¿Qué opciones están disponibles para implementar DLP dentro de una organización y cuáles son los pros y los contras de cada una?
Un enfoque es bloquear los puntos finales para bloquear los puntos de egreso , que incluye:
Veo que esto se hace en muchos entornos, pero nunca de manera integral. Pero incluso si esto pudiera implementarse perfectamente, existe un problema importante: es demasiado restrictivo. Deshabilitamos el USB porque queremos que Joe no copie la base de datos secreta superior en una memoria USB. Ahora, es posible que Joe desee, de manera bastante legítima, colocar algún material de marketing no confidencial en una memoria USB para usar en una conferencia. El bloqueo lo impide: no tiene ningún concepto de clasificación, por lo que no puede distinguir entre una presentación pública y una nota secreta. La mayoría de las empresas tienen un proceso para solicitar que se vuelva a habilitar el USB, con una justificación comercial, pero en ese momento Joe puede robar la base de datos secreta más importante.
Para mejorar esto, varios proveedores han creado las herramientas Prevención de pérdida de datos (DLP). Algunos de ellos se llaman Mitigación de pérdida de datos (DLM); Es la misma tecnología. Estos funcionan de varias maneras, pero la mayoría tiene un agente en el punto final y un sistema de administración central. Cuando se instala el sistema, varios documentos clave se marcarán como confidenciales y se pueden usar algunos patrones (uno popular es de 16 dígitos, que indica un número de tarjeta de crédito). Ahora, cuando Joe intenta escribir un archivo en su dispositivo USB, el agente verifica si el archivo es confidencial y luego permite (o no permite) que se escriba el archivo.
Los sistemas comerciales de DLP ahora están bastante maduros e intentan abordar todos los medios locales y puntos de salida de la red. Es importante darse cuenta de que solo tienen la intención de detener a su personal interno. Por lo general, no detienen a los piratas informáticos (a pesar de las afirmaciones de algunos proveedores). Aún así, es una buena tecnología para tener, y aunque no se usan mucho, creo que la mayoría de las organizaciones conscientes de la seguridad deberían tenerla. Creo que la relación costo / beneficio es mejor de lo que obtiene de IDS.
Como las personas han mencionado, un punto de salida que nada puede proteger a las personas. Puede detener a alguien que copie una base de datos de 10 gb en una unidad USB. Pero si los datos secretos principales son una oración ("fue xxxx quien disparó a JFK"), por supuesto, alguien puede leer eso, recordarlo y luego filtrarlo fuera de su organización. Y para evitar que alguien fotografíe su pantalla, necesitaría controles físicos de seguridad, como la confiscación de dispositivos electrónicos personales.
No puede impedir que alguien lea la información, la recuerde y la escriba fuera de su control.
Sin una seguridad física extrema, no puedes evitar que alguien saque una cámara en el lugar y tome fotos de la pantalla.
Si permites impresiones, pueden rellenar las impresiones por debajo de sus pantalones.
Si permite el uso de papel y bolígrafos, pueden copiar la información de la pantalla a mano.
Sin modificaciones de hardware y bloqueo, no puede evitar que alguien copie documentos en una memoria USB. (por ejemplo, reiniciar a un sistema operativo diferente para evitar restricciones de software).
Lea otras preguntas en las etiquetas data-leakage documents