La prevención de pérdida de datos (DLP) se refiere a las estrategias, procesos y tecnologías que utilizan los equipos de ciberseguridad para proteger los datos confidenciales contra el robo, la pérdida y el uso indebido.
Los datos son un diferenciador competitivo para muchos negocios, y la red corporativa promedio alberga un conjunto de secretos comerciales, datos personales de los clientes y otros tipos de información confidencial. Los piratas informáticos atacan esos datos para su propio beneficio, y las organizaciones a menudo tienen dificultades para impedir estos ataques.Puede ser difícil mantener seguros los datos críticos mientras cientos, si no miles, de usuarios autorizados acceden a ellos a través del almacenamiento en la nube y los repositorios locales todos los días.
Las estrategias y herramientas de DLP ayudan a las organizaciones a evitar fugas y pérdidas de datos mediante el seguimiento de los datos en toda la red y la aplicación de políticas de seguridad minuciosas. De esa manera, los equipos de seguridad pueden garantizar que solo las personas adecuadas puedan acceder a los datos correctos por las razones apropiadas.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
Regístrese para obtener el Índice X-Force Threat Intelligence
Los eventos de pérdida de datos a menudo se describen como filtraciones,fuga dedatos o exfiltración de datos. Los términos a veces se usan indistintamente, pero tienen significados diferentes.
Una filtración de datos es cualquier ataque cibernético u otro incidente de seguridad en el que partes no autorizadas obtienen acceso a datos o información confidencial. Esto incluye datos personales (por ejemplo, número de Seguridad Social, números de cuentas bancarias y datos de atención médica) o datos corporativos (por ejemplo, registros de clientes, propiedad intelectual y datos financieros). Según el informe Costo de una filtración de datos 2023 de IBM, la filtración promedio cuesta 4.45 millones de USD, un aumento del 15 % en los últimos tres años.
La fuga de datos es la exposición accidental de información o datos confidenciales al público. Laexfiltración de datos es un verdadero robo de datos, un atacante mueve o copia los datos de otra persona a un dispositivo bajo su control.
La pérdida de datos ocurre por muchas razones, pero las causas más comunes incluyen:
- Vulnerabilidades de seguridad
- Credenciales débiles o robadas
- Amenazas internas
- Malware
- Ingeniería social
- Robo de dispositivos físicos
- Vulnerabilidades deseguridad: debilidades o fallas en la estructura, el código o la implementación de una aplicación, dispositivo, red u otro activo de TI que los piratas informáticos pueden aprovechar. Estos incluyen errores de codificación, configuraciones erróneas y vulnerabilidades de día cero (debilidades desconocidas o aún no parcheadas).
Credenciales débiles o robadas - los hackers pueden adivinar fácilmente contraseñas u otras credenciales (por ejemplo, tarjetas de identificación) que roban los hackers o delincuentes cibernéticos.
Amenazasde usuarios internos: usuarios autorizados que ponen en riesgo los datos por descuido o intención maliciosa. Los usuarios internos maliciosos a menudo están motivados por un beneficio personal o un agravio hacia la empresa.
Malware: Malware:software creado específicamente para dañar un sistema informático o a sus usuarios. La forma más conocida de malware amenazante de datos es el ransomware, que cifra los datos para que no se pueda acceder a ellos, y exige un pago de rescate para proporcionar la clave de descifrado (y a veces un segundo pago para evitar que los datos se exfiltren o compartan con otros delincuentes cibernéticos) .
Ingeniería social :tácticas que engañan a las personas para que compartan datos que no deberían compartir. Esto puede ser tan ingenioso como un ataque de phishing que convence a un empleado para que envíe por correo electrónico datos confidenciales de los empleados, o tan poco ingenioso como dejar una memoria USB infectada con malware donde alguien pueda encontrarla y utilizarla.
Robo dedispositivo físico: robar una computadora portátil, teléfono inteligente u otro dispositivo que le otorgue al ladrón acceso a la red y permiso para acceder a los datos.
Las organizaciones crean estrategias formales de DLP para protegerse contra todo tipo de pérdida de datos. En el núcleo de una estrategia de DLP hay un conjunto de políticas de DLP que definen cómo deben manejar los usuarios los datos empresariales. Las políticas de DLP abarcan prácticas clave de seguridad de los datos, como dónde almacenarlos, quién puede acceder a ellos, cómo utilizarlos y cómo establecer controles de seguridad en torno a ellos.
En lugar de redactar una sola política para todos los datos, los equipos de seguridad de la información suelen crear diferentes políticas para los diferentes tipos de datos en sus redes. Esto se debe a que los diferentes tipos de datos a menudo necesitan manejarse de manera diferente.
Por ejemplo, la información de identificación personal (PII), como los números de tarjetas de crédito y las direcciones residenciales, generalmente está sujeta a las regulaciones de seguridad de datos que dictan lo que una empresa puede hacer con ella. Por otro lado, la empresa es libre respecto de lo que hace con su propiedad intelectual (PI). Además, las personas que necesitan acceso a la PII pueden no ser las mismas que necesitan acceso a la IP de la empresa. Ambos tipos de datos deben protegerse, pero de diferentes maneras.
Los equipos de seguridad crean varias políticas DLP minuciosas para poder aplicar los estándares de seguridad adecuados a cada tipo de datos sin interferir con el comportamiento aprobado de los usuarios finales autorizados. Las organizaciones revisan estas políticas regularmente para mantenerse al día con los cambios en las regulaciones relevantes, la red empresarial y las operaciones de negocio.
Aplicar manualmente las políticas de DLP puede ser difícil, si no imposible. No solo hay diferentes conjuntos de datos sujetos a diferentes reglas, sino que las organizaciones también deben supervisar cada pieza de datos en toda la red, incluyendo
Datos en uso:datos a los que se tiene acceso o se procesan; por ejemplo, datos que se utilizan para análisis o cálculos, o un documento de texto que está editando un usuario final.
Datos en movimiento: datos que se mueven a través de una red, como los datos transmitidos por un servidor de transmisión de eventos o una aplicación de mensajería.
Datos en reposo - datos en almacenamiento, como datos almacenados en una unidad en la nube.
Debido a que la aplicación de políticas de DLP requiere visibilidad continua de los datos en toda la organización, los equipos de seguridad de la información suelen confiar en herramientas de software DLP especializadas para garantizar que los usuarios sigan las políticas de seguridad de datos. Estas herramientas de DLP pueden automatizar funciones clave, como identificar datos confidenciales, rastrear su uso y bloquear el acceso ilícito.
Las soluciones DLP suelen funcionar en conjunto con otros controles de seguridad para proteger los datos. Por ejemplo, los firewalls pueden ayudar a detener el tráfico malicioso que entra y sale de las redes. Los sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar a detectar comportamientos anómalos que quizá señalen fugas de datos. Las soluciones de detección y respuesta extendidas (XDR) permiten a las organizaciones dar respuestas sólidas y automatizadas a las filtraciones de datos.
Existen tres tipos principales de soluciones de DLP: DLP de red, de endpoint y en la nube. Las organizaciones pueden optar por utilizar un tipo de solución o una combinación de varias soluciones, dependiendo de sus necesidades y cómo se almacenan sus datos.
Las soluciones DLP de red se centran en cómo pasan, entran y salen los datos de una red. A menudo utilizan inteligencia artificial (IA) y aprendizaje automático para detectar flujos de tráfico anómalos que podrían indicar una fuga o pérdida de datos. Si bien las herramientas DLP de red están diseñadas para monitorear datos en movimiento, muchas también pueden ofrecer visibilidad de los datos en uso y en reposo en la red.
Las herramientas DLP de endpoint supervisan la actividad en computadoras portátiles, servidores, dispositivos móviles y otros dispositivos que acceden a la red. Estas soluciones se instalan directamente en los dispositivos que supervisan y pueden impedir que los usuarios realicen acciones prohibidas en ellos. Algunas herramientas DLP de endpoint también pueden bloquear las transferencias de datos no aprobadas entre dispositivos.
Las soluciones de DLP en la nube se centran en los datos almacenados y a los que acceden los servicios en la nube. Pueden escanear, clasificar, supervisar y cifrar datos en repositorios en la nube. Estas herramientas también pueden ayudar a aplicar políticas de control de acceso a usuarios finales individuales y a cualquier servicio en la nube con acceso a los datos de la empresa.
Los equipos de seguridad siguen un proceso de cuatro pasos para poner en práctica las políticas de DLP, y las herramientas de DLP desempeñan un papel importante en cada paso.
En primer lugar, la organización cataloga todos sus datos estructurados y no estructurados. Los datos estructurados tienen una forma estandarizada. Por lo general, están claramente etiquetados y almacenados en una base de datos. Los números de tarjetas de crédito son un ejemplo de datos estructurados: siempre tienen 16 dígitos. Los datos no estructurados son información libre, como documentos de texto o imágenes.
Los equipos de seguridad suelen usar herramientas DLP para llevar a cabo este paso. Estas herramientas a menudo pueden escanear toda la red para encontrar datos dondequiera que estén almacenados: en la nube, en endpoints físicos, en los dispositivos personales de los empleados y en otros lugares.
A continuación, la organización clasifica esos datos, clasificándolos en grupos según el nivel de confidencialidad y las características compartidas. La clasificación de datos permite a la organización aplicar las políticas de DLP adecuadas a los tipos de datos correctos. Por ejemplo, algunas organizaciones pueden agrupar datos con base en su tipo: datos financieros, datos de marketing, propiedad intelectual, etc. Otras organizaciones pueden agrupar datos con base en regulaciones relevantes, como el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Norma de seguridad del sector de tarjetas de pago (PCI DSS), etc.
Muchas soluciones DLP pueden automatizar la clasificación de datos. Estas herramientas pueden usar inteligencia artificial, aprendizaje automático y coincidencia de patrones para analizar datos estructurados y no estructurados y así determinar qué tipo de datos son, si son o no confidenciales y qué políticas de DLP deben aplicarse.
Una vez clasificados los datos, el equipo de seguridad supervisa cómo se manejan. Las herramientas DLP pueden usar varias técnicas para identificar y rastrear datos confidenciales en uso. Estas técnicas incluyen:
Coincidencia de datos, como la comparación del contenido del archivos con datos confidenciales conocidos.
Coincidencia de patrones, como la búsqueda de datos que siguen un formato determinado: por ejemplo, un número de nueve dígitos con el formato XXX-XX-XXXX podría ser un número de la seguridad social.
Análisis de contenido, como el uso de IA y aprendizaje automático para analizar un mensaje de correo electrónico en busca de información confidencial.
Detectar etiquetas y otros metadatos que identifican explícitamente un archivo como confidencial.
Cuando una herramienta de DLP detecta que se están manejando datos confidenciales, busca infracciones de las políticas, comportamientos anómalos, vulnerabilidades del sistema y otros signos de posible pérdida de datos, entre otros:
Fugas de datos, como un usuario que intenta compartir un archivo confidencial con alguien externo a la organización.
Usuarios no autorizados que intentan acceder a datos críticos o realizar acciones no aprobadas, como editar, borrar o copiar un archivo confidencial.
Firmas de malware, tráfico de dispositivos desconocidos u otros indicadores de actividad maliciosa.
Cuando las soluciones de DLP detectan infracciones de políticas, pueden responder con esfuerzos de corrección en tiempo real. Algunos ejemplos son:
Cifrar datos a medida que se mueve a través de la red
Terminar las transferencias de datos no autorizadas y bloquear el tráfico malicioso
Advertir a los usuarios que están infringiendo las políticas
Marcar comportamientos sospechosos para que el equipo de seguridad los revise
Desencadenar desafíos de autenticación adicionales antes de que los usuarios puedan interactuar con datos críticos
Algunas herramientas de DLP también ayudan con la recuperación de datos, haciendo copias de seguridad automáticas de la información para que pueda restaurarse después de una pérdida.
Las organizaciones también pueden tomar medidas más proactivas para hacer cumplir las políticas de DLP. Una gestión de identidad y acceso (IAM) eficaz, incluidas las políticas de control de acceso basadas en roles, pueden restringir el acceso a los datos a las personas adecuadas. Capacitar a los empleados sobre los requisitos de seguridad de datos y las mejores prácticas puede ayudar a prevenir más pérdidas y fugas accidentales de datos antes de que ocurran.
Las herramientas de DLP suelen contar con paneles y funciones de informes que los equipos de seguridad pueden usar para supervisar datos confidenciales en toda la red. Esta documentación permite al equipo de seguridad realizar un seguimiento del rendimiento del programa de DLP con el transcurso del tiempo para que las políticas y estrategias se puedan ajustar según sea necesario.
Las herramientas de DLP también pueden ayudar a las organizaciones a cumplir con las regulaciones relevantes al mantener registros de sus esfuerzos de seguridad de datos. En caso de un ciberataque o auditoría, la organización puede utilizar estos registros para demostrar que siguió los procedimientos de manejo de datos adecuados.
Las estrategias de DLP a menudo están estrechamente alineadas con los esfuerzos de cumplimiento. Muchas organizaciones elaboran sus políticas de DLP específicamente para cumplir con reglas como el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y el Payment Card Industry Data Security Standard (PCI-DSS).
Las diferentes regulaciones imponen diferentes estándares para diferentes tipos de datos. Por ejemplo, la HIPAA establece normas para la información de atención médica personal, mientras que la PCI-DSS dicta cómo deben manejar las organizaciones los datos de las tarjetas de pago. Es probable que una empresa que recopila ambos tipos de datos necesite una política de DLP separada para cada tipo a fin de satisfacer los requisitos de cumplimiento.
Muchas soluciones de DLP incluyen políticas de DLP prediseñadas y alineadas con los diversos estándares de seguridad de datos que las empresas pueden necesitar cumplir.
Proteja los datos confidenciales on premises y en la nube. IBM Security Guardium es una solución de seguridad de datos que se adapta a medida que cambia el entorno de amenazas, proporcionando una completa visibilidad, cumplimiento y protección durante todo el ciclo de vida de seguridad de los datos.
Implementadas de manera local o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad e información estratégica para investigar y corregir las amenazas cibernéticas, aplicar controles en tiempo real y administrar el cumplimiento regulatorio.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al atacante para descifrar y restaurar el acceso a los datos.
SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.