Professional Documents
Culture Documents
ISACA
Resumen
La Prevención de fuga de datos (DLP) consiste en un conjunto de tecnologías dirigidas a detener la pérdida de información sensitiva
que ocurre en empresas de todo el mundo. Al concentrarse en la ubicación, clasificación y monitoreo de información en reposo, en
uso y en movimiento, esta solución puede ser una herramienta sumamente útil para ayudar a las empresas a manejar la información
que poseen y a detener las numerosas fugas de información que ocurren día a día. La DLP no es una solución tipo “plug and play”, es
decir que se conecta y se puede usar de inmediato. La aplicación exitosa de esta tecnología supone un alto grado de preparación y el
debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberían prepararse para un esfuerzo
significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organización. Quienes ponen
en práctica esta solución deben asumir un enfoque estratégico que aborde los riesgos, impactos y pasos de mitigación, junto con las
medidas de garantía y gobierno adecuadas.
Prevención de fuga de datos
ISACA®
Con 95.000 miembros en 160 países, ISACA (www.isaca.org) es uno de los principales proveedores del mundo en el área
de conocimiento, certificaciones, comunidad, apoyo y educación en aseguramiento y seguridad de sistemas de información
(SI), gobierno empresarial y gerencia de TI, así como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA,
como ente independiente sin fines de lucro, organiza conferencias internacionales, publica el ISACA® Journal y desarrolla
normas internacionales para el control y la auditoría de sistemas de información, que ayudan a sus miembros a garantizar
la confianza y el valor de los sistemas de información. Asimismo, promueve y certifica destrezas y conocimientos en el
área de TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems AuditorTM
(Auditor Certificado en Sistemas de Información) (CISA®), Certified Information Security Manager® (Gerente Certificado
de Seguridad de la Información) (CISM®), Certified in the Governance of Enterprise IT® (Certificado en Gobierno de
Tecnologías de la Información Empresariales) (CGEIT®) y Certified in Risk and Information Systems ControlTM (Certificado
en Riesgo y Control de Sistemas de Información) (CRISCTM). ISACA actualiza continuamente COBIT®, lo que permite a los
profesionales y líderes empresariales en TI cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en
las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.
Descargo de responsabilidad
ISACA ha diseñado y creado Prevención de fuga de datos (el “Producto”), ante todo como un recurso educativo para
profesionales en el área de seguridad, gobierno y aseguramiento. ISACA no asume ninguna responsabilidad en el
sentido de que el uso del Producto garantizará un resultado exitoso. No se debe entender que el Producto incluye toda la
información, procedimientos o pruebas adecuadas o que excluye cualquier otra información, procedimientos y pruebas
que estén razonablemente dirigidos a obtener los mismos resultados. Al determinar la propiedad de cualquier información,
procedimiento o prueba específica, los profesionales en seguridad, gobierno y aseguramiento deberían aplicar su propio
criterio a las circunstancias de control específicas que presenten los sistemas o el ambiente de tecnología de información en
particular.
Reserva de derechos
© 2010 ISACA. Derechos reservados. Ninguna parte de la presente publicación se podrá utilizar, copiar, reproducir,
modificar, distribuir, exhibir, almacenar en un sistema de recuperación de datos o transmitida de cualquier manera por
cualquier medio (electrónico, mecánico, fotocopia, grabación o cualquier otro), sin el consentimiento escrito previo de
ISACA. La reproducción y el uso de la totalidad o de partes de esta publicación están permitidos exclusivamente con fines
académicos, internos y no comerciales y para tareas de consultoría/asesoría, y deben incluir el crédito completo de la fuente
del material. No se autoriza ningún otro derecho o permiso con respecto a este producto.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Página Internet: www.isaca.org
CRISC es marca registrada/de servicio de ISACA. La marca ha sido solicitada o registrada en países de todo el mundo.
2 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 3
Prevención de fuga de datos
4 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
Introducción
Durante la última década, las empresas se han hecho cada vez más dependientes de la información digital para alcanzar
sus objetivos de negocio. En cualquier día normal de trabajo, volúmenes significativos de información impulsan los
procesos comerciales que involucran la participación de partes tanto dentro como fuera de los límites de las redes de
las empresas. Estos datos pueden viajar por numerosas vías y de muchas maneras; mensajes de correo electrónico,
documentos de procesamiento de texto, hojas de cálculo, archivos de bases de datos y mensajería instantánea son
apenas unos pocos ejemplos. Gran parte de esta información es inocua, pero en muchos casos, una buena parte se
clasifica como “sensitiva” o “registrada”, lo que indica que la misma tiene que ser protegida de acceso o exposición no
autorizados. Esta necesidad puede ser resultado de factores externos, por ejemplo privacidad, así como de otros tipos de
reglamentaciones o internos, tales como objetivos empresariales para proteger información financiera, estratégica u otros
tipos de información competitiva.
La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos
controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia
y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen
fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus
clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su
cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales.
El presente documento ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una
empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una
solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en
funcionamiento de una solución de DLP.
Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o
delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos
más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy
pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se
estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los
usuarios y 12 por ciento se debió a intentos maliciosos.2 No obstante, este bajo porcentaje puede ser algo engañoso, pues
normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones
adversas.
1
SC Magazine; “Security Spending, DLP Projects to Increase,” www.scmagazineus.com/security-spending-dlp-projects-to-increase/article/164337/
2
rend Micro; Data-stealing Malware on the Rise—Solutions to Keep Businesses and Consumers Safe, Focus Report Series, June 2009, USA, http://us.trendmicro.com/
T
imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 5
Prevención de fuga de datos
Estos objetivos están asociados con tres “estados” de información básicos: datos en reposo, datos en movimiento y
datos en uso. Cada uno de estos estados de datos es atendido por un conjunto específico de tecnologías que ofrecen las
soluciones de DLP:
• Datos en reposo—Una función básica de las soluciones de DLP es la capacidad de identificar y registrar dónde se
almacenan tipos específicos de información a lo largo y ancho de la empresa. Esto significa que la solución de DLP
debe tener la capacidad de buscar e identificar tipos de archivo específicos, tales como hojas de cálculo y documentos
de procesamiento de texto, ya sea que estén en servidores de archivos, redes de área de almacenamiento (SAN) o
incluso puestos de trabajo de usuarios finales. Una vez encontrados, la solución de DLP debe poder abrir estos archivos
y leer su contenido para determinar si están presentes datos específicos, tales como números de tarjetas de crédito o
de la seguridad social. Para realizar estas tareas, la mayoría de los sistemas de DLP utilizan rastreadores, que son
aplicaciones que se despliegan en forma remota para que entren en cada sistema final y “rastreen” a través de los
almacenes de datos, buscando y registrando conjuntos de información específicos con base en una serie de normas que
han sido introducidas en la consola de administración de la DLP. La recopilación de esta información es un paso muy
valioso que permitirá a la empresa determinar dónde se encuentra la información clave, si su ubicación está permitida
dentro de las políticas existentes y qué trayectos podrían recorrer estos datos que violarían políticas de información.
• Datos en movimiento (red)—Para monitorear el movimiento de datos en las redes de una empresa, las soluciones
de DLP utilizan dispositivos de red específicos o tecnología incrustada3 para capturar en forma selectiva y analizar
el tráfico en la red. Cuando se envían archivos a través de una red, por lo general se fragmentan en paquetes. Para
inspeccionar la información que se envía por la red, la solución de DLP debe tener la capacidad de: monitorear de
manera pasiva el tráfico en la red, reconocer las secuencias de datos correctas que se van a capturar, ensamblar los
paquetes recolectados, reconstruir los archivos transportados en el sistema de datos y luego realizar el mismo análisis
que se efectúa a los datos en reposo para determinar si alguna parte del contenido del archivo está restringida por
su conjunto de reglas. El núcleo de esta capacidad es un proceso conocido como inspección profunda de paquetes
(DPI), que permite al componente de datos en movimiento de la DLP ejecutar estas tareas. La DPI va más allá
de la información básica de encabezamiento de un paquete (la cual es similar a la información de “destinatario” y
“remitente” que se encuentra en un sobre postal) para leer el contenido dentro de la carga del paquete (como la carta
dentro del sobre postal). Si bien esta tecnología ha evolucionado a lo largo de los años, todavía es imperfecta; no
obstante, ha aumentado su poder de procesamiento y nuevas formas de identificación de paquetes han contribuido
considerablemente a su desarrollo. Esta capacidad de DPI permite al sistema de DLP inspeccionar datos en tránsito y
determinar contenido, fuente y destino. Si se detecta que datos sensitivos están fluyendo hacia un destino no autorizado,
la solución de DLP tiene la capacidad de alertar y opcionalmente bloquear los flujos de datos en tiempo real o casi
real, nuevamente con base en el conjunto de reglas definidas dentro de su componente de administración central.
Basándose en el conjunto de reglas, la solución también puede poner en cuarentena o encriptar los datos en cuestión.
Una consideración importante para la DLP de una red es que se deben desencriptar los datos antes de que la solución
de DLP los pueda inspeccionar. La solución de DLP debe tener la capacidad de hacer esto por sí misma (al contar con
esta función y las claves de encriptación necesarias) o debe haber un dispositivo que desencripte el tráfico antes de la
inspección por el módulo de DLP, y lo encripte nuevamente luego de que hayan sido inspeccionados los datos y se les
haya permitido pasar.
3
lgunas capacidades de DLP están embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrónico, en lugar de funcionar como equipos
A
dedicados.
6 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
• Datos en uso (puesto de trabajo)—Los datos en uso tal vez sean el aspecto más desafiante de la DLP. Estos datos
se refieren principalmente al monitoreo del movimiento de datos que se deriva de acciones que ejecutan los usuarios
finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar información a una impresora
o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecutan estas funciones usando un
programa de software conocido como agente, el cual en el caso ideal está controlado por las mismas capacidades de
administración central de la solución de DLP general. La ejecución de conjuntos de reglas en un sistema de usuario
final tiene limitaciones inherentes a ella, siendo la más importante que el sistema de usuario final debe tener la
capacidad de procesar el conjunto de reglas aplicadas. Dependiendo del número y la complejidad de las reglas que se
están ejecutando, podría ser necesario ejecutar solo una parte de ellas, lo que puede dejar brechas significativas en la
solución en general.
Para ser considerada una solución de DLP completa, debe contar con la capacidad de atender los tres estados de
información y estar integrada por una función de administración centralizada. La gama de servicios disponibles en la
consola de administración varía de un producto a otro, pero muchos, si acaso no la mayoría de ellos, comparten las
siguientes funciones:
• Creación y administración de políticas—Las políticas (conjuntos de reglas) dictan las acciones que toman los
diferentes componentes de la DLP. La mayoría de las soluciones de DLP vienen con políticas (reglas) previamente
configuradas que hacen referencia a reglamentaciones comunes, por ejemplo a las dos siguientes leyes estadounidenses:
la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA). Es
igualmente importante poder personalizar estas políticas o desarrollar políticas que estén totalmente adaptadas a las
necesidades específicas.
• Integración de servicios de directorio—La integración con servicios de directorio permite a la consola de DLP
mapear una dirección de red a un usuario final específico.
• Administración del flujo de trabajo—La mayoría de las soluciones de DLP completas ofrecen la capacidad de
configurar el manejo de incidentes, lo que permite al sistema de administración central enrutar incidentes específicos a
las partes adecuadas con base en el tipo de violación, gravedad, usuario y otros criterios similares.
• Respaldo y restitución—Las funciones de respaldo y restitución permiten la preservación de políticas y otros valores
de configuración.
• Elaboración de informes—Una función de elaboración de informes puede ser interna o utilizar herramientas externas
para el mismo propósito.
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 7
Prevención de fuga de datos
También es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto
de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminación de los datos, ayudará a
descubrir repositorios de datos adicionales y vías de transmisión.
Se debe recopilar información adicional a través de un inventario de todos los puntos de salida de datos, ya que no todos
los procesos de negocios están documentados y no todo movimiento de datos es resultado de un proceso establecido.
El análisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos.
8 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
Puesta en práctica
Las empresas deberán considerar seriamente poner en práctica la DLP inicialmente en un modo solo de monitoreo.
De esta manera, se podrá poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura
de la organización. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de
comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de tráfico y correr el riesgo de desbaratar
los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de
datos sensitivos que se “escapan por la puerta” luego de activar el sistema, iniciar el bloqueo real demasiado pronto
puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios críticos.
Lo que se espera es que estos procesos se identifiquen durante la etapa de preparación, pero con frecuencia se pasan
cosas por alto que rápidamente salen a la luz cuando se activa la solución de DLP.
Resolución de violaciones
Las soluciones de DLP, por lo general, proporcionan una buena cantidad de información útil con respecto a la ubicación
y las vías de transmisión de la información sensitiva. Sin embargo, a veces esto puede convertirse en una caja de
Pandora. Una empresa puede desconcertarse rápidamente ante el volumen y la extensión de sus datos sensitivos y la
pérdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo
tiempo, lo que seguro es una fórmula para el desastre. Es importante que una empresa esté preparada para emplear un
enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma más expeditiva posible. Todos los actores
clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema continúe por un tiempo
mientras se atiende uno más serio. El análisis y las decisiones subsiguientes en relación con el proceso deberán estar bien
documentados y mantenerse en anticipación a futuras auditorías o investigaciones reglamentarias.
Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarán a los
administradores si una regla es demasiado amplia y podría tener un impacto importante de desempeño en la
infraestructura de DLP. Las empresas deberán asegurarse de que todos los actores sean diligentes en cuanto a informar
cualquier nuevo formato o tipo de dato que tal vez no esté representado en el conjunto de reglas de DLP existente.
Se debe disponer de un ambiente de prueba y evaluación que se utilizará para probar el impacto de los parches y
actualizaciones de la solución de DLP. Finalmente, es importante dar continuidad a los programas de creación de
conciencia y adiestramiento, los cuales podrían ser reforzados con las capacidades de alerta y generación de informes de
la solución de DLP.
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 9
Prevención de fuga de datos
4
Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, www.ponemon.org/news-2/23
10 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 11
Prevención de fuga de datos
12 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
Limitaciones de la DLP
Aunque las soluciones de DLP pueden ser muy útiles para que una empresa
Aunque las soluciones de DLP pueden ser tenga una mayor perspectiva y control de los datos sensitivos, los actores
muy útiles para que una empresa tenga tienen que estar conscientes de sus limitaciones y de las deficiencias en
una mayor perspectiva y control de los las soluciones de DLP. Entender estas limitaciones es el primer paso en el
desarrollo de estrategias y políticas que permitirán compensar las limitaciones
datos sensitivos, los actores tienen que de la tecnología. Algunas de las limitaciones más importantes comunes entre
estar conscientes de sus limitaciones y de las soluciones de DLP son las siguientes:
las deficiencias en las soluciones de DLP.
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 13
Prevención de fuga de datos
• Encriptación—Las soluciones de DLP solo pueden inspeccionar la información que primero pueden desencriptar. Para
ello, los agentes de DLP, los dispositivos de red y los rastreadores deben tener acceso y poder utilizar las claves de
desencriptación adecuadas. Si los usuarios tienen la capacidad de usar paquetes de encriptación personales en caso de
que las claves no sean administradas por la empresa y suministradas a la solución de DLP, no se pueden analizar los
archivos. Para mitigar este riesgo, las políticas deben prohibir la instalación y el uso de soluciones de encriptación que
no se administren en forma centralizada; asimismo, se debe educar a los usuarios en el sentido de que cualquier cosa
que no pueda ser desencriptada para inspección (lo que significa que la solución de DLP tiene la clave de encriptación)
finalmente será bloqueada.
• Gráficos—Las soluciones de DLP no pueden interpretar archivos gráficos de modo inteligente. Debido a la incapacidad
de bloquear o inspeccionar manualmente toda información de este tipo, se producirá una brecha importante en la
capacidad que tiene una empresa de controlar su información. La información sensitiva que se digitaliza en un archivo
gráfico o la propiedad intelectual que existe en un formato gráfico, por ejemplo documentos de diseño, entrarían
en esta categoría. Las empresas que tienen una cantidad importante de propiedad intelectual en formato gráfico
deberán desarrollar políticas sólidas que rijan el uso y la divulgación de esta información. Aunque las soluciones de
DLP no pueden leer en forma inteligente el contenido de un archivo gráfico, sí pueden identificar tipos de archivos
específicos, su fuente y su destino. Esta capacidad, combinada con un análisis de tráfico bien definido, puede identificar
movimientos no característicos de este tipo de información y proporcionar cierto grado de control.
• Otros proveedores de servicio—Cuando una empresa envía su información sensitiva a un tercero de confianza,
inherentemente está confiando en que el proveedor de servicio aplica el mismo nivel de control de fugas de
información, ya que las soluciones de DLP de la empresa pocas veces se extienden hasta la red de los proveedores
de servicio. Un programa sólido de gestión de terceros, que incorpora lenguaje contractual efectivo y un programa de
auditoría de apoyo, puede contribuir a mitigar este riesgo.
• Servicios móviles—Con la llegada de los equipos de computación móviles, tales como teléfonos inteligentes, es
indudable que hay canales de comunicación que no se pueden monitorear o controlar fácilmente. El servicio de
mensajes de texto cortos (SMS) es el protocolo de comunicación que permite enviar mensajes de texto y es un ejemplo
clave. Otra consideración es la capacidad de muchos de estos equipos de utilizar Wi-Fi o incluso de convertirse en un
“punto caliente” (hotspot) de Wi-Fi. Ambos casos permiten comunicación fuera de banda que no puede ser monitoreada
por parte de la mayoría de las empresas. Por último, la capacidad de muchos de estos equipos de capturar y almacenar
fotografías digitales e información de audio representa otra posible brecha. Si bien se están alcanzando ciertos avances
en esta área, las grandes limitaciones del poder de procesamiento y administración centralizada siguen constituyendo
un reto. De nuevo, la mejor manera de enfrentar esta situación es desarrollando políticas sólidas y fomentando la
educación de los usuarios para instarlos a que usen debidamente estos equipos.
• Apoyo multilingüe—Pocas soluciones de DLP ofrecen apoyo multilingüe, pero prácticamente todas las consolas de
administración trabajan con el idioma inglés. También es cierto que por cada idioma y juego de caracteres adicionales
que el sistema debe soportar, se incrementan tanto los requerimientos de procesamiento como los tiempos de análisis.
En tanto los proveedores no reconozcan una demanda suficiente para atender esta deficiencia, no quedan muchos
recursos más que buscar otros métodos para controlar las fugas de información en idiomas diferentes al inglés. Las
empresas multinacionales deben considerar cuidadosamente esta deficiencia potencial cuando evalúen y desplieguen
una solución de DLP.
Estos puntos no tienen la intención de desalentar la adopción de la tecnología de DLP. El único recurso para la mayoría
de las empresas es la adopción de políticas de conducta y controles de seguridad físicos que complementen la serie de
controles tecnológicos que están disponibles hoy en día, tales como:
• Supeditación a una única solución—En este momento no existe portabilidad de los conjuntos de reglas entre las
diferentes plataformas de DLP, lo que quiere decir que cambiar de un proveedor a otro o integrarse con una solución
adquirida por una organización puede requerir un trabajo considerable para reproducir un conjunto complejo de reglas
en un producto diferente.
14 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
• Apoyo limitado al sistema operativo cliente—Muchas soluciones de DLP no ofrecen agentes de DLP en los puntos de
destino para sistemas operativos como Linux y Mac, pues su uso como clientes en la empresa es mucho menos común.
Sin embargo, esto da lugar a una deficiencia potencialmente importante para las empresas que tienen varios de estos
clientes. Este riesgo solo se puede abordar por medio de políticas orientadas hacia el comportamiento o requiere el uso
de soluciones personalizadas que no suelen estar integradas en la plataforma de DLP de las empresas.
• Apoyo entre aplicaciones—Las funciones de la DLP también pueden estar limitadas por el tipo de aplicación. Un
agente de DLP que no pueda monitorear las manipulaciones de datos de una aplicación no podrá hacerlo para otra en
el mismo sistema. Las empresas deben asegurarse de que todas las aplicaciones que pueden manipular datos sensitivos
estén identificadas y deben verificar que la solución de DLP sea compatible con ellas. En aquellos casos en los que
existan aplicaciones con las cuales no haya compatibilidad, tal vez sean necesarias otras acciones a través de las
políticas o, de ser factible, la eliminación de la aplicación específica.
La clave es que las personas correctas en la empresa deben participar en el desarrollo inicial de políticas así como cuando
el programa de DLP se está aplicando, pues ellas serán determinantes a la hora de tomar las decisiones apropiadas en
caso de violaciones. El propietario de datos de negocio que tenga una idea del contexto estará mucho más equipado
para tomar estas decisiones que un analista de seguridad de TI. Asimismo es importante que estos actores entiendan por
completo las ramificaciones de los cambios esperados y que exista una preparación adecuada para evitar un impacto
negativo para estos procesos de negocio.
Además, cabe destacar que es importante reconocer que los cambios significativos al proceso de negocio o
procedimientos que tiene mucho tiempo instaurados puede tener impactos mucho más extensos sobre la cultura de
la empresa. Pese a los mejores esfuerzos para comunicarse y educarse antes de la puesta en funcionamiento, algunas
personas tal vez no entiendan o acepten los cambios y busquen vías para evadir los nuevos controles, introduciendo así
5
etwork World; “Too many data-loss prevention tools become shelfware, says analyst,” 22 June 2010, www.networkworld.com/news/2010/062210-data-loss-prevention-
N
tools.html
6
ISACA; An Introduction to the Business Model for Information Security, USA, 2009, www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 15
Prevención de fuga de datos
un mayor riesgo para la empresa. Entender la naturaleza sistémica de la gestión de seguridad de la información, tal como
la que se describe en la publicación de investigación de ISACA An Introduction to the Business Model for Information
Security,6 puede ayudar a desarrollar estrategias para enfrentar este riesgo.
Las empresas deben asegurar que se aplique un enfoque basado en riesgo cuando se ponga en funcionamiento una
solución de DLP. Incluso cuando se despliegue en modo solo de monitoreo, es fácil abrumarse con el volumen de
información presentada por el sistema. Cuando esto ocurra, existe una clara posibilidad de que la solución sea desechada
hasta el punto de que sea ineficaz o de que a la larga se ignore, como sucedió con muchos primeros sistemas de
detección de intrusiones (IDS). Un enfoque que están empleando algunas empresas consiste en poner en funcionamiento
la DLP solo para sistemas o protocolos específicos que han determinado como de alto riesgo. Un único canal que con
frecuencia se cubre es el del correo electrónico, pues a menudo presenta el máximo riesgo de pérdida de datos para una
empresa.
Revisar el programa de conciencia y adiestramiento para garantizar que los empleados estén conscientes de sus
funciones y responsabilidades. Garantizar que el personal necesario para manejar la información confidencial esté
bien adiestrado de acuerdo con la política de seguridad de la empresa y que solo personal con una necesidad de
negocio tenga acceso a la información confidencial. Asimismo, garantizar que los actores adecuados participen en la
identificación de datos sensitivos y el flujo de trabajo que evalúe y aborde las violaciones de la política de DLP.
• Procesos de negocio—Revisar los procesos de negocio con acceso a información confidencial y determinar si ese
acceso es necesario para ejecutar cada proceso. Identificar la necesidad de acceso a información confidencial desde
procesos de negocio es uno de los métodos más seguros para proteger esos datos. Además, deberán existir procesos
adecuados para el monitoreo, detección, calificación, manejo y cierre de los incidentes de fuga de datos.
16 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
Prevención de fuga de datos
• Tecnología—Revisar la tecnología específica que haya sido desplegada y determinar si está instalada según su diseño.
Por ejemplo, determinar si cubre todos los puntos de salida y equipos críticos para la empresa. Esto podría incluir
puntos de salida de socios comerciales y equipos con acceso a información sensitiva. Además, asegurar que cubra
todos los elementos necesarios de la tecnología que se está usando en la empresa. Finalmente, revisiones periódicas de
registros y procesos para el manejo de eventos garantizan que la solución esté siendo utilizada de manera correcta y
optimizada.
Conclusión
La información de una empresa puede ser uno de sus activos más valiosos.
Las soluciones de DLP a menudo tienen una capacidad con múltiples Las soluciones de DLP ofrecen una
facetas para aumentar de modo significativo la capacidad de la empresa
para la gestión de riesgos para sus activos de información clave. Sin
capacidad de múltiples facetas para
embargo, las soluciones pueden ser complejas y propensas a afectar otros incrementar de modo significativo la
procesos y la cultura de la organización si se aplican de manera indebida y capacidad de la organización para la
apresurada. Una planificación y preparación cuidadosas, la comunicación gestión de riesgos para sus activos de
y el adiestramiento en la creación de conciencia son primordiales para el
información clave.
despliegue de un programa exitoso de DLP.
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 17