Los problemas más predominantes con el DLP que veo actualmente se refieren a lo que realmente puede recuperar. A menudo, esto ya omite las conexiones cifradas como HTTPS (a menos que se utilicen certificados SSL para implementar un MiTM).
Además, hay algunos problemas legales en la mayoría de los países europeos con respecto a la privacidad y la proporcionalidad de la recopilación de datos, que es una de las razones más importantes por las que los DLP no están vendiendo allí.
Hay algunas pautas estrictas con respecto a la recuperación y el procesamiento de datos en la UE:
- Aviso: los sujetos de los datos deben recibir un aviso cuando sus datos estén siendo
recogido;
- Propósito: los datos solo deben usarse para el propósito indicado y no para
cualquier otro propósito;
- Consentimiento: los datos no deben divulgarse sin la información del interesado
consentimiento;
- Seguridad: los datos recopilados deben mantenerse a salvo de cualquier potencial
abusos;
- Divulgación: los sujetos de los datos deben ser informados sobre quién está recopilando
sus datos;
- Acceso: los sujetos de datos deben poder acceder a sus datos y hacer
correcciones a cualquier dato inexacto; y
- Responsabilidad: los sujetos de datos deben tener un método disponible para ellos
responsabilizar a los recolectores de datos por seguir lo anterior
principios.
Por ejemplo, en comparación con los EE. UU., si un empleado europeo tiene una carpeta en su computadora titulada "personal", incluso en una máquina de la empresa, es posible que no se pueda acceder a los datos de esta carpeta. La definición de personal también se ha mantenido bastante amplia, lo que permite una interpretación amplia. Y los datos personales no se pueden procesar a menos que se cumplan ciertas condiciones:
- Transparencia (a los sujetos siempre se les debe notificar qué datos se están procesando)
- propósito legítimo
- Proporcionalidad (cuando se procesan datos personales confidenciales (pueden ser: creencias religiosas, opiniones políticas, salud, orientación sexual, raza, membresía de organizaciones anteriores), se aplican restricciones adicionales)
- Los datos en sí tampoco pueden enviarse a otros países fuera de
la Unión Europea, a menos que se cumplan ciertas condiciones
Violar (incluso accidentalmente) cualquiera de las reglas anteriores lo hará legalmente responsable y puede causar mucho daño a su empresa. Por lo tanto, una máquina que recopila casi todo lo que pasa a través de su red (y que descifra las transmisiones SSL) es un riesgo real si algo falla con la información que recopila o si alguien decide aprovecharla al máximo, ya que su empresa será responsable. it.