El software de prevención de pérdida de datos ( DLP ) detecta posibles violaciones de datos /transmisiones de exfiltración de datos y las previene mediante el monitoreo, [1] detectando y bloqueando datos confidenciales mientras están en uso (acciones de punto final), en movimiento ( tráfico de red ) y en reposo ( almacenamiento de datos). ). [2]
Los términos " pérdida de datos " y " fuga de datos " están relacionados y, a menudo, se utilizan indistintamente. [3] Los incidentes de pérdida de datos se convierten en incidentes de fuga de datos en los casos en que los medios que contienen información confidencial se pierden y posteriormente son adquiridos por una parte no autorizada. Sin embargo, es posible una fuga de datos sin perder los datos del lado de origen. Otros términos asociados con la prevención de fuga de datos son detección y prevención de fugas de información (ILDP), prevención de fugas de información (ILP), monitoreo y filtrado de contenido (CMF), protección y control de información (IPC) y sistema de prevención de extrusión (EPS), a diferencia de Sistema de Prevención de Intrusión .
Los medios tecnológicos empleados para hacer frente a incidentes de fuga de datos se pueden dividir en categorías: medidas de seguridad estándar, medidas de seguridad avanzadas/inteligentes, control de acceso y cifrado y sistemas DLP designados, aunque actualmente solo la última categoría se considera DLP. [4] Los métodos DLP comunes para detectar actividades maliciosas o no deseadas y responder mecánicamente son la detección y respuesta automáticas. La mayoría de los sistemas DLP se basan en reglas predefinidas para identificar y categorizar información confidencial, lo que a su vez ayuda a los administradores del sistema a concentrarse en los puntos vulnerables. Después de eso, algunas áreas podrían tener instaladas protecciones adicionales.
Las medidas de seguridad estándar, como firewalls , sistemas de detección de intrusiones (IDS) y software antivirus , son productos comúnmente disponibles que protegen las computadoras contra ataques externos e internos. [5] El uso de un firewall, por ejemplo, impide el acceso de personas ajenas a la red interna y un sistema de detección de intrusiones detecta intentos de intrusión por parte de personas ajenas. Los ataques internos se pueden evitar mediante análisis antivirus que detectan caballos de Troya que envían información confidencial y mediante el uso de clientes ligeros que operan en una arquitectura cliente-servidor sin datos personales o confidenciales almacenados en un dispositivo cliente.
Las medidas de seguridad avanzadas emplean algoritmos de aprendizaje automático y razonamiento temporal para detectar accesos anormales a datos (p. ej., bases de datos o sistemas de recuperación de información) o intercambios anormales de correo electrónico, honeypots para detectar personal autorizado con intenciones maliciosas y verificación basada en actividades (p. ej., reconocimiento de la dinámica de pulsaciones de teclas). ) y monitoreo de la actividad del usuario para detectar accesos anormales a los datos.
Los sistemas designados detectan y previenen intentos no autorizados de copiar o enviar datos confidenciales, intencionalmente o no, principalmente por parte del personal autorizado a acceder a la información confidencial. Para clasificar cierta información como sensible, estos utilizan mecanismos, como la coincidencia exacta de datos, la toma de huellas dactilares de datos estructurados , métodos estadísticos, coincidencia de reglas y expresiones regulares , léxicos publicados, definiciones conceptuales, palabras clave e información contextual como la fuente de los datos. [6]
La tecnología de red (datos en movimiento) normalmente se instala en puntos de salida de la red cerca del perímetro. Analiza el tráfico de la red para detectar datos confidenciales que se envían en violación de las políticas de seguridad de la información . Múltiples puntos de control de seguridad pueden informar actividad para ser analizada por un servidor de administración central. [3] Un firewall de próxima generación (NGFW) o un sistema de detección de intrusos (IDS) son ejemplos comunes de tecnología que se pueden aprovechar para realizar capacidades DLP en la red. [7] [8] Las capacidades de DLP de la red generalmente pueden verse socavadas por un actor de amenazas sofisticado mediante el uso de técnicas de enmascaramiento de datos como el cifrado o la compresión. [9]
Los sistemas de punto final (datos en uso) se ejecutan en servidores o estaciones de trabajo internas del usuario final. Al igual que los sistemas basados en redes, la tecnología basada en terminales puede abordar las comunicaciones internas y externas. Por lo tanto, puede utilizarse para controlar el flujo de información entre grupos o tipos de usuarios (por ejemplo, ' murallas chinas '). También pueden controlar las comunicaciones por correo electrónico y mensajería instantánea antes de que lleguen al archivo corporativo, de modo que una comunicación bloqueada (es decir, una que nunca se envió y, por lo tanto, no está sujeta a reglas de retención) no será identificada en una situación de descubrimiento legal posterior. Los sistemas de punto final tienen la ventaja de que pueden monitorear y controlar el acceso a dispositivos físicos (como dispositivos móviles con capacidades de almacenamiento de datos) y, en algunos casos, pueden acceder a la información antes de que esté cifrada. Los sistemas de terminales también tienen acceso a la información necesaria para proporcionar una clasificación contextual; por ejemplo, la fuente o el autor que genera el contenido. Algunos sistemas basados en terminales proporcionan controles de aplicaciones para bloquear intentos de transmisión de información confidencial y proporcionar comentarios inmediatos al usuario. Deben instalarse en todas las estaciones de trabajo de la red (normalmente a través de un agente DLP ), no pueden usarse en dispositivos móviles (por ejemplo, teléfonos móviles y PDA) o donde no pueden instalarse en la práctica (por ejemplo, en una estación de trabajo de un cibercafé ). . [10]
La nube ahora contiene una gran cantidad de datos críticos a medida que las organizaciones se transforman hacia tecnologías nativas de la nube para acelerar la colaboración en equipo virtual. Los datos que flotan en la nube también deben protegerse, ya que son susceptibles a ataques cibernéticos , fugas accidentales y amenazas internas. Cloud DLP monitorea y audita los datos, al tiempo que proporciona control de acceso y uso de los datos mediante políticas. Establece una mayor visibilidad de un extremo a otro de todos los datos almacenados en la nube. [11]
DLP incluye técnicas para identificar información confidencial o sensible. A veces confundida con el descubrimiento, la identificación de datos es un proceso mediante el cual las organizaciones utilizan una tecnología DLP para determinar qué buscar.
Los datos se clasifican en estructurados o no estructurados. Los datos estructurados residen en campos fijos dentro de un archivo, como una hoja de cálculo, mientras que los datos no estructurados se refieren a texto o medios de formato libre en documentos de texto, archivos PDF y videos. [12] Se estima que el 80% de todos los datos no están estructurados y el 20% están estructurados. [13]
A veces, un distribuidor de datos, sin darse cuenta o sin darse cuenta, proporciona datos confidenciales a uno o más terceros, o los utiliza ellos mismos de manera autorizada. Algún tiempo después, algunos de los datos se encuentran en un lugar no autorizado (por ejemplo, en la web o en la computadora portátil de un usuario). El distribuidor debe entonces investigar el origen de la pérdida.
" Datos en reposo " se refiere específicamente a información que no se mueve, es decir, que existe en una base de datos o en un archivo compartido. Esta información es de gran preocupación para las empresas y las instituciones gubernamentales simplemente porque cuanto más tiempo se dejan los datos sin utilizar almacenados, más probable es que personas no autorizadas los recuperen. La protección de dichos datos implica métodos como el control de acceso, el cifrado de datos y las políticas de retención de datos . [3]
" Datos en uso " se refiere a los datos con los que el usuario interactúa actualmente. Los sistemas DLP que protegen los datos en uso pueden monitorear y señalar actividades no autorizadas. [3] Estas actividades incluyen operaciones de captura de pantalla, copiar y pegar, imprimir y enviar faxes que involucran datos confidenciales. Pueden ser intentos intencionales o no intencionales de transmitir datos confidenciales a través de canales de comunicación.
" Datos en movimiento " son datos que atraviesan una red hasta un punto final. Las redes pueden ser internas o externas. Los sistemas DLP que protegen los datos en movimiento monitorean los datos confidenciales que viajan a través de una red a través de varios canales de comunicación. [3]