La prevención de pérdida de datos (DLP o Data Loss Prevention) siempre ha sido una preocupación para las empresas. Antes, la atención se centraba en la protección de documentos físicos, ya que esto podía lograrse mediante la penetración de perímetros físicos o el robo de documentos de los mensajeros.
Si bien estas tácticas se siguen llevando a cabo en la actualidad, el crecimiento de Internet ha aumentado la magnitud y la probabilidad del robo de información. En definitiva, la proliferación de información y canales de comunicación ha facilitado el trabajo de los delincuentes.
Se suele creer que DLP es una gran misión de varios años, pero no tiene por qué serlo. Un programa de Data Loss Prevention puede ser un proceso progresivo manejable, si las organizaciones se centran en un enfoque progresivo. En palabras del vicepresidente de investigación de Gartner, Anton Chuvakin:
“La implementación de una herramienta DLP debe ir de un éxito táctico a otro (un enfoque de "quick wins") para evitar el fracaso total debido a la complejidad y la política organizacional”.
7 pasos para desarrollar e implementar una estrategia de DLP (Data Loss Prevention)
Hay una serie de actividades fundamentales que deben realizarse al iniciar un programa de prevención de pérdida de datos. Este marco proporciona unas pautas generales que la estrategia de DLP debe seguir. Estos requisitos también se pueden utilizar como ayuda al elegir la solución DLP adecuada para la organización.
1. Establecer prioridad en los datos
No todos los datos son igual de importantes. El primer paso en cualquier programa DLP es determinar qué datos causarían el mayor problema si fueran robados. Las empresas de producción pueden optar por priorizar la propiedad intelectual, como los documentos de diseño, en su programa DLP, concretamente aquellos documentos destinados a productos futuros.
Los minoristas y las empresas de servicios financieros obviamente deberían priorizar especialmente los datos de PCI-DSS. Las empresas del sector de la sanidad priorizarían los registros médicos (PHI), ya que a menudo se almacenan en ordenadores portátiles. Si bien puede parecer evidente, la prevención de pérdida de datos debe comenzar por la información más importante o confidencial que tiene más probabilidades de ser vulnerada.
2. Categorizar (clasificar) los datos
La clasificación de datos a menudo se considera un duro desafío en DLP. Un enfoque simple y escalable es clasificar por contexto; asociar una clasificación con la aplicación de origen, el almacén de datos o el usuario que creó los datos. Aplicar etiquetas de clasificación persistentes a los datos permite a las organizaciones realizar un seguimiento del uso de dichos datos. La inspección de contenido, que examina la información para identificar expresiones regulares representativas de la Seguridad Social y números de tarjetas de crédito o palabras clave (por ejemplo, “confidencial”), también es útil y, a menudo, viene con reglas preconfiguradas para PCI, PII y otros estándares.
3. Darse cuenta de cuándo la información corre peligro
Esto puede variar en función del tipo de información. La encriptación y los controles de Seguridad basados en la red pueden ofrecer Seguridad cuando los datos están en reposo, dentro del firewall. Para los datos distribuidos a los dispositivos de los usuarios, o compartidos con socios, clientes y la cadena de suministro, existen diferentes riesgos. En estos casos, los datos suelen correr el mayor riesgo cuando se encuentran en los endpoints. Los ejemplos incluyen adjuntar datos a un correo electrónico o trasladarlos a un dispositivo de almacenamiento extraíble. Un programa sólido de prevención de pérdida de datos debe tener en cuenta la movilidad de los datos y los momentos en que se ponen en riesgo.
4. Monitorear todos los movimientos de datos
Es sumamente importante entender cómo se utilizan los datos e identificar comportamientos que ponen en riesgo los datos. Sin este conocimiento, las organizaciones no pueden desarrollar políticas apropiadas que mitiguen el riesgo de pérdida de datos al mismo tiempo que permiten el uso adecuado de los mismo.
No todos los movimientos de datos representan una filtración. Sin embargo, muchas acciones pueden aumentar este riesgo. Las organizaciones deben monitorear todo el movimiento de datos para estar al corriente de lo que sucede con los datos confidenciales y determinar el alcance de los problemas que la estrategia DLP debe abordar.
5. Comunicar y desarrollar controles
El monitoreo proporcionará métricas sobre los riesgos que corren los datos. El siguiente paso para obtener una prevención eficaz de pérdida de datos es trabajar conjuntamente con los gerentes de línea de Negocios, para comprender por qué sucede esto y crear controles para reducir el riesgo de los datos. Los controles de uso de datos pueden ser simples al comienzo de una iniciativa de DLP, centrándose en los comportamientos de riesgo más comunes mientras generan el apoyo de los gerentes de línea de Negocio. A medida que avanza el programa de prevención de pérdida de datos, las organizaciones pueden desarrollar controles más granulares y ajustados para mitigar riesgos específicos.
6. Formar a los empleados y proporcionar asesoramiento continuado
Una vez que una organización comprende las circunstancias en las que se mueven los datos, la formación de los usuarios a menudo puede mitigar el riesgo de pérdida accidental de datos por parte de personal interno. Los empleados a menudo no reconocen que sus acciones pueden generar la pérdida de datos y se autocorregirán cuando se les forme.
Las soluciones DLP avanzadas ofrecen mensajes al usuario para informar a los empleados sobre el uso de datos que pueden violar la política de la empresa o simplemente aumentar el riesgo (además de los controles para bloquear directamente la actividad de datos de riesgo). En un estudio, se observó que el envío de mensajes generaba una reducción del comportamiento de riesgo de los usuarios en un 82% en solo seis meses.
7. Aplicación
Obtener el control de los datos más críticos es un primer paso importante en la prevención de pérdida de datos, pero no es el último. Algunas organizaciones repetirán estos pasos con un conjunto de datos ampliado o ampliarán la identificación y clasificación de datos para permitir controles de datos más precisos.
Está claro que la prevención de pérdida de datos es un proceso continuo, no un conjunto de pasos. Si se comienza con una estrategia enfocada en proteger un subconjunto de los datos más importantes, es más fácil implementar y administrar un programa de Data Loss Prevention. Una prueba exitosa también proporcionará lecciones para expandir el programa. Con el tiempo, se añadirá un porcentaje mayor de información confidencial, con una interrupción mínima de los procesos de Negocio.
5 mitos que están jugando en contra de su estrategia de DLP
Aunque la necesidad de la prevención de pérdida de datos ha ganado visibilidad entre las comunidades de Seguridad y Cumplimiento en los últimos años, muchas organizaciones aún se muestran reacias a adoptar un programa de DLP. A menudo, esta vacilación se debe a que no se entiende bien la tecnología.
A continuación, según nuestro criterio, se enumeran los 5 mitos principales que restan valor al desarrollo efectivo de una estrategia de DLP.
Mito n.º 1: DLP solo es para los valientes
Una percepción errónea muy común sobre DLP es que requiere un esfuerzo de toda la empresa desde el inicio; que deben analizarse todos los datos, clasificarse todos los usuarios e incluirse todos los endpoints, servidores y puertas de enlace. Si bien muchas organizaciones migrarán a una cobertura integral con el tiempo, las mejores implementaciones comienzan de manera pequeña y centrada.
Por ejemplo, elija una categoría de datos que sea especialmente confidencial, como documentos de diseño. Estos documentos son fáciles de identificar, ya que se crean mediante un conjunto fijo de aplicaciones (por ejemplo, aplicaciones CAD) y tienen un grupo de usuarios definido que requiere derechos de acceso. Involucre a los propietarios de procesos de Negocio en la estrategia para asegurarse de que entienden e integran el proceso.
Mito n.º 2: mi red se saturará
Examinar el contenido de todo el tráfico de red para identificar datos confidenciales causaría, en efecto, latencia; pero la inspección repetida del contenido no es un requisito para la prevención de pérdida de datos.
Afortunadamente, no es necesario inspeccionar cada paquete de datos a medida que viaja por la red. En cambio, los datos se pueden clasificar a medida que se crean o modifican en el endpoint (usando clasificación contextual, inspección de contenido, clasificación de usuarios o alguna combinación de los mismos). Una vez clasificados, se agrega una etiqueta de clasificación persistente a los datos. Los agentes inteligentes de endpoints pueden leer estas etiquetas y aplicar reglas de uso basadas en la clasificación de datos, el tipo de usuario, la acción solicitada y otros aspectos contextuales de la actividad de datos. Esto da como resultado una mejor visibilidad y control, sin latencia de red.
Mito n.º 3: DLP no funcionará fuera de mi red
DLP resulta fácil de entender cuando se piensa solamente en dispositivos dentro de la red. Existe la creencia de que no es efectivo fuera de la red o en entornos virtuales. De hecho, la prevención de pérdida de datos que se basa en datos funciona en todas partes, porque la protección se aplica a los datos en sí, no al dispositivo, la red o la cuenta de usuario.
DLP aplicado a nivel de datos puede evitar automáticamente que los datos confidenciales salgan de la red. También puede obligar a que cualquier dato que salga sea encriptado (y descifrado solo por los dispositivos que administra) o sea transferido a dispositivos aprobados.
Mito n.º 4: se requiere un complicado análisis de contenido
Como se ha comentado, el análisis de contenido examina el contenido de los archivos en busca de patrones específicos, como números de la Seguridad Social y de tarjetas de crédito. Si bien esto puede ser útil para el Cumplimiento de PCI e HIPAA, no es un requisito para una estrategia de DLP efectiva.
La conciencia contextual permite un medio más simple de clasificación de datos de forma automática, simplificando la clasificación y acelerando la adopción de DLP mientras preserva la privacidad de las comunicaciones de los empleados. En lugar de examinar el contenido de los datos, asocia una clasificación con las aplicaciones utilizadas para crear los datos (p. ej., software financiero o de diseño), los usuarios que crean los datos (p. ej., un miembro del equipo legal), la ubicación de almacenamiento de datos (por ejemplo, una carpeta de finanzas en una unidad) y otras características predefinidas.
Mito n.º 5: DLP interferirá con el uso legítimo de los datos y afectará la productividad
Este mito es un vestigio de cuando se empezaba a aplicar DLP, momento en que los permisos eran complicados y había una clasificación de datos ineficaz. La prevención de pérdida de datos moderna, aplicada a nivel de datos, no afecta a los usuarios legítimos que siguen las políticas corporativas. Los agentes de endpoints clasifican datos automáticamente y aplican políticas de forma transparente.
Este enfoque de prevención de pérdida de datos bloqueará, si se desea, el uso no autorizado, pero también se puede usar de forma no intrusiva, como advertir o alertar a los usuarios sobre comportamientos de riesgo. Esta capacidad refuerza las políticas de Seguridad de una organización y ofrece una guía oportuna que permite a los usuarios autocorregir hábitos que ponen los datos en riesgo de pérdida.
Vea Digital Guardian en acción
La Protección de datos es cada vez más importante y las amenazas que desafían constantemente a su equipo de Seguridad continúan en aumento. Digital Guardian ofrece protección de datos en toda la empresa para mejorar la Seguridad de su información sensible.
Nuestra plataforma, basada en la tecnología AWS, opera sobre los endpoints tradicionales, en la red corporativa y en las aplicaciones en la Cloud, facilitando la visibilidad, comprensión y protección de la información sensible.
Solicite una demostración personalizada de Digital Guardian, le mostraremos sus principales funcionalidades, por qué se diferencia de otras soluciones de Data Loss Prevention y cómo puede ayudar a su empresa a evitar fugas de datos sensibles.