jesusdml.es

Un sistema DLP (Data Loss Prevention) es un sistema encargado de prevenir el robo, acceso o salida de datos de una empresa, ya sea accidental o no. Últimamente, con todo el escándalo de WikiLeaks (que escándalo es mas bien por el contenido, la verdad) están muy de moda en grandes empresas pero tienen un coste que les hace ser «la estrella» en los presupuestos en seguridad de las mismas. Cualquier implementación de un sistema de este tipo, nos puede salir por decenas de miles de euros tanto a nivel de licencias como a nivel de la propia implementación.

No obstante, hay alternativas como OpenDLP (en franca decadencia) o una que me ha gustado mucho y que estoy probando en casa que es MyDLP. Esta solución es GPL, gratuita y con unos costes de soporte y consulta experta muy accesibles en el caso de que sea necesario.

Antes de entrar en materia con MyDLP, voy a hacer un pequeño resumen de lo que es un DLP y sus principales funcionalidades.

¿Para que sirve un DLP?

Tal y como comentaba al principio, son sistemas destinados a evitar la pérdida de información por parte de una empresa, al restringir las posibilidades de un empleado para tratar la información de un modo no autorizado o al menos registrar estos movimientos.

Por ejemplo, evita que un empleado pueda llevarse en una memoria USB una base de datos, un fichero con determinado tipo de contenido y/o tipo, o incluso abstraerse del soporte y tratar el dato como tal: «Evitar que salga cualquier cosa que contenga un número de cuenta, nombre y apellidos, datos marcados como confidenciales, etc.»

Canales habituales de pérdida de datos

Normalmente, la pérdida de datos se produce por la copia del fichero o parte del mismo a un soporte extraible (disco USB, CDR, etc.), la impresión en papel, envío a servidores de disco remotos tipo dropbox, uso de cuentas de correo públicas tipo gmail o hotmail, etc.

Es importante, tener definido este tipo de posibles canales previamente a la instalación de un sistema DLP. Evitará la sobrecarga de reglas innecesaria o la fuga de datos ante la falta de estas.

Definición de «dato»

A la hora de definir la implementación de DLP, el hecho de definir un dato es muy importante para poder saber «que vamos a proteger». Por ejemplo, una PYME debería proteger como mínimo los ficheros con datos personales e información confidencial de la empresa (ficheros de nóminas y personal, documentación de proyectos, listados de clientes, etc.) de igual modo que un banco tendría como principal objetivo los datos bancarios de sus clientes y de forma adicional los datos propios como empresa.

Aquí es importante que a la hora de definir la taxonomía de los datos, definamos también que contenido podemos detectar que alerte del uso de los mismos.

Por ejemplo, imaginemos que nos encontramos lo siguiente: 54017100632466960214

Concurso: ¿Esto que es?

1. El teléfono de un cliente argentino (Comienza por 54)
2. Las coordenadas GPS de la posición del santo Grial (No se, son números, no?)
3. El número de seguridad social de algún cliente/empleado (vale, siguen siendo números)
4. La numeración de una tarjeta visa y su caducidad

Para los que habéis pensado la 1, la 2 o la 3, ooooh, lo siento. No os ha tocado el jamón. Si has pensado la 4, enhorabuena!! has ganado un jamón (un jamón de mosca, claro, que esto es un website pobre)

Bromas a parte, el sistema DLP, cuenta con capacidad para detectar este tipo de datos, y normalmente la tiene con muchos otros tipos de datos predefinidos, y habrá visto que es un conjunto de 20 números, de los cuales los 16 primeros son propios de una VISA y dos últimos son campos válidos de una fecha futura. ¿Como hace esto? Puedes consultar en la propia web de ISO o bien en cualquiera de las que lo explican de una forma más sencilla.

El ejemplo anterior, también es válido con números de la seguridad social, nombres de personas, teléfonos, cantidades de dinero identificadas como tal, etc.

Es por esto que antes de implementar nada, debemos reflexionar sobre los formatos y capacidad de detección que podemos tener de los mismos, de cara a que la implementación de nuestro DLP sea satisfactoria (una excel con los campos dedicados a almacenar datos económicos que estos no tiene formato de moneda, es mas difícil de detectar, por ejemplo). También ayuda mucho definir etiquetas del tipo «Confidencial», «Restringido», etc. en cabeceras y pies de documentos, para poder detectar fácilmente el nivel de los mismo.

El software

Actualmente en el mercado, nos podremos encontrar con algunas soluciones comerciales considerablemente potentes, pero con el «pequeño handycap» de que su precio arranca en números de 5 cifras. La mayoría de estas, se componen de varios elementos, siendo común los siguientes:

• Servidor de políticas y administración: Almacena de manera centralizada las políticas de seguridad de cada uno de los elementos a proteger. Además, suele tener una aplicación para poder monitorizar la actividad sospechosa en los puestos de la red.
• Agente de puesto o Endpoint Agent: Software que se instala en cada uno de los equipos o puestos de trabajo de la red. Se encarga de monitorizar todas las actividades de ficheros e información, contrastando su autorización mediante la política diseñada para ese puesto.
• Agente de red o Network Agent: Sniffer que se encarga de monitorizar todo (o parte del mismo) el tráfico de la red, en busca de cualquier flujo de datos no permitido. Algunos cuentan con capacidad de interceptar la comunicación antes de que se produzca el envío de estos datos.

Ejemplo de DLP: MyDLP

Antes de que me enrollase como una persiana hablando de DLPs, os comentaba que iba a poner un ejemplo con un software bastante bueno y actualizado que es MyDLP. Este software, con licencia GPL, tiene una capacidad realmente asombrosa para su «precio» y como mínimo es capaz de detectar mediante políticas predefinidas números de tarjetas de crédito, formatos de los principales números de identificación, etiquetas en documentos, tipos de ficheros, contenido dentro de ficheros comprimidos y un largo etcétera. Además, cuenta con un potente lenguaje para la creación de reglas, basado en expresiones regulares con el que podremos crear nuestras propias reglas.

Además, la administración en muy sencilla. Tenemos por ejemplo un pequeño tutorial de como detectar números de tarjetas de crédito en la web de MyDLP.

En materia de implantación, cuenta con varios tipos de instalación muy interesantes:

• Instalacion en modo virtualizado con (VMWARE)
• ISO para ser instalada en modo appliance
• Paquetes para ser instalados en Ubuntu

La pena es que los agentes solo funcionan bajo Windows, aunque es realmente complicado encontrar soluciones de este tipo que operen bajo otros sistemas operativos en modo agente, sin que sean comerciales. No obstante el objetivo que son PCs de escritorio, nos guste o no, son sistemas MS Windows.

Estos agentes, pueden ser implantados remotamente vía samba y son totalmente controlados desde el software centralizado de MyDLP. Una vez instalados y configurados, son capaces de monitorizar e impedir la copia de datos en unidades externas, discos de red, envío mediante correo electrónico,  webmail, etc.

Os recomiendo que le echéis un vistazo a la web y os recomiendo aún más, que probéis este software que seguro que hará que vuestros datos estén mucho más seguros 🙂

Un Saludo,