La tecnología DLP, no obstante, nos permite aplicar protección a la información de una forma más gradual, y desplegando una estrategia de mejora continua de la protección del dato. Dicha tecnología permite empezar por algo tan sencillo como el descubrimiento de la información que transita hacia el exterior del perímetro de nuestra organización, es decir, aquella información que se envía a terceros. Y puede llegar a ser tan complicado como bloquear aquella información altamente confidencial cuando ésta se intente transferir, o ser accedida por personas no autorizadas. Evidentemente, entre ambos escenarios se debe establecer un plan de mejora continua de protección de la información, de forma que se implemente cada acción concreta en el momento en que la organización esté preparada para ello. Adicionalmente, escuchamos que es imprescindible haber realizado una clasificación de la información antes de abordar la implementación de un proyecto DLP, cuando personalmente pienso que no es estrictamente necesario. Debido a que se trata de un proyecto de mejora continua, se debe iniciar protegiendo la información más importante para nuestra organización, y ésta es relativamente fácil adivinar cuál es.

¿Son suficientes las herramientas DLP o eDRM?
Las herramientas DLP o eDRM comentadas anteriormente no son suficientes para la protección de la información. Estamos ante un nuevo paradigma de uso y acceso a la información. El perímetro tecnológico tradicional ha desaparecido. La protección de la infraestructura tecnológica mediante cortafuegos, sistemas de prevención o detección de intrusiones o antivirus ya no es suficiente. Lo que realmente hay que proteger hoy día es el dato, ya que éste puede estar en cualquier lugar gracias a las nuevas tecnologías como el cloud computing o la virtualización. Dichas tecnologías permiten ubicuidad y acceso universal, es decir, la información puede estar accesible en cualquier momento y desde cualquier lugar, y dicho avance es algo de lo que las empresas se van a beneficiar para mejorar la eficiencia de sus procesos de negocio. Ante este nuevo escenario el DLP por sí solo no nos protegerá del uso o acceso indebido a la información.

¿Cómo acompaña la seguridad a la ubicuidad y acceso universal?
Lo que no podemos hacer los profesionales de la seguridad de la información es prohibir el uso de dichas tecnologías emergentes. Debemos mitigar los nuevos riesgos asociados. ¿En frente a qué nos encontramos? A empleados internos o subcontratados, accediendo a los sistemas de información corporativos, desde las redes de comunicación privadas, o desde cualquier red externa como, por ejemplo, el domicilio particular, un hotel, un cibercafé o un aeropuerto, y utilizando variedad de dispositivos, como, por ejemplo, un portátil corporativo, netbook personal, ordenador de un amigo, dispositivo móvil, etc. Por ello, además de las tecnologías DLP debemos complementar la protección con mecanismos adicionales.
Lo primero será robustecer el mecanismo de autenticación del usuario. Hace muchos años que se habla de que el mecanismo de identificador y contraseña no es seguro pero la realidad es que sigue siendo el mecanismo de autenticación que más se utiliza. Debemos dar un paso adelante para utilizar segundos factores de autenticación. Adicionalmente, se deben implementar mecanismos que doten de mayor granularidad en la autorización dependiendo del origen de la conexión y el mecanismo de autenticación utilizado. Los privilegios asociados a un usuario deben ser inferiores si el acceso es realizado, por ejemplo, desde su casa, que desde la red interna, así como si se autentica con contraseña o con token. Adicionalmente, otro mecanismo de protección sería el de prevención de accesos no autorizados, mediante herramientas de detección de patrones de comportamiento no habituales. Al igual que hace años que existen mecanismos de prevención de fraude en tarjetas de pago o banca electrónica, el mismo término puede ser aplicado a los accesos a los sistemas de información. Asimismo, se podrá complementar con herramientas de detección de accesos no autorizados a repositorios o aplicaciones, mediante herramientas de auditorías de acceso a bases de datos (DAM) o prevención de comportamientos anómalos en la utilización de aplicaciones transaccionales.
Un aspecto muy importante que también se debe tener en cuenta es que el acceso remoto se realice mediante herramientas del tipo escritorio virtual, de modo que los datos y aplicaciones siempre residan y se ejecuten de forma centralizada en los sistemas de la organización, y no de forma remota. Por último, dentro del proceso de mejora continua, se debería realizar una correlación de todos los datos de detección o prevención de las distintas herramientas utilizadas en cada ámbito de la organización, auditoría interna, cumplimiento normativo, medios de pagos (en el caso de entidades financieras), seguridad de la información, etc. Mediante dicha correlación, la detección de accesos o usos no autorizados de la información será más eficiente y efectiva.

Pasos a seguir
En resumen, los pasos a seguir dentro del ciclo de mejora continua para mitigar los riesgos asociados a la ubicuidad y acceso universal serían los siguientes, y por este orden: implementar mecanismos de segundo factor de autenticación, herramientas DLP, herramientas de detección de patrones no habituales en el proceso de autenticación, herramientas de detección de patrones no habituales en proceso de autorización, acceso a repositorios de información (herramientas DAM) y acceso a aplicaciones transaccionales, y por último, correlación de los resultados de las diferentes herramientas de prevención de fraude implementadas en la organización (auditoría interna, cumplimiento normativo, medios de pago, banca electrónica, seguridad de la información, etc.).