Las mejores prácticas y tecnologías que intervienen en la prevención de pérdida de datos (DLP, por sus siglas en inglés) en los dispositivos móviles tienen como objetivo proteger los datos que dejan la seguridad de la red corporativa. Los datos pueden verse comprometidos o filtrados por una variedad de razones: el robo de dispositivos, una difusión accidental por parte de un usuario autorizado, o hurto a través de malware o aplicaciones maliciosas.
Los problemas asociados con la pérdida de datos móviles se han visto agravados por el incremento de los empleados que traen sus propios dispositivos al trabajo, así estén autorizados a hacerlo o no. En una situación de BYOD, el usuario es propietario del dispositivo, no la organización, y hace que la seguridad sea un poco más complicada de establecer y mantener por parte de TI.
Como mínimo, cualquier dispositivo móvil que tenga acceso o almacene información de negocios debe estar configurada para la identificación de usuario y una autenticación fuerte, debe ejecutar el software anti-malware actualizado y debe utilizar redes privadas virtuales (VPN) para acceder a la red corporativa.
Además, el departamento de TI debe implementar las siguientes estrategias para ofrecer la mejor protección de la información corporativa en un entorno móvil:
- Backups regulares, que también se analizan regularmente para su recuperabilidad
- Capacitar a los usuarios en DLP
- Aplicar las normas de clasificación de datos
- Ejecutar las pólizas de seguros de la información
- Utilizar software DLP móvil
Cada una de estas estrategias se discuten a continuación.
1. Backups de los datos: Lo de siempre
No tenemos que entrar en mucho detalle sobre el tema de las copias de seguridad de datos. En pocas palabras, son necesarias, deben llevarse a cabo con regularidad y los archivos de copia de seguridad resultantes deben ser probados para asegurar que se pueden recuperar en caso sea necesario.
2. Capacitar a los usuarios: Cuanto más sepan, más seguros estarán sus datos
Educar a los usuarios sobre los peligros de la fuga de datos es un proceso útil y valioso para la mayoría de usuarios. Ya sea de forma anual, seminarios, almuerzos o un boletín de noticias mensuales, enseñe a sus empleados sobre la seguridad. Dígales lo que es la información sensible y muéstreles cómo es.
La mayoría de los empleados le ayudarán a proteger los activos de la organización una vez que entienda lo que constituye la información “confidencial”. También deben entender las consecuencias que tendría la organización si dicha información se hace pública -la reputación dañada, el espionaje corporativo, la pérdida de ingresos, multas reglamentarias y sanciones, e incluso un riesgo para la seguridad personal de algunos empleados. Comparta algunos casos reales de fuga de datos que hayan sucedido en la organización (si es posible) y enumere las brechas de seguridad que fueron noticia.
3. Clasificación de Datos: ¿Solo para los ojos de quién?
El uso cada vez mayor de dispositivos móviles para el trabajo, más que casi cualquier otra tecnología en los últimos años, han hecho que resalte la importancia de la clasificación de los datos. La mayoría de las tecnologías DLP móviles (véase más adelante) se basan en alguna forma de clasificación de datos para evitar su fuga. Su organización debe empezar por la creación de una norma de clasificación de datos, si es que no tiene una ya establecida, y luego la aplicación de esa norma tan pronto como sea posible.
Un esquema de clasificación consta de amplias categorías que definen la forma de tratar la información. El esquema de clasificación militar de EE.UU. se compone de tres niveles de clasificación: Top Secret, secreto y confidencial. Un esquema de negocios o educativo podría usar categorías como: Altamente sensibles, sensible, interna y pública. (Si su organización debe cumplir con las leyes y reglamentos específicos que rigen ciertos tipos de datos, incorpore el lenguaje y las medidas apropiadas en su norma de clasificación de datos).
Dado que la información se presenta de muchas formas diferentes -documentos de procesamiento de textos, hoja de cálculo y correos electrónicos, así como operaciones de marketing, correspondencia ejecutiva y mensajes de correo electrónico de servicio al cliente- alguna puede ser difícil de clasificar. Además, ¿cómo manejar los documentos que han sido alterados para otros fines? ¿Qué pasa si las partes de un documento clasificado como de alta sensibilidad se utilizan en otros lugares, por ejemplo? ¿Deberán considerarse también de alta sensibilidad, o requieren una ronda de revisión y, posiblemente, reclasificación?
Tenga en cuenta que los datos de etiquetado y datos clasificatorios son dos cosas diferentes. Una etiqueta identifica el nivel de protección requerido y suele ser una marca o un comentario colocado en el propio documento o en los metadatos. Por ejemplo, puede insertar la palabra “Confidencial” en el encabezado o pie de página de un documento o añadirlo a la hoja de propiedades de un archivo. Cuando clasifica un archivo, por otra parte, puede o no aplicar una etiqueta.
4. Políticas: Proteja los datos en todas sus formas
Su norma de clasificación de datos debe ser incorporada en la política general de seguridad de la organización. Las políticas deben ser claras en cuanto al uso y manejo de los datos, y el enfoque que selecciona impulsará el costo de manejo de datos.
Las políticas de seguridad, normas y procedimientos establecen distintos requisitos sobre los datos y la información, en función de su ciclo de vida (creación, acceso, uso, transmisión, almacenamiento o destrucción). El objetivo es proteger los datos en todas sus formas, en todos los tipos de medios y en diferentes entornos de procesamiento, incluyendo los sistemas, redes y aplicaciones.
Asegúrese de que sus políticas establezcan que los usuarios de la información sean responsables personalmente, y tendrán que rendir cuentas, para que se cumplan todas las políticas, normas y procedimientos.
5. Software móvil DLP: Observando a los usuarios móviles
Muchos productos DLP móviles ofrecen vigilancia, la cual permite que TI vea los datos a los que accede y/o descarga un usuario móvil desde un servidor corporativo. La belleza de la vigilancia móvil es que proporciona señales de advertencia, dándole a TI la oportunidad de actuar en un posible incumplimiento o infracción política. Sin embargo, se necesita tiempo para diferenciar entre el ruido general y las amenazas de seguridad reales, por lo que a menudo se usa más como un registro para el seguimiento de las acciones. El reto es evitar selectivamente que la información sensible sea trasladada o almacenada en un dispositivo móvil.
Los últimos productos de proveedores conocidos de aplicaciones y dispositivos DLP como Symantec, McAfee y Websense proporcionan características de clasificación de datos para etiquetar mensajes y documentos (en materia de etiquetado de metadatos), así como las características que analizan el contenido y el filtro cuando un dispositivo móvil interactúa con un servidor de la empresa.
Conocida como cuidadoras del contenido, estas tecnologías son de gran utilidad para los dispositivos propiedad de los empleados, así como para los emitidos por la organización. Pueden prevenir ciertos correos electrónicos, eventos del calendario y tareas de sincronización con un teléfono inteligente o tableta desde un servidor de Microsoft Exchange, por ejemplo, sobre la base de la política DLP móvil. Las tecnologías permiten que un administrador separe el correo electrónico personal y de negocios, además de evitar que la información de negocios se almacene en un dispositivo móvil.
Algunos productos evitan que la información sensible se traslade a los dispositivos basados en un usuario o grupo en lugar de una ID de dispositivo. Un administrador se limita a establecer las políticas de móviles para las áreas de venta y marketing, o usuario03, usuario04 y usuario07. También se pueden encontrar soluciones que admiten mensajería basada en roles para cumplir con los requisitos de uso militar.
DLP es compatible con las soluciones de gestión de dispositivos móviles (MDM). No se necesita instalar nada en el dispositivo móvil; el software DLP puede aprovechar las configuraciones de MDM para forzar a que el dispositivo realice una conexión VPN a la red corporativa. Allí, la tecnología DLP escanea y analiza el contenido para aplicar las políticas.
Los entornos virtuales también pueden ser protegidos. DeviceLock, por ejemplo, ofrece una función de protección contra fugas de datos llamada DLP Virtual, que protege las máquinas virtuales locales, y, computadoras de escritorio y aplicaciones basadas en la sesión. DLP Virtual soporta Citrix XenApp, Citrix XenDesktop, Microsoft RDS y VMware View.
-Kim Lindros y Ed Tittel, CIO (EE.UU.)