¿Qué es DLP o prevención de pérdida de datos?

DLP o Data Loss Prevention, en español prevención de pérdida de datos, sirve para garantizar que los usuarios no envíen información delicada o crítica fuera de la red corporativa. El término describe productos de software que ayudan a un administrador de redes a controlar los datos que los usuarios pueden transferir. Los productos de DLP usan reglas de negocio para clasificar y proteger la información confidencial y crítica, para que los usuarios no autorizados no puedan intercambiar datos de manera accidental o malintencionada, cosa que podría poner en riesgo a la organización. Por ejemplo, si un empleado intenta reenviar un correo electrónico empresarial fuera del dominio corporativo o cargar un archivo corporativo a un servicio de almacenamiento en la nube para el consumidor, como Dropbox, el empleado no recibirá autorización.

Las organizaciones están adoptando la DLP a causa de las amenazas internas y las rigurosas leyes de privacidad de datos, muchas de las cuales contienen requisitos muy exigentes para protección o acceso a los datos. Además de monitorizar y controlar las actividades en los puntos de contacto, algunas herramientas de DLP se pueden usar para filtrar corrientes de datos en la red corporativa y para proteger datos en movimiento.

Aquí le indicamos cómo realizar una implementación exitosa de prevención de pérdida de datos:

• Priorizar los datos
  No todos los datos son igual de críticos. Cada organización tiene sus propias definiciones de lo que se considera datos críticos. El primer paso es decidir qué datos causarían los problemas más graves en caso de robarse. La DLP debe comenzar por los datos más valiosos o sensibles, que tengan la mayor probabilidad de ser elegidos objetivos por los atacantes.
• Clasificar los datos
  Un enfoque sencillo y ampliable es clasificar los datos por contexto. Esto implica asociar una clasificación con la aplicación de origen, la “data store” o el usuario que haya creado los datos. Aplicar etiquetas de clasificación persistentes a los datos les permite a las organizaciones hacer seguimiento al uso de los mismos. La inspección de contenidos también es útil. Examina los datos para identificar expresiones regulares, como números de seguridad social o de tarjeta de crédito, o palabras clave (por ejemplo: “confidencial”). La inspección de contenidos suele incluir reglas previamente configuradas para PCI, PII y otros estándares.
• Comprender cuándo están en riesgo los datos
  Existen diversos riesgos asociados a los datos distribuidos a los dispositivos de los usuarios o compartidos con los socios, clientes y la cadena de suministro. En estos casos, los datos suelen estar en el punto más alto de riesgo al momento en que se usan en los puntos de contacto. Algunos ejemplos serían adjuntar datos a un correo electrónico o transferirlos a un dispositivo de almacenamiento extraíble. Un programa robusto de DLP debe tener presente la movilidad de los datos y cuándo estarán estos en riesgo.
• Monitorización de los datos en movimiento
  Es importante comprender cómo se utilizan los datos e identificar los comportamientos que ponen en riesgo los datos. Las organizaciones necesitan monitorear los datos para obtener visibilidad hacia lo que está ocurriendo con sus datos sensibles y para determinar el alcance de los problemas que su estrategia de DLP debe abordar.
• Comunicar y desarrollar controles
  El siguiente paso es trabajar en conjunto con los gerentes de línea del negocio para comprender por qué está ocurriendo esto y para crear controles que permitan reducir el riesgo de los datos. Al comienzo de un programa de DLP, los controles de uso de datos pueden ser sencillos. Los controles pueden abarcar comportamientos comunes que la mayoría de los gerentes de línea considerarían riesgosos. A medida que el programa de DLP madura, las organizaciones pueden desarrollar controles más granulares y afinados para reducir los riesgos específicos.
• Formar a los empleados y ofrecer orientación continua
  Una vez que una organización comprende en qué momento se transfieren los datos, la formación para los usuarios puede reducir el riesgo de pérdida accidental de datos por parte de agentes internos. Los empleados suelen no darse cuenta de que sus acciones pueden redundar en pérdidas de datos, y también tienden a mejorar cuando se les instruye. Las soluciones avanzadas de DLP ofrecen advertencias a los empleados acerca de que el uso de los datos podría estar violando las políticas de la empresa o incrementando el nivel de riesgo. Esto es adicional a los controles para simplemente bloquear actividades de datos arriesgadas.
• Implementación
  Algunas organizaciones repiten estos pasos con un conjunto de datos expandido o amplían la identificación y clasificación de los datos para implementar controles refinados para los datos. Al enfocarse inicialmente en garantizarse un subconjunto de los datos más críticos, la prevención de pérdida de datos es más sencilla de implementar y de gestionar. Un programa piloto exitoso también brinda opciones para ampliar el programa. Con el tiempo, un porcentaje mayor de información sensible sería incluido, con una interrupción mínima para los procesos empresariales.

Un incremento del 47% en las filtraciones de datos desde el 2020

Una idea común, pero errónea es que las pérdidas de datos se deben fundamentalmente a la acción de atacantes malintencionados. Las violaciones externas constituyen más de la mitad de las violaciones de datos o data breach. Pero las violaciones de datos internas también están aumentando, y representan casi la mitad de todas las violaciones de datos. Muchas violaciones de datos no son causadas por entes externos, sino por empleados negligentes o descontentos.

El 84% de los líderes de TI afirman que la DLP es más complicada con una fuerza laboral remota

Con más personal teletrabajando, los administradores tienen la dificultad adicional de tener que proteger datos alojados en dispositivos personales o en la nube. Esto dificulta la DLP, porque el personal remoto presenta una serie de riesgos adicionales en comparación con el mantenimiento de los datos dentro de dispositivos controlados a nivel corporativo.

Entre el 60% y el 70% de las violaciones de datos implican la divulgación pública de los mismos

Esta estadística puede resultar perjudicial para la reputación de cualquier compañía. Un estudio realizado por Intel reveló que el 70% de las incidencias de pérdida de datos en organizaciones comerciales pequeñas, pymes, implicaron la divulgación pública o tuvieron un impacto financiero negativo.

Las soluciones de DLP funcionan de dos maneras: analizando los datos para obtener contenidos a nivel contextual, y analizando contenidos en función de coincidencias entre cadenas de texto. Al igual que ocurre con el análisis de idiomas, el significado de las palabras está basado en el contexto. Su solución de prevención de pérdida de datos puede filtrar ataques basándose en las palabras, pero también necesitan comprender estas palabras basándose en la manera en que estas palabras están formateadas e integradas en las comunicaciones. Esta técnica es importante especialmente en la ciberseguridad de correo electrónico y la DLP.

Su solución de DLP funcionará empleando las siguientes estrategias:

• Coincidencia de expresiones regulares: las soluciones de DLP buscan coincidencias entre condiciones de conjuntos de datos específicos, tales como detección de números de tarjetas de crédito de 16 dígitos en un correo electrónico o números telefónicos de 9 dígitos para determinar si la comunicación contiene datos sensibles.
• Toma de huellas digitales de datos estructurados: los datos almacenados en una base de datos se pueden analizar en busca de datos delicados específicos para determinar si están adecuadamente protegidos.
• Análisis de sumas de comprobación de archivos: determinan si los contenidos de los archivos han cambiado utilizando algoritmos de “hashing” para obtener “hashes” de datos de archivos y compararlos en función de cuándo se guardó el archivo.
• Comparación de datos parciales: usando esta estrategia, la solución de prevención de pérdida de datos realiza una comparación entre ciertos datos, por ejemplo, determinar formularios y plantillas rellenadas por diversas personas.
• Coincidencias de léxico: los datos no estructurados se pueden analizar utilizando términos de diccionario y otras coincidencias basadas en reglas para detectar información sensible.
• Análisis estadístico: mediante el uso de aprendizaje automático y métodos avanzados, las soluciones de DLP detectan información delicada menos evidente, que no puede determinarse con otros métodos.
• Categorización: al categorizar los datos, la solución de DLP puede determinar si los datos son altamente sensibles y si incumplen con las normativas de cumplimiento.

El coste medio de una violación de datos es de 4,25 millones de USD por incidencia, pero el daño a largo plazo a la identidad de la marca puede afectar a los ingresos futuros durante años. Cada 11 segundos una empresa resulta víctima de un ciberataque, y es por esta razón que las soluciones de DLP son ahora más importantes que nunca. A los administradores les resulta muy difícil defender sus entornos contra la gran cantidad de riesgos existentes, así que estas soluciones detectan ataques potenciales y otras anomalías.

La solución que elija funcionará junto con las estrategias de disminución del riesgo. Nunca es realmente posible reducir el riesgo en un 100%, así que las soluciones de DLP detectan ataques muy sofisticados que son capaces de evadir sus defensas de ciberseguridad actuales. También le ayudan a garantizar que su entorno cumpla con las regulaciones, para que la organización pueda evitarse el tener que pagar cuantiosas multas por concepto de violación de normas.

Al igual que ocurre con cualquier integración, las implementaciones de prevención de pérdida de datos precisan de la estrategia adecuada para evitar costosos errores e interrupciones. Antes de implementar su solución de DLP, le ofrecemos algunos trucos que vale la pena considerar:

• Definir los requisitos del negocio: antes de implementar una solución, se deben definir los requisitos de negocio requeridos por la estrategia de implementación. Los requisitos de negocio ayudarán a iniciar un plan que creará un proceso de implementación más fluido.
• Definir los requisitos de seguridad: la conformidad y otros estándares de ciberseguridad también definen la manera en que se implementarán las soluciones de DLP. Use estos estándares para determinar las diversas maneras en que los datos deben monitorizarse y protegerse.
• Auditoría de infraestructuras: es necesario saber dónde están almacenados los datos y a dónde se transfieren. Las soluciones de DLP protegen los datos en tránsito y en reposo, así que este paso de planificación les ayudará a descubrir nuevos puntos de contacto y puntos de almacenamiento de datos.
• Determinación de responsabilidades: todos los miembros del personal de TI deben involucrarse en las implementaciones, de modo de que puedan comprender los cambios y brindar respuestas a las preguntas de los clientes. También resulta útil para la corrección de errores.
• Comunicarse con documentación: documentar los cambios en el entorno y cualesquiera procedimientos que deban seguirse. La documentación permite evitar errores cuando el personal no sabe qué cambios se hicieron al entorno de qué manera funciona la DLP para monitorizar los datos.

La Prevención de Pérdida de Datos de Correo Electrónico de Proofpoint (Proofpoint Email Data Loss Prevention) le ofrece protección de datos integrada para correo electrónico y archivos adjuntos. Está diseñada para detener exposiciones accidentales a los datos y para evitar ataques externos o de impostores por correo electrónico. Se puede usar en paralelo con otros productos del conjunto de protección para la información como el Descubrimiento de Datos de Proofpoint (Proofpoint Data Discover) y el Cifrado de Correo Electrónico de Proofpoint (Proofpoint Email Encryption).

Una herramienta integral de prevención de pérdida de datos tiene cuatro elementos: un servidor central de gestión, monitorización de redes, DLP para almacenamiento y DLP para puntos de contacto. En una implementación pequeña, todo excepto el agente de punto de contacto puede consolidarse en un único servidor o aplicación. Las implementaciones de mayor tamaño pueden incluir partes distribuidas para abarcar diversos elementos de la infraestructura.

Con esta herramienta, las organizaciones siempre saben dónde están almacenados sus datos privados o registrados, incluyendo propiedad intelectual, identificación personal, información del paciente, información financiera y más. Ayuda a las organizaciones a simplificar el descubrimiento y a evaluar los datos rápidamente, para así poder responder ante cualquier problema. La solución in situ de DLP de Proofpoint, Control de Contenidos (Content Control), ayuda a las organizaciones a:

• Localizar fácilmente los datos delicados, sin importar en qué parte de la corporación estén almacenados. El proceso de descubrimiento simplificado permite a los equipos de TI y de IS estar conscientes de los problemas que surjan sin tener que lidiar con una solución de DLP demasiado compleja o sin tener que emplear un enfoque de “cerrar la puerta a cal y canto”.
• Evaluar datos históricos y garantizar que los nuevos datos se evalúen a medida que se van creando. Poner en cuarentena, transferir o eliminar cualquier violación para evitar resultar afectados adversamente por materiales malintencionados. Por ejemplo, si algún contenido corporativo se descubre en una carpeta de sincronización de Dropbox, el usuario es alertado automáticamente y los datos se transfieren al repositorio aprobado por el equipo de seguridad de TI.
• Evaluar los metadatos y el texto completo de un archivo. Esto permite a los departamentos de seguridad de TI identificar tarjetas de crédito, identificaciones personales, números de licencias, información médica y más. Este proceso también les enseña a los usuarios buenas prácticas de gestión de datos y de seguridad laboral, pero sin limitar su productividad o flujos de trabajo.