
    Afectaría al Centro de Proceso de Datos (CPD) en la sede central.
    Tendremos en cuenta los datos principales en Riesgo, en los ámbitos de datos en uso, en red y en reposo, así como los datos en la Nube.
  • Fase 2, 6 meses:
    Resto de la organización:
    Seguimos con los Datos principales en Riesgo en los ámbitos de datos en uso, en red y en reposo, así como los datos móviles.
  • Fase 3: 3 meses.
    Toda la organización. Resto de datos en riesgo en todos los ámbitos.
A partir de la implantación viene el chequeo y la mejora continua.


Paso 3: Evaluar las reglas DLP 


Puede haber diversas maneras de detectar unos determinados datos sensibles, así que evaluar las reglas que se han decidido generar según el plan del proyecto es fundamental.  

La mayoría de las herramientas DLP ya vienen con reglas predefinidas para detectar ciertos datos, como tarjetas de crédito o tipos de identificación diversos. No obstante, aunque pueden ser un punto de partida, las reglas asociadas suelen ser muy rudimentarias y alertar de falsos positivos.

Al chequear hay que tener en cuenta cómo se realiza la detección del dato sensible en cada caso, si es a través de una expresión regular, por estadísticas, huella digital (fingerprinting) o otras técnicas. Si se usan diccionarios en las reglas, debe tenerse en cuenta y evaluar datos similares.

Este paso puede ser un proyecto complejo, pero la documentación y configuración que obtenemos es imprescindible para la correcta puesta en marcha. Es importante acotarlo al principio para los datos principales en riesgo. 

Paso 4: Realizar un informe de trabajo DLP


Realizar un informe de todo lo averiguado hasta ahora: 
  • El flujo de datos.
  • Las fases del proyecto, su ámbito y alcance.
  • Las reglas DLP a implantar, al menos en la primera fase, y en qué orden (normalmente se comienza por los datos en uso, seguidos de los datos en red y finalizando por los datos en reposo. 
  • La solución SIEM de gestión de logs si fuera necesaria. Y como trabajará para integrar esa información.
Es importante que ese informe esté bien estructurado y clarifique los objetivos de la organización, porque deberá estar aprobado por el responsable de Seguridad de la Información y por el equipo directivo que proceda. 

Paso 5: Obtener información de los proveedores de soluciones DLP


Lo mejor es preparar un cuestionario común para todos los proveedores, de manera que podamos comparar respuestas. Algunas de las preguntas de ese cuestionario podrían ser:

  • Describir como se gestionan los datos en uso, en red y en reposo. Y como se actúa en caso de detectar datos sensibles en cada caso. 
  • Ver si se pueden describir reglas específicas de búsqueda de datos sensibles, como se administran y si se pueden usar expresiones regulares.
  • Si es necesario un software SIEM y ya tenemos pensado o instalado alguno, ver como se relaciona el producto DLP con él.
  • Qué se hace con los datos sospechosos, si se encriptan, si se pasan a cuarentena y como se gestiona esa cuarentena y sus notificaciones.
  • Como se gestionan las alertas, si hay distintos niveles de alerta y como se administran.
  • Como se monitorizan los datos en la nube y los de dispositivos móviles.
  • Como se actualiza la propia herramienta en los dispositivos necesarios.

Paso 6: Chequear las herramientas DLP


Es necesario ahora chequear las utilidades o soluciones según la lista de candidatos.

Primero desechar aquellas que se vayan de nuestro presupuesto, bien porque estén diseñadas para una organización mucho más grande que la nuestra, bien porque realmente nuestros datos no necesiten una protección tan exhaustiva acorde a nuestros riesgos.

Según nuestro tamaño y el gasto que necesitemos, los proveedores tal vez puedan realizar demos en nuestras instalaciones, o quizás nos baste trabajando con las demos online que muchos ofrecen. En cualquier caso, probando con nuestro informe al lado (generado en el paso 4) es como podremos ver si el producto DLP cumple nuestras necesidades.

En ocasiones podemos pensar que tenemos nuestro informe incompleto, y tal vez los proveedores puedan incluso ayudarnos a completarlo. 

Paso 7: Instalar la solución o herramientas DLP 


Si ya hemos llegado hasta aquí es que tenemos claro lo que necesitamos y cómo conseguirlo (al menos en una primera fase).
  
Tenemos ahora que instalar y probar según las fases especificadas en nuestro plan de proyecto, sin olvidarse de la necesaria mejora continua. Tenemos que entender que el trabajo con herramientas y soluciones DLP no es un proyecto cerrado en ningún caso. El aprendizaje, y por lo tanto su mejora, son aspectos que son inherentes a la propia naturaleza de las soluciones DLP.


Acorde al plan se pueden ir acometiendo objetivos para ir realizando una implementación escalada en el tiempo, donde se obtengan beneficios a corto plazo, sea cual sea la solución DLP escogida. Hay que tener en consideración que la implementación de utilidades ya nos descubrirá problemas de acceso a datos sensibles que no sabíamos ni que existían, y la maduración y evolución de la solución DLP adoptada va ligada al trabajo en equipo de técnicos y responsables de negocio, que a su vez aprenderán continuamente donde están esos datos sensibles, donde se mueven, quién los mueve y el valor que tienen. Así que al menos la parte del informe donde están las reglas DLP irá cambiando según vayamos aprendiendo.

Además de las propias herramientas DLP, y teniendo en cuenta las características de nuestra organización y sus datos, puede ser necesario tener establecida la respuesta ante incidencias DLP. Pensemos en ello, y si debemos actualizar la Política de Seguridad de la organización, su documentación de Normativas o el informe del paso 4.

Enlaces a soluciones DLP


Las compañías que realizan productos DLP están continuamente fusionándose, absorviendo o siendo absorvidas por otros, así que algunos de estos enlaces pueden quedar obsoletos en poco tiempo.