Las empresas suelen ser muy cuidadosas a la hora de guardar su información confidencial, ya que de ella depende a menudo la continuidad de su negocio y su propia existencia. Para proteger este valioso recurso, suelen aplicar múltiples herramientas para tratar de impedir que personas ajenas o no autorizadas accedan a ella.
Sin embargo, a veces las violaciones de datos son causadas por los propios empleados de la empresa, ya sea intencionadamente porque buscan dañar la imagen de la organización o vender los datos en el mercado, o accidentalmente por descuido o uso inseguro de las tecnologías.
Una forma de mitigar este riesgo es implantar roles o permisos para que cada usuario sólo pueda acceder a los recursos que necesita para hacer su trabajo. Sin embargo, la gran mayoría de los controles de seguridad de la información no cubren las acciones destinadas a vigilar la copia de datos en dispositivos externos como USB o discos duros, su subida a servicios en la nube o su envío mediante aplicaciones de mensajería.
Para evitar este tipo de acciones, las empresas que quieren protegerse contra las violaciones de datos implantan una solución denominada DLP (Data Loss Prevention).
¿QUÉ ES LA DLP(PREVENCIÓN DE PÉRDIDA DE DATOS) Y CÓMO FUNCIONA?
La Prevención de Pérdida de Datos (DLP) es un sistema que consta de tres pasos principales:
- Identificar dónde se almacenan los datos en los dispositivos móviles, servicios en la nube o instalaciones de la organización
- Supervisar cómo los utilizan los empleados dentro y fuera de la red corporativa
- Protegerlos frente a robos o pérdidas.
Las soluciones de DLP pueden identificar, supervisar y proteger los datos confidenciales en cualquier ubicación: en el lugar de trabajo, fuera de él o en la nube, ampliando la visibilidad y el control a todos los canales en los que puede producirse una filtración de datos.
DLP identifica y protege la información confidencial de la organización mediante:
- Escaneando los datos en tránsito, en uso y en reposo
- Identificando los datos que deben protegerse
- Tomar medidas correctivas: alertar, solicitar, poner en cuarentena, bloquear y cifrar.
- Proporcionar informes para el cumplimiento de normativas, auditorías, análisis forenses y respuesta a incidentes.
El objetivo de la DLP es prevenir activamente las filtraciones de datos que se originan dentro de la propia organización, por lo que estas soluciones tienden a incorporar inteligencia artificial que les permite aprender sobre los tipos de documentos confidenciales que se utilizan y lo que los usuarios hacen con ellos para ser cada vez más eficaces en la prevención de filtraciones de datos.
Los sistemas DLP supervisan la red corporativa para prevenir las violaciones de datos antes de que se produzcan. Una vez identificada la posibilidad de una violación, se notifica al usuario que sus acciones infringen las políticas de confidencialidad o seguridad de la empresa. Estas acciones ayudan a concienciar a las personas de la organización.
Los recursos vigilados por un sistema DLP no se limitan a la red interna de la empresa, ya que estas herramientas pueden extender el control también a los dispositivos móviles. Además, son capaces de comprobar a qué correos electrónicos corporativos se ha accedido y pueden identificar y detener la transmisión de datos sensibles de la organización a servicios de almacenamiento en la nube o redes sociales.
Otras características destacables de estas soluciones son:
- Las políticas creadas se pueden aplicar de diferentes formas: a un segmento de red, a una puerta de enlace, a un grupo de usuarios, etc. Cada empresa puede elegir el método que mejor se adapte a sus necesidades.
- La administración está centralizada en estas soluciones, proporcionando una gestión más sencilla y flexible.
- Son capaces de inspeccionar múltiples tipos de archivos y protocolos, tanto si la información transmitida está cifrada como si no.
- Pueden aplicar marcas de agua visibles o invisibles a los archivos, para poder identificar al responsable en caso de violación.
Dada la variedad de datos dentro de una organización, las soluciones de DLP suelen clasificar los datos en función de su estado para determinar cómo pueden protegerse
Estos estados de los datos son:
- Los datos en reposo se refieren a los datos almacenados en cualquier medio con el que ningún usuario esté interactuando en un momento dado. La protección se aplica a los dispositivos donde residen los datos para que no puedan copiarse, moverse o borrarse, a menos que las normas lo permitan expresamente.
- Los datos en tránsito son datos que se mueven a través de cualquier medio. Los datos en tránsito son los más comunes en cualquier red corporativa.
- Los datos en uso son aquellos a los que un usuario o un programa informático accede o manipula. Esto significa que los datos están en una memoria volátil, como la RAM, o que alguna aplicación o proceso está interactuando con ellos. Por ejemplo, los datos de un dispositivo USB están «en reposo» a menos que se acceda a ellos para leerlos. Una vez que se accede a los datos para leerlos, su estado cambia de «en reposo» a «en uso».
TIPOS DE SOLUCIONES DE DLP(PREVENCIÓN DE PÉRDIDA DE DATOS)
Existen diferentes tipos de soluciones DLP, cada una con su finalidad específica, pero todas con el mismo objetivo: evitar la pérdida de datos. Estos tipos incluyen:
1. DLP de red:
Las soluciones de prevención de pérdida de datos en red están disponibles como software o hardware y se instalan en los puntos de salida de datos de la red corporativa. Una vez instalada, la solución supervisa, rastrea y notifica todos los datos de tráfico de la red.
Este tipo de DLP es perfecto para supervisar todo el contenido que pasa por los puertos y protocolos de la organización, ya que proporciona informes importantes que ayudan a garantizar la seguridad de la información, como por ejemplo: qué datos se están utilizando, quién accede a ellos y adónde van. La información recopilada se guarda en una base de datos fácil de gestionar.
2. DLP de almacenamiento:
Las soluciones de Prevención de Pérdida de Datos de Almacenamiento son sistemas que proporcionan visibilidad de los archivos confidenciales almacenados y compartidos por quienes tienen acceso a la red corporativa, lo que permite identificar los puntos sensibles para evitar violaciones de datos.
Por lo general, se trata de una buena solución para controlar los datos almacenados en una nube, ya que puede identificar qué datos se almacenan y comparten, así como qué parte de esta información se considera confidencial y puede estar en riesgo de sufrir una filtración.
3. Endpoint DLP:
Las soluciones End-Station o Endpoint Data Loss Prevention son aquellas que se instalan en todas las estaciones de trabajo y dispositivos utilizados por los empleados de la empresa para supervisar y evitar que los datos confidenciales se distribuyan a través de medios extraíbles, aplicaciones compartidas o transmisión.
Con el creciente uso de dispositivos de almacenamiento externos, como memorias USB o discos duros portátiles, los riesgos de seguridad por fuga de datos accidental o intencionada son elevados. Para mitigarlos, se puede utilizar este tipo de solución para evitar la pérdida de datos a través de dispositivos extraíbles.
Implantación de una solución de DLP(PREVENCIÓN DE PÉRDIDA DE DATOS)
Consultar antes de implantar una solución de DLP es un paso esencial que puede considerarse parte del proceso. Para implantar correctamente una DLP, debe realizar al menos dos pasos preliminares que se complementan entre sí: clasificar la información y asignar funciones y responsabilidades.
Clasificar la información:
Ninguna solución de DLP podrá aplicar una política de prevención de violación de datos a menos que se le haya proporcionado una clasificación basada en las necesidades de la organización.
Existen soluciones que pueden identificar información en activos críticos como las bases de datos. Sin embargo, los patrones a buscar pueden no ser los estándar, por lo que es necesario que las normas corporativas definan qué debe encontrar la solución de DLP para aplicar los filtros.
Una configuración incorrecta en este caso puede dar lugar a dos posibles modos de fallo: que la tecnología bloquee acciones legítimas, afectando al rendimiento de la empresa, o que no consiga evitar una filtración de datos, haciendo inútil la DLP implantada.
La clasificación de la información no tiene por qué ser realizada necesariamente por personal técnico. Debe realizarla personal con conocimientos de la empresa que pueda traducir los términos empresariales en técnicos para aplicar las soluciones adecuadas.
Asignación y documentación de funciones y responsabilidades:
La clasificación de la información no servirá de mucho a menos que las funciones y responsabilidades estén bien definidas, al menos para determinar qué personal puede manipular los datos.
Todos los usuarios deben seguir las normas, y la solución de DLP debe funcionar de acuerdo con las necesidades definidas para cada función dentro de la organización. En otras palabras, la solución de DLP hará cumplir las reglas definidas para cada rol, actuando según las necesidades del negocio.
Las personas que definen los roles en una organización no necesitan conocimientos técnicos de los sistemas, pero cada gerente o director debe saber qué responsabilidades y derechos tienen sus subordinados y cómo deben interactuar con los datos que manejan.
Debido a la complejidad de las organizaciones, para implantar con éxito una solución de PLD suele crearse un equipo cuya tarea consiste en identificar la información crítica de la empresa, comprender su visión global, evaluar los riesgos en las distintas áreas y transformar este conocimiento del entorno en necesidades técnicas y proyectos para evitar la violación de datos en un entorno corporativo.
Spanish 
English