10 mejores prácticas esenciales para su política de Data Loss Prevention (DLP)

Toda organización, independientemente de su tamaño o industria, necesita una estrategia de prevención de pérdida de datos (DLP) para evitar que los datos sean accedidos o eliminados de manera inapropiada. La estrategia debe centrarse en la protección de datos valiosos, sensibles o regulados, como registros médicos, datos financieros y propiedad intelectual. DLP generalmente involucra tanto tecnologías como políticas. Por ejemplo, técnicas comunes incluyen configurar las estaciones de trabajo de los usuarios para bloquear el uso de dispositivos USB y tener políticas formales con respecto al compartir datos confidenciales a través de correo electrónico.

Para una protección más completa, muchas organizaciones implementan un sistema de prevención de pérdida de datos, que puede ayudarles a:

• Controle los permisos para acceder a los activos de información
• Monitoree la actividad exitosa y fallida en estaciones de trabajo, servidores y redes, incluyendo quién está leyendo o copiando qué archivos o tomando capturas de pantalla
• Audite los flujos de información dentro y fuera de la organización, incluyendo aquellos desde ubicaciones remotas utilizando laptops y otros dispositivos móviles
• Controle el número de canales de transferencia de información (como el uso de memorias USB y aplicaciones de mensajería instantánea), incluyendo la intercepción y bloqueo de flujos de datos salientes

Creando una política de prevención de pérdida de datos

Para crear su política de prevención de pérdida de datos, necesita determinar el nivel de protección requerido. Por ejemplo, ¿su objetivo es detectar intentos de acceso no autorizados o monitorear todas las acciones de los usuarios?

Parámetros básicos

Aquí están los parámetros básicos que debe definir:

• ¿Qué datos organizativos necesitan protección? Identifique exactamente qué contenido necesita protección. Ejemplos incluyen números de Seguro Social (SSNs), información de tarjetas de crédito, secretos comerciales, planos, datos financieros e información personal identificable (PII). Asegúrese de considerar si su organización está sujeta a alguna política de cumplimiento; de ser así, debe proteger todos los datos descritos en la plantilla de política.
• Dónde reside esa información. Para proteger los datos, es necesario identificar todos los lugares donde pueden encontrarse, incluyendo unidades de red compartidas, bases de datos, almacenamientos en la nube, correo electrónico, aplicaciones de mensajería instantánea y discos duros. Si los empleados pueden usar sus propios dispositivos para acceder a su entorno de TI, los datos en esos dispositivos también deben estar protegidos.
• Condiciones para acceder a diferentes tipos de datos. Diferentes tipos de datos requieren diferentes niveles de protección. Por ejemplo, las organizaciones comparten algunos datos libremente con el público, mientras que otros datos son ultrasecretos y solo deben estar disponibles para unos pocos individuos seleccionados. Las etiquetas digitales y las marcas de agua te ayudarán a asignar el acceso apropiado a cada pieza de datos.
• Acciones a tomar en caso de seguridad de la información Especifique los pasos a seguir cuando se detecte actividad sospechosa y quién es responsable de cada uno de ellos. Recuerde que las soluciones de DLP a menudo pueden responder automáticamente, como bloquear la operación o enviar una notificación al servicio de seguridad.
• Qué información debe archivarse y cuándo. Su política de DLP debe detallar las reglas para archivar datos, como su rastro de auditoría e información sobre incidentes de seguridad informática. Recuerde que necesita proteger su sistema de archivo contra atacantes externos y amenazas internas, como un administrador de sistemas que podría alterar registros en el archivo.
• Threat Su política debería considerar posibles escenarios de fuga y evaluar tanto la probabilidad de su ocurrencia como el daño que podrían ocasionar.

Estados de los datos

Al definir su política, recuerde considerar los datos en todas sus formas:

• Datos en reposo — Información almacenada en bases de datos, repositorios en la nube, computadoras, portátiles, dispositivos móviles y así sucesivamente
• Datos en movimiento — Datos que se están transmitiendo entre partes (por ejemplo, durante transacciones de pago)
• Datos en uso — Datos con los que los usuarios están trabajando activamente y posiblemente modificando

Aplique este conocimiento para ayudar a definir los flujos de datos en su organización y las rutas de transmisión permitidas para diferentes tipos de documentos. Cree reglas que especifiquen las condiciones para el procesamiento, modificación, copia, impresión y otro uso de estos datos. Asegúrese de incluir procesos de negocio realizados dentro de aplicaciones y programas que acceden a datos confidenciales.

Preocupaciones legales y relacionadas

Asegúrese de evaluar las posibles ramificaciones legales de su política de DLP. En particular, grabar en video las acciones de los empleados podría considerarse una violación de sus derechos constitucionales, y las falsas alertas de su sistema DLP pueden generar conflictos con empleados cuyas acciones legítimas son marcadas como sospechosas. Las opciones para abordar estas preocupaciones podrían incluir la modificación de los acuerdos de empleo y la capacitación de los empleados sobre las políticas de seguridad.

Cómo funcionan las soluciones DLP

Una vez que haya creado una política de DLP en papel, puede concentrarse en configurar las políticas apropiadas en su sistema de DLP. Por lo general, un sistema de DLP tiene un conjunto de reglas específicas que son estrictamente seguidas por el programa. Cada regla consta de una condición y la acción a tomar cuando se cumple esa condición. Las reglas están clasificadas por prioridad, y el programa las procesa en ese orden. Algunas soluciones incluyen tecnologías de aprendizaje automático que generan o mejoran las reglas.

Por ejemplo, el proceso podría desarrollarse de la siguiente manera:

• Una regla identifica un incidente (por ejemplo, un usuario intenta enviar información sensible a través de un mensajero instantáneo).
• La solución bloquea el mensaje para que no sea enviado.
• La solución genera un informe con detalles del incidente, incluyendo al usuario involucrado, y lo envía a una dirección de correo electrónico especificada (como al oficial de seguridad informática) o lo almacena en una ubicación compartida específica, según lo establecido en su política de DLP.

Técnicas de detección

La funcionalidad principal de un sistema DLP es detectar información confidencial en un flujo de datos. Diferentes sistemas utilizan distintos métodos, incluyendo los siguientes:

• Creando huellas digitales de información protegida
• Asignación de etiquetas a la información
• Buscando ciertas palabras clave y expresiones regulares que se encuentran a menudo en varios tipos de documentos sensibles (como contratos o estados financieros)
• Usando análisis de texto

Naturalmente, la precisión es crítica. Los falsos negativos — no detectar información que realmente es sensible — pueden llevar a fugas no detectadas. Los falsos positivos — alertar sobre datos que no son realmente sensibles — desperdician los recursos del equipo de seguridad y conducen a conflictos con usuarios falsamente acusados de comportamiento inapropiado. Por lo tanto, deberías buscar una solución DLP que minimice tanto los falsos negativos como los falsos positivos.

Mejores prácticas de prevención de pérdida de datos

La prevención de pérdida de datos (DLP) y las técnicas de auditoría deben utilizarse para hacer cumplir continuamente las políticas de uso de datos. El objetivo es saber cómo se están utilizando realmente los datos, a dónde van o han ido, y si esto cumple con los estándares de políticas de cumplimiento como GDPR o no. Cuando se detecta un evento sospechoso, se deben enviar notificaciones en tiempo real a los administradores para que puedan investigar. Los infractores deben enfrentar las consecuencias definidas en la política de seguridad de datos.

Las siguientes mejores prácticas de prevención de pérdida de datos te ayudarán a proteger tus datos sensibles de amenazas internas y externas:

1. Identifique y clasifique los datos sensibles.

Para proteger los datos de manera efectiva, necesitas saber exactamente qué tipos de datos tienes. La tecnología de descubrimiento de datos escaneará tus repositorios de datos e informará sobre los hallazgos, brindándote visibilidad sobre qué contenido necesitas proteger. Los motores de descubrimiento de datos generalmente utilizan regular expressions para sus búsquedas; son muy flexibles pero bastante complicados de crear y ajustar.

El uso de tecnología de descubrimiento de datos y data classification ayuda a controlar el acceso de los usuarios a los datos y evitar almacenar datos sensibles en ubicaciones inseguras, reduciendo así el riesgo de fugas de datos y pérdida de datos. Todos los datos críticos o sensibles deben estar claramente etiquetados con una firma digital que denote su clasificación, para que puedas protegerlos de acuerdo con su valor para la organización. Herramientas de terceros, como Netwrix Data Classification, pueden facilitar y hacer más precisa la tarea de descubrimiento y clasificación de datos.

A medida que se crea, modifica, almacena o transmite la información, la clasificación puede ser actualizada. Sin embargo, deben existir controles para evitar que los usuarios falsifiquen los niveles de clasificación. Por ejemplo, solo los usuarios privilegiados deberían poder rebajar la clasificación de los datos.

Siga estas directrices para crear una fuerte política de clasificación de datos. Y no olvide realizar el descubrimiento y clasificación de datos como parte de su proceso de evaluación de riesgos de TI.

Listas de control de acceso

Una lista de control de acceso (ACL) es una lista de quién puede acceder a qué recurso y en qué nivel. Puede ser una parte interna de un sistema operativo o aplicación. Por ejemplo, una aplicación personalizada podría tener una ACL que enumera qué usuarios tienen qué permisos en ese sistema.

Las ACL pueden basarse en listas blancas o listas negras. Una lista blanca es una lista de elementos que están permitidos, como una lista de sitios web a los que los usuarios pueden acceder usando computadoras de la empresa o una lista de soluciones de software de terceros que están autorizadas para instalarse en las computadoras de la empresa. Las listas negras son listas de cosas que están prohibidas, como sitios web específicos a los que no se permite que los empleados accedan o software que está prohibido instalar en las computadoras de los clientes.

Las listas blancas se utilizan más comúnmente y se configuran a nivel del sistema de archivos. Por ejemplo, en Microsoft Windows, puedes configure NTFS permissions y crear listas de control de acceso NTFS a partir de ellas. Puedes encontrar más información sobre cómo configurar correctamente los permisos NTFS en esta lista de NTFS permissions management best practices. Recuerda que los controles de acceso deben implementarse en cada aplicación que tenga control de acceso basado en roles (RBAC); ejemplos incluyen Active Directory groups y delegación.

2. Utilice el cifrado de datos.

Todos los datos críticos del negocio deben estar cifrados mientras estén en reposo o en tránsito. Los dispositivos portátiles deben usar soluciones de disco cifrado si van a contener algún dato importante.

Cifrar los discos duros de computadoras y portátiles ayudará a evitar la pérdida de información crítica incluso si los ataques obtienen acceso al dispositivo. La forma más básica de cifrar datos en tus sistemas Windows es la tecnología Encrypting File System (EFS). Cuando un usuario autorizado abre un archivo cifrado, EFS descifra el archivo en segundo plano y proporciona una copia sin cifrar a la aplicación. Los usuarios autorizados pueden ver o modificar el archivo, y EFS guarda los cambios de manera transparente como datos cifrados. Pero los usuarios no autorizados no pueden ver el contenido de un archivo incluso si tienen acceso completo al dispositivo; recibirán un error de “Acceso denegado”, evitando así una violación de datos.

Otra tecnología de cifrado de Microsoft es BitLocker. BitLocker complementa EFS al proporcionar una capa adicional de protección para los datos almacenados en dispositivos Windows. BitLocker protege los dispositivos endpoint que se pierden o son robados contra el robo o exposición de datos, y ofrece una eliminación segura de datos cuando das de baja un dispositivo.

Cifrado basado en hardware

Además de la encriptación basada en software, se puede aplicar la encriptación basada en hardware. Dentro de las configuraciones avanzadas en algunos menús de configuración del BIOS, puedes elegir habilitar o deshabilitar un módulo de plataforma confiable (TPM), que es un chip que puede almacenar claves criptográficas, contraseñas o certificados. Un TPM puede ayudar con la generación de claves hash y puede proteger dispositivos además de las PC, como los smartphones. Puede generar valores utilizados con la encriptación de disco completo, como BitLocker. Un chip TPM puede ser instalado en la placa base.

3. Refuerce sus sistemas.

Cualquier lugar donde puedan residir datos sensibles, incluso de manera temporal, debe ser asegurado en base a los tipos de información a los que ese sistema podría tener acceso potencialmente. Esto incluye todos los sistemas externos que podrían obtener acceso a la red interna a través de una conexión remota con privilegios significativos, ya que una red es tan segura como su eslabón más débil. Sin embargo, la usabilidad todavía debe ser una consideración, y se debe determinar un equilibrio adecuado entre funcionalidad y seguridad.

Baselining del sistema operativo

El primer paso para asegurar tus sistemas es asegurarte de que la configuración del sistema operativo sea lo más segura posible. De fábrica, la mayoría de los sistemas operativos vienen con servicios innecesarios que ofrecen a los atacantes vías adicionales de compromiso. Los únicos programas y servicios en escucha que deberían estar habilitados son aquellos que son esenciales para que tus empleados realicen sus trabajos. Si algo no tiene un propósito empresarial, debería estar deshabilitado. También puede ser beneficioso crear una imagen de sistema operativo base segura que se utilice para el empleado típico. Si alguien necesita funcionalidades adicionales, habilita esos servicios o programas caso por caso. Los sistemas operativos Windows y Linux tendrán cada uno sus configuraciones base únicas.

4. Implemente una estrategia rigurosa de gestión de parches.

Asegurar que todos los sistemas operativos y aplicaciones en su entorno de TI estén actualizados es esencial para la protección de datos y la ciberseguridad. Mientras que algunas cosas, como las actualizaciones de las firmas para herramientas antivirus, pueden ser automatizadas, los parches para infraestructura crítica necesitan ser probados exhaustivamente para asegurar que no se comprometa ninguna funcionalidad y no se introduzcan vulnerabilidades en el sistema.

5. Asignar roles.

Defina claramente el papel de cada individuo involucrado en la estrategia de prevención de pérdida de datos. Especifique quién es el propietario de qué datos, qué oficiales de seguridad informática son responsables de qué aspectos de las investigaciones de incidentes de seguridad y así sucesivamente.

6. Automatice tanto como sea posible.

Cuanto más automatizados sean los procesos de DLP, más ampliamente podrás implementarlos en toda la organización. Los procesos manuales de DLP están inherentemente limitados en alcance y no pueden escalar para satisfacer las necesidades de ningún entorno de TI, excepto los más pequeños.

7. Utilice la detección de anomalías.

Para identificar comportamientos anormales de los usuarios, algunas soluciones modernas de DLP complementan el análisis estadístico simple y las reglas de correlación con aprendizaje automático y análisis de comportamiento. Generar un modelo del comportamiento normal de cada usuario y grupo de usuarios permite una detección más precisa de actividades sospechosas que podrían resultar en fuga de datos.

8. Eduque a los interesados.

No basta con implementar una política de DLP. Invierta en concienciar a los interesados y usuarios de los datos sobre la política, su importancia y lo que deben hacer para proteger los datos de la organización.

9. Establezca métricas.

Mida la efectividad de su estrategia de DLP utilizando métricas como el porcentaje de falsos positivos, el número de incidentes y el tiempo medio de respuesta a incidentes.

10. No guarde datos innecesarios.

Una organización debe almacenar solo la información que es esencial. Los datos que no tienes no pueden perderse.