Consideraciones de diseño
En primer lugar, será importante realizar un análisis de cual será tipo de DLP empleado. En función de la funcionalidad requerida podemos seleccionar uno o varios de los siguientes tipos:- DLP de red: analiza el tráfico que pasa a través de él. Generalmente es instalado cerca del perímetro de la infraestructura de red de la compañía (normalmente en DMZ) y analiza tráfico web, correo electrónico y protocolos de transferencia de datos)
- DLP de punto final: analiza las comunicaciones internas y externas de la estación de trabajo o servidor en el que esté instalado.
- DLP en modo descubrimiento: analiza repositorios de datos remotos a través de agentes instalados en el destino.
Generalmente, el flujo de funcionamiento de un sistema DLP en relación con la detección de fugas de información es la siguiente:
Consideraciones PCI DSS
Una de las principales consideraciones en relación con una plataforma DLP y la normativa PCI DSS es si genera nuevos flujos o repositorios de datos de tarjeta.- Cifrado: los datos de tarjeta almacenados en la base de datos de cuarentena deben ser debidamente protegidos a través de un método de cifrado robusto (generalmente proporcionado por la propia herramienta DLP).
- Retención de datos: debido a que la base de datos de cuarentena contendrá datos de tarjeta, se debe establecer un periodo de retención para dichos datos así como un procedimiento trimestral de eliminado de datos que hayan superado este periodo.
Una consideración importante en este punto, es que la evidencia almacene información sensible como el código de verificación de tarjeta no presente en cuyo caso no podría ser almacenado. - Ubicación: la base de datos de cuarentena que contiene datos de tarjeta debe ser ubicada de forma segura en red interna y segmentada de cualquier red con acceso público (DMZ).
Perfiles de acceso: se deben establecer unas medidas de control de acceso estrictas sobre quien tiene acceso a los datos de tarjeta (teniendo en cuenta base de datos de cuarentena y la propia herramienta DLP). - Bastionado: los elementos que componen la plataforma DLP deben ser debidamente bastionados conforme a los requisitos de la norma PCI DSS, en base a los manuales de fabricante y las buenas prácticas de la industria.
- Alertas: se deben establecer alertas tanto para la detección de fugas de información como de acciones de administradores de la plataforma (en especial aquellos que estén relacionados con la visualización de datos de tarjeta).
Estos eventos deben ser incluidos dentro del proceso de monitorización de eventos y, por lo tanto, dentro del procedimiento de respuesta a incidentes. - Flujo de tareas recurrentes: al igual que cualquier componente de un entorno PCI DSS, la plataforma DLP debería ser incluida dentro de las tareas recurrentes establecidas por la norma: escaneos, test de intrusión, gestión de cambios, gestión de vulnerabilidades, etc.
En resumen, aunque una plataforma DLP puede suponer una importante ayuda para la identificación de flujos de tarjeta no autorizados, también puede suponer un riesgo para el cual se deben establecer los controles adecuados teniendo en cuenta que dicha plataforma estará incluida dentro del ámbito PCI DSS de la compañía.
Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.
