El constante cambio de información en la era de los grandes datos y la computación en la nube ha llevado a un aumento significativo en la vulnerabilidad del software.
En los últimos años, el número de violaciones de datos e incidentes de pérdida de datos ha aumentado exponencialmente.
La mayoría de las infracciones involucraron la exposición de los datos personales del usuario y la divulgación de documentos relacionados con el negocio.
La violación de datos y la pérdida de datos son cosas naturales cuando hay muchas personas que trabajan con información en numerosos análisis de datos, minería de datos, operaciones de aprendizaje automático, contabilidad, atención al cliente, etc. La herramienta que evita que esto suceda es el software de prevención de pérdida de datos.
La prevención de pérdida de datos (DLP) siempre ha sido una preocupación para las empresas. En un principio, el foco estaba en la protección de documentos físicos. Esto podría lograrse penetrando perímetros físicos o robando documentos de correos.
Si bien estas tácticas pueden continuar hoy, el crecimiento de Internet ha aumentado la magnitud y la probabilidad de robo de datos. En resumen, la proliferación de datos y canales de comunicación ha facilitado el trabajo del criminal.
DLP tiene fama de ser una empresa enorme de varios años, pero no tiene por qué serlo. Un programa DLP puede ser un proceso manejable y progresivo, si las organizaciones se centran en un enfoque progresivo.
El despliegue de una herramienta DLP debe pasar de un éxito táctico a otro para evitar un fracaso absoluto debido a la complejidad y la política organizacional.
En este artículo, explicaremos qué es la prevención de pérdida de datos y hablaremos sobre las mejores prácticas para su implementación.
Indice
¿Qué es la prevención de pérdida de datos (DLP)?
La prevención de pérdida de datos (también conocida como DLP) es un conjunto de políticas y aplicaciones de software. Su objetivo es monitorizar la información en el sistema y evitar la posibilidad de perder o violar datos por varias razones.
Hay tres tipos de datos que requieren un manejo especial:
- Propiedad intelectual: código fuente, documentos de diseño, documentación del proceso
- Datos corporativos: documentos legales y financieros, documentos de planificación estratégica, información de empleados
- Datos del cliente: datos personales como nombre, dirección, número de teléfono, ubicación, preferencias, números de seguro social, tarjetas de crédito, registros médicos, estados financieros, etc.
En general, el enfoque principal del software de prevención de pérdida de datos es:
- Mantener los datos seguros en uso, en movimiento y en reposo
- Supervisión del movimiento de datos de punto final
- Prevención de vulnerabilidad , es decir, divulgación de información confidencial (ya sea intencionalmente o por accidente)
Además, el software DLP ayuda a identificar la fuente de la fuga de información privilegiada en caso de violación de datos.
Para ello proporciona medidas de seguridad y arregla puntos débiles en el proceso de procesamiento de datos, es decir, proporcionando cifrado para datos sensibles y realizando copias de seguridad de rutina.
¿Cómo funciona el software de prevención de pérdida de datos?
Una solución DLP se trata de identificar los datos confidenciales, administrar su acceso y tomar medidas para mantenerlos seguros.
Gira en torno a herramientas de monitorización y análisis que:
- determinan si una operación de datos en particular es legítima o amenaza los activos de la compañía;
- toma las medidas adecuadas para mantener la seguridad de los datos.
La operación de prevención de pérdida de datos gira en torno a dos conceptos:
- Conocimiento del contenido: la información y su papel en la operación comercial
- Análisis contextual: es decir, el medio del contenido y su presentación interna junto con las intenciones de usar datos
En cuanto a la acción, las prácticas de prevención de pérdida de datos giran en torno a las siguientes metodologías:
- Cifrado: se utiliza para la protección básica de datos confidenciales en almacenamiento y tránsito
- Hash criptográfico: utilizado para el anonimato de datos de identificación personal
- Huellas digitales de datos para identificar y rastrear datos en el sistema (generalmente para actividades de lectura, hash y almacenamiento)
- Copias de seguridad de información de rutina: se utilizan para mantener intactas las versiones de datos confidenciales, especialmente en casos de cambios, movimientos o borrados accidentales o no autorizados.
Componentes
El modus operandi del software DLP se divide en cuatro componentes clave:
- Por encima de cada tipo de operación relacionada con datos se encuentra la política del sistema. Determina el tipo de datos considerados confidenciales y qué pueden hacer con ellos los usuarios. Lo más importante, la política describe el curso de acción con respecto a la protección de pérdida de datos (por ejemplo, encriptar datos confidenciales o enviar una notificación al administrador).
- El componente de gestión es una interfaz para la política del sistema. Es un conjunto inicial de regulaciones para mantener las cosas bajo control. Incluye monitorización de:
- qué datos se utilizan actualmente y su estado de acceso;
- quién está usando qué información;
- a dónde van los datos en el proceso.
- El componente de identificación utiliza la política del sistema para encontrar datos confidenciales y evaluar su estado en el sistema. También se utiliza para identificar al usuario y su nivel de acceso.
- El componente de protección es el que toma medidas. Es un conjunto de herramientas DLP diseñadas para proteger la información confidencial del acceso no autorizado y evita su pérdida mediante la creación de copias de seguridad. Por lo general, informa sobre algo o proporciona diferentes niveles de acceso y cifrado a los datos confidenciales.
Tipos de soluciones de prevención de pérdida de datos
Existen tres tipos principales de software de prevención de pérdida de datos. Es importante tener en cuenta que estas herramientas DLP se usan indistintamente para diversos fines.
- DLP de red: el tipo de solución DLP donde la solución se integra con todos los puntos de datos de la red. Este tipo de DLP se usa comúnmente en redes corporativas como medida de precaución, debido al alto volumen de varias operaciones de datos. Network DLP monitoriza el estado de los datos en la red y mantiene un registro extenso de sus movimientos y transformaciones. En cierto modo, es un tipo de opción a prueba de fallas que evita tanto las posibilidades rutinarias de pérdida de datos como la malicia diligente.
- Almacenamiento DLP: este tipo de software DLP es para datos en almacenes en la nube. Su enfoque principal es mantener la confidencialidad y seguridad de los datos en el almacén de datos.
El procedimiento incorpora la monitorización de los datos confidenciales en el almacenamiento y la administración de su configuración de acceso. En cierto modo, es un tipo de servicio de vigilancia con alarma. - Endpoint DLP: este tipo de solución DLP está diseñada para monitorizar el intercambio de datos de un punto a otro, es decir, dispositivo, almacenamiento o cuenta. Por ejemplo, al compartir un documento con un tercero fuera del sistema, este se bloquea automáticamente y es necesario habilitar manualmente el acceso al exterior.
Además de compartir, el DLP de punto final también vigila los portapapeles e incluso los dispositivos físicos. Si bien el almacenamiento físico no es tan popular ahora, todavía se usa. Sin embargo, los dispositivos físicos pueden romperse y esto puede conducir a una pérdida de datos.
Endpoint DLP es similar a Network DLP. Supervisa a dónde van los datos y lo que le sucede, pero a diferencia de Network DLP, está basado en estaciones de trabajo. Por lo tanto, maneja solo una fuente de operaciones de datos.
Razones para implementarlo
La vulnerabilidad de los datos en el almacenamiento en la nube es una realidad, y hay que lidiar con ello. Muchas cosas desafortunadas pueden suceder sin la seguridad adecuada de DLP. Por ejemplo:
- Infracción de acceso no autorizado a los datos;
- Pérdida de datos, es decir, cambio irreversible, movimiento o borrado de información confidencial;
- Configuración incorrecta del almacenamiento: exposición de los datos confidenciales en el exterior.
Con el número de violaciones de datos creciendo exponencialmente con cada año (para 2021 , se estima que los daños totales serán de hasta 6 billones de dólares), es razonable ser cauteloso.
Hay tres razones principales por las cuales la implementación del software DLP es crítica para avanzar y expandir la operación comercial.
1. Cumplimiento
Diferentes normas y regulaciones gubernamentales cubren ampliamente los requisitos de seguridad y confidencialidad de los datos confidenciales relacionados con los usuarios y los procesos comerciales (por nombrar algunos: RGPD, HIPAA, SOX, PCI DSS).
De una forma u otra, regulan el tratamiento de datos personales y otros tipos de datos sensibles.
La implementación de una política de prevención de pérdida de datos es uno de los pasos críticos para el cumplimiento. Además, las regulaciones trazan el alcance del control que tienes sobre los datos y dan instrucciones para una gestión de datos más eficiente.
La divulgación o pérdida de datos confidenciales conduce a demandas, daños a la reputación y credibilidad y, en última instancia, a la pérdida de ingresos.
2. Mejor tratamiento de los activos de la empresa
Los activos de una empresa que mantienen el motor en marcha. Tales datos valiosos requieren una estricta monitorización de quién está usando y por qué. Una política de prevención de pérdida de datos cubre el tratamiento de información como:
- secretos comerciales;
- información estratégica de propiedad;
- listas de clientes y datos de identificación personal;
- estrategias de negocios.
La pérdida o violación de estos datos puede causar muchos problemas para la empresa.
La política de seguridad de DLP establece claramente los tipos de acceso para datos confidenciales y describe los cursos de acción, en cualquier caso.
3. Visibilidad de datos
La base de una política eficaz de prevención de pérdida de datos es comprender qué tipo de datos confidenciales hay en el sistema, su ubicación y quién los está utilizando para qué fines.
Este proceso implica una auditoría constante de los activos, que proporciona una mejor comprensión de sus datos.
Cómo crear una política DLP exitosa: una guía de seis etapas
Para establecer una política DLP eficaz debemos seguir los siguientes pasos:
1. Identificar qué datos requieren protección
Debemos:
- Evaluar posibles factores de riesgo (por ejemplo, el riesgo de una violación a través de la comunicación por correo electrónico o exploits en el marco API);
- Evaluar la vulnerabilidad de diferentes activos (por ejemplo, listas de clientes, documentos legales, análisis de marketing, etc.).
- Seleccionar una escala de prioridad para la protección de diferentes tipos de datos, qué tipos representan qué riesgo para la operación comercial. Por ejemplo:
- La base de datos de usuarios de la aplicación es un activo operativo siempre en uso, y requiere cifrado tanto en tránsito como en almacenamiento.
- Los datos de investigación de la competencia requieren acceso específico y cifrado de almacenamiento.
2. La documentación de la política de DLP debe ser lo más exhaustiva posible
Todo debe escribirse para que todos puedan conocerlo. Ser minucioso proporciona una claridad total de los procedimientos y permite el pleno cumplimiento de las normas. Es necesario:
- Hacer cumplir una política de prevención de pérdida de datos a nivel organizacional.
- Mantener a las partes interesadas y los usuarios al tanto de la política de DLP y su importancia.
3. Optimizar la gestión de datos e identificar qué tipo de datos son innecesarios para la operación comercial
Si no se necesita este tipo de datos, entonces deben eliminarse y, por lo tanto, la violación o pérdida es imposible.
4. Establecer métricas transparentes
Lo que puede medir la efectividad de una política de seguridad DLP es:
- Porcentaje de falsos positivos durante la monitorización;
- El número de incidentes de seguridad;
- Tiempo de respuesta a una emergencia.
5. Describir el alcance de acceso de cada tipo de usuario en el sistema
Debes definir claramente los roles y responsabilidades de las personas involucradas en el programa DLP de tu organización. Desarrollar derechos y deberes basados en roles proporcionará controles y equilibrios.
6. Automatizar el procedimiento con software especializado
Cuanto más se automatice el flujo de trabajo, más fácil será controlarlo.
Las herramientas DLP como McAfee DLP utilizan detección de anomalías de aprendizaje automático y análisis de comportamiento para mantener la precisión de la gestión de DLP.
Cada grupo de usuarios tiene su propio conjunto de patrones de comportamiento. Este diseño permite identificar rápidamente la intención de la operación de datos en particular y neutralizar la actividad sospechosa sin sufrir ningún daño.
Métricas para evaluar la efectividad de las soluciones DLP
La prevención de pérdida de datos es una operación compleja con muchas partes móviles. Una vez implementado, necesita una optimización y mejora constantes para cumplir bien su propósito.
La mejor manera de mantener una solución DLP en forma es implementar métricas tangibles de su efectividad.
Vamos a analizar cada una de ellas.
1. Tasa de éxito de clasificación de datos
El primer paso para implementar una solución de prevención de pérdida de datos es la clasificación de datos. Este proceso identifica y diferencia los tipos de información sensible y describe su contexto. Es la columna vertebral de cada herramienta DLP.
La clasificación de datos a menudo se realiza en un modo semiautomático cuando el algoritmo realiza la base básica y luego el operador la valida. El porcentaje de clasificaciones erróneas puede mostrar la cantidad de información sensible que deja la herramienta de monitorización.
2. Porcentaje de excepciones de política
Una política de prevención de pérdida de datos del sistema contiene una lista de lo que se debe y no se debe hacer con respecto al uso de datos en toda la empresa. También incluye ciertos tipos de excepciones de las reglas. Puede crear un permiso único para un empleado específico (por ejemplo, marketing obteniendo acceso a la documentación del proyecto para preparar un estudio de caso) o proporcionando un acceso más amplio a un tercero a través de API (como Facebook para vendedores o anunciantes).
La monitorización de la cantidad de excepciones brinda una comprensión de cuánto se usa realmente la política de seguridad de DLP. Es una buena forma de optimizar los puntos débiles.
3. Porcentaje de falsos positivos
Cada sistema de monitorización tiene su propia cuota de falsos positivos y falsos negativos. La raíz de este problema está en las rutinas de monitorización de prevención de pérdida de datos. Algunas cosas están menos definidas o no mencionadas, y esto causa todo tipo de falsas alarmas.
El porcentaje de tales eventos en comparación con el número de alertas reales es una buena medida de la efectividad de la herramienta DLP. Ayuda a identificar problemas de datos reales.
4. Porcentaje de bases de datos con huellas digitales
La huella digital es un método de prevención de fuga de datos que se utiliza para vigilar quién está usando qué tipo de datos para qué propósito.
Como métrica, es una buena manera de comprender la integridad de la información y clasificar el alcance del acceso.
Esto ayuda a identificar la manipulación y el rastreo de la posible fuente de una fuga.
5. Tiempo de respuesta de alerta
Esta métrica toma en cuenta cuánto tiempo lleva arreglar un problema desde su aparición hasta su solución.
Ayuda a optimizar el flujo de trabajo y descubrir las rutinas más efectivas para responder a las alertas.
6. Estado y cantidad de dispositivos no administrados
El riesgo de dispositivos no administrados radica en la falta de control sobre ellos. Crean incertidumbre porque no puede imponer políticas de protección de pérdida de datos.
Dichos dispositivos son puntos finales de datos (estaciones de trabajo de empleados o teléfonos inteligentes), almacenes en la nube y almacenes extraíbles (memorias USB, etc.), básicamente cualquier punto de partida para obtener información.
El objetivo de esta métrica es monitorizar el número, tipo y tamaño de almacenamiento de dispositivos fuera de la infraestructura del sistema de la compañía.
Al igual que las excepciones de la política de seguridad de DLP, esta cifra debe mantenerse al mínimo para evitar incidentes de incumplimiento.
Importancia de adoptar una política de prevención de pérdida de datos
El mercado DLP no es nuevo, pero ha evolucionado para incluir servicios administrados, funcionalidad en la nube y protección avanzada contra amenazas. Todo esto, junto con la tendencia al alza en las violaciones de datos, ha visto un aumento masivo en la adopción de DLP como un medio para proteger los datos confidenciales.
Las tendencias que están impulsando la adopción más amplia de DLP son:
- El crecimiento de la función de CISO: más empresas han contratado y están contratando a directores de seguridad de la información (CISO), que a menudo informan al CEO. La política de DLP ofrece un importante valor comercial a la empresa y proporciona a los CISO la opción de elaborar informes necesarios para facilitar actualizaciones periódicas al CEO.
- Mandatos de cumplimiento en evolución: las regulaciones globales de protección de datos cambian constantemente y su organización necesita ser adaptable y preparada. En los últimos dos años, los legisladores han aprobado normas que han endurecido los requisitos de protección de datos. Las soluciones DLP permiten a las organizaciones la flexibilidad de evolucionar con las cambiantes regulaciones globales.
- Hay más lugares para proteger tus datos: el mayor uso de la nube, las complicadas redes de la cadena de suministro y otros servicios sobre los que ya no tienes control total han hecho que la protección de datos sea más compleja.
- Las infracciones de datos son frecuentes y grandes: los adversarios de los estados nacionales, los ciberdelincuentes y los expertos malintencionados están atacando los datos confidenciales por diversos motivos, como el espionaje corporativo, el beneficio financiero personal y la ventaja política. DLP garantiza una protección contra todo tipo de enemigos, maliciosos o no. En los últimos años, ha habido miles de violaciones de datos y muchos más incidentes de seguridad. Se han perdido miles de millones de registros en violaciones de datos.
- Los datos robados de tu organización valen más: los datos robados a menudo se venden en Dark Web, donde las personas y los grupos pueden comprarlos y usarlos para su propio beneficio. Con ciertos tipos de datos que se venden por hasta unos pocos miles de dólares, existe un claro incentivo financiero para el robo de datos.
- Hay más datos que robar: la definición de lo que son datos confidenciales se ha ampliado a lo largo de los años. Los datos confidenciales ahora incluyen activos intangibles, como modelos de precios y metodologías comerciales. Esto significa que tu organización tiene más datos para proteger.
- Hay una escasez de talentos de seguridad: la escasez de talentos de seguridad no desaparecerá pronto y probablemente ya hayas sentido su impacto en tu propia organización. Con los servicios de DLP podemos suplir esa falta de personal especializado.
Conclusión
En la actualidad, la implementación de una solución de prevención de pérdida de datos es un paso necesario para mantener los datos de tu empresa seguros y bajo completo control.
Con los peligros de la pérdida de datos y las brechas cada vez mayores, una política de seguridad DLP ajustada es uno de los mecanismos infalibles que te ayudan a evitar el mantenimiento de daños financieros y de reputación por amenazas maliciosas intencionales, fallos del sistema y errores humanos no intencionales.