Recursos > Glosario de términos de seguridad > Qué es la coincidencia exacta de datos

¿Qué es la coincidencia exacta de datos (EDM)?

¿Qué es la coincidencia exacta de datos (EDM)?

La coincidencia exacta de datos o Exact Data Match (EDM) es un componente crítico de la prevención de pérdida de datos (DLP), un enfoque de seguridad diseñado para proteger de la exposición a la información empresarial y otros datos sensibles. En su Informe de investigación sobre filtraciones de datos, Verizon descubrió que aproximadamente el 34 por ciento de las filtraciones involucraban a actores internos, ya sea de forma no intencional o por uso indebido, por lo que la DLP sigue siendo un componente crítico de la seguridad empresarial.

Normalmente, los sistemas de DLP utilizan la comparación de patrones para identificar los datos que deben protegerse. Un sistema de DLP vigilará los números de tarjeta de crédito, los números de cuenta, los números de la Seguridad Social y muchos otros tipos de patrones, en función de los tipos de registros que el administrador haya seleccionado para su protección y de las políticas asociadas a ellos.

EDM es un enfoque diferente. En vez de identificar los datos que deben protegerse mediante la comparación de patrones, EDM supervisa los datos reales que necesitan protegerse, lo que aumenta drásticamente la precisión de la detección y casi es capaz de eliminar los falsos positivos.

¿Por qué es tan importante la precisión?

Pongamos el ejemplo de un número de tarjeta de crédito: el simple hecho de supervisar el tráfico en busca de números de tarjetas de crédito puede activar alertas cada vez que alguien de la organización utilice una tarjeta de crédito por cualquier motivo. Es decir, si un empleado hace una compra en línea durante un descanso, es posible que se bloquee el hacer la compra y que el administrador de seguridad reciba una alerta. En ese caso, la alerta sería un "falso positivo", llamado así porque el sistema detectó con precisión un intento de enviar datos de tarjeta de crédito, pero la actividad no supuso ningún riesgo para la organización. Con EDM, solo los números de tarjeta de crédito específicos almacenados por la empresa en sus bases de datos (como los de sus clientes o socios) activarían las alertas. Ese empleado que hace una compra no activaría una alerta, ni tampoco el departamento de contabilidad al pagar las facturas.

Cabe aclarar que la mayoría de los falsos positivos son positivos reales, es decir, que el motor de detección hizo su trabajo e identificó contenidos que coinciden con una política. Sin embargo, el contenido no supone un riesgo para la empresa en el contexto en que se utiliza. Los falsos positivos tienen consecuencias reales. Aunque no causan ningún daño directo, entorpecen el sistema. Como el administrador tiene que eliminar cientos de falsos positivos cada semana, o quizás más, tiene menos tiempo para investigar las alertas legítimas.

Los falsos positivos tienen consecuencias reales. Aunque no causan ningún daño directo, entorpecen el sistema. Como el administrador tiene que eliminar cientos de falsos positivos cada semana, o quizás más, tiene menos tiempo para investigar las alertas legítimas.

Cualquier oportunidad de negocio digital necesita una estrategia de seguridad centrada en los datos para priorizar la mitigación de los crecientes riesgos empresariales causados por las leyes de protección de datos y privacidad, la piratería informática, el fraude y el ransomware. – Gartner, julio de 2019
Gartner, julio de 2019

¿Cómo funciona EDM?

EDM identifica las "huellas dactilares" de los datos sensibles procedentes de fuentes estructuradas, como bases de datos u hojas de cálculo, y luego observa si se intenta trasladar dichos datos identificados e impide que se compartan o transfieran de forma inapropiada.

Se parte de texto plano procedente de una base de datos o de una hoja de cálculo de Excel que contenga los registros sensibles. Los datos de estos registros se ofuscan (usualmente mediante hashing) por razones de privacidad. Al aplicar el hashing, se utilizan algoritmos para convertir los datos en cadenas de datos más cortas (hashes), y esos hashes se almacenan en la solución de DLP. Los mismos algoritmos se aplican a todo el tráfico saliente. Así, cuando el tráfico sometido a hashing coincide con los hashes almacenados en la solución de DLP, se bloquea la transferencia o se activa una alerta.

Todas las organizaciones deberían considerar ya las herramientas de prevención de la pérdida de datos como elementos básicos de seguridad, ya que su importancia aumentará a corto plazo.
SC Labs, 3 de marzo de 2020

Por qué es ideal la EDM entregada en la nube

La coincidencia exacta de datos es una operación de almacenamiento y computación intensiva, que exige una plataforma subyacente altamente escalable, capaz de satisfacer sus demandas de procesamiento. Como Zscaler Cloud DLP con EDM está construido sobre una arquitectura de nube global y multiusuario, detecta y bloquea los intentos de enviar datos protegidos sin importar dónde se conecte el usuario o qué aplicaciones se estén utilizando. El rendimiento no se ve afectado, y el portal de administración centralizado de Zscaler proporciona visibilidad en tiempo real de los incidentes.

La mayoría de los sistemas DLP no tienen la capacidad de inspeccionar el tráfico cifrado, por lo que no tienen visibilidad de la mayoría del tráfico empresarial. Pero Zscaler Cloud DLP es parte de la plataforma integrada de seguridad en la nube de Zscaler, que inspecciona todo el tráfico, incluyendo el tráfico cifrado.

Con Zscaler EDM, puede obtener huellas dactilares y hacer coincidir miles de millones de celdas de sus datos sensibles exclusivos. Esas huellas dactilares se almacenarán en la nube de Zscaler para darle la capacidad de frenar la pérdida de datos a nivel global y de forma escalada. Zscaler también le ayuda a maximizar su protección de datos incluso mientras cumple las regulaciones de la industria, como la HIPAA, así como las regulaciones de privacidad de datos como el RGPD. Cloud DLP simplifica el cumplimiento de las normativas regionales, gracias a un amplio conjunto de funciones, como EDM, aprendizaje automático, control de tipos de archivos y políticas granulares que acompañan a los usuarios.

Un sistema de prevención de pérdida de datos con coincidencia exacta de datos (EDM) como Zscaler Cloud DLP le ayudará a aumentar el nivel de seguridad de su organización, a reducir la frustración de los usuarios finales a causa de transacciones bloqueadas innecesariamente, y a dedicar más tiempo a investigar y solucionar incidentes reales de pérdida de datos en lugar de rebuscar en el pajar de los falsos positivos.

 

Recursos adicionales: