05
julio
2019

Data Loss Prevention — DLP

Las empresas, por norma general, guardan su información confidencial con mucho cuidado, ya que de esta suele depender la continuidad del negocio y de la propia organización. Para proteger un recurso tan valioso, se suelen utilizar múltiples herramientas que intentan evitar que personas ajenas a la organización, o aquellas que no tengan permiso puedan acceder a ella.

No obstante, en varias ocasiones, la fuga de información se produce a través de los propios trabajadores de la entidad, bien sea de forma intencional: para dañar la imagen de la organización o para vender la información en el mercado; o bien de manera no intencionada, como podría ser por un descuido o un uso inseguro de las tecnologías.

Para reducir este riesgo se pueden implementar, por ejemplo, la utilización de roles o permisos para que cada usuario únicamente acceda a los recursos que sean necesarios para su desempeño laboral; sin embargo, la gran mayoría de los controles sobre la información, no contemplan acciones dirigidas a supervisar la copia de datos a dispositivos externos como memorias USB o discos duros, la subida de información a servicios en la nube, o su envío por una aplicación de mensajería electrónica.

Para evitar estas y otras las acciones, las organizaciones con intereses en la protección de sus datos ante fugas, implementan soluciones denominadas DLP (Data Loss Prevention).

¿Qué es y cómo funciona DLP?

La Prevención de Pérdida de Datos (DLP) consiste en un sistema que se resume principalmente en tres pasos: detectar en qué lugar de los entornos móviles, la nube y las instalaciones de una organización están almacenados los datos, supervisar cómo se utilizan dichos datos por los empleados dentro y fuera de la red corporativa, y, por último, protegerlos para evitar el robo y la pérdida.

Las soluciones DLP brindan la capacidad de detectar, supervisar y proteger los datos confidenciales en cualquier ubicación: el lugar de trabajo, durante los desplazamientos físicos o en la nube. Proporciona una visibilidad y un control completos de todos los canales en los que puede producirse la pérdida de datos.

DLP detecta y protege la información confidencial de una organización:

  • Escaneando datos en movimiento, en uso y en reposo.
  • Identificando datos que requieren protección.
  • Tomando medidas correctivas: alerta, solicitudes, cuarentena, bloqueo, encriptación.
  • Proporcionando informes para cumplimiento, auditoría, análisis forense y propósitos de respuesta a incidentes.

Una solución DLP tiene como finalidad prevenir las fugas de información cuyo origen está dentro de la propia organización, de una manera activa, por lo que suelen incorporar inteligencia artificial que les permite aprender sobre el tipo de documentos confidenciales que se utilizan y qué acciones llevan a cabo los usuarios sobre los mismos, para volverse cada vez más efectivas en la prevención de fugas de información.

Los sistemas DLP monitorizan la red de la organización para evitar las fugas de información antes de que se lleguen a producir. Una vez que detectan una posibilidad, alertan al usuario para que sea consciente de que la acción que está realizando atenta contra la confidencialidad de la entidad o contra una política de seguridad que vela por ella. Estas acciones persiguen concienciar a los miembros de la organización.

La monitorización de recursos por parte de un sistema DLP no se limita exclusivamente a la red interna de la organización, ya que estas herramientas son capaces de extender su supervisión a dispositivos móviles. Además, también son capaces de comprobar a qué correos corporativos se ha accedido, y tienen capacidad de comprobar y detener la transmisión de datos confidenciales desde la organización a aplicaciones de almacenamiento en la nube o redes sociales.

Otras funciones destacables de estas soluciones son:

  • Las políticas creadas se pueden aplicar de diferente manera: por segmento de red, puerta de enlace, grupo de usuarios, entre otras. Cada organización podrá utilizar la que mejor se adapte a sus necesidades.
  • La administración de estas soluciones se encuentra centralizada, lo que permite una gestión más sencilla y ágil.
  • Permiten la inspección de múltiples tipos de archivos y protocolos, independientemente de que la información se transmita cifrada o no.
  • Pueden añadir marcas de agua, tanto visibles como invisibles a los archivos, para que en caso de fuga de información se pueda identificar a su responsable.

Dada la variedad de matices de los datos dentro de una organización, por lo general las soluciones DLP los clasifican en función de cómo se presentan, para determinar entonces como podrán ser protegidos. En este sentido, los datos podrán ser:

  • Datos en descanso (data at rest): se refiere a datos almacenados en cualquier medio y con los cuales no existe interacción alguna con el usuario en un momento específico. La protección se brinda a los dispositivos en los que residen para que no sean copiados, movidos o eliminados, salvo en aquellos casos en que se cumplan las reglas que expresamente lo permitan.
  • Datos en tránsito (data in transit): flujo de datos a través de cualquier medio. La manera más común de encontrar datos en tránsito es en la red de cualquier corporación.
  • Datos en uso (data in use): son los datos que están siendo accedidos o manipulados por un usuario o programa. Esto implica colocar la información en memoria volátil, tipo RAM, o que alguna aplicación o proceso esté interactuando con los datos. Como ejemplo para identificar esta clasificación, es posible que un dato en un dispositivo USB está “en reposo” a menos que sea accedido para su lectura; una vez invocado el dato para lectura cambia de “en reposo” a “en uso”.

Tipos de soluciones DPL

Existen diferentes tipos de soluciones DLP, cada una orientada a un propósito específico, pero con el mismo objetivo: prevenir la pérdida de datos. Entre ellas son destacadas aquellas conocidas como:

Network DLP:

Las soluciones de Prevención de Pérdida de Datos de Red, se encuentran disponibles en las plataformas de software o hardware, integrada a los puntos de salida de datos de la red corporativa. Una vez instalada, la solución monitorea, rastrea y genera informes de todos los datos de tráfico en la red.

Este es el tipo de DLP ideal para explorar todo el contenido que pasa por los puertos y protocolos de la organización, pues proporciona informes importantes que ayudan a garantizar la seguridad de la información, tales como: qué datos están siendo utilizados, por quién están siendo accedidos y hacia dónde van. La información recopilada se guarda en una base de datos que se puede administrar fácilmente.

Storage DLP:

Las soluciones de Prevención de Pérdida de Datos de Almacenamiento, son un sistema que permite ver archivos confidenciales almacenados y compartidos por quienes tienen acceso a la red corporativa, de tal forma que permite la identificación de puntos sensibles y con ello prevenir la filtración de información.

Generalmente, suele emplearse como una buena solución para controlar datos almacenados en la nube, de forma tal que se identifiquen cuáles son los datos que se almacenan y comparten, así como cuanta de esta información se considera sigilosas y pueden estar en riesgo de fugas.

Endpoint DLP

Las soluciones de Prevención de Pérdida de Datos de Estaciones o Puntos Finales son aquellas que se instalan en todas las estaciones de trabajo y dispositivos utilizados por los empleados de la empresa para supervisar e impedir la salida de datos sensibles por dispositivos extraíbles, aplicaciones para compartir o áreas de transferencia.

Con la proliferación de dispositivos de almacenamiento externo como memorias USB o discos duros portátiles, por ejemplo, el riesgo de seguridad por filtración de datos de forma accidental o intencional aumenta, y para evitarlo, este tipo de solución colabora para prevenir la pérdida de datos a través de dispositivos extraíbles.

Implementar una solución DLP

Antes de desplegar una solución de DLP, es imprescindible realizar primero trabajos consultivos, que pueden ser considerados como parte del proceso. Una buena implementación de DLP debe estar precedida, por lo menos, de dos actividades previas que son complementarias entre sí: la clasificación de la información y la delimitación de roles y responsabilidades.

Clasificación de información:

Ninguna solución de DLP podrá aplicar una política de prevención o fuga de información si antes no se alimenta con una categorización acorde con las necesidades de la organización.

Hay soluciones que permiten hacer descubrimiento de información en activos críticos como bases de datos; sin embargo, los patrones a buscar pueden o no ser estándares, y por ello, las reglas del negocio tienen que definir lo que la solución DLP deberá encontrar para filtrar.

Una configuración incorrecta en este sentido tendrá dos posibles fallos: la tecnología bloquea acciones legítimas (afectando la operación de la empresa), o bien, la tecnología posibilita una fuga de información, haciendo inútil el esfuerzo de las implementaciones DLP.

La clasificación de información no es realizada necesariamente por personal técnico. Este trabajo debe ser conducido por personal con conocimiento del negocio y que pueda traducir los términos de negocio a términos técnicos para implementar las soluciones adecuadas.

Roles y responsabilidades delimitados y documentados:

La clasificación de la información no servirá de mucho en tanto no estén bien delimitados los roles y responsabilidades, al menos para determinar al personal que puede manipular la información.

Las reglas deben ser acatadas por todos los usuarios, y la solución DLP deberá actuar en concordancia con las necesidades que cada rol tiene definido en la organización. En otras palabras, la solución DLP será la habilitadora de las reglas definidas para cada rol, actuando en consecuencia y conforme a las necesidades de operación.

La gente que define los roles en una organización no es técnica en sistemas, pero cada gerente o director en una organización debe saber qué responsabilidades, e incluso derechos, tiene el personal a su cargo, y cómo deben interactuar sus subordinados con la información que manejan.

Para lograr implementar exitosamente una solución DPL por la complejidad de las organizaciones, suele conformarse un equipo encargado de identificar la información crítica de la entidad, entender la visión global del negocio, medir el riesgo en diferentes aspectos, y transformar este conocimiento del entorno en necesidades y proyectos técnicos para evitar la pérdida de datos en ambiente corporativo.