Seguritecnia 372

SEGURITECNIA Febrero 2011 41 CD o DVD, discos duros externos, re- productores MP3, portátiles o smar- tphones ). Para tratar de evitar la pérdida de in- formación sensible, debemos identificar qué información es realmente vital para la empresa, antes de poder protegerla adecuadamente. Evidentemente, esta ta- rea no es sencilla y requiere un estudio pormenorizado en cada caso, pero siem- pre existe una base inicial sobre la que empezar a trabajar, como son el cum- plimiento regulatorio o la protección de propiedad intelectual. En el momento en que hablamos de la protección de información, debemos tener en mente las tecnologías Data Loss Prevention (DLP) y Enterprise Data Right Management (EDRM) o Information Rights Management (IRM). Aunque el objetivo de ambas tecnologías es proteger la in- formación, difieren bastante en cómo lo hacen. Las tecnologías DLP pretenden proteger las fugas de información me- diante un control de los repositorios y medios de transmisión dentro de la em- presa; mientras que EDRM o IRM se cen- tran en el control de acceso y uso de los archivos a proteger, independiente- mente del lugar en que se encuentren. Las misiones de las tecnologías Centrándonos en las tecnologías DLP, y como su propio nombre indica, su prin- cipal reto debe ser facilitar el trabajo de prevención y detección de fugas de infor- mación. Para ello, deben ser capaces de identificar, proteger y supervisar las accio- nes llevadas a cabo sobre la información sensible o confidencial. Estas capacidades debe realizarlas sobre los distintos estados de la información (almacenada, en trán- sito o en el punto final o endpoint ). En cuanto a los EDRM o IRM, su prin- cipal misión es la protección de los de- rechos digitales, tanto de usuarios exter- nos como internos a la organización, con independencia del lugar en el que se en- cuentre la información. Al no importar la ubicación de ésta, deben disponer de mecanismos de autenticación suficiente- mente robustos e interoperables con el resto de soluciones de la organización. El uso de estas tecnologías debe ayu- darnos a proteger la privacidad de los datos, la propiedad intelectual y el cum- plimiento normativo, permitiendo en todo momento advertir sobre el acceso a información protegida y, en caso ne- cesario, el bloqueo de las acciones reali- zadas, si existe incumplimiento de la po- lítica de seguridad de la empresa o de los derechos digitales. Puesto que am- bas tecnologías presentan puntos fuer- tes y débiles y que, desde una perspec- tiva empresarial, la protección de la infor- mación sensible debe tener un enfoque global, todo hace indicar que son tecno- logías condenadas a entenderse y com- plementarse. Pero, ¿son estas tecnologías la solución a todos nuestros problemas de fugas de información? ¿Realmente es tan sencillo como desplegar una serie de aplicacio- nes, configurarlas y que el resultado sea que nuestra información esté protegida? Como casi siempre en el mundo de la Seguridad de la Información, la solución a los problemas planteados no podemos basarla en una herramienta o tecnología a utilizar, sino en una serie de políticas, procedimientos y buenas prácticas que, apoyándose en las distintas tecnologías, nos permita mejorar el nivel de protec- ción de nuestra información sensible, sin olvidar que toda esta gestión se apoya también en el eslabón humano. Una vez más, llegamos a la conclusión de que la Seguridad de la Información es un proceso en el que debemos combi- nar distintas medidas de seguridad para conseguir nuestro objetivo. A pesar de las bondades de las tecnologías DLP y EDRM o IRM, éstas no pueden cumplir su cometido si no tenemos en cuenta otros aspectos fundamentales: ▪ Disponer de una política de Seguridad de la Información. ▪ Contar con un sistema de identifica- ción para la información específica que debe protegerse, incluyendo las revisiones periódicas, que lo manten- gan lo más actualizado posible. ▪ Mantener procedimientos para la pro- tección y el control de la información protegida, de modo que sólo sea ac- cesible por aquéllos que tienen la ne- cesidad de conocerla, trasladándole el deber de protegerla. Dicho deber, en algunas circunstancias, puede ser impuesto por Ley, pero, en cualquier caso, debe establecerse en la empresa como parte del acuerdo de confiden- cialidad con el empleado. ▪ Un sistema de alerta y aviso que ad- vierta sobre la sensibilidad de la infor- mación y los requisitos establecidos para el manejo de la misma. Habitual- mente, ésta es una de las funcionali- dades del DLP, pero, de todas formas, es importante que el usuario sepa que está accediendo a información sensi- ble y cómo debe actuar durante el tra- tamiento de la misma. Por tanto, y puesto que no es muy re- comendable empezar la casa por el te- jado, lo que realmente tendremos que hacer es una correcta gestión de la se- guridad de nuestra información. Para ello, debemos apoyarnos en las nor- mativas y buenas prácticas existentes, como las normas ISO 27001 y 27002, y, por supuesto, en las distintas soluciones tecnológicas que nos ayuden a cumplir nuestro objetivo final, que no es otro que proteger la información sensible en cualquier formato, evitando un posible mal uso de la misma o su extravío, ya sea de una manera accidental o inten- cionada. S La tecnología DLP debe ser capaz de identificar y supervisar las acciones realizadas sobre la información sensible en cualquiera de sus estados: almacenada, en tránsito (vía web) o en el punto final (dispositivo) Seguridad de la Información