La prevención de pérdida de datos (DLP, por sus siglas en inglés) hace referencia a las estrategias, los procesos y las tecnologías que los equipos de ciberseguridad utilizan para proteger los datos confidenciales frente a robos, pérdidas y usos indebidos.
Los datos son un elemento diferenciador competitivo para muchas empresas, y la red empresarial media alberga secretos comerciales, datos personales de clientes y otra información sensible. Los piratas informáticos atacan estos datos para su propio beneficio, pero las organizaciones a menudo tienen dificultades para frustrar a estos atacantes. Puede ser difícil mantener la seguridad de los datos críticos mientras cientos, si no miles, de usuarios autorizados acceden a ellos a través del almacenamiento en la nube y los repositorios locales cada día.
Las estrategias y herramientas de DLP ayudan a las organizaciones a evitar fugas y pérdidas de datos mediante su seguimiento en toda la red y la aplicación de políticas de seguridad granulares. De este modo, los equipos de seguridad pueden garantizar que solo las personas adecuadas accedan a los datos correctos por las razones adecuadas.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
Los eventos de pérdida de datos se describen a menudo como vulneraciones de datos, fuga de datos o exfiltración de datos. Los términos a veces se utilizan indistintamente, pero tienen significados distintos.
Una vulneración de datos es cualquier ciberataque u otro incidente de seguridad en el que partes no autorizadas acceden a datos sensibles o información confidencial. Esto incluye datos personales (por ejemplo, números de la Seguridad Social, números de cuentas bancarias, datos sanitarios) o datos corporativos (por ejemplo, registros de clientes, propiedad intelectual, datos financieros). Según el informe "Coste de una filtración de datos" 2023 de IBM, la vulneración promedio cuesta 4,45 millones de dólares, un aumento del 15 por ciento en los últimos tres años.
La fuga de datos es la exposición accidental de datos confidenciales o información confidencial al público. La exfiltración de datos es un robo de datos real, cuando un atacante mueve o copia los datos de otra persona a un dispositivo bajo el control del atacante.
La pérdida de datos se produce por muchas razones, pero las causas más comunes incluyen:
- Vulnerabilidades de seguridad
- Credenciales débiles o robadas
- Amenazas internas
- Malware
- Ingeniería social
- Robo de dispositivos físicos
- Vulnerabilidades de seguridad: o fallos en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo informático que los hackers pueden aprovechar. Se trata de errores de codificación, desconfiguraciones y vulnerabilidades de día cero (debilidades desconocidas o aún sin parchear).
Credenciales débiles o robadas: contraseñas que los hackers pueden adivinar fácilmente, o contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que los hackers o ciberdelincuentes roban.
Amenazas internas: usuarios autorizados que ponen en riesgo los datos por descuido o mala intención. Estos usuarios internos negligentes suelen estar motivadas por un beneficio personal o un agravio contra la empresa.
Malware: software creado específicamente para dañar un sistema informático o sus usuarios. La forma más conocida de malware que amenaza los datos es el ransomware, que cifra los datos para que no se pueda acceder a ellos y exige el pago de un rescate para obtener la clave de descifrado (y a veces un segundo pago para evitar que los datos se filtren o se compartan con otros ciberdelincuentes).
Ingeniería social: tácticas que engañan a las personas para que compartan datos que no deberían compartir. Puede ser tan astuto como un ataque de phishing que convence a un empleado para que envíe por correo electrónico datos confidenciales de los empleados, o tan poco astuto como dejar una memoria USB infectada con malware donde alguien pueda encontrarla y utilizarla.
Robo de dispositivos físicos: robar un ordenador portátil, un teléfono inteligente u otro dispositivo que permita al ladrón acceder a la red y a los datos.
Las organizaciones crean estrategias formales de DLP para protegerse contra todo tipo de pérdida de datos. En la base de una estrategia de DLP hay un conjunto de políticas de DLP que definen cómo deben manejar los usuarios los datos de la empresa. Las políticas de DLP abarcan prácticas clave de seguridad de los datos, como dónde almacenarlos, quién puede acceder a ellos, cómo utilizarlos y cómo establecer controles de seguridad.
En lugar de redactar una política única para todos los datos, los equipos de seguridad de la información suelen crear políticas diferentes para los distintos tipos de datos de sus redes. Esto se debe a que a menudo es necesario manejar diferentes tipos de datos.
Por ejemplo, la información de identificación personal (PII), como los números de tarjetas de crédito y las direcciones particulares, suele estar sujeta a normas de seguridad de datos que dictan lo que una empresa puede hacer con ella. Por otro lado, la empresa tiene vía libre sobre lo que hace con su propiedad intelectual (PI). Además, las personas que necesitan acceder a la PII pueden no ser las mismas que necesitan acceder a la PI de la empresa. Ambos tipos de datos deben protegerse, pero de forma diferentes.
Los equipos de seguridad crean múltiples políticas de DLP granulares para poder aplicar las normas de seguridad adecuadas a cada tipo de datos sin interferir en el comportamiento aprobado de los usuarios finales autorizados. Las organizaciones revisan estas políticas con regularidad para mantenerse al día de los cambios en las normativas pertinentes, la red de la empresa y las operaciones comerciales.
Aplicar manualmente las políticas de DLP puede resultar complicado, si no imposible. No solo los distintos conjuntos de datos están sujetos a normas diferentes, sino que las organizaciones también necesitan supervisar todos los datos de la red, incluidos los siguientes
Datos en uso: datos a los que se accede o que se procesan, por ejemplo, datos que se utilizan para análisis o cálculos, o un documento de texto que edita un usuario final.
Datos en movimiento: datos que se mueven a través de una red, como los transmitidos por un servidor de transmisión de eventos o una aplicación de mensajería.
Datos en reposo: datos almacenados, como los datos que se encuentran en una unidad en la nube.
Dado que la aplicación de las políticas de DLP requiere una visibilidad continua de los datos en toda la organización, los equipos de seguridad de la información suelen recurrir a herramientas de software de DLP especializadas para garantizar que los usuarios siguen las políticas de seguridad de los datos. Estas herramientas de DLP pueden automatizar funciones clave como la identificación de datos sensibles, el seguimiento de su uso y el bloqueo de accesos ilícitos.
Las soluciones DLP a menudo funcionan junto con otros controles de seguridad para proteger los datos. Por ejemplo, los firewalls pueden ayudar a detener el tráfico malicioso que entra y sale de las redes. Los sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar a detectar comportamientos anómalos que podrían indicar fugas de datos. Las soluciones de detección y respuesta extendidas (XDR) permiten a las organizaciones lanzar respuestas sólidas y automatizadas a las violaciones de datos.
Existen tres tipos principales de soluciones de DLP: DLP de red, de endpoint y de nube. Las organizaciones pueden optar por utilizar un tipo de solución o una combinación de varias, en función de sus necesidades y de cómo se almacenen sus datos.
Las soluciones de DLP de red se centran en cómo se mueven los datos a través, dentro y fuera de una red. A menudo utilizan inteligencia artificial (IA) y machine learning para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Aunque las herramientas de DLP de red están diseñadas para vigilar los datos en movimiento, muchas también pueden ofrecer visibilidad de los datos en uso y en reposo en la red.
Las herramientas DLP para puntos finales supervisan la actividad en portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red. Estas soluciones se instalan directamente en los dispositivos que vigilan, y pueden impedir que los usuarios realicen acciones prohibidas en esos dispositivos. Algunas herramientas DLP para puntos finales también pueden bloquear transferencias de datos no autorizadas entre dispositivos.
Las soluciones de DLP en la nube se centran en los datos almacenados en servicios en la nube y a los que se accede a través de ellos. Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube. Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube que pueda acceder a datos de la empresa.
Los equipos de seguridad siguen un proceso de cuatro pasos para poner en práctica las políticas DLP, y las herramientas DLP desempeñan un papel importante en cada paso.
En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados. Los datos estructurados son datos con un formulario estandarizado. Normalmente están claramente etiquetados y almacenados en una base de datos. Los números de las tarjetas de crédito son un ejemplo de datos estructurados: siempre tienen 16 dígitos. Los datos no estructurados son información de forma libre, como documentos de texto o imágenes.
Los equipos de seguridad suelen utilizar herramientas DLP para realizar este paso. A menudo, estas herramientas pueden escanear toda la red para encontrar datos dondequiera que estén almacenados: en la nube, en terminales físicos, en los dispositivos personales de los empleados y en otros lugares.
A continuación, la organización clasifica estos datos, ordenándolos en grupos basados en el nivel de sensibilidad y las características compartidas. La clasificación de los datos permite a la organización aplicar las políticas de DLP adecuadas a los tipos de datos correctos. Por ejemplo, algunas organizaciones pueden agrupar los datos en función de su tipo: datos financieros, datos de marketing, propiedad intelectual, etc. Otras organizaciones podrían agrupar los datos en función de las normativas pertinentes, como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), etc.
Muchas soluciones DLP pueden automatizar la clasificación de datos. Estas herramientas pueden utilizar inteligencia artificial, aprendizaje automático y concordancia de patrones para analizar datos estructurados y no estructurados y determinar qué tipo de datos son, si son sensibles y qué políticas de DLP deben aplicarse.
Una vez clasificados los datos, el equipo de seguridad monitoriza cómo se manejan. Las herramientas DLP pueden usar varias técnicas para identificar y rastrear datos confidenciales en uso. Estas técnicas incluyen:
Coincidencia de datos, como comparar el contenido del archivo con los datos confidenciales conocidos.
Coincidencia de patrones, como la búsqueda de datos que siguen un formato determinado: por ejemplo, un número de nueve dígitos con el formato XXX-XX-XXXX podría ser un número de la seguridad social.
Análisis de contenido, como el uso de IA y aprendizaje automático para analizar un mensaje de correo electrónico para obtener información confidencial.
Detectar etiquetas y otros metadatos que identifican explícitamente un archivo como confidencial.
Cuando una herramienta DLP detecta que se están manejando datos confidenciales, busca infracciones de las políticas, comportamientos anómalos, vulnerabilidades del sistema y otros signos de posible pérdida de datos, como:
Fugas de datos, como un usuario que intenta compartir un archivo confidencial con alguien fuera de la organización.
Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo confidencial.
Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.
Cuando las soluciones DLP detectan infracciones de las políticas, pueden responder con medidas correctoras en tiempo real. Algunos ejemplos son:
Cifrado de datos a medida que circulan por la red
Terminar las transferencias de datos no autorizadas y bloquear el tráfico malicioso
Advertir a los usuarios de que están infringiendo las políticas
Marcar comportamientos sospechosos para que el equipo de seguridad los revise
Provocar problemas de autenticación adicionales antes de que los usuarios puedan interactuar con datos críticos
Algunas herramientas DLP también ayudan en la recuperación de datos, realizando copias de seguridad automáticas de la información para poder restaurarla tras una pérdida.
Las organizaciones también pueden tomar medidas más proactivas para aplicar políticas DLP. Una gestión eficaz de identidades y accesos (IAM) efectiva, que incluya políticas de control de acceso basadas en funciones, puede restringir el acceso a los datos a las personas adecuadas. Formar a los empleados sobre los requisitos de seguridad de datos y las mejores prácticas puede ayudar a evitar más pérdidas y fugas accidentales de datos antes de que se produzcan.
Las herramientas DLP suelen incluir cuadros de mando y funciones de elaboración de informes que los equipos de seguridad pueden utilizar para supervisar los datos confidenciales en toda la red. Esta documentación permite al equipo de seguridad hacer un seguimiento del rendimiento del programa de DLP a lo largo del tiempo, de modo que las políticas y estrategias puedan ajustarse según sea necesario.
Las herramientas DLP también pueden ayudar a las organizaciones a cumplir las normativas pertinentes manteniendo registros de sus iniciativas en materia de seguridad de datos. En caso de ciberataque o auditoría, la organización puede utilizar estos registros para demostrar que ha seguido los procedimientos de tratamiento de datos adecuados.
Las estrategias de DLP suelen estar estrechamente alineadas con los esfuerzos de cumplimiento de normativas. Muchas organizaciones elaboran sus políticas de DLP específicamente para cumplir con normas como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).
Los distintos reglamentos imponen normas diferentes para los distintos tipos de datos. Por ejemplo, la HIPAA establece normas para la información sanitaria personal, mientras que la PCI-DSS dicta cómo manejan las organizaciones los datos de las tarjetas de pago. Una empresa que recopila ambos tipos de datos probablemente necesitaría una política DLP separada para cada tipo a fin de cumplir con los requisitos de conformidad.
Muchas soluciones de DLP incluyen políticas de DLP preescritas alineadas con las diversas normas de seguridad de datos que las empresas pueden cumplir.
Proteja los datos confidenciales en las instalaciones y en la nube. IBM Security Guardium es una solución de seguridad de datos que se adapta a medida que cambia el entorno de amenazas, proporcionando una visibilidad, conformidad y protección completas durante todo el ciclo de vida de la seguridad de los datos.
Implementadas en local o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad e información de valor para investigar y corregir ciberamenazas, aplicar controles en tiempo real y gestionar la conformidad normativa.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para desencriptar y restaurar el acceso a los datos.
SIEM (información de seguridad y gestión de eventos) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.