Llegamos a ustedes gracias a:



Reportajes y análisis

DLP: Cómo funciona y por qué lo necesita

[07/09/2020] La prevención de pérdida de datos (DLP, por sus siglas en inglés) es un conjunto de prácticas (y productos) que aseguran que los datos sensibles o críticos de una organización permanezcan a disposición de los usuarios autorizados, y no se compartan ni estén a disposición de usuarios no autorizados. El término existe desde hace algún tiempo -de hecho, el columnista de la CSO, Jon Oltsik, analista de Enterprise Strategy Group, lo ridiculizó por ser obsoleto hace una década- pero se ha mantenido. Y con muchas compañías construyendo todo su modelo de negocios alrededor de la recolección y análisis de datos, las organizaciones necesitan implementar una rigurosa defensa de esos datos para igualar su creciente valor.

¿Cuál es el propósito de DLP?

El proveedor de DLP, Digital Guardian, describe los tres principales casos de uso de DLP en una publicación en un blog:

  • Proteger la información de identificación personal y asegurar el cumplimiento legal. Muchas organizaciones tienen bases de datos masivas llenas de información potencialmente sensible acerca de sus clientes y contactos comerciales, que van desde direcciones de correo electrónico hasta registros médicos y financieros, que podrían causar un verdadero daño si cayeran en las manos equivocadas. Es necesario asegurarse de que los datos permanezcan seguros, no solo porque es lo correcto, sino porque una gran cantidad de leyes, desde la HIPAA hasta la GDPR y la CCPA, lo exigen, y ordenan algunas formas de hacerlo.
  • Proteger la propiedad intelectual. Es casi seguro que su organización tiene propiedad intelectual y secretos comerciales que quiere mantener fuera de las manos de los competidores. DLP tiene como objetivo evitar que esos datos sean robados por medio del espionaje corporativo, o expuestos inadvertidamente en línea.
  • Obtener visibilidad de sus datos. Parte del proceso de bloqueo de sus datos consiste en averiguar dónde viven sus datos en su infraestructura y cómo se mueven. En la era de las nubes públicas e híbridas esto puede ser una tarea compleja, y las herramientas de DLP tienen el beneficio adicional de brindarle una visión general de su propia infraestructura de datos.

¿Por qué DLP es importante?

La importancia de DLP se confirma por los alarmantes resultados de que los datos no están adecuadamente protegidos. El año 2019 fue considerado como el "peor año registrado de violaciones de datos", con un número de registros expuestos que ascendía a miles de millones. IBM fijó el costo promedio de una violación de datos en 3,92 millones de dólares.

Además del aumento de la frecuencia y el valor de las violaciones de datos, Digital Guardian esboza una serie de razones por las que los servicios de prevención de pérdida de datos están siendo adoptados con mayor frecuencia por las organizaciones. La necesidad de cumplimiento normativo juega un papel importante, así como el creciente poder y responsabilidad de los CISOs, que están en contacto frecuente con los CEOs y otros líderes, y dan visibilidad a los problemas de seguridad como la protección de datos. Además, muchas ofertas de DLP son servicios alojados, lo que las hace atractivas para las compañías que no cuentan con personal interno para crear e imponer sus propias políticas de DLP.

Cómo funciona la prevención de pérdida de datos

Como dice Geekflare, DLP puede reducirse a un simple par de directivas: identificar los datos sensibles que deben ser protegidos y luego prevenir su pérdida. Obviamente, el diablo está en los detalles. La tarea de identificar datos sensibles puede ser difícil, ya que los datos pueden existir en varios estados diferentes dentro de su infraestructura:

  • Datos en uso: Datos activos en registros de RAM, memoria cache o CPU.
  • Datos en movimiento: Datos que se transmiten a través de una red, ya sea interna y segura, o a través de la Internet pública.
  • Datos en reposo: Datos almacenados en una base de datos, en un sistema de archivos o en algún tipo de infraestructura de almacenamiento de respaldo.

Las soluciones de DLP para empresas son herramientas integrales que tienen por objeto proteger los datos en todos estos estados, mientras que las soluciones de DLP integradas podrían centrarse en un estado o podrían integrarse en una herramienta separada de propósito único. Por ejemplo, el servidor Exchange de Microsoft tiene capacidades de DLP integradas en él específicamente para evitar la pérdida de datos a través del correo electrónico.

En cualquier caso, las soluciones de DLP despliegan programas de agentes para buscar a través de los datos que están bajo su ámbito. Estos programas utilizan una variedad de técnicas de DLP para olfatear datos que son sensibles o dignos de protección. A veces, esto implica buscar copias de documentos o datos que usted ha suministrado; y, otras veces, peinar el pajar de sus datos en busca de agujas de información sensible. El blog de seguridad en la nube de McAfee presenta algunas de estas técnicas, que incluyen:

  • Coincidencia basada en reglas o expresiones regulares: Los agentes utilizan patrones conocidos para encontrar datos que coincidan con reglas específicas -los números de 16 dígitos suelen ser números de tarjetas de crédito, por ejemplo, y los de 9 dígitos, números de seguridad social. Esta se trata de una primera pasada para marcar documentos para su posterior análisis.
  • Database fingerprinting o coincidencia exacta de datos: Los agentes buscan coincidencias exactas con los datos estructurados suministrados previamente.
  • Coincidencia exacta de archivos: Los agentes buscan documentos basados en sus hashs, en lugar de su contenido.
  • Coincidencia parcial de documentos: Los agentes buscan archivos que coincidan parcialmente con los patrones suministrados previamente. Por ejemplo, diferentes versiones de un formulario rellenado por diferentes usuarios tendrán el mismo esqueleto, que puede ser utilizado para tomar las huellas digitales del archivo.
  • Análisis estadístico: Algunas soluciones de DLP utilizan el aprendizaje automático o el análisis bayesiano para tratar de identificar datos sensibles. Necesitará un gran volumen de datos para entrenar el sistema, que podría ser propenso a falsos positivos y negativos.

La mayoría de las soluciones de DLP también le permitirán crear sus propias combinaciones personalizadas de reglas para buscar datos específicos de su empresa.

Una vez que su solución de DLP ha identificado datos sensibles, necesita saber cómo manejar esos datos. Pero eso es más que un problema técnico. Su organización necesita establecer una estrategia de DLP para determinar la forma en que se deben tratar los diferentes tipos de datos y cuáles son las responsabilidades de los usuarios internos y externos en torno a éstos. Deberá tener especial cuidado en lograr un equilibrio entre la protección de sus datos y el hecho de que el trabajo de los trabajadores de su organización sea demasiado engorroso. Digital Guardian tiene una guía para desarrollar una política de DLP organizacional.

Su estrategia luego informará las políticas y los procedimientos de DLP que implementará con su solución de DLP. Puede pensar en esas políticas y procedimientos como la expresión técnica de la estrategia que su organización desarrolle. Este proceso obviamente varía de un producto a otro. La documentación de Microsoft Exchange resume la forma en la que podría hacerlo para esa plataforma, e ilustra cómo funciona el proceso.

Por último, cuando su solución identifique una acción que viole una de las políticas que ha establecido, implementará controles de seguridad de DLP con el fin de evitar la pérdida de datos. Por ejemplo, si su solución de DLP detecta un archivo sensible adjunto en un correo electrónico, puede hacer que aparezca una advertencia al remitente, o impedir que este sea enviado por completo. Si se están extrayendo datos sensibles a través de la red, la solución de DLP podría enviar una alerta a un administrador o simplemente cortar el acceso a esta.

Métricas de DLP

Como señalamos anteriormente, parte de la razón del aumento del interés corporativo en DLP es el creciente poder de los CISOs, y si hay algo que le gusta a un CISO son los números duros que demuestran cómo está funcionando una nueva iniciativa de seguridad. La seguridad es notoriamente difícil de cuantificar -¿cómo se cuentan los perros que no ladran? -, pero la Plataforma CISO ofrece algunas potenciales métricas que puede usar para evaluar el éxito de su despliegue de DLP:

  • Número de excepciones de políticas otorgadas: Demasiadas pueden indicar que usted ha establecido una política demasiado estricta como para que sus trabajadores hagan su trabajo adecuadamente -o que estos están trabajando en torno a sus políticas de DLP de manera insegura.
  • Número de falsos positivos generados: Idealmente, este número debería ser cero, aunque en la práctica eso es difícil de lograr. Sin embargo, es un buen indicador de cuán bien construidas están sus políticas y procedimientos, y cuán buen trabajo está haciendo su solución al analizar sus datos.
  • Tiempo medio de respuesta a las alertas: Este es un buen indicador de cuán bien integrado está su sistema de DLP con su postura general de seguridad y si su equipo de seguridad toma las alertas de DLP con seriedad.
  • Número de dispositivos no administrados en la red, número de bases de datos a las que aún no se les han tomado las huellas digitales y número de bases de datos y residentes de datos que todavía no han sido clasificados: Si alguno de estos números es superior a cero, su despliegue aún no está completo. Si algunos de estos sistemas no catalogados han sido agregados a su red después de implementar su solución de DLP, eso es una señal de que sus procedimientos para construir su infraestructura no incluyen la integración con sus políticas de DLP.

Productos de DLP

Si bien un catálogo completo de software de DLP está fuera del alcance de este artículo, aquí se presentan algunas de las soluciones más destacadas, con algunas notas de lo que hace que cada una sea especial:

  • Check Point: La funcionalidad de DLP incorporada en una arquitectura de puerta de enlace/gateway más grande; puede verificar el tráfico cifrado con TLS a través de los gateways de la red.
  • Digital Guardian: Una plataforma basada en la nube que incluye agentes endpoint y dispositivos de red para el monitoreo de la infraestructura de la red local.
  • McAfee: Incluye las capacidades de análisis forense de la compañía.
  • Forcepoint: Integra la comprobación del cumplimiento de la normativa y la presentación de informes.
  • Symantec: Tiene módulos de DLP separados para la nube, el correo electrónico, la web, los puntos finales y el almacenamiento, que pueden funcionar juntos o como herramientas individuales.

Para obtener más información sobre las soluciones de DLP, Gartner tiene una guía de mercado de la categoría de productos, así como consejos para construir un programa de DLP efectivo.