Construyendo un Programa Efectivo de Prevención de Pérdida de Datos

Los datos son el pilar fundamental de cualquier organización hoy en día, y por lo tanto, la pérdida de datos es una preocupación urgente tanto para los equipos de TI como para la alta dirección. La pérdida de datos tiene una amplia gama de causas, desde fallos en discos duros hasta fugas de datos provocadas por insiders maliciosos o hackers externos. Las consecuencias de la pérdida de datos también varían enormemente. Procesos de negocio cruciales pueden ser fácilmente interrumpidos, y que un documento crítico termine en manos de un competidor puede ser devastador. La organización también puede enfrentar multas por incumplimiento y pérdida de confianza de los clientes. Todos estos factores pueden perjudicar los ingresos, incluso hasta el punto de sacar a la empresa del mercado.

Para minimizar estos riesgos, cada organización necesita tener un plan de data loss prevention (DLP) que proteja los datos críticos.

Diseñando un programa efectivo de prevención de pérdida de datos

La prevención de la pérdida de datos eficaz requiere un enfoque amplio. Es importante no ceder a la tentación de elegir un solo programa de software y pensar que eso es suficiente. Los datos que está protegiendo son demasiado importantes y las posibles consecuencias de su pérdida son demasiado graves. A continuación se presentan los pasos necesarios para establecer un programa de DLP verdaderamente eficaz.

Paso 1: Obtener la aprobación ejecutiva.

Primero, asegure la aprobación del liderazgo, incluyendo a los jefes de todos los departamentos y divisiones que puedan verse afectados. Su apoyo es necesario para el éxito del programa.

Paso 2: Identifique y clasifique sus datos críticos.

Distinguir los datos críticos de los datos no críticos es quizás el paso más importante en la creación de un programa de prevención de pérdida de datos. Aquí hay algunos de los tipos de datos que podría necesitar identificar:

• Propiedad intelectual (IP)
• Documentos legales
• Documentos de planificación estratégica
• Datos de ventas
• Información del cliente
• Información de identificación personal (PII)
• Datos de marketing y pronósticos
• Documentación de operaciones
• Registros financieros
• Datos de recursos humanos
• Datos gubernamentales
• Contraseñas y otros datos de TI
• Datos sujetos a cualquier regulación de cumplimiento

Etiquete cada pieza de datos críticos con una firma digital que indique sus clasificaciones, para que sus diversas soluciones de software puedan manejarla adecuadamente.

Paso 3: Identificar amenazas y riesgos.

Modele la actividad en torno a cada tipo de dato crítico, incluyendo quién accede a él y qué hace con él. Identifique cualquier amenaza a la seguridad de cada pieza de datos. ¿Qué vulnerabilidades están presentes en cada punto del ciclo de vida de los datos? ¿Quién es responsable del uso seguro de los datos? ¿Tienen las herramientas que necesitan para protegerlos?

Detalle qué podría suceder si se pierden los datos. Asegúrese de considerar tanto los impactos directos en el negocio como las penalizaciones de cumplimiento.

Paso 4: Defina sus objetivos.

Especifique qué objetivos desea que el programa DLP logre, tales como:

• Identificación de riesgos y formas de abordarlos
• Protegiendo los datos en movimiento, en uso y en reposo
• Mantener los datos disponibles para su uso sin aumentar el riesgo
• Estandarización de procedimientos para seguridad, privacidad y cumplimiento

Paso 5: Crear procedimientos paso a paso.

Establezca procesos y políticas para el almacenamiento y manejo de datos críticos, así como planes de respuesta detallados para fugas de datos y otros incidentes de seguridad. La siguiente tabla ofrece algunas best practices probadas para el manejo seguro de datos críticos y sensibles; asegúrese de crear procedimientos para implementar cada una de ellas.

Fuente: https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/data-loss-prevention-next-steps.aspx

Paso 6: Evaluar los sistemas actuales y disponibles.

Considere si su hardware y software existentes pueden cumplir con sus objetivos de DLP. Recuerde que la mayoría de los sistemas de protección de datos no pueden clasificar los datos de manera precisa y consistente. Si sus sistemas actuales son insuficientes, evalúe otras soluciones, teniendo en cuenta tanto sus objetivos como su análisis de riesgo/costo. ¿Qué funcionalidades necesita y cuánto valen para usted?

Paso 7: Educar a todos.

Fomente la conciencia dentro de la organización sobre la importancia del programa de DLP. Incluya información sobre:

• Qué constituye datos críticos
• Cómo se debe manejar la información crítica en ciertas situaciones, incluyendo el uso de correo electrónico e internet
• Con qué leyes debe cumplir la empresa

Adapte la capacitación a las necesidades de los diferentes grupos de empleados y repítala regularmente. Asegúrese de evaluar periódicamente a sus usuarios y hacer seguimiento con las personas que no siguen los procedimientos adecuados.

Beneficios de un programa sólido de prevención de pérdida de datos

Cuanto mejor sea su programa de prevención de pérdida de datos, más seguros estarán sus datos. Además, estará mejor preparado para auditorías de cumplimiento, incluyendo aquellas relacionadas con las directrices de prevención de pérdida de datos del National Institute of Standards and Technology (NIST) para entidades federales. Los programas de DLP de NIST incluyen el Cybersecurity Framework, que incluye recomendaciones que apoyan el cumplimiento con otros sistemas regulatorios, como FISMA y HIPAA.

La piedra angular de DLP: clasificación automática de datos

La parte más importante de cualquier programa de prevención de pérdida de datos es la Netwrix Data Classification. A menos que sepas qué tipos de datos tienes, no puedes proteger esos datos adecuadamente.

Netwrix Data Classification ofrece la clasificación de datos precisa, consistente y flexible que necesita en su entorno de TI local, en la nube o híbrido.