¿Existe alguna organización que no se haya preocupado por la información confidencial que puedan estar sacando sus empleados? ¿O del uso que un ex trabajador pueda hacer de toda la información obtenida de su última experiencia laboral?
Son cuestiones muy importantes y más aún en la sociedad en la que estamos sumergidos hoy en día, en la que la información es poder y una fuga de la misma puede llevarnos, por diversas razones (legales, de imagen, competitivas etc.), a la ruina. ¿Hay alguna forma de poder controlar este aspecto?
Históricamente y bajo mi experiencia de años trabajando en materia de seguridad de la información, puedo decir que es un tema muy complicado de gestionar. Los administradores de sistemas implementamos las medidas de seguridad pertinentes para poder minimizar estos riesgos: delimitación de permisos de acceso, registros de logs, cifrado etc. Pero estas medidas, aunque disminuyen la probabilidad de tener una fuga de información, no la evitan, y más ahora que las prácticas de Shadow IT están a la orden del día.
Con este término me refiero a la utilización de dispositivos, software o servicios que están fuera del alcance de la gestión de un departamento de IT. Para que lo podáis entender de forma muy clara, dos ejemplos de Shadow IT serían el uso de una herramienta cloud como Dropbox para extraer información a la que se tenga acceso o de dispositivos USB para su copia.
DLP E IRM
Afortunadamente, en la actualidad ya existen mecanismos tecnológicos que controlan estos problemas. Concretamente en este post quiero hablar de dos tecnologías para afrontar estas casuísticas: DLP e IRM. Son totalmente complementarias y nos van a ayudar a reconocer estas situaciones.
DLP es el acrónimo de Data Loss Prevention (prevención ante la pérdida de datos). Se trata de una tecnología utilizada para prevenir que un usuario pueda extraer información a través de medios como el correo electrónico o a través de sistemas empresariales como Microsoft SharePoint o Microsoft OneDrive for Business. Mediante esta tecnología puedes crear reglas que analicen la información en reposo o en tránsito y aplicar acciones de restricción o de notificación a un tercero (administradores de sistemas, dirección…) sin que tenga conocimiento de ello el usuario que la ha extraído.
La tecnología DLP se aplica sobre la información que nosotros deseemos: número de tarjetas de crédito, cuentas bancarias, números de seguridad social, palabras específicas… Por ejemplo, podría ayudar a un banco a implementar medidas para cumplir con la normativa PCI-DSS al crear reglas que prohíban extraer información que contenga números de tarjetas de crédito a usuarios externos a la organización.
La otra tecnología, denominada IRM (Information Rights Management), gestiona los derechos de administración de la información. Mediante IRM podemos aplicar los permisos para ciertas personas sobre los documentos que queramos. Por ejemplo, podremos limitar la lectura y el acceso de un documento únicamente a cierto personal autorizado.
Microsoft, a través de su herramienta Azure Rights Management, que se puede adquirir individualmente o mediante el paquete Enterprise Mobility Suite (EMS), proporciona estas funcionalidades y además, con la granularidad que se desee. Se pueden aplicar diferentes directivas de permisos sobre un documento a diferentes usuarios o grupos de usuarios especificando qué pueden y qué no pueden hacer, llegando a casos extremos de no poder imprimir un documento, no poder copiar contenido del mismo, no poder mostrarlo en una conferencia de acceso remoto o que expire en una determinada fecha. Asimismo, se puede llegar a revocar, con carácter inmediato, el acceso concedido a la información.
La información es poder
Pero no sólo ofrece funcionalidades relacionadas con seguridad. Tal y como he señalado al inicio del artículo, la información es poder.
¿Acaso no nos interesaría saber si ese documento enviado lo llegó a leer alguien? ¿Y quién? ¿Y cuándo? ¿Y desde dónde? Pues bien, con Microsoft Azure Rights Management, a través de su portal web de tracking, podemos llegar a saber cuándo se ha abierto o intentado abrir cada documento así como desde qué localizaciones geográficas.
En definitiva, tal y como explicábamos al principio, una buena combinación de estas dos tecnologías va a poder dotar a nuestra empresa de una capa adicional en materia de seguridad de la información.
Personalmente os animo a probarlo. Haced una reflexión durante unos minutos al terminar de leer este artículo y pensad que información es crítica para vuestra organización y las consecuencias que podría tener una fuga de la misma. Asusta ¿verdad?
Por esto, creo que no hace falta argumentar nada más para que os animéis a dar el paso.
Si queréis saber más sobre seguridad de la información en las empresas podéis descargaros el video y presentación del Webinar Pasando de securizar el perímetro a proteger identidades y documentos.
Artículo redactado por Miguel Ibáñez
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.