La prevención de la pérdida de datos (Digital Loss Prevention, DLP) es un conjunto de prácticas (y productos) que aseguran que los datos sensibles o críticos de una organización permanezcan disponibles para los usuarios autorizados y no se compartan con usuarios no autorizados. Con muchas empresas que construyen todo su modelo de negocio en torno a la recopilación y el análisis de datos, es cada vez más necesario implementar una defensa rigurosa de esos datos para adecuarlos a su creciente valor.
¿Cuál es el propósito de la prevención de la pérdida de datos?
Digital Guardian, un proveedor de soluciones de DLP, esboza los tres principales casos de uso de la prevención de la pérdida de datos:
- Proteger la información de identificación personal y asegurar el cumplimiento de la ley. Muchas organizaciones tienen enormes bases de datos llenas de información potencialmente sensible sobre sus clientes y contactos comerciales, que van desde direcciones de correo electrónico hasta registros médicos y financieros, que podrían causar daños si caen en las manos equivocadas. Debe asegurarse de que sus datos permanezcan seguros, no sólo porque es lo correcto, sino también porque varias leyes lo exigen.
- Protección de la propiedad intelectual. Es casi seguro que su organización tiene propiedad intelectual y secretos comerciales que quiere mantener fuera de las manos de los competidores. La prevención de la pérdida de datos tiene por objeto evitar que los datos sean robados mediante el espionaje corporativo o expuestos inadvertidamente en línea.
- Ganar visibilidad en sus datos. Parte del proceso de asegurar sus datos implica comprender dónde residen los datos en su infraestructura y cómo se «mueven». En la era de las nubes públicas e híbridas, esto puede ser una tarea compleja, y las herramientas de DLP tienen el beneficio adicional de darle una visión general de su infraestructura de datos.
¿Por qué es importante la DLP?
La importancia de la DLP se ve confirmada por los alarmantes resultados de los datos mal protegidos. El año 2019 fue considerado «el peor año para las violaciones», e IBM fijó el costo promedio de una violación de datos en 3,92 millones de dólares. Además del aumento de la frecuencia y el valor de las violaciones de datos, Digital Guardian esboza una serie de razones por las que las organizaciones están adoptando cada vez más los servicios de prevención de la pérdida de datos.
La necesidad de cumplimiento de la normativa desempeña un papel importante, al igual que el creciente poder y la responsabilidad de los CSI, que están en contacto frecuente con los directores generales y otros ejecutivos y dan visibilidad a las cuestiones de seguridad, como la protección de datos. Además, muchas ofertas de DLP son servicios alojados, lo que los hace atractivos para las empresas que no cuentan con personal interno para crear y aplicar sus propias políticas de DLP.
Cómo funciona la prevención de la pérdida de datos
Como dice Geekflare, la DLP puede reducirse a un simple par de directivas: identificar los datos sensibles que deben ser protegidos y así evitar su pérdida. Por supuesto, el diablo está en los detalles. La tarea de identificar datos sensibles puede ser complicada, ya que los datos pueden existir en diferentes estados de su infraestructura:
Datos en uso: datos activos en registros de RAM, memoria cache o CPU.
Datos en movimiento: datos que se transmiten a través de una red, ya sea internamente o de forma segura o pública en Internet.
Datos en reposo: datos almacenados en una base de datos, en un sistema de archivos o en una especie de infraestructura de almacenamiento de reserva.
Las soluciones de DLP para empresas son herramientas integrales que tienen por objeto proteger los datos en todos estos estados, mientras que las soluciones de DLP integradas podrían centrarse en un estado o podrían integrarse en una herramienta separada de propósito único. Por ejemplo, Microsoft Exchange Server tiene incorporadas capacidades de DLP diseñadas específicamente para evitar la pérdida de datos a través del correo electrónico.
En cualquier caso, las soluciones de DLP implementan programas para buscar sus datos. Estos programas utilizan una variedad de técnicas de DLP para reconocer datos sensibles o dignos de protección. A veces esto implica la búsqueda de copias de documentos o datos proporcionados, mientras que otras veces implica la manipulación del pajar de datos en busca de agujas de información sensible. El blog de seguridad en la nube de McAfee ilustra algunas de estas técnicas:
- Correspondencia basada en reglas o expresiones regulares: los agentes utilizan esquemas conocidos para encontrar datos que cumplan con reglas específicas, por ejemplo, los números de 16 dígitos son números de tarjetas de crédito, mientras que los números de 9 dígitos son generalmente números de seguridad social. Esto es a menudo un primer paso para marcar los documentos para su posterior análisis.
- Huella dactilar la base de datos o coincidir exactamente con los datos: Los agentes buscan coincidencias exactas con los datos estructurados proporcionados previamente.
- Coincidencia exacta de los archivos: los agentes buscan documentos basados en su hachís, en lugar de su contenido.
- Coincidencia parcial del documento: los agentes buscan archivos que coincidan parcialmente con los patrones asumidos. Por ejemplo, las diferentes versiones de un formulario rellenado por diferentes usuarios tendrán el mismo «esqueleto», que puede utilizarse para la huella dactilar del archivo
- Análisis estadístico: algunas soluciones de DLP utilizan el aprendizaje automático o el análisis bayesiano para tratar de identificar datos sensibles. Necesitará un gran volumen de datos para entrenar el sistema, que aún puede estar sujeto a falsos positivos y negativos.
La mayoría de las soluciones de DLP también le permiten crear combinaciones personalizadas de reglas para buscar datos específicos de la empresa.
Una vez que la solución de DLP ha identificado los datos sensibles, necesita saber cómo manejarlos. Pero esto es más que un problema técnico. Su organización necesita establecer una estrategia de DLP para determinar cómo se deben manejar los diferentes tipos de datos y qué responsabilidades tienen los usuarios internos y externos con respecto a esos datos. Le recomendamos que tenga especial cuidado en encontrar un equilibrio entre la protección de sus datos y el hecho de que el trabajo de los empleados de su organización sea demasiado engorroso. Digital Guardian tiene una excelente guía para el desarrollo de una política de DLP organizacional.
Su estrategia informará entonces las políticas y procedimientos de DLP que usted implemente con su solución de DLP. Puede pensar en estas políticas y procedimientos como la expresión técnica de la estrategia que su organización desarrolla. Este proceso obviamente varía de un producto a otro.
Por último, cuando su solución identifique una acción que viole una de sus políticas definidas, implementará controles de seguridad de DLP para evitar la pérdida de datos. Por ejemplo, si su solución de DLP detecta un archivo sensible adjunto a un correo electrónico, puede alertar al remitente o impedir que el correo electrónico se envíe en absoluto. Si se filtran datos sensibles en su red, su solución de DLP podría enviar una alerta a un administrador o simplemente interrumpir el acceso a su red.
Las métricas de la DLP
Como hemos señalado anteriormente, parte de la razón del aumento del interés de la compañía en la DLP es el creciente poder de los CISO, y si hay algo que le gusta a un CISO son los números concretos que demuestran el desempeño de una nueva iniciativa de seguridad. La seguridad es notoriamente difícil de cuantificar, pero la Plataforma CISO ofrece algunas mediciones potenciales que pueden utilizarse para evaluar el éxito de la implementación de la DLP:
- Número de excepciones a la política: Demasiadas pueden indicar que ha establecido una política demasiado estricta para que sus empleados hagan su trabajo correctamente, o que los empleados están trabajando de manera insegura
- Número de falsos positivos generados: lo ideal sería que este número fuera cero, aunque en la práctica es difícil de alcanzar. Pero este número es un buen indicador de cuán bien estructuradas están sus políticas y procedimientos y cuán buen trabajo está haciendo su solución en el análisis de sus datos.
- Tiempo de respuesta de alerta promedio: Esta es una buena indicación de cuán bien está integrado su sistema de DLP con su posición de seguridad general y si su equipo de seguridad toma en serio las alertas de DLP.
- Número de dispositivos no gestionados en su red y número de bases de datos y residentes de datos no clasificados: Si uno de estos números es mayor que cero, la implementación aún no se ha completado. Si algunos de estos sistemas no clasificados se han agregado a su red después de implementar su solución de DLP, esto es una señal de que sus procedimientos no incluyen la integración con las políticas de DLP.
Productos DLP
Aunque un catálogo completo de software de DLP va más allá del alcance de este artículo, aquí están algunas de las soluciones más importantes:
Check Point: La funcionalidad de DLP incorporada en una arquitectura de puerta de enlace más amplia; puede controlar el tráfico cifrado TLS a través de la puerta de enlace de la red
Digital Guardian: una plataforma basada en la nube que incluye agentes de punto final y dispositivos de red para supervisar la infraestructura local
McAfee: incluye las capacidades de análisis forense de la compañía.
Forcepoint: integra la vigilancia del cumplimiento de la normativa y la presentación de informes.
Symantec: tiene módulos de DLP separados para la nube, el correo electrónico, la web, el punto final y el almacenamiento, que pueden funcionar juntos o como herramientas individuales.
Para más información sobre las soluciones de DLP, Gartner ofrece una guía de categorías de productos y sugerencias para crear un programa de DLP eficaz.
Cambio Digital OnLine
