DLP: Qué es y cómo proteger los datos de su empresa

Definición

DLP o Data Loss Protection, en español prevención de pérdida de datos, garantiza que los usuarios no envíen información delicada o crítica fuera de la red corporativa. El término describe productos de software que ayuda a un administrador de redes a controlar los datos que los usuarios pueden transferir.

Los productos de “data loss protection” usan reglas empresariales para clasificar y proteger la información confidencial y crítica, para que los usuarios no autorizados no puedan intercambiar datos de manera accidental o malintencionada, cosa que podría en riesgo a la empresa. Por ejemplo, si un empleado intenta reenviar un correo electrónico empresarial fuera del dominio corporativo o cargar un archivo corporativo a un servicio de almacenamiento en la nube para el consumidor, como Dropbox, el empleado no recibirá autorización.

Las organizaciones están adoptando DLP a causa de las amenazas internas y las rigurosas leyes de privacidad de datos, muchas de las cuales contienen requisitos muy exigentes para protección o acceso a los datos. Además de monitorizar y controlar las actividades en endpoints, algunas de estas herramientas se pueden usar para filtrar corrientes de datos en la red corporativa y para proteger datos en movimiento.

Buenas prácticas

Aquí le indicamos cómo iniciar una implementación exitosa de prevención de pérdida de datos:

  • Priorización de datos
    No todos los datos son igual de críticos. Cada organización tiene sus propias definiciones de lo que se considera datos críticos. El primer paso es decidir qué datos causarían los problemas más graves en caso de ser robados. Se debe comenzar por los datos más valiosos o sensibles, que tengan la mayor probabilidad de resultar designados como objetivos por los atacantes.
  • Clasificar los datos
    Un enfoque sencillo y escalable es clasificar los datos por contexto. Esto implica asociar una clasificación con la aplicación de origen, la "data store" o el usuario que haya creado los datos. Aplicar etiquetas de clasificación persistentes a los datos les permite a las organizaciones hacer seguimiento al uso de los mismos. La inspección de contenidos también es útil, examinando los datos para identificar expresiones regulares, como números de seguridad social o de tarjeta de crédito, o palabras clave (por ejemplo: "confidencial"). La inspección de contenidos y datos suele incluir reglas preconfiguradas para PCI, PII y otros estándares.
  • Comprender cuándo están en riesgo los datos
    Existen diversos riesgos asociados a los datos transferidos a los dispositivos de los usuarios o bien compartidos con los socios, clientes y la cadena de suministro. En estos casos, los datos suelen estar en el punto más alto de riesgo en el momento en que se usan en los dispositivos terminales o endpoints. Algunos ejemplos serían adjuntar datos a un correo electrónico o transferir datos a un dispositivo de almacenamiento extraíble. Un programa robusto debe tener presente la movilidad de los datos y cuándo estarán en riesgo.
  • Monitorización de los datos en movimiento
    Es importante comprender cómo se usan los datos e identificar los comportamientos que ponen en riesgo los datos. Las organizaciones necesitan monitorear los datos en movimiento para obtener visibilidad hacia lo que está ocurriendo con sus datos sensibles y para determinar el alcance de los problemas que su estrategia debe abordar.
  • Comunicar y desarrollar controles
    El siguiente paso es trabajar en conjunto con los gerentes de línea del negocio para comprender por qué está ocurriendo esto y para crear controles que permitan reducir el riesgo de los datos. Al comienzo de un programa de prevención de pérdida de datos, los controles de uso de datos pueden ser sencillos. Los controles pueden abarcar comportamientos comunes que la mayoría de los gerentes de línea considerarían riesgosos. A medida que el programa madura, las empresas pueden desarrollar controles más granulares y afinados para reducir los riesgos específicos.
  • Formar a los empleados y ofrecer orientación continua
    Una vez que una organización comprende en qué momento se transfieren los datos, la formación para los usuarios puede reducir el riesgo de pérdida accidental de datos por parte de agentes internos. Los empleados suelen no darse cuenta de que sus acciones pueden redundar en pérdidas de datos, y también tienden a mejorar cuando se les instruye. Las soluciones avanzadas de DLP ofrecen advertencias a los empleados acerca de que el uso de los datos podría estar violando las políticas de la empresa o incrementando el nivel de riesgo. Esto es adicional a los controles para simplemente bloquear actividades de datos arriesgadas.
  • Implementación
    Algunas organizaciones repiten estos pasos con un conjunto de datos expandido o amplían la identificación y clasificación de los datos para implementar controles refinados para los datos. Al enfocarse inicialmente en garantizarse un subconjunto de los datos más críticos, es más sencilla de implementar y de gestionar. Un programa piloto exitoso también brinda opciones para ampliar el programa. Con el tiempo, un porcentaje mayor de información sensible sería incluido, con una interrupción mínima para los procesos empresariales.

Estadísticas de DLP

EL 43% DE LAS VIOLACIONES DE DATOS SON INTERNAS.

Una idea común pero errónea es que las pérdidas de datos se deben fundamentalmente a la acción de atacantes malintencionados. Los robos de datos externos constituyen más de la mitad de las violaciones de datos. Pero las infracciones de datos internas también están aumentando, y representan casi la mitad de todas las pérdidas de datos.

ENTRE EL 60% Y EL 70% DE LAS VIOLACIONES DE DATOS IMPLICAN LA DIVULGACIÓN PÚBLICA DE LOS MISMOS.

Esta estadística puede resultar perjudicial para la reputación de cualquier compañía. Un estudio realizado por Intel reveló que el 70% de las incidencias de pérdida de datos en organizaciones comerciales pequeñas ─pymes─, implicaron la divulgación pública o tuvieron un impacto financiero negativo.

Herramientas y tecnologías para DLP

Proofpoint Email Data Loss Prevention ofrece protección de datos integrada para correo electrónico y archivos adjuntos. Está diseñada para detener exposiciones accidentales a los datos y para evitar ataques externos o de impostores por correo electrónico. Se puede usar en paralelo con otros productos del conjunto de protección para la información como Proofpoint Data Discover y Proofpoint Email Encryption.

Una herramienta integral de prevención de pérdida de datos tiene cuatro elementos: un servidor central de gestión, monitorización de redes, DLP para almacenamiento y endpoint DLP o terminales. En una implementación pequeña, todo excepto el endpoint puede consolidarse en un único servidor o aplicación. Las implementaciones de mayor tamaño pueden incluir partes distribuidas para abarcar diversos elementos de la infraestructura.

Con esta herramienta, las organizaciones siempre saben dónde están almacenados sus datos privados o registrados, incluyendo propiedad intelectual, identificación personal, información del paciente, información financiera y más. Ayuda a las organizaciones a simplificar el descubrimiento y a evaluar los datos rápidamente, para así poder responder ante cualquier problema. La solución DLP de Proofpoint, Control de Contenidos, ayuda a las empresas a:

  • Localizar fácilmente los datos delicados, sin importar en qué parte de la corporación estén almacenados. El proceso de descubrimiento simplificado permite a los equipos de seguridad informática ser conscientes de los problemas que surjan sin tener que lidiar con una solución de prevención de pérdida de datos demasiado compleja o sin tener que emplear un enfoque de "cerrar la puerta a cal y canto".
  • Evaluar datos históricos y garantizar que los nuevos datos se evalúen a medida que se van creando. Poner en cuarentena, transferir o eliminar cualquier violación para evitar resultar afectados adversamente por materiales malintencionados. Por ejemplo, si algún contenido corporativo se descubre en una carpeta de sincronización de Dropbox, el usuario es alertado automáticamente y los datos se transfieren al repositorio aprobado por el equipo de seguridad de informática.
  • Evaluar los metadatos y el texto completo de un archivo. Esto permite a los departamentos de seguridad informática identificar tarjetas de crédito, identificaciones personales, números de licencias, información médica y más. Este proceso también les enseña a los usuarios buenas prácticas de gestión de datos y de seguridad laboral, pero sin limitar su productividad o flujos de trabajo.