Prácticas recomendadas de DLP

El cambio a entornos de red dinámicos, el trabajo en remoto y la proliferación de los datos y las aplicaciones en la nube han convertido la seguridad de la información en un desafío complejo que supera con creces las capacidades de las estrategias tradicionales de "castillo con foso". Los ciberdelincuentes están explotando estas vulnerabilidades modernas, con lo que las organizaciones quedan expuestas a costosas brechas de datos y carencias de cumplimiento.

Según un informe, una de cada tres brechas de datos estuvieron relacionadas con datos en la sombra, y el coste medio de una brecha de datos alcanza los 4,88 millones de dólares. 

Las soluciones de prevención de pérdida de datos (DLP) que detectan y previenen el intercambio, la transferencia y el uso no autorizados de datos confidenciales se han vuelto esenciales para abordar el riesgo de datos en las empresas modernas. 

Sin embargo, solo con implementar una herramienta de software no se consigue que los datos estén totalmente seguros. Las organizaciones deben implementar la combinación adecuada de estrategia, procesos y tecnología para proteger los datos de las redes, los endpoints y la nube. 

En este artículo, revisaremos las prácticas recomendadas de DLP que ayudan a las organizaciones a reducir el riesgo relacionado con los datos y fortalecer su posición de seguridad.

Los tres tipos comunes de DLP

Los diferentes tipos de DLP ayudan a los equipos a proteger los datos en distintos casos de uso. En esta sección, abordaremos los tres tipos más populares de herramientas de DLP y cómo protegen los datos en tránsito, en reposo y en la nube. 

N.º 1: DLP de red

Las herramientas de DLP de red protegen los datos en tránsito. Estas soluciones pueden monitorizar el intercambio de archivos y otros tipos de tráfico de la red, como el correo electrónico y la mensajería digital. La DLP de red permite a los equipos detectar las infracciones de directivas de seguridad que se dan en la red en tiempo real y prevenir transmisiones de datos no autorizadas.

N.º 2: DLP de endpoints

La DLP de endpoints monitoriza servidores, repositorios en la nube y endpoints para proteger los datos en reposo contra a los usos indebidos o las filtraciones. Simplifica los requisitos de elaboración de informes y facilita que los equipos de seguridad de la información (InfoSec) mantengan el cumplimiento normativo. Las organizaciones también pueden usar la DLP de endpoints para detectar las subidas de datos a ubicaciones no autorizadas (de SaaS o la Web) y aplicar directivas de uso de dispositivos y restricciones de USB en toda la empresa. 

N.º 3: DLP en la nube

La DLP en la nube protege los datos que se almacenan o procesan en la nube. Las soluciones de DLP en la nube analizan continuamente la información para identificar y cifrar automáticamente los datos confidenciales antes de almacenarlos en la nube. Cuando detectan infracciones de directivas o comportamientos sospechosos, pueden notificarlas a los equipos de InfoSec. Además, la DLP en la nube protege las aplicaciones de software como servicio (SaaS) y el almacenamiento de infraestructura como servicio (IaaS) y ayuda a las organizaciones a abordar la shadow IT. 

Prácticas recomendadas para todo tipo de DLP

Aunque cada tipo de DLP tiene asociadas sus propias prácticas recomendadas (sobre las que hablaremos más adelante), hay una serie de prácticas esenciales que se recomiendan para todos los tipos de soluciones de DLP. Las siguientes prácticas recomendadas ayudan a los equipos a sacar el máximo partido de la DLP. 

N.º 1: Elaborar una directiva integral de DLP

Primero, las organizaciones deben determinar el alcance de sus datos. Después, pueden diseñar una directiva de seguridad que defina los datos confidenciales y los niveles de acceso para precisar quién puede usar los datos, así como especificar destinos autorizados y no autorizados para los datos. Por último, se deben establecer pasos de corrección y consecuencias de las infracciones de las directivas, y garantizar una respuesta ágil.

N.º 2: Identificar y clasificar los datos confidenciales 

Conocer la naturaleza de tus datos es fundamental antes de definir directivas para protegerlos. Recurre a herramientas y marcos automatizados para clasificar datos confidenciales como información personal identificable (PII), detalles de pagos u otra información financiera regulada. 

N.º 3: Actualizar y auditar los sistemas de DLP periódicamente

Las amenazas de datos son una batalla continua e implacable entre adversarios y defensores. Los equipos de InfoSec deben asegurarse de que sus directivas de seguridad estén siempre actualizadas para detectar y mitigar nuevas amenazas. 

N.º 4: Invertir en la formación y concienciación de los empleados

Forma con frecuencia al personal de toda la organización mediante cursos programados, seminarios y sesiones de información para que sean conscientes de cómo identificar los casos de pérdida de datos e informar de ellos. 

N.º 5: Implementar controles de acceso eficaces 

Aplica el principio del mínimo de privilegios (PoLP) para que los usuarios solo tengan acceso a los datos y recursos que necesitan para llevar a cabo su trabajo. Además, utiliza autenticación multifactor (MFA) y rota periódicamente los certificados y secretos para reducir la onda expansiva de un posible compromiso de credenciales. 

N.º 6: Coordinar la DLP con otras iniciativas empresariales

Las empresas deberían coordinar la DLP con sus objetivos empresariales para maximizar la rentabilidad de la inversión. Por ejemplo, correlacionar las iniciativas de DLP con los requisitos normativos ayuda a alcanzar tanto los objetivos de seguridad como de cumplimiento. Las organizaciones pueden realizar cambios en los sistemas para cumplir los criterios del RGPD, la HIPAA y la CCPA. Esto puede hacerse de forma paralela a la integración de la DLP para facilitar la transición a los equipos y mejorar la eficiencia operativa. 

Además, la DLP debe integrarse con marcos de seguridad más generales, como los de gestión de identidades y accesos (IAM) y Zero Trust para que la protección sea integral. Sin embargo, es importante hallar el equilibrio entre seguridad y usabilidad para que la integración de DLP no perjudique la productividad ni la colaboración internas. 

N.º 7: Medir y optimizar la efectividad de la DLP

Medir la eficacia de la DLP tras su integración es crucial. Tu organización debería hacer un seguimiento de métricas clave de DLP, como los incidentes de pérdida de datos, las transferencias de archivos bloqueadas, los intentos de acceso no autorizados y las tasas de cumplimiento normativo. Realizar pruebas y simulaciones periódicas ayuda a identificar vulnerabilidades y optimizar las respuestas a amenazas. 

Por ejemplo, realizar ejercicios de equipo rojo (en los que algunos empleados lanzan ataques de robo de datos) puede ayudar a evaluar la eficacia de la implementación de DLP. Las métricas y las valoraciones pueden servir de base para actualizar las directivas y los mecanismos de defensa, para que los protocolos de DLP se adapten a los cambios en el panorama de amenazas y las necesidades organizativas. 

Prácticas recomendadas de DLP de red

Cuando los circulan por redes intermedias y externas, son especialmente vulnerables a sufrir ataques de interceptación, de intermediario y de inyección de datos. Para que la DLP de red sea eficaz, se necesitan herramientas avanzadas de monitorización del tráfico y cifrado para proteger los datos en tránsito. 

N.º 1: Utilizar herramientas avanzadas de monitorización del tráfico

Para analizar los datos en tránsito de forma eficaz, suele ser necesario tener visibilidad de las payloads. Los equipos deberían utilizar herramientas con capacidades como las de inspección profunda de paquetes para analizar y monitorizar continuamente el tráfico de red.

N.º 2: Implementar la segmentación de red

La segmentación de red puede reducir la propagación de una brecha y limitar el daño que puede causar un atacante. Se deben aplicar restricciones para evitar la transmisión de datos confidenciales entre partes críticas y menos seguras de la red. La segmentación de red también contribuye directamente al cumplimiento de normativas como PCI-DSS, la HIPAA y el RGPD, que rigen el almacenamiento y la transmisión de datos confidenciales. 

N.º 3: Cifrar los datos confidenciales en tránsito 

Cuando los datos en tránsito no se cifran, las actividades de escucha son coser y cantar para los atacantes con acceso a la red. Los equipos deberían implementar estándares de cifrado, como la seguridad de la capa de transporte (TLS), para los datos en tránsito con el fin de limitar el riesgo de escuchas y ataques de intermediario. 

N.º 4: Detectar y bloquear las comunicaciones no autorizadas

Las alertas en tiempo real y los protocolos de respuesta deben configurarse para informar acerca de anomalías, como intentos frecuentes de acceder a datos, grandes transferencias de datos salientes o comunicaciones no autorizadas marcadas por direcciones IP desconocidas.

Prácticas recomendadas de DLP de endpoints

La DLP de endpoints es fundamental para velar por el cumplimiento de las restricciones de uso de dispositivos, así como para monitorizar la actividad de los usuarios y proteger los datos de la empresa. Las siguientes prácticas recomendadas pueden ayudar a las organizaciones a reducir el riesgo de datos en los endpoints. 

N.º 1: Aplicar directivas específicas por dispositivo

Define directivas de uso detalladas para todos los dispositivos que interactúan con datos de la empresa, como los portátiles, los ordenadores de escritorio y los dispositivos móviles. Estas directivas pueden utilizarse para restringir la conexión de dispositivos USB no autorizados o la subida de datos a ubicaciones web o aplicaciones de SaaS no autorizadas, así como para establecer requisitos de MFA.

N.º 2: Implementar herramientas de protección de endpoints

Los agentes implementados en dispositivos pueden proporcionar capacidades de seguridad sólidas que no son prácticas con soluciones sin agente. Utiliza agentes de endpoint para rastrear, monitorizar y controlar el uso de datos en dispositivos de la empresa, así como para detectar comportamientos sospechosos y aplicar las directivas de seguridad. 

N.º 3: Monitorizar el comportamiento de los usuarios

Monitoriza en tiempo real el comportamiento de los usuarios en todos los dispositivos para detectar actividades anómalas, como grandes transferencias de archivos, solicitudes de accesos no autorizados e intentos frecuentes de acceder a datos confidenciales de fuera del ámbito de trabajo. 

Prácticas recomendadas de DLP en la nube

Debido a la naturaleza dinámica de los entornos en la nube, la visibilidad y la seguridad de los datos son un reto. 

La DLP en la nube protege los datos en reposo y en tránsito en todo el entorno en la nube. Las siguientes prácticas recomendadas ayudan a los equipos a sacar el máximo partido a sus implementaciones de DLP en la nube.

N.º 1: Integrar la DLP con un agente de seguridad de acceso a la nube (CASB)

Los equipos deberían integrar la DLP en la nube con un CASB para obtener una visibilidad y un control totales sobre las aplicaciones de software como servicio (SaaS), los servicios en la nube y los datos almacenados. La integración entre DLP y CASB permite a las organizaciones proteger los datos en la nube e identificar amenazas de malware, ransomware y spyware, entre otras.

N.º 2: Protegerse contra la shadow IT

Gracias a SaaS, activar aplicaciones empresariales nuevas es más fácil que nunca. Lo malo es que también facilita a los empleados la incorporación de software no protegido ni gestionado por el equipo de TI. Por ello, integra la DLP en la nube para identificar y bloquear aplicaciones no autorizadas que podrían tratar de interactuar con los datos confidenciales alojados en la nube. 

N.º 3: Cifrar datos en reposo y en tránsito

El cifrado dificulta que los atacantes comprometan los datos y es relativamente fácil de implementar. Las organizaciones deberían adoptar el cifrado de extremo a extremo para proteger eficazmente los datos almacenados y en tránsito, lo cual refuerza la seguridad de los datos en toda la nube. 

N.º 4: Aplicar la IA y el aprendizaje automático para detectar anomalías 

Usa algoritmos de IA y aprendizaje automático para detectar y alertar a los equipos acerca de patrones de acceso sospechosos o intentos de exfiltración de datos. Estos algoritmos también aprenden patrones de comportamiento a partir de logs de servicios, aplicaciones, redes y almacenamiento para identificar automáticamente anomalías específicas de la organización. 

Toma el control de la seguridad de tus datos con CrowdStrike

La DLP permite a las empresas clasificar, monitorizar y proteger los datos confidenciales definiendo y aplicando una directiva integral de protección de datos a redes, endpoints y la nube. Identificar y clasificar datos confidenciales, hacer cumplir el control de acceso, configurar restricciones de dispositivos y realizar formación a los empleados son esenciales para una integración exitosa de DLP. Las organizaciones deberían priorizar una solución especializada que se integre con su infraestructura de seguridad para alcanzar estos objetivos de manera eficaz. 

CrowdStrike Falcon® Data Protection es una plataforma sólida y unificada que ofrece una protección integral de datos y endpoints. Para ello, consta de funciones avanzadas, como la monitorización en tiempo real, detecciones basadas en aprendizaje automático y la prevención avanzada de amenazas y filtraciones accidentales de datos para mantener la información confidencial a salvo.