Software de prevención de pérdida de datos

Concepto de protección contra la violación de datos

El software de prevención de pérdida de datos ( DLP ) detecta posibles violaciones de datos /transmisiones de exfiltración de datos y las previene mediante el monitoreo, ^[1] detectando y bloqueando datos confidenciales mientras están en uso (acciones de punto final), en movimiento ( tráfico de red ) y en reposo ( almacenamiento de datos ). ^[2]

Los términos " pérdida de datos " y " fuga de datos " están relacionados y a menudo se usan indistintamente. ^[3] Los incidentes de pérdida de datos se convierten en incidentes de fuga de datos en los casos en que los medios que contienen información confidencial se pierden y posteriormente son adquiridos por una parte no autorizada. Sin embargo, es posible que se produzca una fuga de datos sin perder los datos del lado de origen. Otros términos asociados con la prevención de fugas de datos son detección y prevención de fugas de información (ILDP), prevención de fugas de información (ILP), monitorización y filtrado de contenido (CMF), protección y control de la información (IPC) y sistema de prevención de extrusión (EPS), en contraposición al sistema de prevención de intrusiones .

Categorías

Los medios tecnológicos empleados para tratar los incidentes de fuga de datos se pueden dividir en categorías: medidas de seguridad estándar, medidas de seguridad avanzadas/inteligentes, control de acceso y cifrado y sistemas DLP designados, aunque actualmente solo se considera DLP a esta última categoría. ^[4] Los métodos DLP habituales para detectar actividades maliciosas o no deseadas y responder a ellas de forma mecánica son la detección y respuesta automáticas. La mayoría de los sistemas DLP se basan en reglas predefinidas para identificar y categorizar la información confidencial, lo que a su vez ayuda a los administradores de sistemas a centrarse en los puntos vulnerables. Después de eso, algunas áreas podrían tener salvaguardas adicionales instaladas.

Medidas estándar

Las medidas de seguridad estándar, como los cortafuegos , los sistemas de detección de intrusos (IDS) y el software antivirus , son productos comúnmente disponibles que protegen las computadoras contra ataques externos e internos. ^[5] El uso de un cortafuegos, por ejemplo, evita el acceso de personas externas a la red interna y un sistema de detección de intrusos detecta intentos de intrusión por parte de personas externas. Los ataques internos se pueden evitar mediante análisis antivirus que detectan caballos de Troya que envían información confidencial y mediante el uso de clientes ligeros que operan en una arquitectura cliente-servidor sin datos personales o confidenciales almacenados en un dispositivo cliente.

Medidas avanzadas

Las medidas de seguridad avanzadas emplean algoritmos de aprendizaje automático y razonamiento temporal para detectar acceso anormal a datos (por ejemplo, bases de datos o sistemas de recuperación de información) o intercambio anormal de correo electrónico, honeypots para detectar personal autorizado con intenciones maliciosas y verificación basada en actividad (por ejemplo, reconocimiento de la dinámica de pulsaciones de teclas) y monitoreo de la actividad del usuario para detectar acceso anormal a datos.

Sistemas DLP designados

Los sistemas designados detectan y previenen intentos no autorizados de copiar o enviar datos sensibles, intencional o involuntariamente, principalmente por parte de personal autorizado para acceder a la información sensible. Para clasificar cierta información como sensible, estos utilizan mecanismos, como la comparación exacta de datos, la identificación de datos estructurados , métodos estadísticos, comparación de reglas y expresiones regulares , léxicos publicados, definiciones conceptuales, palabras clave e información contextual como la fuente de los datos. ^[6]

Tipos

Red

La tecnología de red (datos en movimiento) se instala normalmente en los puntos de salida de la red cerca del perímetro. Analiza el tráfico de la red para detectar datos confidenciales que se envían en violación de las políticas de seguridad de la información . Múltiples puntos de control de seguridad pueden informar la actividad para que sea analizada por un servidor de administración central. ^[3] Un firewall de próxima generación (NGFW) o un sistema de detección de intrusiones (IDS) son ejemplos comunes de tecnología que se puede aprovechar para realizar capacidades de DLP en la red. ^{[7] [8]} Las capacidades de DLP de la red generalmente pueden verse socavadas por un actor de amenazas sofisticado mediante el uso de técnicas de enmascaramiento de datos, como el cifrado o la compresión. ^[9]

Punto final

Los sistemas de punto final (datos en uso) se ejecutan en estaciones de trabajo o servidores internos de los usuarios finales. Al igual que los sistemas basados ​​en red, la tecnología basada en puntos finales puede abordar las comunicaciones internas y externas. Por lo tanto, se puede utilizar para controlar el flujo de información entre grupos o tipos de usuarios (por ejemplo, " murallas chinas "). También pueden controlar las comunicaciones por correo electrónico y mensajería instantánea antes de que lleguen al archivo corporativo, de modo que una comunicación bloqueada (es decir, una que nunca se envió y, por lo tanto, no está sujeta a las reglas de retención) no se identificará en una situación de descubrimiento legal posterior. Los sistemas de punto final tienen la ventaja de que pueden monitorear y controlar el acceso a dispositivos físicos (como dispositivos móviles con capacidades de almacenamiento de datos) y, en algunos casos, pueden acceder a la información antes de que se encripte. Los sistemas de punto final también tienen acceso a la información necesaria para proporcionar una clasificación contextual; por ejemplo, la fuente o el autor que genera el contenido. Algunos sistemas basados ​​en puntos finales proporcionan controles de aplicación para bloquear los intentos de transmisión de información confidencial y proporcionar una respuesta inmediata al usuario. Deben instalarse en cada estación de trabajo de la red (normalmente a través de un agente DLP ), no se pueden utilizar en dispositivos móviles (por ejemplo, teléfonos móviles y PDA) o donde no se puedan instalar de forma práctica (por ejemplo, en una estación de trabajo en un cibercafé ). ^[10]

Nube

La nube ahora contiene una gran cantidad de datos críticos a medida que las organizaciones se transforman a tecnologías nativas de la nube para acelerar la colaboración en equipo virtual. Los datos que flotan en la nube también deben protegerse, ya que son susceptibles a ataques cibernéticos , fugas accidentales y amenazas internas. Cloud DLP monitorea y audita los datos, al mismo tiempo que brinda acceso y control de uso de datos mediante políticas. Establece una mayor visibilidad de extremo a extremo para todos los datos almacenados en la nube. ^[11]

Identificación de datos

La DLP incluye técnicas para identificar información confidencial o sensible. A veces confundida con el descubrimiento, la identificación de datos es un proceso mediante el cual las organizaciones utilizan una tecnología DLP para determinar qué buscar.

Los datos se clasifican como estructurados o no estructurados. Los datos estructurados residen en campos fijos dentro de un archivo, como una hoja de cálculo, mientras que los datos no estructurados se refieren a texto o medios de formato libre en documentos de texto, archivos PDF y videos. ^[12] Se estima que el 80 % de todos los datos no están estructurados y el 20 % están estructurados. ^[13]

Protección contra pérdida de datos (DLP)

En ocasiones, un distribuidor de datos proporciona datos confidenciales de forma involuntaria o intencionada a uno o más terceros, o los utiliza él mismo de forma no autorizada. Algún tiempo después, algunos de los datos se encuentran en un lugar no autorizado (por ejemplo, en la web o en el ordenador portátil de un usuario). El distribuidor debe entonces investigar el origen de la pérdida.

Datos en reposo

Los " datos en reposo " se refieren específicamente a la información que no se mueve, es decir, que existe en una base de datos o en un recurso compartido de archivos. Esta información es de gran preocupación para las empresas y las instituciones gubernamentales simplemente porque cuanto más tiempo se dejen los datos sin usar en el almacenamiento, más probabilidades hay de que sean recuperados por personas no autorizadas. La protección de dichos datos implica métodos como el control de acceso, el cifrado de datos y las políticas de retención de datos . ^[3]

Datos en uso

" Datos en uso " se refiere a los datos con los que el usuario está interactuando en ese momento. Los sistemas DLP que protegen los datos en uso pueden supervisar y marcar actividades no autorizadas. ^[3] Estas actividades incluyen capturas de pantalla, copiar/pegar, imprimir y enviar faxes que involucran datos confidenciales. Pueden ser intentos intencionales o no intencionales de transmitir datos confidenciales a través de canales de comunicación.

Datos en movimiento

Los " datos en movimiento " son datos que viajan a través de una red hasta un punto final. Las redes pueden ser internas o externas. Los sistemas DLP que protegen los datos en movimiento monitorean los datos confidenciales que viajan a través de una red mediante varios canales de comunicación. ^[3]

Véase también

• Seguridad informática
• Lista de software de respaldo
• Herramienta de eliminación de metadatos
• Detección y respuesta de puntos finales
• Seguridad de puntos finales

Referencias

1. Hayes, Read (2007), "Análisis de datos", Seguridad minorista y prevención de pérdidas , Palgrave Macmillan UK, págs. 137-143, doi :10.1057/9780230598546_9, ISBN 978-1-349-28260-9
2. "¿Qué es la prevención de pérdida de datos (DLP)? Una definición de prevención de pérdida de datos". Digital Guardian . 2020-10-01 . Consultado el 2020-12-05 .
3. Asaf Shabtai, Yuval Elovici, Lior Rokach, Una encuesta sobre soluciones para la detección y prevención de fugas de datos, Springer-Verlag New York Incorporated, 2012
4. Phua, C., Protección de las organizaciones frente a las violaciones de datos personales, Computer Fraud and Security, 1:13-18, 2009
5. BlogPoster (13 de mayo de 2021). "Medidas de prevención de pérdida de datos (DLP) estándar y avanzada: ¿cuál es la diferencia?". Servicios de soporte de TI gestionados de Logix Consulting Seattle . Consultado el 28 de agosto de 2022 .
6. Ouellet, E., Cuadrante mágico para la prevención de pérdida de datos basada en contenido, Informe técnico, RA4 06242010, Gartner RAS Core Research, 2012
7. "¿Qué es un firewall de próxima generación (NGFW)?". Cisco . 2022-01-02. Archivado desde el original el 2022-11-05 . Consultado el 2023-01-02 .
8. "¿Qué es la prevención de pérdida de datos (DLP)? [Guía para principiantes] | CrowdStrike". CrowdStrike . 2022-09-27. Archivado desde el original el 2022-12-06 . Consultado el 2023-01-02 .
9. Seltzer, Larry (18 de marzo de 2019). «Tres formas de monitorear el tráfico de red cifrado para detectar actividad maliciosa». CSO Online . Archivado desde el original el 20 de septiembre de 2022. Consultado el 2 de enero de 2023 .
10. "Prueba grupal: DLP" (PDF) . Revista SC . Marzo de 2020. Archivado desde el original (PDF) el 7 de septiembre de 2021 . Consultado el 7 de septiembre de 2021 .
11. Pasquier, Thomas; Bacon, Jean; Singh, Jatinder; Eyers, David (6 de junio de 2016). "Control de acceso centrado en datos para computación en la nube". Actas del 21.º Simposio de la ACM sobre modelos y tecnologías de control de acceso. SACMAT '16. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 81–88. doi :10.1145/2914642.2914662. ISBN 978-1-4503-3802-8.S2CID316676  .​
12. "PC Mag - Datos no estructurados". Computer Language Co. 2024. Consultado el 14 de enero de 2024 .
13. Brian E. Burke, “Encuesta sobre protección y control de la información: tendencias en prevención de pérdida de datos y cifrado”, IDC, mayo de 2008