¿Qué es la prevención de pérdida de datos (DLP) y cómo puede ayudar a su negocio?

¿Qué es la DLP y por qué es necesaria para las organizaciones?

Durante más de 100 años, se ha producido un progresivo desplazamiento tecnológico en términos del almacenamiento y el acceso a los datos. Este desplazamiento se remonta a cuando la información estaba en formato impreso y se almacenaba en archivos y carpetas físicas, a cuando la información se digitalizó y los datos comenzaron a almacenarse en archivos y carpetas digitales en discos duros y, más recientemente, a la subida y almacenamiento de los datos en la nube. Este avance en el almacenamiento y la accesibilidad de los datos suele generar una comunicación más ágil y tiene las siguientes ventajas para los usuarios finales:

• Los datos digitales ocupan menos espacio físico.
• La publicación y distribución de documentos digitales cuestan menos que las de los físicos.
• Los documentos digitales suelen ser más respetuosos con el medioambiente que los impresos.
• Con las precauciones apropiadas, los usuarios finales pueden determinar qué datos o archivos deben estar accesibles en la nube para después acceder a ellos en caso necesario desde cualquier dispositivo.

Las ventajas de usar las nuevas tecnologías, como el almacenamiento en la nube, también implican desafíos para mantener la seguridad y la integridad de los datos. Estos desafíos incluyen tanto evitar las pérdidas y alteraciones de los datos como los ataques cibernéticos, las fugas de datos y otras amenazas digitales similares.

Egress Software Technologies asegura que durante 2020, «el 95 % de las organizaciones afirma haber sufrido [algún tipo de] pérdida de datos».¹ El informe apunta que los datos corren mayor riesgo en el correo electrónico y señala las siguientes estadísticas sobre datos vulnerables, correos electrónicos, pérdidas e infracciones de datos:

• El 85 % de los empleados envían más correos electrónicos.
• El 83 % de las organizaciones [están] experimentando infracciones de datos por correo electrónico.
• El 59 % de los responsables de TI informa de un aumento de la pérdida de datos relacionado con la pandemia.
• El 68 % de los responsables de TI cree que una futura fuerza laboral remota y flexible hará que sea más difícil impedir las infracciones de datos por correo electrónico.¹

Las organizaciones aplican prácticas, estrategias y técnicas de prevención de pérdida de datos (DLP) para impedir o mitigar estas amenazas y ayudar a garantizar la protección de sus datos. Proofpoint señala que «las organizaciones están adoptando DLP debido a las amenazas internas y las estrictas leyes de privacidad de los datos, muchas de las cuales tienen rigurosos requisitos de protección de los datos o el acceso a ellos»² y para permitir la «monitorización y el control de las actividades de los terminales».²

Techopedia define DLP como «la identificación y monitorización de los datos confidenciales para garantizar que solo puedan acceder a ellos los usuarios autorizados y que existan protecciones contra las fugas de datos».³ Esta definición señala que «la adopción de DLP en 2006 [fue] desencadenada por las amenazas internas [y] leyes de privacidad más estrictas».³ DLP, una forma de mantener la seguridad de los datos importantes o confidenciales, ayuda a evitar que usuarios no autorizados accedan a los datos o que crucen el dispositivo de pasarela perimetral. Las herramientas de DLP ayudan a monitorizar y gestionar actividades y a realizar acciones como el filtrado de flujos de datos y la protección de datos dinámicos.

Proofpoint ofrece una definición simplificada de DLP, señalando que «se asegura de que los usuarios no envíen información sensible o crítica fuera de la red corporativa».² La definición continúa, afirmando que DLP «describe los productos de software que ayudan a un administrador de red a controlar los datos que los usuarios pueden transferir».²

¿Cuáles son las tres áreas en las que DLP proporciona soporte?

Digital Guardian señala que DLP ayuda a las organizaciones al proporcionar soporte en las tres áreas siguientes:

1. Protección de la información personal [y] conformidad
2. Protección de la propiedad intelectual (PI)
3. Visibilidad de los datos⁴

DLP proporciona el siguiente soporte adicional:

• Amenazas de insiders
• Seguridad de los datos de Office 365
• Análisis del comportamiento de usuarios y entidades
• Cualquier otra amenaza emergente

¿Cómo puede DLP ayudar con la protección de la información personal y la conformidad?

Las organizaciones modernas gestionan a menudo la información personal de sus usuarios. Estos datos personales pueden incluir de todo, desde sus direcciones de correo electrónico hasta información de identificación personal (PII) de sus usuarios, información sanitaria protegida (PHI) y otra información financiera, como tarjetas de crédito o información de cuentas de pago en línea. Esta información es sensible y podría causar daños reales si se filtrara. Para garantizar que estos datos se mantengan seguros, estas organizaciones deben respetar las normas de conformidad, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Reglamento General de Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA). Digital Guardian señala que DLP ayuda a las organizaciones a «identificar, clasificar y etiquetar datos confidenciales y a monitorizar las actividades y los eventos relacionados con los datos [de sus usuarios] [y a] proporcionar los detalles necesarios para realizar las auditorías de conformidad».⁴

¿Cómo puede DLP ayudar con la protección de la propiedad intelectual?

De manera similar a la PII, las organizaciones que tratan datos que incluyen propiedad intelectual, secretos comerciales y de estado deben aplicar ciertas políticas y controles para garantizar que estos datos permanezcan protegidos contra cualquier acceso no deseado. CSO señala que la DLP de la propiedad intelectual «tiene como objetivo impedir el robo de los datos mediante el espionaje corporativo o su involuntaria exposición en línea».⁵ Las herramientas de DLP para la protección de la propiedad intelectual pueden «usar la clasificación basada en el contexto [para] clasificar la propiedad intelectual en formas estructuradas y no estructuradas»⁵ e impedir cualquier otra exfiltración no deseada de estos datos.

¿Cómo puede DLP ayudar con la visibilidad de los datos?

Antes de que pueda desarrollar una estrategia para ayudar a impedir la pérdida de datos y el acceso sin autorización a ellos, es mejor identificar primero dónde se almacenan sus datos, con qué frecuencia se mueven y adónde se mueven. Las herramientas de DLP para la visibilidad de los datos le ayudan a conocer mejor su infraestructura de datos al proporcionar información sobre cómo los usuarios finales interactúan con los datos de su organización.

¿Cómo funciona DLP y qué son las soluciones de DLP?

Las prácticas, estrategias y técnicas de DLP intentan responder a las preguntas de ¿cómo podemos identificar los datos confidenciales que necesitan protección, ubicar las vulnerabilidades de los datos, resolver los problemas de datos con rapidez una vez identificados y, en última instancia, impedir la pérdida de datos? Hay tres soluciones de DLP diferentes y cada una intenta responder a esta pregunta de manera diferente. A continuación se incluyen cuatro ejemplos de soluciones de DLP:

• DLP de red
• DLP de almacenamiento
• DLP de punto final
• DLP empresarial

Estas soluciones de DLP a menudo usan programas de agente para escanear o clasificar los datos y, a continuación, localizar los datos confidenciales o en riesgo.

¿Qué es la DLP de red?

En su artículo, «DLP: What is it and how does it work?», OSTEC señala que la DLP de red se «implementa en las plataformas de software [y] hardware [y está] integrado con los elementos de datos en la red corporativa».⁶ Tras su instalación, la herramienta DLP de red se encarga de proporcionar información extensa sobre todos los datos que viajan a través de la red. Para generar esta información, la solución monitoriza, rastrea, escanea e informa sobre el contenido que transita a través de los protocolos y puertos de la red. Estos informes facilitan más información sobre los datos de su red y ayudan a determinar qué datos se utilizan, quién los utiliza, cómo se accede a ellos y hacia dónde viajan. 

¿Qué es la DLP de almacenamiento?

La DLP de almacenamiento ayuda a controlar el flujo de datos, especialmente los almacenados en la nube, y ayuda al equipo de soporte de TI a obtener más información sobre aspectos relacionados con el uso de los datos, como qué datos se almacenan y comparten, cuántos datos se consideran confidenciales y cuáles son vulnerables. OSTEC afirma que las soluciones de DLP de almacenamiento ofrecen visibilidad sobre los «archivos confidenciales almacenados y compartidos por quienes acceden a la red corporativa».⁶ Esta información puede ser analizada y utilizada para evaluar los puntos vulnerables de una red y ofrece consejos para evitar filtraciones de datos.

¿Qué es la DLP de punto final?

Aunque actualmente cada vez se accede a más datos a través de la nube, siempre se utilizará el almacenamiento externo, aunque tenga una capacidad más limitada. Las herramientas, como discos duros externos, unidades flash o almacenamiento externo similar, generalmente ofrecen un medio más rápido para transferir datos que una transferencia de datos exclusivamente en línea. Las herramientas de almacenamiento externo como estas supondrán algunos riesgos de seguridad, normalmente en forma de pérdida o filtración de datos. Las herramientas de DLP de punto final son la mejor solución para estos problemas. OSTEC afirma que una vez están «instaladas en todas las estaciones de trabajo y dispositivos que utilizan los empleados de la compañía, [estas herramientas se utilizan] para monitorizar e impedir la salida de datos confidenciales mediante dispositivos extraíbles, aplicaciones de intercambio o portapapeles».⁶

¿Qué son la DLP empresarial y la DLP integrada?

Geekflare desglosa los tipos de datos protegidos por las soluciones DLP y señala que los datos se componen de los tres estados siguientes:

• Datos en uso. Incluye los siguientes ejemplos de datos:
  • Datos activos
  • Datos que residen en la RAM
  • Memoria caché
  • Registros de la CPU
• Datos en movimiento. Datos que viajan a través de uno de los siguientes tipos de red:
  • Red interna y segura
  • Red pública no protegida
• Datos inactivos. Al contrario que los datos activos, este grupo se refiere a los datos en estado inactivo e incluye los siguiente ejemplos:
  • Datos almacenados en una base de datos
  • Datos almacenados en un sistema de archivos
  • Datos almacenados en una infraestructura de almacenamiento de copia de seguridad⁷

CSO señala que las soluciones DLP empresariales «tienen como objetivo proteger los datos en todos estos estados».⁵ Geekflare se refiere a la DLP empresarial como una solución que cubre «todas las posibles causas de filtración».⁷ Por el contrario, las soluciones DLP integradas se centran en un «protocolo único».⁷ CSO señala que la DLP integrada también puede «integrarse en una única herramienta de finalidad específica».⁵

¿Qué aspectos de la solución DLP necesita su organización?

Como existen muchos tipos de soluciones DLP diferentes, lo que funciona mejor para una organización podría no ser la mejor opción para otra. Cada organización debe tener en cuenta los siguientes factores al determinar su cobertura de DLP:

• Tamaño
• Presupuesto
• Tipos de datos, incluido el rango de sensibilidad
• Infraestructura de red
• Varios requisitos técnicos

Cuando determine qué cobertura u opción similar es la mejor para su organización, su evaluación debe alcanzar un equilibrio óptimo entre los siguientes aspectos de la solución DLP:

• Cobertura completa
• Consola única de gestión
• Gestión de incidentes para conformidad
• Exactitud del método de detección⁷

¿Qué es la cobertura completa?

Este tipo ofrece una completa cobertura de DLP. Con esta opción, los componentes de DLP brindan cobertura a toda la pasarela de red y monitorizan todo el tráfico saliente. Esta cobertura DLP permite impedir fugas de datos por correo electrónico, web y de tráfico mediante el protocolo de transferencia de archivos (FTP). También proporciona supervisión y ayuda a impedir la pérdida de datos de la organización en su almacenamiento de datos, terminales y datos activos.

¿Qué es una consola única de gestión?

Geekflare señala que una solución DLP requiere «invertir tiempo y esfuerzo en la configuración [y] el mantenimiento del sistema, la creación [y] la gestión de directivas, informes, la gestión [y] selección de incidentes, la detección [y] mitigación temprana de riesgos y la correlación de eventos».⁷ La cobertura de la consola única de gestión es más apropiada para atender estas demandas y reducir el riesgo.

¿Qué es la gestión de incidentes para conformidad?

La gestión de incidentes para conformidad es un aspecto de la solución DLP que establece qué acciones deben tomarse inmediatamente después de que se produzca una pérdida de datos. Estos pasos no solo permiten a su organización evitar multas o problemas legales, sino que también ayuda con la recuperación de datos, la recuperación tras desastres y permitir a su organización regresar lo antes posible al estado en que se encontraba antes de la incidencia disruptiva.

¿Qué es la la exactitud del método de detección?

La exactitud del método de detección es el aspecto de la solución DLP que ayuda a diferenciar las soluciones que funcionan mejor para su organización de las que no. Las tecnologías DLP a menudo se basan en un conjunto limitado de métodos de detección para identificar datos de PII, PHI u otros datos confidenciales similares.

La coincidencia de patrones es el método de detección más común. Techopedia define la coincidencia de patrones [para informática] como «la verificación y localización de secuencias específicas de datos de algunos patrones entre datos en bruto o una secuencia de token».⁸ A pesar de lo común de su uso, la coincidencia de patrones puede resultar inexacta y generar largas colas de incidentes debido a los falsos positivos. Geekflare afirma que las mejores tecnologías DLP «deberían agregar otros métodos de detección a la tradicional coincidencia de patrones [para] mejorar la exactitud».⁷

¿Por qué es difícil evitar la pérdida de datos?

La respuesta sencilla a la pregunta ¿por qué es difícil evitar la pérdida de datos? es porque la pérdida de datos tiene su origen en los errores humanos. Los accidentes, negligencias o acciones maliciosas que realicen los empleados o usuarios finales pueden ocasionar la pérdida de datos. Considere lo fácil que resulta adjuntar el archivo incorrecto o enviar secretos de PII o comerciales a la persona equivocada con un error de pulsación.

Como se basa en el error humano, encontrar una solución práctica y fiable para evitar una infracción de datos no resulta una tarea sencilla para ninguna organización. La pandemia de la COVID-19 y el aumento global del uso del correo electrónico han provocado que la amenaza de infracciones de datos por correo electrónico desencadenadas por humanos constituya un riesgo aún mayor. La DLP, y específicamente la DLP del correo electrónico, se ha convertido en una herramienta esencial para evitar o, al menos, mitigar este riesgo.

¿Cuáles son las prácticas de DLP comunes?

En su artículo Email DLP: Everything you need to know, Egress señala que «tradicionalmente, el software DLP de correo electrónico [usa] reglas estáticas para impedir que los usuarios envíen datos sensibles o confidenciales por correo electrónico, [lo que ayuda a proteger ] a las organizaciones contra la exposición accidental de datos confidenciales».⁹ Las herramientas de seguridad nativa junto con herramientas de DLP estática es otra práctica común para DLP. El equipo de seguridad TI u otros responsables de TI similares se encargan con frecuencia de establecer las reglas de DLP estática para sus organizaciones.

¿Cómo funcionan las reglas de DLP estáticas y cuáles son sus ventajas?

Cuando se implementan correctamente, las rígidas reglas de DLP estática impiden que se envíen por correo electrónico datos de PII u otros datos confidenciales similares. La tecnología de DLP estática tradicional evita que esos mismos datos de PII se envíen a un destinatario no autorizado. Egress señala que, cuando un usuario final intenta enviar un correo electrónico, «el contenido de los mensajes y archivos se escanea de acuerdo con las reglas vigentes».¹ Después del escaneo, «si un correo electrónico viola los criterios seleccionados, [pueden tomarse las siguiente acciones]:

• El correo puede quedar bloqueado o en cuarentena
• Puede solicitarse al remitente que modifique su contenido o verifique los destinatarios
• El cifrado puede ser obligatorio¹
  

¿Cuáles son los problemas con el uso de las reglas de DLP estática?

Uno de los grandes problemas con la tecnología DLP estática y las herramientas de seguridad nativa es que «no son capaces de detectar incidentes basados en el contexto, como que un empleado seleccione al destinatario incorrecto, adjunte el archivo incorrecto [y así sucesivamente]».¹ Egress prosigue afirmando que «el 79 % de los directores de TI encuestados han desplegado tecnología DLP estática del correo electrónico [para] mitigar el riesgo, «pero [asegura que no es] ninguna panacea para evitar infracciones y el 79 % ha experimentado dificultades derivadas de [su] uso».¹

El problema más frecuente con las reglas de DLP estática es su inflexibilidad. Son estáticas y, por lo tanto, inflexibles al cambio. Egress señala que los responsables de TI tienen mucho trabajo relacionado con «mantener las reglas de DLP estática para garantizar la adaptación de [la tecnología DLP] para abordar los riesgos emergentes».¹ El ejemplo más destacado de este hecho se observa en cómo «el 37% de los encuestados aseguraron que tuvieron que modificar las reglas para poder utilizar [la tecnología], poniendo la productividad por delante de la seguridad en un intento de aumentar la eficiencia de los empleados».¹

Existe un equilibrio inherente que los responsables de TI deben mantener. Implica crear un entorno seguro que también sea fácil de usar, mientras respalda la productividad y mantiene la satisfacción de sus usuarios finales internos y externos.

En la actualidad, las reglas de DLP estática del correo electrónico se ven socavadas por una falta general de confianza en ellas. «El 74 % de los encuestados [piensa] que las herramientas de DLP estática del correo electrónico que utilizan tienen menos del 75 % de efectividad».¹ Quizás más preocupante, otros responsables de TI «admiten que al menos el 25 % de los incidentes de pérdida de datos no se detectarán [y] el 42 % del total afirma que las herramientas de DLP vigentes no detectarán la mitad de todos los incidentes».¹ Esta profunda falta de confianza demuestra que los responsables de TI conocen las limitaciones de la DLP estática y cómo tiene dificultades para mantenerse al día del comportamiento humano erróneo. Si bien el entrenamiento y la formación continua pueden aumentar el conocimiento de los usuarios y qué acciones realizan o no, y ayuda a reducir la probabilidad de que se produzca una pérdida de datos, el error humano nunca puede eliminarse por completo.

¿Cuál es una solución para los problemas asociados con las reglas de DLP estática?

La DLP ineligente puede ofrecer una solución a los problemas que sufren las reglas de DLP estática. Mientras que la DLP estática se muestra incapaz de detectar incidentes contextuales, la DLP inteligente utiliza el aprendizaje automático contextual y basa sus procesos en un exhaustivo análisis de los patrones de comportamiento de sus usuarios. Estos análisis se actualizan constantemente e incorporan la relación de cada usuario con los remitentes y destinatarios de un correo electrónico. Gracias a este cálculo minucioso, la DLP inteligente puede identificar mejor los comportamientos anormales o equivocados que podrían ocasionar pérdidas de datos o violaciones de seguridad. Al detectar el riesgo con rapidez, hay tiempo para avisar al usuario y darle la oportunidad de corregir su error antes de que envíe el correo electrónico.

«La DLP inteligente puede aplicar automáticamente el nivel de cifrado adecuado en función del contenido del correo electrónico y los archivos adjuntos y del riesgo asociado con el dominio del destinatario».¹ Al eliminar la necesidad de que los responsables de TI tomen decisiones sobre lo que consideran un nivel de cifrado adecuado, la automatización también elimina del proceso la posibilidad de errores humanos.

Protección de datos con copia de seguridad como servicio

La protección de datos con copia de seguridad como servicio (BaaS) es una posible solución para los deseos y las necesidades de DLP de una organización. Proporciona infraestructura y software de copia de seguridad, administración gestionada y varios otros componentes, y puede implementarse en cualquier combinación de los siguientes entornos:

• Centros de datos en las instalaciones
• Nube privada
• Cloud público
• Nube híbrida

Una solución de protección de datos de extremo a extremo totalmente administrada con BaaS incluye los siguientes componentes y ventajas:

• Nube híbrida y multinube. Este componente admite numerosas topologías de despliegue y puede consistir en una combinación de nubes privadas o locales y diversas nubes públicas.
• Restauración instantánea. Este componente ayuda a los usuarios finales a reducir el tiempo medio necesario para restaurar los datos. En su lugar, pueden acceder a la copia de seguridad y ejecutar sus cargas de trabajo directamente mientras las migran al entorno de producción.
• Segunda copia externa. Una segunda copia externa de sus datos ayuda a garantizar su ciberresiliencia. En el caso de una pérdida total de la sede, esta segunda copia externa acelera notablemente el proceso de recuperación y permite alcanzar su objetivo de tiempo de recuperación (RTO) con mucha más facilidad.
• Amplio soporte de la carga de trabajo. Este componente admite varios tipos de cargas de trabajo diferentes, como MongoDB y otras bases de datos de última generación, además de SAP y otras aplicaciones tradicionales de grado empresarial.
• Portal web de autoservicio. Este componente proporciona a los usuarios finales interfaces de programación de aplicaciones (API) para su integración con las herramientas de automatización del usuario final y un portal web de autoservicio personalizado. El portal web agiliza el proceso, el envío de solicitudes de provisionamiento, la introducción de cambios en el servicio y la visualización de informes.
• Almacenamiento de objetos en la nube. Este componente proporciona almacenamiento de alta resiliencia a un coste reducido para las copias de seguridad que deban conservarse a largo plazo. También mantiene copias operativas con un tiempo de conservación inferior que se almacenan en un disco más rápido, lo que permite restauraciones más rápidas.

Recursos

1. Egress Data Loss Prevention Report 2021, Egress, 2021.
2. Data Loss Prevention (DLP), Proofpoint.
3. Data Loss Prevention (DLP), Techopedia.
4. What is Data Loss Prevention (DLP)? A Definition of Data Loss Prevention, Digital Guardian, 1 de octubre de 2020.
5. What is DLP? How data loss prevention software works and why you need it, CSO, 3 de julio de 2020.
6. DLP: What is it and how does it work?, OSTEC, 26 de agosto de 2020.
7. 6 Best Data Loss Prevention Solutions that could save You Millions, Geekflare, 3 de enero de 2020.
8. Pattern Matching, Techopedia.
9. Email DLP: Everything you need to know, Egress Software Technologies Ltd.