Tuvimos una excelente discusión esta noche con ISACA Escocia alrededor de prevención de pérdida de datos . Hay herramientas técnicas que salen de luminarias como Checkpoint , MacAfee , Cisco , Symantec etc. , pero todos tienen implicaciones de costo, limitaciones de escala y problemas de implementación.
Si utiliza una solución DLP o planea usar una, ¿qué factores analizó para presentar un caso de negocios?
Como se describe en este talk en Confidence'09, hay algunos argumentos en contra del despliegue de ciertas soluciones DLP (me doy cuenta de que este es un tema polémico, pero al menos se deben evaluar estas preocupaciones).
En esencia, muchas de estas soluciones no son en realidad nada más que rootkits legítimos. La investigación detrás de la charla vinculada encontró que una de las soluciones DLP investigadas era en realidad una versión modificada de un rootkit conocido en rootkit.com. Esto podría ser visto como un problema por varias razones. Una de las cuales es que si, según lo descrito en la investigación, ninguna de las soluciones de detección de rootkit detectó con éxito alguna de las soluciones DLP, ¿no es posible (probable) que los proveedores de AV (intencionalmente) no detecten la suya (u otras)? ¿Soluciones DLP con sus kits de detección de rootkit? Por lo tanto, ¿sería posible modificar estos rootkits DLP permitidos / legítimos para producir un rootkit altamente secreto con muy pocas posibilidades de detección?
También podría preocuparse por la seguridad general de estas soluciones. Al recopilar y distribuir resmas de información potencialmente confidencial y proporcionar un control de anillo 0 (sistema) sobre cada sistema de usuario final en el entorno corporativo a un servidor de administración, usted confía muchísimo en la seguridad de la propia solución DLP. . ¿Un atacante no iría directamente a la solución DLP? ¡Ese es un solo punto grave de fracaso total!
Es un punto subjetivo que conozco, pero ¿qué hay de las implicaciones más amplias de espiar a los usuarios en este grado? Conozco a muchos que se resentirían seriamente de una empresa que toma estas acciones. ¿No elimina ninguna noción de confianza entre la persona y la empresa? Soy un pragmático de corazón y, por lo tanto, veo los beneficios de estas soluciones (y, de hecho, puedo identificarme con un CISO que intenta proteger los intereses corporativos), pero para una industria que invierte tanta energía en la promoción de la privacidad no se siente mal. ¿Acerca de las soluciones de ingeniería que destruyen completamente esto para el individuo en el lugar de trabajo?
Como indica la respuesta de Rory, al igual que en casi todos nuestros problemas, tiene tanto el proceso de negocios como los aspectos técnicos con los que lidiar.
Desde una perspectiva técnica al investigar DLP (como producto), nos centramos en 3 aspectos principales:
Parece una lista bastante estándar, sin embargo, creo que lo racional es una consideración importante. Fuera de los entornos corporativos, e incluso dentro de ellos a veces, la compra del usuario final para proyectos de seguridad es muy complicada. Como se menciona en esta pregunta , un profesional de seguridad a menudo es visto como alguien que debe ignorarse porque no hace nada más que Haz que mi vida sea más difícil de lo que debería ser, o que veas con recelo porque "están ahí para atraparme". Como tal, a menudo le corresponde a la Oficina de Seguridad trabajar en torno a la cultura prevaleciente y convencer al usuario final de que cualquier trabajo adicional de su parte realmente vale la pena.
Teniendo en cuenta esas consideraciones, cosas como los agentes de escritorio se convierten rápidamente en un elemento muy polémico, incluso si son extremadamente efectivos. Entonces, la pregunta es ¿cuánta interferencia podemos evitar? Si se encuentra en un entorno fuerte de "estilo corporativo" con un estricto control sobre los sistemas, o políticas sólidas implementadas que rigen datos confidenciales, o una fuerte aceptación por parte de la cadena de administración de los usuarios finales, etc., entonces probablemente pueda escapar. con mucho. En el otro extremo del espectro, una solución estrictamente basada en la red puede ser su mejor apuesta. Algo que se parece más a un IDS y solo detectará las transmisiones de datos, pero no funcionará para evitarlas.
Si bien la mayoría de las soluciones DLP tendrán firmas creadas previamente para elementos comunes como SSN, licencia de conducir, marcas de agua que indican datos confidenciales, etc., a veces la información más preocupante es la que es exclusiva de su entorno. En mi opinión, cualquier solución DLP que valga la pena comprar debe ser extensible. Debo poder agregar la expresión regular que coincida con el número PID (Identificación de la persona) de mi universidad o la identificación interna del personal de Recursos Humanos. También quiero poder buscar elementos que los departamentos específicos consideren importantes. Es decir, si la oficina del decano de Bellas Artes decide que un trabajo de investigación específico es importante, se me debería permitir un método para vigilarlo (consulte los gráficos de buena voluntad v. Compra correspondientes al punto anterior).
Finalmente, Facilidad de Uso. En muchas, si no en la mayoría, los recursos de los trabajadores de las organizaciones son escasos. El sistema en sí mismo debe ser relativamente fácil de mantener y ejecutar. Cada vez que se dispara una alerta, debería ser relativamente indoloro para actuar. Los detalles específicos dependen totalmente de sus procedimientos internos, así como de los otros sistemas que utilice para el monitoreo / respuesta de seguridad.
Algunas respuestas del grupo:
Un punto muy importante planteado: el aspecto de las personas. Independientemente de los controles técnicos establecidos, las personas serán las que lo rompan (consulte los artículos sobre pérdida de datos sobre los ingresos y aduanas de Su Majestad, casi cualquier banco, Wikileaks, etc.), por lo que los siguientes controles:
Actualizar:
Me apuntaron a este documento de octubre de 2010 por Rich Mogull en Securosis en la comprensión y selección de DLP. Excelente conjunto de áreas para mirar!
Lea otras preguntas en las etiquetas data-leakage dlp