La suma de las capacidades de DCAP permite mitigar los riesgos asociados con el almacenamiento de datos y el acceso a ellos. En la reunión, demostraremos cómo garantizar el monitoreo del estado actual de los derechos de acceso, controlar los cambios y prevenir las infracciones. Cómo detectar a tiempo los activos de información que necesitan protección, mediante la agrupación de documentos por significado.
El evento de hoy está dirigido por Олег Митичкин, gerente sénior de desarrollo de productos de InfoWatch.
Por qué en los últimos tiempos la funcionalidad DCAP ha interesado tanto a los empleados del departamento de seguridad de la información como a los informáticos, por qué ha surgido de nuevo un aumento del interés en estos sistemas.
Hace aproximadamente 5-6 años, Gartner mencionó por primera vez la necesidad de tener tales sistemas dentro del contorno de cualquier empresa. Pero este tema no llegó a las masas, y se calmó con bastante rapidez. Ahora, el mismo Gakner, y Forrester, y nuestras agencias analíticas promueven las ideas de plataformas de seguridad, en lugar de los sistemas DCAP. Pero después de esto llegó la pandemia y el mundo cambió hasta tal punto que requirió cambios en los enfoques de trabajo para la seguridad de la información y la TI, cambios en los procesos de negocio existentes. Durante la pandemia, muchas personas, especialmente aquellas que trabajaban de forma remota, se acostumbraron al hecho de que se puede trabajar en casi cualquier empresa de su perfil. La tradición de permanecer años en un solo lugar se desvaneció al instante. Y ahora la gente cambia de trabajo con la misma frecuencia, probablemente, que los teléfonos en Android.
En nuestro país, como en el extranjero, se llevan a cabo muchas investigaciones sociales. En nuestro país existe una escuela bastante fuerte de la HSE (Escuela Superior de Economía), que lleva a cabo el estudio del comportamiento y la motivación de los empleados. Recibimos la información más reciente sobre lo que está sucediendo en el marco del estudio de varios grupos sociales que se forman dentro de las empresas, sus motivaciones, etc. Y vemos que el número de los llamados empleados desleales en las organizaciones está creciendo. No menos del 30% de los empleados abandonan la empresa en los primeros dos años y, probablemente, después del primer semestre de trabajo, ya habiendo tomado mentalmente la decisión de que no se quedará aquí, comienza a descuidar sus responsabilidades, a veces incluso a dedicarse al sabotaje y la obstrucción. Y en las grandes empresas, tal cantidad de personal puede llegar hasta el 30%. Y, por supuesto, los empleados de los departamentos de seguridad de la información deben tener en cuenta el hecho de que, a pesar de que el principal valor de cualquier empresa son sus empleados, no todos los empleados son igualmente buenos. Y la tarea del especialista en seguridad es proteger a su propia empresa y su negocio de sus propios empleados. Pero al mismo tiempo, sin manifestarse de ninguna manera y sin interferir con el trabajo actual de los procesos de negocio.
La siguiente tendencia que observamos es un enorme aumento en la cantidad de información. La cantidad de sistemas con los que un especialista en seguridad se enfrenta en su trabajo ya ha superado los 10, y en algunos lugares incluso los 20. La implementación de tales sistemas, que combinan eventos de varios sistemas de información, permite reaccionar más rápidamente a las amenazas. Solo pueden cerrar parcialmente este problema. Y, por supuesto, aquellos productos modernos que salen al mercado y ayudan a resolver ciertos problemas, y estamos hablando de los problemas que cierran los sistemas DCAP, deben, en primer lugar, poder identificar rápidamente los posibles riesgos e indicar al especialista en seguridad los lugares donde hay problemas de seguridad.
A menudo realizamos auditorías de sistemas de información. Tenemos un departamento de consultoría para esto, que se dedica a este trabajo. Sus empleados vienen a la empresa, estudian los procesos de negocio, ayudan a optimizarlos, miran qué sistemas están instalados, cómo se pueden integrar con el sistema DLP. Posiblemente, muchos ya han realizado este trabajo en sus proyectos con Traffic Monitor. Y la cantidad de datos que actualmente circulan o se encuentran en las organizaciones es enorme.
Por supuesto, el sistema DLP está dirigido a proteger contra las fugas. Al exterior, fuera de la empresa, todavía sale un porcentaje no tan grande de lo que se encuentra dentro. ¡Pero! Si hablamos de lo que se encuentra dentro, es simplemente una enorme masa de documentos, en los que es necesario saber cómo entender y controlar los derechos de acceso a ellos, porque los documentos que se generan en el marco de ciertos procesos de negocio pueden representar muchos años de gran valor e importancia para la empresa y sus clientes.
Y aquí es necesario destacar el fortalecimiento de la tendencia de interacción entre TI y seguridad de la información. Porque los departamentos de TI, que siguen de cerca la funcionalidad de tales sistemas, deben trabajar con los especialistas en seguridad juntos. De lo contrario, los problemas que los especialistas en seguridad registran en estos sistemas no podrán resolverse rápidamente, y esto es un daño directo al negocio. Por lo tanto, las tendencias del último año son la unificación de esfuerzos, e incluso la creación de algunas unificaciones de los propios procesos de negocio entre TI y seguridad de la información. Preste atención a tal matiz de los últimos años: esta es una interacción bastante estrecha de los departamentos que trabajan con los sistemas de información.
Cada especialista en seguridad tiene su propio modelo de comportamiento. Pero a menudo nos hemos encontrado con líderes que no solo querían monitorear y controlar, sino también influir en los procesos de negocio para que les fuera más conveniente controlar. Esto no se puede hacer de ninguna manera. Los líderes de seguridad de la información deben entender que su servicio para la empresa debe ser eficaz, pero discreto. Se imponen los requisitos correspondientes a los productos. Y siempre nos hemos orientado a que nuestros productos proporcionen la información más útil e importante para el especialista en seguridad, pero al mismo tiempo no empeoren los procesos de negocio actuales, o, al menos, no aumenten el tiempo de su ejecución.
DCAP, que se basa en motores DUP, en realidad lleva dentro de sí la funcionalidad DLP. Y los sistemas DLP de producción rusa son en realidad de alta calidad. Y se centra en ciertos escenarios reales que son demandados y necesarios precisamente para los especialistas en seguridad de la información. Y DCAP, que se basa en DLP, porque la tarea de DCAP es detectar e identificar la información valiosa que se encuentra dentro, en realidad, se construye y se basa en las capacidades del sistema DLP. En nuestro caso, este es nuestro Traffic Monitor. El sistema DLP clásico está dirigido a contrarrestar las fugas. Es decir, vemos qué información sale fuera de la empresa. No importa por qué canales sale, puede ser web o correo, puede ser un dispositivo personal o corporativo. Y DCAP se encuentra dentro del perímetro de la organización. Antes, lo que se encontraba en el perímetro de la organización, siempre se consideraba por defecto una zona verde. Allí todo está bien, allí nuestros usuarios se dedican a su trabajo, allí se producen algunas interacciones de los empleados, allí circulan documentos, hay muchos, hay almacenes de documentos, etc. Para el especialista en seguridad, siempre ha sido una zona verde que no se puede controlar. Pero, como ve, la tendencia moderna dicta que también dentro de esta zona verde hay áreas bastante grises.
De esta manera, estoy tratando de promover la idea de que DCAP es DLP "dentro". Porque DCAP se basa en las capacidades de DLP. Por supuesto, no necesitamos proteger y analizar todas las toneladas de información que se encuentra dentro de la empresa. Nuestra tarea es identificar solo la información valiosa y confidencial, saber dónde se encuentra, quién tiene acceso a ella. Y la tarea de DCAP es señalar a tiempo si este acceso cambia de alguna manera no de acuerdo con el proceso de negocio o si el acceso no corresponde a lo que debería ser.
De esta manera, teniendo una base poderosa en forma de sistema DLP, era lógico para nuestra empresa dedicarse al desarrollo de su propio DCAP. Y para desarrollar nuestro propio DCAP, en primer lugar, necesitamos agregar una nueva funcionalidad.
Y, si el DCAP clásico incluye componentes de escaneo de almacenes de archivos, y los almacenes de archivos pueden ser no solo clásicos, sino también sistemas de correo, y mucho más. Mucho ha permanecido hasta ahora en el sistema de almacenamiento de datos de NetApp. Y todo esto necesita ser analizado y visto, porque inicialmente el especialista en seguridad no sabe dónde puede estar la información valiosa. Necesita identificar los lugares de almacenamiento. Y el siguiente paso es que necesitamos ver qué derechos de acceso tienen estos datos, quién entra allí, verificar si está instalado IDM, si no está instalado por acuerdo, posiblemente, con los líderes del departamento, verificar que los derechos de acceso sean realmente los que se necesitan. Y el tercer paso es el control de los cambios de estos derechos para que un empleado no autorizado no tenga acceso a los datos confidenciales importantes. O bien, en caso de hackeo del sistema, esto también sucede a menudo, desafortunadamente, una persona externa no tendría acceso debido a las vulnerabilidades encontradas, el aumento de los derechos de acceso, etc.
Y precisamente el control de los cambios de los derechos de acceso lo realiza nuestro producto separado, Data Access Tracker (DAT). El escaneo de los almacenes de archivos y el contenido lo realiza Data Discovery, que va tanto como parte de Traffic Monitor, como una solución separada para realizar auditorías. Más tarde mostraré una nueva versión que saldrá en breve. Ahora la estamos estabilizando. Y creo que en diciembre estará disponible este producto en la versión comercial.
Y el tercer paso importante para DCAP es qué hacer con toda esta información, si entendemos que hay mucha información, y es necesario controlar de alguna manera los derechos de acceso y los cambios de estos derechos de acceso. Es deseable tener algunas políticas, porque aquí estamos tratando con Big Data. La vida muestra que Big Data simplemente no se puede analizar así, para esto se necesitan herramientas especiales.
Cualquier sistema DCAP debe ofrecer medios de visualización de eventos, porque todos somos personas visuales por naturaleza, y, naturalmente, asimilamos mucho mejor y más rápido la información que se presenta en forma de gráficos y dibujos, que en forma de grandes tablas. A menudo, el problema de SIEM es que la cantidad de información es tanta que SIEM simplemente se vuelve ineficaz. Y, por lo tanto, los mismos sistemas SIEM modernos, con los que también nos integramos y podemos enriquecer los eventos de SIEM, precisamente presentan la posibilidad de crear los llamados playbooks y una respuesta rápida.
Ahora quiero pasar al primer producto, Data Discovery, y hablar brevemente sobre él.
Aquí nos centraremos en lo más importante, en lo que se refiere directamente a DCAP: análisis de documentos, análisis de la zona gris, control de los derechos de acceso. En la versión anterior de Data Discovery apareció un mecanismo como la categorización de documentos. ¿Cuál es su significado? Imagínese, la dirección viene al líder de seguridad de la información y le dice que necesitan entender dónde se encuentran ciertos documentos y quién tiene acceso a ellos. Surgió la sospecha de que estos documentos fueron robados, porque nuestro competidor opera con los datos que estaban solo dentro de nuestra empresa. ¿Qué debe hacer el especialista en seguridad en este caso? ¿Usar Traffic Monitor para escanear terabytes de información? Ustedes mismos saben que esto puede llevar mucho tiempo. Solo cuando toda la información con la ayuda de Data Discovery se recopila, se indexa, se analiza, solo después de esto el trabajo de los cambios se realizará mucho más rápido. ¿Pero qué hacer desde cero? Para este caso se aplica un nuevo componente intelectual, que se dedica a la categorización de datos. Es decir, Data Discovery toma los documentos de los lugares de almacenamiento, a donde puede llegar. Toma estos documentos para el análisis, extrae de forma independiente sin Traffic Monitor el contenido de estos documentos y lo entrega al análisis del sistema de análisis y categorización de la información, que en el futuro une los documentos similares por significado y los etiqueta. La funcionalidad es nueva, pero, sin embargo, la estamos probando desde hace más de un año en nuestros clientes leales.
Todo esto son algoritmos bastante potentes de búsqueda de documentos similares. ¿Qué significa "similares"? Significa "similares" ya sea por significado, o creados sobre la base de las mismas plantillas. Y, de esta manera, todos los documentos que hemos atrapado, que están categorizados, se dividen en grupos. Y en la interfaz puede ver estos grupos, que se caracterizan por las llamadas etiquetas o expresiones semánticas. Puede entender fácilmente que este grupo se refiere a los documentos en los que se habla de algunas operaciones en dólares. Aquí hay algo sobre temas médicos. Puede ver dónde se encuentran estos documentos, quién tiene acceso a ellos, etc. Es decir, en realidad, analizar muy rápidamente toda esa zona gris que aún no se ha limpiado.
Aquí hay un ejemplo de cómo funciona esto en la interfaz. Además, en la siguiente versión de Data Discovery, que saldrá en 2-3 semanas, hemos añadido la posibilidad de realizar también un análisis de contenido basado en los objetos de protección formados en Traffic Monitor.
¿Por qué esto es importante para el sistema DCAP? Porque el sistema DCAP debe entender que frente a él hay un documento que representa un valor. Y Data Discovery, que es parte del concepto DCAP y realiza parte de la funcionalidad DCAP, ahora tiene la posibilidad de determinar aquellos objetos de protección configurados en Traffic Monitor que ya existen. Esto en realidad es muy importante para el sistema DCAP. Porque, si de repente decide implementar algo en el sistema DCAP, en el que el motor DLP, las políticas DLP difieren de lo que ya está configurado en Traffic Monitor, esto significa que tendrá que realizar un trabajo adicional. Ya no digo que tendrá que gastar, de hecho, en otro motor DLP, que tendrá que configurar, y que requerirá grandes capacidades de producción y recursos adicionales para trabajar con estos sistemas. Aquí mismo, Data Discovery ya utiliza lo que está configurado y lo que se aplica activamente en la empresa. De esta manera, limpiamos rápidamente la zona gris con la ayuda del sistema de agrupación. De esta manera, aparece la posibilidad adicional de reconfigurar el sistema DLP. Supongamos que cambia el proceso de negocio en la empresa, aparecen nuevos documentos o aparece un nuevo proceso de negocio. Estos son tipos de documentos completamente nuevos. Con la ayuda del sistema de agrupación de documentos, la categorización por significado, los nuevos procesos de negocio los verá en forma de aparición de nuevos grupos de documentos, y los cambios de los procesos de negocio los verá en forma de documentos que no contienen objetos de protección. Al menos, así vemos a nuestros clientes, en los que se pilotó este componente, que llevamos el nombre de Data Analysis Service.
La tarea principal de Data Discovery es realizar una auditoría de archivos para que podamos ver dónde está qué, quién tiene acceso a ello. Ahora, con la información sobre el contenido del documento, Data Discovery permite al personal de seguridad comprender rápidamente dónde están los documentos y si estos documentos son de acceso público. Al establecer filtros simples en la interfaz del centro de investigación, podemos ver, por ejemplo, que un documento financiero importante se encuentra en carpetas públicas, lo cual es una violación grave.
Data Discovery audita archivos, documentos dentro de la empresa y también muestra los derechos de acceso. Actualmente, Data Discovery tiene dos componentes adicionales potentes. Primero, es la categorización de documentos por significado, no requiere DLP, es un componente interno de Data Discovery. Además, enfatizo que es gratuito para nuestros clientes. Este componente permitirá dividir rápidamente todos los documentos por significado. Y, en segundo lugar, aparece el análisis de contenido con los mismos objetos de protección que ya están configurados en Traffic Monitor. Esta es la belleza de la interacción entre productos dentro de un único centro de investigación.
Y, naturalmente, Data Discovery sigue siendo uno de los componentes que trabajan con Traffic Monitor y, prácticamente, garantizan la implementación del concepto de data at rest y la respuesta natural de las políticas dentro de Traffic Monitor.
Pasemos a las capacidades del segundo producto, que también está incluido en nuestro concepto DCAP.
Ahora estábamos hablando solo de una parte de DCAP. ¿Y qué hacer con los derechos de acceso? Sabemos que los derechos de acceso a la carpeta "documentos" se pueden cambiar de varias maneras. Primero, es la asignación directa de derechos de acceso, estos son los derechos de acceso a través de grupos y esta es la herencia. Los sistemas DLP clásicos que funcionan solo con listas son ciegos a los cambios en grupos o herencias. Nos enfrentamos a la pregunta de cómo controlar estos cambios. Si hablamos de grupos, ocurren principalmente en el servicio de directorio. Necesitamos funcionalidad relacionada con el trabajo del servicio de directorio. Actualmente, estamos trabajando con Active Directory y ahora también estamos en comunicación y trabajando activamente con los desarrolladores de ALD. Creo que pronto admitiremos ALD y ALD Pro.
Así, surgió la idea de un nuevo producto, lo llamamos Data Access Tracker, cuya tarea es realizar investigaciones, estudios, cambios en el servicio de directorio para identificar cambios en los derechos de acceso a los documentos. Porque la especificidad de DCAP radica en comprender cuán legítimamente se otorgan los derechos de acceso, cuán válidos son sus cambios. Y cambiar la composición de los grupos es un escenario bastante importante desde el punto de vista de DCAP, por lo que esta diapositiva nos enfoca precisamente en la ejecución del escenario cuando un usuario, por alguna razón, ingresa ilegalmente a un grupo privilegiado. ¿Recuerdan que al principio hablé de empleados desleales y de que cada vez aparecen más en las organizaciones? Debemos acostumbrarnos a la idea de que hay que hacer algo al respecto. Además, los últimos estudios muestran que estos empleados desleales tienden a agruparse, y estos grupos pueden representar a empleados de diferentes departamentos. Y el escenario en el que una persona le da acceso a otra ocurre regularmente en la vida real. Acceso temporal, acceso permanente. Ya no digo nada sobre el trabajo de varios virus, ransomware, que aumentan todos los privilegios, crean falsificaciones en las cuentas, las incluyen en varios grupos de acceso y, a veces, obtienen derechos ilimitados para realizar cambios en el sistema.
En este escenario, el empleado también obtiene acceso a ciertos archivos que son de gran interés y valor para la empresa al incluirlo en grupos privilegiados. Data Access Tracker (DAT) resuelve este problema. Inmediatamente le mostrará al personal de seguridad que la composición de este grupo controlado ha cambiado y le ofrecerá ver si se hizo legítimamente, quién lo hizo y a quién agregaron. Posiblemente, esto sea una amenaza.
Además, Data Access Tracker como sistema para trabajar con eventos del servicio de directorio/ Al mismo tiempo, DCAP no se trata solo de auditar el servicio de directorio, se trata en general de proteger datos y trabajar con derechos. Como en cualquier sistema DCAP, Data Access Tracker tiene bastantes informes. Incluso en la primera versión, que lanzamos hace aproximadamente seis meses, ya había más de diez informes que enfocaban al personal de seguridad en varios problemas de configuración del territorio activo. Realizamos entrevistas con nuestros clientes, recopilamos comentarios y mejoramos el sistema según los requisitos de los clientes. Todos se basan en escenarios de la vida real. Tanto Traffic Monitor como Data Discovery, los monitores de actividad y Vision, todos están construidos sobre escenarios reales. No hay funcionalidad vacía que no esté claro cómo usar. Aquí es lo mismo, en Data Access Tracker hay una gran cantidad de informes, pero todos son importantes, siempre hay un cierto escenario oculto detrás de ellos.
Por ejemplo, cambiar o restablecer la contraseña por parte de los administradores. Esto es cuando un empleado de alto rango se va de vacaciones, su contraseña es restablecida por uno de los administradores y se establece temporalmente una nueva. Desde la cuenta de este empleado que se fue de vacaciones, se puede acceder a una gran cantidad de datos. Cuando el empleado regresa, se ofrece a cambiar la contraseña por una nueva, cambia la contraseña y no sospecha nada. En este momento, la persona que estaba trabajando con su cuenta está sentada, regocijándose de cuántas cosas interesantes ha encontrado en su propia empresa.
Además, si hablamos de DCAP, entonces no solo son importantes los informes, sino también el sistema para visualizarlos.
Porque quien haya trabajado con Netflix recordará que allí existe un enorme sistema de informes. Se preconfiguraron más de 200 informes. Naturalmente, es imposible entender y dedicar mucho tiempo a estudiar cada uno. Por lo tanto, para cualquier sistema DCAP, es importante un sistema de monitoreo de panel en tiempo real. Y el sistema debe enfocar al personal de seguridad en los problemas que existen en este momento. Si no existe esta visualización, entonces es prácticamente imposible entender los informes de eventos. Actualmente, nuestra versión, que aparecerá en dos o tres semanas, Data Access Tracker, DDA, se lanzarán prácticamente simultáneamente antes de fin de año. Habrá widgets que permitirán a los oficiales de seguridad responder activamente a los cambios y amenazas que puedan surgir bajo los cambios de objetos y atributos del servicio de directorio.
36_20
A veces nos hacen la pregunta, y en realidad trabajamos con el servicio de directorio, todo esto se puede cubrir con scripts, seremos felices. A menudo vemos que se utilizan scripts en diferentes empresas, pero, les diré de inmediato, a menudo descubrimos que estos son scripts descargados de Internet. Funcionan de forma torpe e incorrecta.
Por lo tanto, Data Access Tracker, en primer lugar, no es solo un sistema de auditoría, cambio del servicio de directorio, sino que también tiene la funcionalidad de controlar la transferencia de derechos de acceso a los servidores de Exchange. Por ahora solo Exchange, porque ahora prevalece el sistema de correo. Esperamos que muy pronto este sistema cambie a algo más nuestro, nativo y familiar. Por ejemplo, el sistema Atlantis se está desarrollando muy activamente.
En la nueva versión también aparecerá la posibilidad de controlar los cambios en los derechos de acceso a los directorios que se comparten en la empresa. Si Data Discovery, como habrán notado, se enfoca en trabajar con archivos, entonces DAT permite trabajar también con directorios, controlar los cambios y controlar la delegación de derechos de acceso.
Data Access Tracker es un producto joven. Lo estamos desarrollando activamente ahora, por lo que si desean pilotarlo, estaremos encantados de comunicarnos con ustedes y recopilar comentarios.
Y la tercera solución, no menos útil, se llama Device Control. Lanzamos esta solución recientemente. Cuando hablamos de controlar directorios de archivos o controlar los cambios en el servicio de directorio, olvidamos un aspecto importante. ¿Quién, en realidad, está haciendo todo esto? Olvidamos precisamente a los usuarios. Lo que en realidad, al final, el personal de seguridad se acercará a un determinado empleado y le preguntará por qué hizo esto, por qué cambió los derechos, por qué necesita este documento. El empleado logró acceder a información valiosa que, en realidad, no debería tener. Y el empleado curioso intenta pensar en cómo sacar esta información a alguna parte y compartirla con todo el mundo, porque es muy importante. El empleado sabe que hay un DLP en el circuito, lo que significa que transferir este archivo a algún lugar por correo o en la web no tiene sentido. Inmediatamente lo atraparán y lo castigarán por tal acción. Por lo tanto, queda la posibilidad de hacer algo con un dispositivo personal. Posiblemente, cifrarlo para que el agente no lo vea, cambiarle el nombre, cambiar la extensión, etc. Y aquí Device Control estará en guardia para que el usuario no tenga la oportunidad de usar algún dispositivo portátil personal. Y la tarea de Device Control es controlar el uso de tales sistemas externos conectables.
Una lista bastante extensa cierra precisamente todas las posibles formas de robar un documento importante, reescribirlo en alguna parte, etc. Las políticas que se utilizan en Device Control permiten, en primer lugar, priorizarlas, en segundo lugar, agruparlas. Se pueden agrupar por departamentos, por empleados, por empleados bajo sospecha, quién usa AMOV Prediction. Se puede determinar automáticamente qué dispositivos se conectan a las computadoras personales de los usuarios e incluirlos en las políticas. Y Device Control se basa precisamente en conceptos como usuario-dispositivo-computadora. Aquellos que trabajan con dispositivos de red, creo que entendieron la referencia al llamado Zero Trust, cuando no confiamos en nadie. Si hablamos de dispositivos de red y Zero Trust, es usuario-computadora-aplicaciones. Tenemos el mismo enfoque, solo que se agrega el dispositivo. Y en la política, se puede establecer todo de forma estricta. O queremos bloquear completamente la conexión, o queremos dar solo la posibilidad de leer información de este dispositivo, pero en ningún caso escribir. Y, por supuesto, en los eventos de uso, el empleado de seguridad de la información verá qué acciones realiza el empleado con un dispositivo conectado externamente. Ahora es muy popular conectar teléfonos por cable. Los teléfonos se conectarán de esta manera, pero no estarán disponibles.
Por lo tanto, tenemos un trío de productos interesantes para cerrar la funcionalidad DCAP. Y, como habrán entendido, DCAP no es solo seguridad de acceso, sino también seguridad de los propios datos.
Si un empleado es desleal, por ejemplo, obtiene acceso a dichos datos, tiene la posibilidad de simplemente eliminarlos. Hemos tenido casos en los que simplemente se eliminaron toneladas de información. Y si no hay copias de seguridad y copias recientes, entonces tales problemas se vuelven globales. Después de todo, hay documentos de los que depende en gran medida el negocio de la empresa. No solo la reputación, sino también el negocio. Si desaparecen algunos documentos rectores, contratos, etc., entonces los procesos comerciales simplemente se detienen. Y esta es la base de la vida de cualquier empresa.
Así, podemos decir que DCAP es un producto básico o un conjunto básico de funcionalidades. Junto a él, hemos colocado los antivirus. Hoy en día, por supuesto, es difícil imaginar una máquina corporativa sin antivirus. Pero también es cada vez más difícil imaginar la infraestructura de una empresa sin un sistema DCAP. Porque sin un sistema DCAP, seguirás estando constantemente en una zona gris, detectando cosas que salen al exterior, pero dentro de la empresa, que hace tiempo que dejó de ser una zona verde, estarás prácticamente indefenso.
Y, por supuesto, DCAP complementa muy bien estos sistemas, trabajando conjuntamente con IDM. La tarea de IDM, como sabemos, es la normalización de la matriz de acceso, y aquí el sistema DCAP suministrará datos reales de los campos, sobre qué accesos tenemos. Para que el responsable de seguridad tenga la posibilidad de corregir estos derechos de acceso, sin tener que recurrir a la necesidad de coordinación con el jefe de departamento.
Naturalmente, aquí está presente DLP. Porque DCAP y DLP son sistemas relacionados, y DCAP utiliza la funcionalidad con la posibilidad de la configuración existente de DLP, y, por supuesto, en la parte superior hay sistemas potentes, en los que también existe la posibilidad de integrar DCAP en el mismo SIEM, facilitando así la interacción con estos sistemas y mejorando la gestión del sistema de información.
Y, literalmente, un par de palabras sobre la funcionalidad DCAP. Así, en nuestra empresa InfoWatch, la funcionalidad DCAP no es un monolito.
Algunos ofrecen DCAP como un producto monolítico, ofrecen adquirirlo y seguir trabajando con él. Pero ahora estamos desarrollando un concepto como soluciones de infraestructura, que están unidas por un único centro de investigación. Algunos nos dicen que esto es monovendor, pero en realidad no, porque tenemos una cierta especificidad relacionada con el análisis de contenido. Y sólo hablamos de esto. Y en DCAP esta es la funcionalidad principal. Y las tres soluciones en las que se basa la funcionalidad DCAP son Data Discovery para la auditoría de datos, Data Access Tracker - para el análisis de los cambios en los derechos de acceso, Device Control - para el control de las estaciones de trabajo. Representan la funcionalidad DCAP, pero, sin embargo, pueden trabajar tanto conjuntamente con nuestras otras soluciones como incluso de forma independiente.
Las ilustraciones son proporcionadas por el servicio de prensa de la empresa Infowatch