El software de prevención de pérdida de datos ( DLP ) detecta posibles filtraciones de datos y las previene mediante el monitoreo, [1] detectando y bloqueando datos confidenciales mientras están en uso (acciones de punto final), en movimiento ( tráfico de red ) y en reposo ( almacenamiento de datos ). [2]
Los términos " pérdida de datos " y " fuga de datos " están relacionados y a menudo se usan indistintamente. [3] Los incidentes de pérdida de datos se convierten en incidentes de fuga de datos en los casos en que los medios que contienen información confidencial se pierden y posteriormente son adquiridos por una parte no autorizada. Sin embargo, es posible que se produzca una fuga de datos sin perder los datos del lado de origen. Otros términos asociados con la prevención de fugas de datos son detección y prevención de fugas de información (ILDP), prevención de fugas de información (ILP), monitorización y filtrado de contenido (CMF), protección y control de la información (IPC) y sistema de prevención de extrusión (EPS), en contraposición al sistema de prevención de intrusiones .
Los medios tecnológicos empleados para tratar los incidentes de fuga de datos se pueden dividir en categorías: medidas de seguridad estándar, medidas de seguridad avanzadas/inteligentes, control de acceso y cifrado y sistemas DLP designados, aunque actualmente solo se considera DLP a esta última categoría. [4] Los métodos DLP habituales para detectar actividades maliciosas o no deseadas y responder a ellas de forma mecánica son la detección y respuesta automáticas. La mayoría de los sistemas DLP se basan en reglas predefinidas para identificar y categorizar la información confidencial, lo que a su vez ayuda a los administradores de sistemas a centrarse en los puntos vulnerables. Después de eso, algunas áreas podrían tener salvaguardas adicionales instaladas.
Las medidas de seguridad estándar, como los cortafuegos , los sistemas de detección de intrusos (IDS) y el software antivirus , son productos comúnmente disponibles que protegen las computadoras contra ataques externos e internos. [5] El uso de un cortafuegos, por ejemplo, evita el acceso de personas externas a la red interna y un sistema de detección de intrusos detecta intentos de intrusión por parte de personas externas. Los ataques internos se pueden evitar mediante análisis antivirus que detectan caballos de Troya que envían información confidencial y mediante el uso de clientes ligeros que operan en una arquitectura cliente-servidor sin datos personales o confidenciales almacenados en un dispositivo cliente.
Las medidas de seguridad avanzadas emplean algoritmos de aprendizaje automático y razonamiento temporal para detectar acceso anormal a datos (por ejemplo, bases de datos o sistemas de recuperación de información) o intercambio anormal de correo electrónico, honeypots para detectar personal autorizado con intenciones maliciosas y verificación basada en actividades (por ejemplo, reconocimiento de la dinámica de pulsaciones de teclas) y monitoreo de la actividad del usuario para detectar acceso anormal a datos.
Los sistemas designados detectan y previenen intentos no autorizados de copiar o enviar datos sensibles, intencional o involuntariamente, principalmente por parte de personal autorizado para acceder a la información sensible. Para clasificar cierta información como sensible, estos utilizan mecanismos, como la comparación exacta de datos, la identificación de datos estructurados , métodos estadísticos, comparación de reglas y expresiones regulares , léxicos publicados, definiciones conceptuales, palabras clave e información contextual como la fuente de los datos. [6]
La tecnología de red (datos en movimiento) se instala normalmente en los puntos de salida de la red cerca del perímetro. Analiza el tráfico de la red para detectar datos confidenciales que se envían en violación de las políticas de seguridad de la información . Múltiples puntos de control de seguridad pueden informar la actividad para que sea analizada por un servidor de administración central. [3] Un firewall de próxima generación (NGFW) o un sistema de detección de intrusiones (IDS) son ejemplos comunes de tecnología que se puede aprovechar para realizar capacidades de DLP en la red. [7] [8] Las capacidades de DLP de la red generalmente pueden verse socavadas por un actor de amenazas sofisticado mediante el uso de técnicas de enmascaramiento de datos, como el cifrado o la compresión. [9]
Los sistemas de punto final (datos en uso) se ejecutan en estaciones de trabajo o servidores internos de los usuarios finales. Al igual que los sistemas basados en red, la tecnología basada en puntos finales puede abordar las comunicaciones internas y externas. Por lo tanto, se puede utilizar para controlar el flujo de información entre grupos o tipos de usuarios (por ejemplo, " murallas chinas "). También pueden controlar las comunicaciones por correo electrónico y mensajería instantánea antes de que lleguen al archivo corporativo, de modo que una comunicación bloqueada (es decir, una que nunca se envió y, por lo tanto, no está sujeta a las reglas de retención) no se identificará en una situación de descubrimiento legal posterior. Los sistemas de punto final tienen la ventaja de que pueden monitorear y controlar el acceso a dispositivos físicos (como dispositivos móviles con capacidades de almacenamiento de datos) y, en algunos casos, pueden acceder a la información antes de que se encripte. Los sistemas de punto final también tienen acceso a la información necesaria para proporcionar una clasificación contextual; por ejemplo, la fuente o el autor que genera el contenido. Algunos sistemas basados en puntos finales proporcionan controles de aplicación para bloquear los intentos de transmisión de información confidencial y proporcionar una respuesta inmediata al usuario. Deben instalarse en cada estación de trabajo de la red (normalmente a través de un agente DLP ), no se pueden utilizar en dispositivos móviles (por ejemplo, teléfonos móviles y PDA) o donde no se puedan instalar de forma práctica (por ejemplo, en una estación de trabajo en un cibercafé ). [10]
La nube ahora contiene una gran cantidad de datos críticos a medida que las organizaciones se transforman a tecnologías nativas de la nube para acelerar la colaboración en equipo virtual. Los datos que flotan en la nube también deben protegerse, ya que son susceptibles a ataques cibernéticos , fugas accidentales y amenazas internas. Cloud DLP monitorea y audita los datos, al mismo tiempo que brinda acceso y control de uso de datos mediante políticas. Establece una mayor visibilidad de extremo a extremo para todos los datos almacenados en la nube. [11]
La DLP incluye técnicas para identificar información confidencial o sensible. A veces se confunde con el descubrimiento, la identificación de datos es un proceso mediante el cual las organizaciones utilizan una tecnología DLP para determinar qué buscar.
Los datos se clasifican como estructurados o no estructurados. Los datos estructurados residen en campos fijos dentro de un archivo, como una hoja de cálculo, mientras que los datos no estructurados se refieren a texto o medios de formato libre en documentos de texto, archivos PDF y videos. [12] Se estima que el 80 % de todos los datos no están estructurados y el 20 % están estructurados. [13]
En ocasiones, un distribuidor de datos proporciona datos confidenciales, de forma involuntaria o intencionada, a uno o más terceros o los utiliza de forma no autorizada. Algún tiempo después, algunos de los datos se encuentran en un lugar no autorizado (por ejemplo, en la web o en el ordenador portátil de un usuario). El distribuidor debe entonces investigar el origen de la pérdida.
Los " datos en reposo " se refieren específicamente a la información que no se mueve, es decir, que existe en una base de datos o en un recurso compartido de archivos. Esta información es de gran preocupación para las empresas y las instituciones gubernamentales simplemente porque cuanto más tiempo se dejen los datos sin usar en el almacenamiento, más probabilidades hay de que sean recuperados por personas no autorizadas. La protección de dichos datos implica métodos como el control de acceso, el cifrado de datos y las políticas de retención de datos . [3]
" Datos en uso " se refiere a los datos con los que el usuario está interactuando en ese momento. Los sistemas DLP que protegen los datos en uso pueden supervisar y marcar actividades no autorizadas. [3] Estas actividades incluyen capturas de pantalla, copiar/pegar, imprimir y enviar faxes que involucran datos confidenciales. Pueden ser intentos intencionales o no intencionales de transmitir datos confidenciales a través de canales de comunicación.
Los " datos en movimiento " son datos que viajan a través de una red hasta un punto final. Las redes pueden ser internas o externas. Los sistemas DLP que protegen los datos en movimiento monitorean los datos confidenciales que viajan a través de una red mediante varios canales de comunicación. [3]