¿Por qué convergen la prevención de la pérdida de datos y la gestión de las amenazas internas?
El panorama de la ciberseguridad evoluciona constantemente como consecuencia de los avances tecnológicos y los cambios globales. La pandemia, por ejemplo, dio lugar a muchos cambios inesperados y rápidos en la ciberseguridad como consecuencia de un cambio hacia el trabajo a distancia y una mayor migración a los servicios en la nube, y las réplicas aún se dejan sentir hoy en día. Sin embargo, una de las formas más significativas en que está progresando la ciberseguridad es un cambio proactivo para alcanzar sus objetivos con mayor eficacia. Las empresas siempre están buscando mejores formas de hacer frente a amenazas antiguas que no van a desaparecer, al tiempo que tienen que centrarse en nuevas disciplinas como la seguridad en la nube.
La Prevención de pérdida de datos (DLP) es una de las disciplinas de ciberseguridad que ha visto muchos cambios de paradigma. El más significativo ha sido el intento de alejarse de un enfoque integrado y empresarial de la DLP y acercarse a la integración de la DLP con soluciones de seguridad específicas centradas en tecnologías concretas, hasta el punto de que esto ha provocado el abandono del Cuadrante Mágico de Gartner para DLP y el cambio a una Guía de Mercado. Por ejemplo, se pensó que la DLP para el correo electrónico debería integrarse con otros aspectos de la seguridad del correo electrónico para ofrecer una cobertura completa.
Un cambio similar se está produciendo en la gestión de amenazas internas (ITM), así como en la prevención de pérdida de datos. Estas dos disciplinas se están fusionando, o mejor dicho, la gestión de amenazas internas se considera cada vez más un componente de la prevención de fuga de datos.
La importancia del enfoque adecuado
Muchas grandes empresas han decidido alejarse de los grandes sistemas de DLP multinivel y optar por la DLP integrada, que funciona junto con otros tipos de soluciones y se centra en tecnologías y aspectos específicos del panorama de la ciberseguridad. Aunque estas integraciones ofrecen una funcionalidad excelente para las tecnologías asociadas, que a veces incluye incluso la respuesta a incidentes y la corrección, su uso deja importantes lagunas verticales que deben llenarse con software de DLP especializado.
¿Cuál es la causa? Es una cuestión de enfoque. La DLP integrada no da prioridad al aspecto más importante: sus datos. En su lugar, se centra en una sola tecnología y la cubre por completo. Por ejemplo, en el caso del correo electrónico, este tipo de soluciones garantizan que todos los aspectos de la transmisión del correo electrónico sean seguros, incluido que los datos incorporados en los correos electrónicos no sean datos sensibles. El objetivo de estas soluciones es proteger el correo electrónico, no evitar el robo de datos, la fuga de datos, la filtración de datos o la violación de datos. ¿Y qué es más importante para usted, el acceso o la seguridad de sus datos?
Este enfoque parece similar a intentar curar enfermedades tratando los síntomas en lugar de centrarse en la causa raíz y mantener el cuerpo sano y fuerte. Las organizaciones saldrán perdiendo si no se centran en proteger su valiosa propiedad intelectual y se centran en cambio en las tecnologías utilizadas para acceder a esa propiedad.
Las organizaciones que se dan cuenta de lo importante que es tener el enfoque adecuado se están dando cuenta ahora, de forma similar, de que muchas otras técnicas de ciberseguridad, como la gestión de amenazas internas, necesitan reenfocarse desde «qué cosas malas pueden ocurrir y cómo podemos prevenirlas» a «qué necesitamos proteger y qué podemos hacer para protegerlo mejor». Como resultado, esas organizaciones están cada vez más interesadas en soluciones y enfoques de prevención de pérdida de datos que converjan con ITM y proporcionen una funcionalidad completa, con el objetivo principal de proteger los datos sensibles.
¿Cuáles son las diferencias entre DLP e ITM?
Aunque parezcan muy diferentes, las disciplinas de protección frente a la pérdida de datos y de gestión de las amenazas internas suelen compartir muchas tecnologías y enfoques similares. La verdadera diferencia es su enfoque. La prevención de la pérdida de datos se centra en la seguridad de los datos, con los datos sensibles como objetivo principal. La gestión de amenazas internas se centra en el usuario, con el comportamiento de acceso a los datos como objetivo principal.
Los sistemas DLP e ITM a menudo entran en conflicto entre sí o proporcionan funciones duplicadas. Un sistema de DLP, por ejemplo, supervisa el portapapeles en tiempo real porque puede utilizarse para copiar información protegida de un sistema interno y pegarla en medios y aplicaciones inseguros. Por otro lado, un sistema ITM para el mismo punto final supervisa el portapapeles para detectar cualquier comportamiento sospechoso del usuario, como copiar datos de un sistema interno y pegarlos en medios y aplicaciones inseguros. Dependiendo de la implementación, los sistemas ITM pueden incluso ver las comprobaciones de DLP como una amenaza, informando de falsos positivos.
No es de extrañar que los dos enfoques sean convergentes. Cuando existe mucha funcionalidad común, tiene sentido ampliar en lugar de duplicar. Un sistema DLP, por ejemplo, puede ampliar su funcionalidad para incluir ITM incorporando análisis de entidades y comportamientos de usuarios, así como técnicas de detección y respuesta en puntos terminales (EDR) como el aprendizaje automático para detectar actividades inusuales de los usuarios (por ejemplo, el acceso a datos sensibles fuera de horario) o la supervisión en profundidad de procesos y conexiones.
Tampoco sorprende que la prevención de la pérdida de datos triunfe sobre la gestión de las amenazas internas. Las organizaciones que ya han tenido experiencias negativas al desviar la atención de la protección básica de la información hacia tecnologías de acceso específicas son más propensas a querer soluciones que pongan su seguridad de la información en primer plano.
Gestión de amenazas internas frente a gestión de riesgos internos
La transición de la gestión de amenazas internas a la DLP también está provocando que la gestión de amenazas internas y la gestión de riesgos se consideren más distintas que antes. Mientras que la gestión de amenazas internas se centra en las amenazas y el comportamiento sospechoso de los usuarios, la gestión de riesgos internos, al igual que la DLP, se centra en la causa raíz, en este caso, los motivos principales de las amenazas internas.
Ahora que la gestión de amenazas internas se centra más en la información confidencial que debe proteger, la gestión de riesgos internos puede centrarse aún más en las razones por las que los usuarios suponen una amenaza para esta información. Puede abordar tanto las amenazas involuntarias causadas por factores como una formación y concienciación insuficientes, como las amenazas intencionadas causadas por factores como la insatisfacción de los empleados o una selección insuficiente de los nuevos empleados.
¿El ganador? Sus datos confidenciales
La convergencia entre DLP e ITM puede parecer difícil al principio, porque las organizaciones que quieran beneficiarse de esta convergencia deben asegurarse de que las soluciones que elijan no creen ninguna brecha de ciberseguridad. Al eliminar gradualmente la tecnología ITM, las empresas deben asegurarse de que se mantienen todas las ventajas de seguridad que ofrece, y estas ventajas suelen enfocarse desde dos perspectivas diferentes: los objetos que se protegen y las personas que acceden a estos objetos. En consecuencia, antes de que las empresas se suban al carro y se crean las promesas de una solución de DLP que ofrece una protección integral, deben realizar un análisis exhaustivo de las carencias.
Por último, una vez que esta convergencia esté lo suficientemente madura como para tratar la gestión de las tecnologías de la información como parte de la DLP, los datos sensibles saldrán ganando porque seguirán estando en el punto de mira.