Enciclopedia de ciberseguridad Security DefinedWhat is DLP? Data Loss Prevention

Prevención de pérdida de datos (DLP)

6.5 min read

¿Qué es Data Loss Prevention (DLP)?

Prevención de Fuga de Datos (DLP) incluye un conjunto de prácticas y herramientas destinadas a prevenir la fuga de datos (también conocida como exfiltración de datos) por uso indebido intencionado y no intencionado. Estas prácticas y herramientas incluyen cifrado, detección, medidas preventivas, elementos emergentes educativos (para movimientos involuntarios) e incluso aprendizaje automático para evaluar las puntuaciones de riesgo de los usuarios. Con el tiempo, la DLP ha evolucionado en el ámbito de la protección de datos y se ha convertido en un componente esencial de la implementación de la protección de datos.

Por simplicidad, usaremos la sigla «DLP» a lo largo de esta guía para referirnos a todas estas medidas, salvo que se indique otra cosa.

significado de dlp

 

La necesidad de la prevención de pérdida de datos

La pérdida de datos es muy perjudicial para el negocio. Erosiona la confianza en su marca y puede dar lugar a pérdidas económicas por demandas, multas por incumplimiento de normativas y exposición de la propiedad intelectual. Vamos a profundizar un poco más en los requisitos que fomentan la necesidad de DLP.

 

1. Cumplimiento de los reglamentos del gobierno y del sector

Muchos sectores, como la sanidad, los contratistas públicos y las entidades financieras, están obligados por ley a proteger los datos personales sensibles. Algunos de los reglamentos son:

  • HIPAA (Ley de transferencia y responsabilidad de seguros de salud de Estados Unidos)
  • RGPD (Reglamento general de protección de datos de la Unión Europea)
  • PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago)
  • CCPA (Ley de privacidad del consumidor de California)
  • PIPEDA (Ley de protección de datos personales y documentos electrónicos de Canadá)

Algo que tienen en común todos estos reglamentos es la estipulación de que los datos confidenciales deben guardarse en una ubicación segura y fuera del alcance de los usuarios no autorizados. Las empresas deben contar con estrategias y herramientas de DLP, que eviten el acceso involuntario o malicioso al almacén de datos aislados y la filtración al exterior de dichos datos.

 

2. Protección de la información confidencial

El concepto de información reservada se refiere a cualquier dato o conocimiento de carácter confidencial sobre la organización y su estructura y operaciones comerciales, o sobre sus clientes, consumidores, socios o afiliados. Algunos ejemplos de información reservada son:

  • Planes de proyectos internos
  • Código confidencial
  • Información de patentes
  • Comunicaciones por correo electrónico
  • Documentos comerciales
  • Procesos internos

Aunque algunos ciberdelincuentes roban información de organizaciones y agencias gubernamentales solo para demostrar que pueden hacerlo, la mayoría lo hace por el beneficio económico de vender o destapar esa información. Hoy en día, muchos atacantes con ransomware no solo cifran los datos de la víctima y exigen dinero para desbloquearlos, sino que también filtran al exterior parte de los datos y exigen un pago para no hacerlos públicos.

El software y las estrategias de prevención de pérdida de datos ayudan a mantener la propiedad intelectual a salvo, no solo de los ataques externos y la filtración al exterior, sino también de las fugas de datos involuntarias causadas por sus propios empleados. El intercambio descuidado de datos e información confidencial a través de medios poco seguros y cuentas públicas en la nube puede causar tanto daño como los actos maliciosos de espionaje sobre la información.


Libro blanco: Evaluación del impacto de la pérdida de datos


 

¿Cómo funciona la prevención de pérdida de datos?

Hay varios métodos de prevención de pérdida de datos, que se implementan mediante prácticas recomendadas y herramientas de software. Las mejores estrategias de prevención de pérdida de datos incluyen una variedad de enfoques para cubrir todos los posibles vectores de vulneración.

 

Los 5 tipos de prevención de pérdida de datos

 

1. Identificación de datos: Se trata del proceso que emplean las organizaciones para identificar la información confidencial dentro de su entorno digital, ya sea que resida dentro del correo electrónico, en aplicaciones de almacenamiento en la nube, en aplicaciones de colaboración o en otro lugar.

2. Identificación de fugas de datos: Se trata de un proceso automatizado para detectar e identificar datos usados indebidamente, ya sea porque se hayan filtrado al exterior o porque se hayan extraviado dentro de la infraestructura de una organización.

3. DLP para datos en movimiento: Cuando los datos están en tránsito entre ubicaciones, el software DLP emplea diversas medidas de seguridad, desde la protección de la red hasta el cifrado de datos, para garantizar que los datos lleguen intactos a su destino.

4. DLP para datos en reposo: Este tipo de protección cubre los datos que no están en tránsito y que suelen estar almacenados en algún tipo de base de datos o sistema de intercambio de archivos. Utiliza varios métodos para garantizar el almacenamiento seguro de los datos en local y en la nube, desde la protección de endpoints hasta el cifrado para evitar el uso no autorizado de los datos.

5. DLP para datos en uso: Los datos que están siendo utilizados por los usuarios de una organización deben protegerse de cualquier tipo de interacción potencialmente dañina, como alteraciones, capturas de pantalla, cortar/copiar/pegar, impresión o traslado de la información. En este contexto, la DLP tiene como objetivo evitar interacciones o movimientos no autorizados de los datos, así como tomar nota de cualquier patrón sospechoso.


Libro blanco: Protección de datos mediante el aprendizaje automático
Ficha técnica: Las principales preguntas que debe hacerle a su proveedor de DLP en la nube


 

Data Loss Prevention Best Practices

1. Conciencie a sus empleados

Una de las prácticas recomendadas más eficaces para prevenir la pérdida de datos comienza con la formación de los empleados sobre todo lo que deben y no deben hacer cuando manejan los valiosos datos de su organización. La formación de los empleados en materia de DLP debe incluir prácticas seguras de transferencia, visualización y almacenamiento de datos. Para lograr el máximo efecto, la formación debe contar con el apoyo activo de la dirección y debe repetirse a intervalos regulares para reforzar y actualizar el comportamiento conforme a las mejores prácticas.

 

2. Establezca políticas para la manipulación de datos

Las políticas de tratamiento de datos, que son un componente clave de las prácticas recomendadas de DLP, incluyen:

  • Dónde se pueden almacenar los datos
  • Cómo se deben transferir los datos
  • Quién puede ver ciertos tipos de datos
  • Qué tipos de datos está permitido almacenar
  • Y muchos más

Dado que estas políticas rigen todas las demás conductas y evaluaciones del tratamiento, deben definirse lo antes posible. También deben actualizarse con regularidad para reflejar los cambios en la organización, el sector y las normativas. Una vez implementadas las políticas de tratamiento de datos, se puede pasar a soluciones más técnicas y a prácticas recomendadas para garantizar que los datos permanezcan donde deben estar.

 

3. Cree un sistema de clasificación de datos

La clave para crear políticas de prevención de pérdida de datos es empezar con un sistema de clasificación de datos. Esta taxonomía proporcionará una referencia para hablar sobre la severidad y los métodos de protección necesarios para diferentes tipos de datos. Las clasificaciones más comunes incluyen información personal identificable (PII), información financiera, datos públicos y propiedad intelectual. Pero hay muchas más. Se puede establecer un conjunto único de protocolos de protección para cada clasificación.

 

4. Controle los datos confidenciales

Una buena estrategia de protección de datos debe ofrecer la posibilidad de controlar los datos confidenciales. El software de prevención de pérdida de datos generalmente incluye funciones de seguimiento de todos los aspectos del uso y el almacenamiento de datos, incluyendo:

  • Acceso de usuarios
  • Acceso a dispositivos
  • Acceso a aplicaciones
  • Tipos de amenazas
  • Ubicaciones geográficas
  • Horarios de acceso
  • Contexto de datos

Como parte del proceso de control, el software de DLP envía alertas al personal pertinente cuando los datos se utilizan, se mueven, se eliminan o se alteran de forma no autorizada.

 

5. Implemente un software de DLP que tenga capacidad para las aplicaciones de Shadow IT

Ya es bastante complicado proteger los datos utilizados por su inventario de aplicaciones conocidas. Pero también debe tener en cuenta el acceso a datos desde las aplicaciones de Shadow IT. Se trata de la cantidad creciente de aplicaciones de software como servicio (SaaS) a las que los empleados se suscriben de forma independiente, sin la aprobación del departamento informático y, a menudo, sin su conocimiento.

Incluso si los empleados están bien formados sobre las prácticas recomendadas de DLP, es difícil para ellos evaluar con precisión la seguridad de estas aplicaciones basadas en la nube. En la mayoría de los modelos SaaS, el proveedor de SaaS es responsable de las propias aplicaciones, pero los usuarios son responsables de los datos que utiliza la aplicación. Los usuarios, que están centrados en la consecución de los objetivos empresariales, no están en condiciones de protegerse de los ataques que puedan llegar a través de una aplicación SaaS comprometida. De usted depende mantener a raya las fugas de datos y los usos indebidos. Por eso necesita una solución de software de DLP capaz de reconocer las aplicaciones de Shadow IT y evitar que los usuarios accedan a datos o muevan datos a estas aplicaciones, hasta que pueda autorizarlas e integrarlas en el conjunto de operaciones informáticas seguras.

 

6. Establezca distintos niveles de autorización y acceso

Esta práctica recomendada va de la mano con la clasificación de datos, ya que la combinación de estas dos prácticas le permitirá otorgar acceso a los datos solo a quienes tengan autorización para usar esa información. Su software de DLP también debe incorporar ciertas políticas de protección de datos de confianza cero que no concedan por sistema la confianza a ningún usuario, al mismo tiempo que verifiquen constantemente las identidades y la autorización.

 

7. Adopte herramientas complementarias a la DLP

La DLP no vive en el vacío. Todo el concepto de DLP se basa en un ecosistema de herramientas que trabajan juntas para proporcionar información estratégica, planes de acción y protección activa de sus datos. Estas herramientas incluyen puertas de enlace web seguras, agentes de seguridad de acceso a la nube, protección del correo electrónico e infraestructuras de confianza cero.


Vídeo de demostración: DLP en la nube avanzado en acción
Ficha técnica: Netskope Data Loss Prevention


 

Recursos

Prevención de pérdida de datos (DLP) de Netskope

Prevención de pérdida de datos (DLP) de Netskope

Demo-Email DLP

Demo - Email DLP

Evaluación del impacto de la pérdida de datos

Evaluación del impacto de la pérdida de datos

Las principales preguntas que debe hacerle a su proveedor de DLP en la nube

Las principales preguntas que debe hacerle a su proveedor de DLP en la nube

Guía de adopción para SASE

Guía de adopción para SASE

Demo - Detenga la exposición de datos confidenciales en la nube

Demo - Detenga la exposición de datos confidenciales en la nube

Protección de datos mediante el aprendizaje automático

Protección de datos mediante el aprendizaje automático

Las 6 principales preguntas que debe hacerle a su proveedor de DLP en la nube - Edición Microsoft 365

Top 6 Questions to Ask Your Cloud DLP Vendor

Suscríbase al informe de Threat Labs

Obtenga el informe mensual de Threat Labs tan pronto como se publique.