Proveedores de DLP: no confundan al mercado con su lenguaje

“El término DLP ha ido perdiendo significado por una variedad de proveedores que querían decir que lo estaban ofreciendo”, sentencia Rich Mogull, antiguo analista de Gartner y socio principal de Securosis, centrada en consultoría de seguridad.

Mogull, con un gran reconocimiento en el mercado, describe el acrónimo DLP como una palabra creada con fines comerciales. Para el experto, la definición de DLP (data leak prevention) son “productos que, como mínimo, identifican, monitorizan y protegen datos en movimiento, en reposo y en uso mediante un profundo análisis de contenidos”.

Hay muchos suministradores que ejecutan este tipo de funciones, pero salvo que aborden todas las tareas de la definición anterior, Mogull dice que no es un verdadero DLP: “Los proveedores de encriptación y control del punto final dicen que lo que hacen es DLP. Un firewall hace parte de lo que implica el concepto. Todas estas herramientas son de gran ayuda en diferentes áreas de la seguridad, pero no son DLP”.

El valor de la fuga de datos

Por supuesto, cuando un suministrador no ofrece la tecnología que todo el mundo pide, lo más común es adquirir otra compañía que tenga lo que necesita e introducirlo en su línea de productos. Symantec, por ejemplo, reforzó su posición en DLP con la compra de Vontu, una empresa que Mogull cataloga como uno de los primeros líderes en la verdadera tecnología DLP. RSA, por su parte, se hizo con Tablus (actualmente parte de RSA Data Loss Prevention Suite) y McAfee compró Reconnex. Posteriormente se sucedieron las adquisiciones de PortAuthority Technologies por parte de Websense y de Orchestria por CA.

Aún quedan unos pocos proveedores de DLP independientes, señaló Mogull, como Vericept y Code Green Networks. Y además, están las compañías que ofrecen importantes piezas del puzzle DLP pero no hacen todo bajo el punto de vista de la definición de Mogull, al menos, para llamarse proveedores DLP propiamente dichos. “Muchos ayudan a su manera, incluyendo los proveedores de control de dispositivos portátiles, bloqueadores de USB, etc.”, apuntó. “Pero no analizan contenido, por lo que no son técnicamente DLP”.

Por supuesto, como cualquier otra tecnología, la percepción de lo que realmente es DLP depende de a quién se pregunte. Imran Minhas, CISO del National Bank de Kuwait, opina que DLP implica prevención de fuga de los datos de uso interno, restringido y confidencial. El acceso de usuarios a correo público o personal, como Hotmail o Yahoo, son las principales preocupaciones en su área.

Wayne Proctor, CISO de First Data USA, apunta que la mayor tendencia que ha observado en el mercado DLP es que los proveedores han ampliado la monitorización de contenidos del tráfico saliente para abarcar también otras fuentes de datos, principalmente datos en reposo o en los puntos finales. Asimismo, añadió que algunos fabricantes ofrecen servicios que no están relacionados con la fuga, como identificar a los empleados potencialmente contrariados o personas que están descargando software no aprobado para su uso en la red corporativa, que son bastante útiles.

Entonces, ¿cómo puede un profesional de la seguridad TI evitar la confusión cuando evalúa las diferentes opciones DLP? Mogull ofrece el siguiente consejo: “No me importa cómo alguien llame a lo que me está ofreciendo. Las palabras casi no significan nada. Lo que hago es obligar al proveedor a decirme en términos específicos cómo sus productos hacen lo que hacen. ¿Dice que previene la pérdida de datos? Genial, dígame exáctamente cómo. Oh, encripta. Oh, monitoriza el contenido entrante. Genial”.

El problema, añade, es que el suministrador a menudo no quiere que el cliente sepa exáctamente cómo funcionan los productos. Por consiguiente, es responsabilidad del cliente insistir en pedir las pruebas.