La Prevención de Pérdida de Datos (Data Loss
Prevention o DLP) da nombre a una solución o conjunto de soluciones que
identifica, monitoriza y protege los datos de una organización, especialmente
en lo relativo a su dimensión de confidencialidad.
Para ello hay que
particularizar para cada organización el flujo de datos y donde están esos
datos en todo momento (almacenados, en uso o en red), con el objetivo de
implantar las medidas de seguridad necesarias. Estas medidas podrán incluir el
análisis en profundidad del contexto y contenido de los datos para comprobar si
tienen un uso correcto acorde a la política de seguridad. La solución DLP puede
monitorizar y reportar la transacción de datos examinada, e incluso en muchas
ocasiones autorizarla o denegarla en base a las reglas establecidas en esa
política.
Una solución DLP moderna debe
cubrir un amplio espectro de plataformas, localizaciones, protocolos de
comunicación y formatos de datos, y debe además poder ser administrada de
manera centralizada
Qué Información se pierde y cómo
Según informe de InfoWatch (2015), la
mayoría de los datos que se pierden son datos de carácter personal o detalles
de pago. Le siguen a distancia el conocimiento y los secretos de la
organización. Evidentemente, cada organización tiene su énfasis lo que le
atañe, pero no podemos olvidar que el robo o la pérdida de datos personales
redundarán siempre en una merma en la seguridad de acceso a la organización.
El principal canal de de pérdida de información en
el 2015 fue la red (a través navegador y el acceso a la nube), seguido a
distancia por el papel, el email el robo o pérdida de equipos y el
almacenamiento portátil:
La diferencia entre los canales en la pérdida de datos
accidental y la intencionada queda patente: La inmensa mayoría de los ataques a
la confidencialidad intencionada se realizan usando la red, tal vez porque los
usuarios ya conocen que las herramientas DLP actuales no les permiten usar
métodos locales de copia de la información, y también porque en muchas
ocasiones los métodos de DLP en la red no pueden interceptar y denegar el acceso
a toda la información sin perjudicar el movimiento correcto de datos en la
organización, limitándose en algunos casos a monitorizarlos.
Beneficios de la tecnología DLP
Gestión de Riesgos
Una solución DLP bien implantada puede protegernos de riesgos
muy importantes en materia de seguridad de la información:
·
Robo de información
·
Acceso no autorizado
·
Interceptación
·
Divulgación y envío de información.
Todo ello esencialmente mediante la encriptación de datos,
el control de red y el control del terminal en que se esté trabajando, que son
los tres principales tipos de herramientas DLP.
Trazabilidad y
Análisis de Incidencias
Las soluciones DLP no sólo se refieren a la confidencialidad
de los datos. En general, permiten establecer la trazabilidad de los datos que
se necesiten para llevar un histórico de sus movimientos, lo que implica poder
realizar un análisis retrospectivo de incidencias de seguridad.
Detección de
Procedimientos erróneos (o Política de Seguridad incorrecta)
Una solución DLP nos permitirá comprobar y conocer más
íntimamente el flujo real de datos de nuestra organización, que en ocasiones
puede detectarse que no es conforme a la política de seguridad establecida. Esto
puede tener dos soluciones según el debate generado: o la política de seguridad
es incorrecta o lo es la ejecución del proceso.
De igual forma, al informarnos del uso que se hace de la
información sensible en nuestra organización, las soluciones DLP también permiten
detectar procesos o procedimientos internos bienintencionados que comprometen
la seguridad (por ejemplo, el envío o copia de información para trabajar o leer
en casa).
Clasificación de los datos y medidas DLP según su ubicación
Es fundamental entender cómo se encuentran los datos en cada
momento, porque en cada uno de esos estados esos datos serán protegidos de
distinta manera.
Datos en reposo (data
at rest)
Son datos con los que ningún usuario ni proceso está
interaccionando en ese momento, y que están almacenados en cualquier tipo de
dispositivo.
Los sistemas DLP disponen de un módulo que teje una tela de
araña de localizaciones de datos en los repositorios de la organización,
esencialmente buscando a través de patrones predefinidos. Se protegen los datos
sensibles de que sean copiados, movidos o eliminados si no se cumplen las
reglas que así lo permiten. Se trata de un análisis costoso al implementar la
solución al inicio, aunque luego suele optimizarse automáticamente. A partir de
esa lista se pueden implementar medidas como la encriptación de datos o el acceso
restringido.
Datos en uso (data in
use)
Son aquellos datos que están siendo utilizados en ese
momento por un usuario o proceso (por ejemplo, con datos en RAM o ficheros
temporales).
En este caso los sistemas DLP suelen servirse de programas
“agentes” instalados en las máquinas que monitorizan y marcan los datos
sensibles a acceder y pueden impedir, por ejemplo, su copia en soportes móviles
o su impresión en papel.
Datos en tránsito o
en red (data in motion/transist)
Se denomina así al flujo de datos a través de cualquier
medio, esencialmente una red de ordenadores o Internet. Los datos están
viajando por la red.
La manera de trabajar de un sistema DLP es utilizar un
dispositivo o software que intercepte los paquetes de transmisión, reconozca el
protocolo (por ejemplo, HTTP, HTTPS, FTP, Telnet, SMTP) y busque patrones que
indiquen si la comunicación está autorizada o no, evitando que esa información
se extraiga fuera de la red o se derive a otro destino.
Datos móviles y datos
en la nube.
Estas dos categorías normalmente están englobadas en las
anteriores, pero pueden tener sus particularidades, sobre todo debido a que los
sistemas externos en los que se trabaja o configuran soluciones DLP no son tan
accesibles.
Así, para la gestión de los dispositivos y los datos móviles
las herramientas MDM (Mobile Device Management) disponen de un agente que se
instala en cada dispositivo.
También hay herramientas DLP para la nube que esencialmente
impiden que salga nada no encriptado, y se aseguran que la información llegue a
la aplicación en la nube que debe.
Otros Términos para DLP
DLP (Data Loss Protection) es el término más estandarizado
para hablar de esta tecnología, pero en ocasiones lleva a confusión, porque
también se emplean los siguientes en inglés para referirse, esencialmente, a lo
mismo o a una parte de esta tecnología:
·
Data Leak Prevention
·
Data Leak Protection
·
Information Leak Detection and Prevention (ILDP)
·
Content Monitoring and Filtering (CMF)
·
Information Protection and Control (IPC)
·
Extrusion Prevention System
·
Data Exfiltration
·
Data Leakage Protection
Enlaces: Infowatch: https://infowatch.com/products/traffic_monitor_enterprise
