Eduardo Sánchez Rojo

En las grandes empresas la implementación de sistemas DLP (Data Loss Prevention) es una necesidad, y ya es raro encontrar alguna que no disponga de políticas marcadas desde el departamento de TI para evitar el robo, pérdida o uso fraudulento de la información de la empresa. Hablamos de temas tan delicados como números de tarjetas de crédito, información financiera detallada de la compañía, clientes y proveedores e incluso planos, fórmulas o información que conforme un activo de la compañía.

¿Qué es el DLP?

Pero empecemos por definir el concepto DLP: en el mundo de las TI, llamamos así al conjunto de tecnologías y productos que, basados en políticas centralizadas, se encargan de identificar, monitorizar y proteger los datos más importantes mientras están almacenados, en uso o en movimiento gracias a un profundo análisis del contenido. Para lograrlo, en los entornos empresariales suele trabajarse sobre tres capas implementadas en conjunto o individualmente: el DLP de red, el DLP de análisis de contenidos y el DLP en equipos finales.

En el primer caso, se trata de controlar/verificar que todo lo que sale y entra de la red a través de los routers y switches cumple con las políticas de seguridad DLP. Así, se puede bloquear la salida de mails con adjuntos importantes, el uso de FTP remotos, e incluso introducir cuentas bancarias o información sensible en formularios Web. Incluso se puede bloquear el envío de faxes o impresiones de documentos a través de la red Ethernet.

En lo que respecta al análisis de contenidos, consiste en buscar en segundo plano datos almacenados en servidores, unidades de red y equipos cliente que puedan ser sensibles y, ante ello, reportarlo al administrador. Es un tarea que requiere muchos recursos de máquina, y que no siempre es posible implementar.

Por último, tenemos los clientes DLP instalados en los equipos de la red. Estos programas residentes velan por el cumplimiento de las políticas de red: impedir hacer copia/pega, controlar que los documentos se guarden de manera encriptada o con DRM (Digital Rights Management), e incluso impedir capturar la pantalla o ejecutar determinadas aplicaciones. También controlan el uso de unidades de extraíbles, la vías más común de fuga de información.

Soluciones para todas las necesidades

A pesar de que el mundo del DLP parece complejo y de alto nivel, hay soluciones para todos los presupuestos, tipos y tamaños de empresa. Y como es un mercado con pocos años de andadura, cada vez irán apareciendo más y más soluciones. Las capas de DLP que hemos comentado suelen ser estar compuestas por uno o varios productos independientes que, según cada caso, pueden implementarse de manera individual o como solución global. Para entornos de mediana y gran empresa marcas tan conocidas como Symantec, McAfee, CA, Trend Micro o Sophos cuentan con soluciones integrales que cubren prácticamente todos los ámbitos. De hecho, estas grandes compañías han reforzado la división DLP durante los últimos dos o tres años a base de comprar en muchas ocasiones prometedoras start-up o pequeñas compañías con algunos años de experiencia en el ámbito DLP. De todas formas, tampoco podemos olvidar productos de otras empresas más especializadas como los de RSA (de EMC), Barracuda Networks, Trustware, Websense o Code Green Networks. Eso sí, son el tipo de productos que, por su complejidad y calado, suelen ofrecerse e implementarse a medida de las necesidades de cada cliente, y generalmente a través de un partner especializado y/o certificado. Su coste generalmente será bastante elevado, y el tiempo de implementación puede llevar meses. Bajando un poco de nivel, para las pymes y micro empresas, aunque podemos recurrir a alguno de esos productos en los casos más exigentes, para entornos más básicos podemos recurrir a técnicas y utilidades más económicas que nos permitan un cierto nivel de control DLP.

DLP en la pyme

Antes de nada hay que realizar una auditoría interna que permita identificar dónde se almacena la información sensible, cómo se controla su acceso, y localizar los puntos débiles por dónde puede fugarse la información. Por lo general, estos suelen ser casi todos: copiado en unidades removibles, impresión, envío por Internet, sin control sobre lo que almacena cada uno, etc. Ante esto, en PYMES con poco presupuesto y un equipo de TI mínimo o externalizado, se pueden tomar las siguientes medidas para controlar la información:

1.-) Implementar un controlador de dominio o directorio activo basado en Windows 2008/2003 Server que gestione la seguridad de acceso a las máquinas, carpetas de red y ficheros de la red.

2.-) Ajustar correctamente contraseñas y permisos de seguridad en las carpetas y ficheros compartidos, teniendo especial cuidado con los datos más sensibles.

3.-) Si queremos, por ejemplo, impedir la impresión desde uno o varios puestos, podemos crear un directiva de seguridad desde las políticas de grupo del directorio activo para impedir que se inicie el servicio de cola de impresión.

4.-) Instalar un firewall de clase empresarial de marcas tan conocidas como D-Link, Netgear o Zyxel entre otros. Gracias a ellos podremos restringir la navegación Web ilimitada, autorizando sólo las páginas imprescindibles mediante una lista blanca, bloquear todos los puertos de salida a Internet (todos salvo el 80, para las Webs autorizadas) desde los puestos.

5.-) Emplear un servidor de correo interno (por ejemplo Exchange, incluido en Windows Small Business Server a un precio muy competitivo), que permita el intercambio libre de correos entre las máquinas internas, pero restrinja la salida de ficheros adjuntos, o de mensajes de más de un determinado tamaño (p.ej. 5 Kbytes). De esta manera sólo se podrán enviar mensajes de texto, sin adjuntos.

6.-) Para enviar información al exterior de manera controlada podemos utilizar algún servicio de envío de archivos de gran tamaño que mantenga un log de actividad. YouSendIt y otros similares no son la mejor alternativa, pues permiten el envío anónimo. En cambio, podemos montar el appliance virtual Filetransfer basado en VMware, de Allard Software (www.allardsoft.com). Es una máquina virtual basada en OpenBSD que, instalada localmente en cualquiera de nuestros servidores, permitirá el envío de ficheros de hasta 2 Gbytes a través de una sencilla interfaz Web. Permite la gestión de usuarios, y mantien un log permanente de los ficheros enviados, la veces que se han descargado, etc. Su precio parte de los 79 dólares.

7.-) Mediante suites de seguridad de empresas como Kaspersky o G-Data, entre otras, podemos activar el control parental para controlar las aplicaciones que se pueden ejecutar en la máquina. Tampoco estaría mal cifrar el contenido de los discos duros de los portátiles de la empresa, con utilidades opensource como TrueCrypt, o el BitLocker de Windows Vista/7. De esta forma, en caso de pérdida o robo, la información será irrecuperable.

8.-) Instalar DeviceLock (www.devicelock.com), una pequeña utilidad que se instala en los PCs de sobremesa y portátiles, y que se controla desde el servidor mediante políticas de grupo del directorio activo. Este es un verdadero software de DLP (de la capa clients), aunque con un precio razonable: entre 16 y 31€ por puesto. A cambio permite, además de bloquear el copiado de datos en cualquier unidad extraíbles o CD/DVD o colocarlos en modo de sólo-lectura, bloquea el uso de puertos COM/LPT/Infrarrojos, la instalación de adaptadores WiFi o Bluetooth adicionales, instalación de impresoras, o la sincronización de datos datos con cualquier tipo de PDA o smartphone. Todo ello con la posibilidad de bloqueos totales, o a nivel de fichero, con posibilidad de funcionar de manera offline cuando, por ejemplo, un portátil esta fuera de la oficina. Por otra parte, mantiene un completo log de información, que puede llegar a almacenar todos los ficheros copiados a cualquier dispositivo, e incluso los trabajos de impresión.