¿Qué es DLP?

La prevención de la pérdida de datos (DLP) es un conjunto de tecnologías y procesos que supervisan e inspeccionan los datos en una red corporativa para evitar la exfiltración de datos críticos como resultado de ataques cibernéticos, como el phishing o las amenazas internas maliciosas.

Nuestra era digital produce grandes volúmenes de datos confidenciales, como información de identificación personal (PII) sobre clientes y empleados, información de salud protegida (PHI), datos financieros, incluidos números de tarjetas de crédito, y propiedad intelectual. Estos datos son la esencia de una organización, por lo que es fundamental aplicar una sólida seguridad para los mismos.

En otra época, esta información confidencial se imprimía en papel y se guardaba en un archivador cerrado con llave. Ahora, estos ceros y unos corren desde un centro de datos a un proveedor de almacenamiento en la nube y hasta el dispositivo final del usuario, más vulnerables que nunca. Para protegerlos, las organizaciones deben aplicar estrategias integrales de prevención de pérdida de datos (DLP).

Una herramienta de DLP siempre debe formar parte de una estrategia de DLP para toda la organización que reúna a los líderes empresariales y de TI para identificar lo que constituye el término "datos confidenciales" para la organización, acordar cómo deben usarse estos datos y delinear cuáles son las características de una infracción. Estas pautas de seguridad de la información, incluida la clasificación de datos, la privacidad de los datos, la información de cumplimiento y los procedimientos de reparación se pueden traducir en la política de DLP.

Aunque muchas organizaciones tienen un incentivo para desplegar DLP con el fin de cumplir con las regulaciones (por ejemplo, RGPD, HIPAA, PCI DSS) y evitar así multas o restricciones a sus operaciones comerciales, las infracciones de datos también pueden exponer los datos personales de los usuarios finales, poniendo a una organización que ha sufrido una infracción en riesgo de perder clientes, incurrir en daños a la marca o incluso enfrentarse a consecuencias legales. Con una política de DLP bien definida reforzada con tecnología de soporte bien administrada, las organizaciones pueden reducir significativamente estos riesgos.

 

¿Cómo funciona la DLP?

Sin entrar en detalles, la tecnología DLP identifica los datos confidenciales que necesitan protección y, posteriormente, los protege. En términos generales, los datos pueden estar en uno de estos tres estados en un momento dado: en uso, en movimiento o en reposo. Una solución DLP puede estar diseñada para identificar datos en todos o solo en alguno de estos estados. Para marcar los datos como confidenciales, los programas de agente de DLP pueden utilizar numerosas técnicas diferentes, como:

  • Coincidencia basada en reglas o expresiones regulares: esta técnica común identifica los datos confidenciales basándose en reglas preescritas (por ejemplo, los números de 16 dígitos suelen ser números de tarjetas de crédito). Debido a la alta tasa de falsos positivos, la coincidencia basada en reglas suele ser solo el primer paso antes de una inspección más profunda.
  • Coincidencia exacta de datos (toma de huellas dactilares de la base de datos): esta técnica identifica los datos que coinciden exactamente con otros datos confidenciales de los que el agente ha tomado las huellas dactilares, generalmente de una base de datos proporcionada.
  • Coincidencia exacta de archivos: esta técnica funciona esencialmente como la coincidencia exacta de datos, excepto que identifica el hash de archivos coincidentes sin analizar el contenido del archivo.
  • Coincidencia parcial de documentos: esta técnica identifica los datos confidenciales cotejándolos con patrones o plantillas establecidos (por ejemplo, el formato de un formulario que rellena cada paciente en un centro de atención urgente).
  • Aprendizaje automático, análisis estadístico, etc.:  esta familia de técnicas se basa en alimentar un modelo de aprendizaje con un gran volumen de datos para "entrenarlo" con el fin de que reconozca cuándo es probable que una cadena de datos sea confidencial. Esto es particularmente útil para identificar datos no estructurados.
  • Reglas personalizadas: muchas organizaciones tienen tipos únicos de datos que identificar y proteger y la mayoría de las soluciones modernas de DLP les permiten crear sus propias reglas para que se ejecuten junto con las demás.

Una vez que se identifican los datos confidenciales, depende de la política de DLP de su organización determinar cómo se protegen los datos. Por otra parte, cómo quiere protegerla tiene mucho que ver con el por qué quiere protegerla.

 

Principales casos de uso de la DLP

Por su nombre, el principal caso de uso de la DLP es claramente evidente, la prevención de la pérdida de datos, aunque existen distintos tipos de pérdida de datos a tener en cuenta: accidental o deliberada (es decir, maliciosa). Además, hay varios tipos de datos, como la propiedad intelectual (PI) y los datos regulados/personales (que incluyen los datos personales de empleados y clientes, la información sanitaria, los números de tarjetas de crédito y de la Seguridad Social, etc.). Como ya hemos indicado, proteger estos datos protege a su organización frente a otras formas de pérdida (de clientes, de ingresos, de reputación) y le ayuda a acatar las normativas de cumplimiento legal y del sector. Por último, proteger estos datos requiere naturalmente poder identificar qué son y dónde están, lo que constituye otro caso de uso clave: la visibilidad.

En resumen, los principales casos de uso de una solución DLP son:

  • Proteger la IP y los datos confidenciales/regulados
  • Cumplir con las normativas
  • Obtener visibilidad de sus datos

 

DLP integrada y DLP empresarial

Las soluciones DLP actuales han alcanzado un alto nivel de madurez. No obstante, debido a que el mercado ha observado muy poca diferenciación entre las soluciones DLP empresariales, la empresa analista Gartner ha retirado su Cuadrante Mágico para Enterprise DLP. En su lugar, Gartner se está centrando en una guía de mercado que destaca la importancia de una estrategia global de protección de datos y educa a los lectores en el uso de soluciones integradas de DLP. En 2017, la empresa predijo que el 90 % de las organizaciones utilizarían algún tipo de DLP integrada para 2021. 

Las soluciones tradicionales de DLP empresariales suelen ofrecer varios productos y funciones en todos los canales en los que se almacenan los datos o por los que pasan (es decir, puntos finales, almacenamiento, intercambios), en los que pueden producirse filtraciones de datos. Todos ellos requieren un conjunto diferente de herramientas o técnicas para evitar la filtración de datos.

Sin embargo, la transformación digital ha cambiado el comportamiento del usuario y los patrones de tráfico, lo que hace que sea más importante proteger los datos que fluyen entre los puntos finales, las aplicaciones en la nube y el almacenamiento de datos con una solución DLP de datos en movimiento/red. Cuando esta protección la proporcionan de forma nativa tecnologías como pasarelas web seguras, gestión de contenido o agentes de seguridad de acceso a la nube (CASB), se conoce como DLP integrada.

Las soluciones de DLP empresariales son notorias por ser complejas y costosas. Las organizaciones que adquieren DLP empresarial suelen utilizar únicamente una parte de sus funciones y abordan únicamente casos de uso básicos que la DLP integrada podría resolver de forma más rápida y rentable.

La DLP no puede evitar la pérdida de datos si no ve el tráfico

A medida que las organizaciones han ido migrando a la nube, son tres los elementos que impiden a las soluciones de DLP de red ver el tráfico que deben inspeccionar:

  • Usuarios remotos: con DLP de red, los niveles de visibilidad y protección dependen de dónde se encuentren los usuarios. Estos pueden eludir fácilmente la inspección cuando están fuera de la red, conectándose directamente a las aplicaciones en la nube. Para ser eficaces, la DLP y las políticas de seguridad deben seguir a los usuarios dondequiera que se conecten y en cualquier dispositivo móvil que estén utilizando.
  • Cifrado: el increíble aumento del tráfico cifrado TLS/SSL ha creado un punto ciego significativo para la DLP basada en la red, que no puede desencriptarlo para su inspección.
  • Limitaciones de rendimiento: los dispositivos tradicionales de DLP de red tienen recursos limitados y no pueden escalar para inspeccionar la siempre creciente cantidad de tráfico de Internet en línea.

 

En un mundo que da prioridad a la nube y a lo móvil, la DLP requiere una nueva mentalidad y una tecnología moderna

Para hacer frente a los retos de protección de datos que acompañan a la transformación digital y superar los puntos débiles de la DLP empresarial tradicional, no basta con reconfigurar una pila de hardware tradicional para la nube, ya que eso es ineficiente y carece de la protección y los servicios de una solución construida en la nube. Cualquier solución DLP basada en la nube debe proporcionar tres elementos:

  • Protección idéntica para todos los usuarios dentro o fuera de la red, lo que garantiza una protección integral de los datos para todos los usuarios, dondequiera que se encuentren, ya sea en la sede central, una sucursal, un aeropuerto o una oficina en casa.
  • Inspección nativa del tráfico cifrado por TLS/SSL, que proporciona a la organización una visibilidad crucial de más del 80 % del tráfico actual de Internet, que si no se inspecciona, podría ocultar amenazas.
  • Escalabilidad elástica para la inspección en línea, que previene la pérdida de datos inspeccionando todo el tráfico a medida que llega y poniendo en cuarentena los archivos sospechosos o desconocidos, en lugar de depender del control de daños después de verse comprometidos.

 

En su informe de 2021, Cost of a Data Breach, el Instituto Ponemon descubrió que las filtraciones de datos en el último año habían costado una media de 9,05 millones de dólares en Estados Unidos y 4,24 millones de dólares en todo el mundo, el 38 % de ellos en forma de pérdida de negocio.

El estudio también mostró que las organizaciones con un enfoque de confianza cero maduro ahorraron un promedio de 1,76 millones de dólares por ataque en comparación con las que no lo tenían.

Lograr una seguridad integral en la nube con Zscaler Data Protection

Obtenga la revisión de la solución de SANS

¿Qué ha pasado con el Cuadrante Mágico de DLP de Gartner?

Lea nuestra publicación en el blog
icono de blog qué es dlp

La pérdida de datos no regulados cuesta más de lo que cree

Lea el artículo del blog
icono de blog qué es dlp

Prevención de pérdida de datos y transformación digital

Lea nuestro documento técnico
documento técnico qué es dlp

Proteger sus datos en un mundo de trabajo desde cualquier lugar

Descargue nuestro libro electrónico
documento técnico qué es dlp

Diálogos sobre la protección de datos: la DLP en un mundo de trabajo desde cualquier lugar

Vea nuestro vídeo
documento técnico qué es dlp

Coincidencia exacta de datos para DLP 

Las soluciones de prevención de la pérdida de datos han utilizado durante mucho tiempo la coincidencia de patrones para identificar números de tarjetas de crédito o de la Seguridad Social, entre otros, para protegerlos. Sin embargo, este enfoque es impreciso. El tráfico seguro se bloquea a menudo porque incluye un patrón que ha sido seleccionado para la protección y los equipos de seguridad pueden recibir un bombardeo de falsos positivos.

Exact Data Match (EDM) es una potente innovación en la tecnología DLP que aumenta la precisión de la detección y prácticamente elimina los falsos positivos. En lugar de cotejar patrones, EDM toma las huellas digitales de los datos confidenciales y, a continuación, vigila los intentos de trasladar dichos datos registrados y evita que se compartan o transfieran de forma inapropiada.
 

Mejores prácticas de DLP

La forma ideal de ajustar la DLP depende de las necesidades de su organización, pero hay ciertas prácticas recomendadas que se aplican a todas las situaciones. Hablar con detalle de este tema daría para escribir otro artículo, pero he aquí algunas de las mejores prácticas más importantes:

  • Cuando haga la implementación por primera vez, comience en el modo de solo monitorización para que pueda tener una idea del flujo de datos en su organización e informarse sobre las mejores políticas.
  • Utilice las notificaciones de usuario para mantener informados a los empleados y para que las políticas no se ejecuten sin su conocimiento, ya que esto puede interrumpir los flujos de trabajo y frenarlos.
  • Utilice una solución que permita a los usuarios enviar comentarios sobre las notificaciones (para justificar sus acciones o avisar de políticas dañadas), que puede utilizar para refinar sus políticas.
  • Aproveche las medidas de clasificación avanzadas, como la coincidencia exacta de datos (EDM), para reducir los falsos positivos.
  • Utilice únicamente una solución que pueda descifrar el tráfico cifrado por TLS/SSL, ya que la inmensa mayoría del tráfico web está cifrado.
     

Por dónde debe empezar como empresa cuando se trata de la prevención de la pérdida de datos

Con el aumento de los riesgos y la ampliación de las normativas de protección de datos, su organización necesita cerrar las brechas de seguridad que han abierto la nube y la movilidad. Esto no es nada nuevo: un estudio de Cybersecurity Insiders de 2019 concluyó que prevenir la pérdida de datos es la segunda prioridad más importante para los ejecutivos de TI.

En el pasado, eso significaba agregar más dispositivos a las ya complejas pilas. Hoy en día, tenemos la DLP en la nube. Con una solución como Zscaler Cloud Data Loss Prevention (DLP) como parte de una plataforma más amplia de perímetro de servicio de acceso seguro (SASE), puede cerrar sus brechas de protección de datos, sin importar dónde se conecten sus usuarios o dónde se alojen sus aplicaciones, y reducir el coste y la complejidad de TI al mismo tiempo.

 

Recursos adicionales