En febrero se supo que al laboratorio de Los Álamos, donde el ejército de Estados Unidos desarrolla armas nucleares, le faltaban 67 notebooks. Según una nota interna fueron “perdidas o robadas” desde el año pasado. ¿Qué pasaría si esos equipos caen en manos no autorizadas para usarlos? La misma pregunta es útil para el ámbito corporativo.
Smartphones, handhelds, notebooks, pendrives y discos portátiles, son cada vez más usados. Esto aumenta el riesgo de pérdida o hurto, quedando expuesta información comercial, planes de lanzamiento de productos, datos sobre propiedad intelectual, secretos industriales y más.
Durante 2007, los principales proveedores de seguridad IT usaron más de U$S 1.600 millones para adquirir empresas que desarrollaban software para prevenir pérdida de datos (Data Loss Prevention, DLP). Cisco, EMC/RSA, McAfee, Symantec, Trend Micro, Websense, compraron firmas de ese nicho que, según IDC, crece a un 50 por ciento anual.
Gartner dice que el software DLP “previene la pérdida o exposición accidental o inadvertida de información empresarial sensible”. Y estima que cada registro perdido por firmas financieras cuesta en promedio U$S 239. En tanto, según la consultora The 451 Group, el 98 por ciento de los datos se filtran por “estupidez o accidente”.
Para debatir sobre las herramientas que permiten evitar potenciales problemas, Information Technology convocó a Ariel Beliera, ingeniero de Sistemas de Symantec; Leandro Piovi, gerente de Ventas Corporativas de Trend Argentina; Javier Rubinsztein, Sales Manager de RSA; y Herman Schenk, gerente de Producto de Secure-Rep, representante exclusivo de McAfee en la Argentina.

El problema
¿Qué abarcan las soluciones de Data Loss Prevention?
Rubinsztein: Se relacionan con la protección de la información sensible de una compañía. La información bien utilizada y protegida puede ser una ventaja competitiva, y la información mal utilizada o desprotegida puede ser un problema grave en pérdida de dinero, brechas de seguridad y daños a la marca. Un DLP debe abarcar la información en reposo, en movimiento y en uso. La pérdida o robo de información está en aumento y la inversión en seguridad de las empresas se enfoca en seguridad perimetral o de acceso. Cuando el CIO y el CEO se enfoquen en la información que está dentro de la red y las áreas de seguridad se conviertan en facilitadores más que en inhibidores del negocio, habrá que repensar la forma de proteger la información.
Piovi: Para disminuir el problema de filtrado de datos sensibles, hay que apoyarse también en la capacitación y la concientización del usuario, que es la principal amenaza dado que está en continuo contacto con la información.
Beliera: Ya no se habla de un perímetro de seguridad, porque la información está en un entorno colaborativo. Se la clasifica en información de clientes, corporativa y de propiedad intelectual.

¿Cuáles son las principales vías de pérdida de datos?
Piovi: E-mails, dispositivos USB, CD, DVD… Hay muchas pero las memorias USB son una de las principales. También otros dispositivos móviles que, sin intención, se pueden perder en cualquier lado. Esa información en manos de quien no debe tener acceso genera mala imagen para la empresa o cualquier otro prejuicio.
Rubinsztein: El problema puede venir desde adentro por internacionalidad, accidente o error. ¿Cuántas veces se manda un email a un destinatario equivocado porque el apellido es similar al del destinatario correcto? Ahí hay una brecha de seguridad importante.
Schenk: Antes, la seguridad se orientaba a proteger los sistemas y ahora a proteger los datos. Entre 2003 y 2007, estuvo orientada a ataques y así surgieron los Intrusion Prevention Systems (IPS). En 2007 cambia la motivación de los hackers: ya no les interesa atacar un sistema, sino que van por los datos.

Las Barreras
¿Las empresas comprenden los riesgos?
Schenk: Relativamente. Es que una solución DLP no es barata ni se implementa rápido. Además, hay que clasificar los datos, que es lo más complicado porque es la empresa la que puede definir cuáles son críticos para su negocio.
Rubinsztein: Y antes de la clasificación hay que hacer el descubrimiento, que no es sencillo; no hay muchas soluciones que ayuden, tiene algo requerimiento de recursos humanos y lleva tiempo. Las empresas siguen apuntando a la protección de dispositivos o sistemas y no ven la necesidad de proteger los datos. Esto también se vincula con alinear los proyectos de seguridad con los del negocio. Si se ofrece una solución de DLP en el área de Seguridad se termina hablando de bits y bytes. Además, es muy difícil para el área conseguir presupuesto. Hay que escalar el tema: los niveles decisores saben que si se pierde un dato sensible pueden tener problemas.
Schenk: Hoy se implementa un DLP luego de que pasa algo. La primera solución de encriptación que vendimos, en 2008, fue después del robo de una laptop con información crítica. Por otro lado, es imposible llegar al CIO. Se habla con el área de Seguridad Informática, que no tiene mucho apoyo en las empresas argentinas.

¿Por dónde se puede empezar?
Schnek: La encriptación de laptops es lo más rápido, barato y sencillo. También el “device control” o control de dispositivos (lectoras de CD y DVD, dispositivos PCI y USB). Luego, la encriptación de archivos y carpetas. Cuando el administrador de red puede ver todo lo que se conecta a la red, se le dibuja una sonrisa y surge, entonces, la inquietud de definir qué pueden hacer los usuarios con cada dispositivo conectado: copiar archivos, imprimirlos…
Beliera: Nuestra solución de “end point” no bloquea el acceso directamente; le informa al usuario que se va a bloquear y le permite saber por qué está haciendo esa acción que genera el bloqueo. Lo más importante es la retroalimentación y la concientización de los usuarios.

En la cancha
¿Cuánto demora la implementación?
Beliera: primero se hace una evaluación de riesgo para detectar incidentes en la red y que quienes impulsan el proyecto internamente (en general, la alta gerencia) vean la exposición de la propiedad intelectual, datos corporativos, información sensible y de clientes. La implementación de una solución inicial de monitoreo puede durar alrededor de cinco semanas.
Schenk: Depende. Si es solo encriptación, en dos días puede estar listo. La encriptación de archivos y carpetas lleva más tiempo, porque hay que entregar contraseñas. Hace poco trabajé en un proyecto en una empresa muy grande y los directivos no querían poner contraseñas.
Piovi: Gran parte del trabajo es establecer la política de seguridad de la información. Es muy importante y hay que identificar el tipo de información, en qué formato está y si un documento esta disperso en la red. Puede llevar de dos a seis meses.
Rubinsztein: No hay política de seguridad aún en empresas donde depositamos confianza o dinero. A veces tienen una solución de DLP, pero le dan permiso a alguien para que imprima un documento crítico y la impresión queda varios días en la impresora. Esto es tema de la política de seguridad.

¿Qué inversión requiere una solución de DLP?
Schenk: Una solución básica de encriptación para mil usuarios cuesta alrededor de U$S 20.000. Una solución completa, cerca de U$S 100.000. Pero depende del rango de usuarios, de acuerdos corporativos y de la estrategia de negocios.
Piovi: Una licencia nuestra oscila entre U$S 50 y U$S 150.
Beliera: Nuestro modelo de licenciamiento está atado al número de agentes en el “end point” y la suscripción anual de usuarios o empleados.

¿Tiene sentido para una Pyme?
Piovi: Uno de los problemas es creer que esta preocupación es únicamente de compañías que manejan información secreta. Hoy todas trabajan con información delicada y tienen, en mayor o menor medida, el problema. Después se verá que parte de la solución se despliega. Nosotros vendimos en el segmento alto, pero hoy hay pedidos de consultoría en empresas de 100 a 1.000 usuarios.
Schenk: Los módulos de “device control” o encriptación pueden implementarse en empresas más chicas.
Beliera: Para Pymes tenemos herramientas de bloqueo y control de dispositivos incluidas en otros productos. Para DLP compramos Vontu y heredamos clientes grandes.

¿Quiénes van a la vanguardia entre los clientes?
Beliera: Para nosotros son las compañías que tienen al menos 2.500 empleados.
Rubinsztein: Las grandes compañías son los “early adopters” por recursos, presupuesto y acompañamiento de la tecnología, pero también hay un tema de concientización y capacitación. ¿Qué sucede si un estudio de 50 abogados extravía el contrato de una fusión por millones de dólares? Entonces una solución de U$S 200.000 o U$S 300.000 no es tanto. No hay conciencia de lo que puede repercutir esa pérdida de información en términos de marca y dinero.
Beliera: La falta de conciencia se ve particularmente en la Argentina. También falta regulación. Si bien hay normas como PCI, HIPAA o Sarbanes-Oxley, el país debería preguntarse si conocen el riesgo de que su información esté afuera. En la Argentina, una compañía pierde información y no se entera.