Documento

ISACA

Prevención de fuga de datos

Resumen
La Prevención de fuga de datos (DLP) consiste en un conjunto de tecnologías dirigidas a detener la pérdida de información sensitiva
que ocurre en empresas de todo el mundo. Al concentrarse en la ubicación, clasificación y monitoreo de información en reposo, en
uso y en movimiento, esta solución puede ser una herramienta sumamente útil para ayudar a las empresas a manejar la información
que poseen y a detener las numerosas fugas de información que ocurren día a día. La DLP no es una solución tipo “plug and play”, es
decir que se conecta y se puede usar de inmediato. La aplicación exitosa de esta tecnología supone un alto grado de preparación y el
debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberían prepararse para un esfuerzo
significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organización. Quienes ponen
en práctica esta solución deben asumir un enfoque estratégico que aborde los riesgos, impactos y pasos de mitigación, junto con las
medidas de garantía y gobierno adecuadas.
 Prevención de fuga de datos

ISACA®
Con 95.000 miembros en 160 países, ISACA (www.isaca.org) es uno de los principales proveedores del mundo en el área
de conocimiento, certificaciones, comunidad, apoyo y educación en aseguramiento y seguridad de sistemas de información
(SI), gobierno empresarial y gerencia de TI, así como riesgos y cumplimiento relacionados con TI. Fundada en 1969, ISACA,
como ente independiente sin fines de lucro, organiza conferencias internacionales, publica el ISACA® Journal y desarrolla
normas internacionales para el control y la auditoría de sistemas de información, que ayudan a sus miembros a garantizar
la confianza y el valor de los sistemas de información. Asimismo, promueve y certifica destrezas y conocimientos en el
área de TI a través de las siguientes designaciones mundialmente reconocidas: Certified Information Systems AuditorTM
(Auditor Certificado en Sistemas de Información) (CISA®), Certified Information Security Manager® (Gerente Certificado
de Seguridad de la Información) (CISM®), Certified in the Governance of Enterprise IT® (Certificado en Gobierno de
Tecnologías de la Información Empresariales) (CGEIT®) y Certified in Risk and Information Systems ControlTM (Certificado
en Riesgo y Control de Sistemas de Información) (CRISCTM). ISACA actualiza continuamente COBIT®, lo que permite a los
profesionales y líderes empresariales en TI cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en
las áreas de aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.

Descargo de responsabilidad
ISACA ha diseñado y creado Prevención de fuga de datos (el “Producto”), ante todo como un recurso educativo para
profesionales en el área de seguridad, gobierno y aseguramiento. ISACA no asume ninguna responsabilidad en el
sentido de que el uso del Producto garantizará un resultado exitoso. No se debe entender que el Producto incluye toda la
información, procedimientos o pruebas adecuadas o que excluye cualquier otra información, procedimientos y pruebas
que estén razonablemente dirigidos a obtener los mismos resultados. Al determinar la propiedad de cualquier información,
procedimiento o prueba específica, los profesionales en seguridad, gobierno y aseguramiento deberían aplicar su propio
criterio a las circunstancias de control específicas que presenten los sistemas o el ambiente de tecnología de información en
particular.

Reserva de derechos
© 2010 ISACA. Derechos reservados. Ninguna parte de la presente publicación se podrá utilizar, copiar, reproducir,
modificar, distribuir, exhibir, almacenar en un sistema de recuperación de datos o transmitida de cualquier manera por
cualquier medio (electrónico, mecánico, fotocopia, grabación o cualquier otro), sin el consentimiento escrito previo de
ISACA. La reproducción y el uso de la totalidad o de partes de esta publicación están permitidos exclusivamente con fines
académicos, internos y no comerciales y para tareas de consultoría/asesoría, y deben incluir el crédito completo de la fuente
del material. No se autoriza ningún otro derecho o permiso con respecto a este producto.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Página Internet: www.isaca.org

Prevención de fuga de datos

CRISC es marca registrada/de servicio de ISACA. La marca ha sido solicitada o registrada en países de todo el mundo.

2 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

ISACA desea agradecer a:

Equipo de desarrollo del proyecto

Anthony P. Noble, CISA, CCP, Viacom Inc., USA, Presidente
Reza Kopaee, CISA, CISSP, CSLP, Deloitte & Touche LLP, Canadá
Adel Melek, CISM, CISSP, CPA, Deloitte & Touche LLP, Canadá
Nirvik Nandy, Ernst & Young, USA

Equipo de expertos de revisión

Gil Chilton, Capital One Financial, USA
Terry Griffith, CISM, CCE, CISSP, Capital One Financial, USA
Patrick Hanrion, CISM, CISSP-ISSAP, Microsoft, USA
Keith Lukes, TheBTO, USA
George Llano, CISM, CISSP, GCFA, GPEN, Viacom Inc., USA

Junta Directiva de ISACA

Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., USA, Presidente Internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT S.A., Grecia, Vicepresidente
Ria Lucas, CISA, CGEIT, Telstra Corp. Ltd., Australia, Vicepresidente
Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vicepresidente
Jose Angel Pena Ibarra, CGEIT, Alintec S.A., México, Vicepresidente
Robert E. Stroud, CGEIT, CA Technologies, USA, Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Vicepresidente
Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vicepresidente
Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación Rusa, antiguo Presidente Internacional
Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), USA, antiguo Presidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Director
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director
Howard Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director
Jeff Spivey, CPP, PSP, Gerencia de Seguridad de Riesgos, USA, ITGI Fideicomisario

Comité de Prácticas y Orientación

Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), USA, Presidente
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett-Packard, USA
Urs Fischer, CISA, CRISC, CIA, CPA (suizo), Suiza
Ramses Gallego, CISM, CGEIT, CISSP, Entel IT Consulting, España
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt. Ltd., India
Anthony P. Noble, CISA, CCP, Viacom Inc., USA
Salomon Rico, CISA, CISM, CGEIT, Deloitte, México
Frank Van Der Zwaag, CISA, Westpac New Zealand, Nueva Zelanda

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 3
 Prevención de fuga de datos

Afiliados y patrocinantes de ISACA y del IT Governance Institute (ITGI)

Instituto Americano de Contadores Públicos Certificados
ASIS International
Centro de Seguridad en Internet
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Foro de Seguridad de la Información
Asociación de Seguridad de Sistemas de Información
Institut de la Gouvernance des Systèmes d’Information
Institute of Management Accountants Inc.
Capítulos de ISACA
ITGI Japón
Universidad de Norwich
Escuela de Economía y Gerencia de Solvay, Bruselas
Escuela de Gerencia de la Universidad de Antwerp
Analytix Holdings Pty. Ltd.
BWise B.V.
Hewlett-Packard
IBM
Project Rx Inc.
SOAProjects Inc.
Symantec Corp.
TruArx Inc.

4 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

Introducción
Durante la última década, las empresas se han hecho cada vez más dependientes de la información digital para alcanzar
sus objetivos de negocio. En cualquier día normal de trabajo, volúmenes significativos de información impulsan los
procesos comerciales que involucran la participación de partes tanto dentro como fuera de los límites de las redes de
las empresas. Estos datos pueden viajar por numerosas vías y de muchas maneras; mensajes de correo electrónico,
documentos de procesamiento de texto, hojas de cálculo, archivos de bases de datos y mensajería instantánea son
apenas unos pocos ejemplos. Gran parte de esta información es inocua, pero en muchos casos, una buena parte se
clasifica como “sensitiva” o “registrada”, lo que indica que la misma tiene que ser protegida de acceso o exposición no
autorizados. Esta necesidad puede ser resultado de factores externos, por ejemplo privacidad, así como de otros tipos de
reglamentaciones o internos, tales como objetivos empresariales para proteger información financiera, estratégica u otros
tipos de información competitiva.

La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos
controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia
y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen
fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus
clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su
cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales.

La preocupación por esta necesidad de tener un mejor control y proteger

En un estudio publicado por la compañía
de investigación en TI, TheInfoPro, la DLP
se clasificó como de máxima prioridad
para los presupuestos de seguridad de
las empresas.
información sensitiva ha dado lugar a un nuevo conjunto de soluciones
dirigidas a mejorar la capacidad de una empresa para proteger sus activos
de información. Estas soluciones son variadas en cuanto a sus capacidades
y metodologías, pero, en conjunto, se han ubicado dentro de una categoría
conocida como prevención de fuga de datos (DLP). Si bien todavía es una
tecnología joven, la DLP se está adoptando cada vez más y un número
creciente de productos está siendo lanzado al mercado. En un estudio publicado
a principios de este año por la empresa de investigación en TI TheInfoPro, la
DLP se calificó como una primera prioridad para los presupuestos de seguridad
de las empresas.1

El presente documento ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una
empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una
solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en
funcionamiento de una solución de DLP.

Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o
delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos
más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy
pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se
estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los
usuarios y 12 por ciento se debió a intentos maliciosos.2 No obstante, este bajo porcentaje puede ser algo engañoso, pues
normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones
adversas.

1
SC Magazine; “Security Spending, DLP Projects to Increase,” www.scmagazineus.com/security-spending-dlp-projects-to-increase/article/164337/
2
 rend Micro; Data-stealing Malware on the Rise—Solutions to Keep Businesses and Consumers Safe, Focus Report Series, June 2009, USA, http://us.trendmicro.com/
T
imperia/md/content/us/pdf/threats/securitylibrary/data_stealing_malware_focus_report_-_june_2009.pdf
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 5
 Prevención de fuga de datos

Definición de la Prevención de fuga de datos

La mayoría de las soluciones de DLP incluye un conjunto de tecnologías que facilitan tres objetivos clave:
• Ubicar y catalogar información sensitiva almacenada en la empresa
• Monitorear y controlar el movimiento de información sensitiva a través de las redes de la empresa
• Monitorear y controlar el movimiento de información sensitiva en sistemas de usuarios finales

Estos objetivos están asociados con tres “estados” de información básicos: datos en reposo, datos en movimiento y
datos en uso. Cada uno de estos estados de datos es atendido por un conjunto específico de tecnologías que ofrecen las
soluciones de DLP:
• Datos en reposo—Una función básica de las soluciones de DLP es la capacidad de identificar y registrar dónde se
almacenan tipos específicos de información a lo largo y ancho de la empresa. Esto significa que la solución de DLP
debe tener la capacidad de buscar e identificar tipos de archivo específicos, tales como hojas de cálculo y documentos
de procesamiento de texto, ya sea que estén en servidores de archivos, redes de área de almacenamiento (SAN) o
incluso puestos de trabajo de usuarios finales. Una vez encontrados, la solución de DLP debe poder abrir estos archivos
y leer su contenido para determinar si están presentes datos específicos, tales como números de tarjetas de crédito o
de la seguridad social. Para realizar estas tareas, la mayoría de los sistemas de DLP utilizan rastreadores, que son
aplicaciones que se despliegan en forma remota para que entren en cada sistema final y “rastreen” a través de los
almacenes de datos, buscando y registrando conjuntos de información específicos con base en una serie de normas que
han sido introducidas en la consola de administración de la DLP. La recopilación de esta información es un paso muy
valioso que permitirá a la empresa determinar dónde se encuentra la información clave, si su ubicación está permitida
dentro de las políticas existentes y qué trayectos podrían recorrer estos datos que violarían políticas de información.
• Datos en movimiento (red)—Para monitorear el movimiento de datos en las redes de una empresa, las soluciones
de DLP utilizan dispositivos de red específicos o tecnología incrustada3 para capturar en forma selectiva y analizar
el tráfico en la red. Cuando se envían archivos a través de una red, por lo general se fragmentan en paquetes. Para
inspeccionar la información que se envía por la red, la solución de DLP debe tener la capacidad de: monitorear de
manera pasiva el tráfico en la red, reconocer las secuencias de datos correctas que se van a capturar, ensamblar los
paquetes recolectados, reconstruir los archivos transportados en el sistema de datos y luego realizar el mismo análisis
que se efectúa a los datos en reposo para determinar si alguna parte del contenido del archivo está restringida por
su conjunto de reglas. El núcleo de esta capacidad es un proceso conocido como inspección profunda de paquetes
(DPI), que permite al componente de datos en movimiento de la DLP ejecutar estas tareas. La DPI va más allá
de la información básica de encabezamiento de un paquete (la cual es similar a la información de “destinatario” y
“remitente” que se encuentra en un sobre postal) para leer el contenido dentro de la carga del paquete (como la carta
dentro del sobre postal). Si bien esta tecnología ha evolucionado a lo largo de los años, todavía es imperfecta; no
obstante, ha aumentado su poder de procesamiento y nuevas formas de identificación de paquetes han contribuido
considerablemente a su desarrollo. Esta capacidad de DPI permite al sistema de DLP inspeccionar datos en tránsito y
determinar contenido, fuente y destino. Si se detecta que datos sensitivos están fluyendo hacia un destino no autorizado,
la solución de DLP tiene la capacidad de alertar y opcionalmente bloquear los flujos de datos en tiempo real o casi
real, nuevamente con base en el conjunto de reglas definidas dentro de su componente de administración central.
Basándose en el conjunto de reglas, la solución también puede poner en cuarentena o encriptar los datos en cuestión.
Una consideración importante para la DLP de una red es que se deben desencriptar los datos antes de que la solución
de DLP los pueda inspeccionar. La solución de DLP debe tener la capacidad de hacer esto por sí misma (al contar con
esta función y las claves de encriptación necesarias) o debe haber un dispositivo que desencripte el tráfico antes de la
inspección por el módulo de DLP, y lo encripte nuevamente luego de que hayan sido inspeccionados los datos y se les
haya permitido pasar.

3
 lgunas capacidades de DLP están embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrónico, en lugar de funcionar como equipos
A
dedicados.
6 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

• Datos en uso (puesto de trabajo)—Los datos en uso tal vez sean el aspecto más desafiante de la DLP. Estos datos
se refieren principalmente al monitoreo del movimiento de datos que se deriva de acciones que ejecutan los usuarios
finales en sus estaciones de trabajo, tales como copiar datos a una unidad USB, enviar información a una impresora
o incluso cortar y pegar entre aplicaciones. Las soluciones de DLP por lo general ejecutan estas funciones usando un
programa de software conocido como agente, el cual en el caso ideal está controlado por las mismas capacidades de
administración central de la solución de DLP general. La ejecución de conjuntos de reglas en un sistema de usuario
final tiene limitaciones inherentes a ella, siendo la más importante que el sistema de usuario final debe tener la
capacidad de procesar el conjunto de reglas aplicadas. Dependiendo del número y la complejidad de las reglas que se
están ejecutando, podría ser necesario ejecutar solo una parte de ellas, lo que puede dejar brechas significativas en la
solución en general.

Para ser considerada una solución de DLP completa, debe contar con la capacidad de atender los tres estados de
información y estar integrada por una función de administración centralizada. La gama de servicios disponibles en la
consola de administración varía de un producto a otro, pero muchos, si acaso no la mayoría de ellos, comparten las
siguientes funciones:
• Creación y administración de políticas—Las políticas (conjuntos de reglas) dictan las acciones que toman los
diferentes componentes de la DLP. La mayoría de las soluciones de DLP vienen con políticas (reglas) previamente
configuradas que hacen referencia a reglamentaciones comunes, por ejemplo a las dos siguientes leyes estadounidenses:
la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Gramm-Leach-Bliley (GLBA). Es
igualmente importante poder personalizar estas políticas o desarrollar políticas que estén totalmente adaptadas a las
necesidades específicas.
• Integración de servicios de directorio—La integración con servicios de directorio permite a la consola de DLP
mapear una dirección de red a un usuario final específico.
• Administración del flujo de trabajo—La mayoría de las soluciones de DLP completas ofrecen la capacidad de
configurar el manejo de incidentes, lo que permite al sistema de administración central enrutar incidentes específicos a
las partes adecuadas con base en el tipo de violación, gravedad, usuario y otros criterios similares.
• Respaldo y restitución—Las funciones de respaldo y restitución permiten la preservación de políticas y otros valores
de configuración.
• Elaboración de informes—Una función de elaboración de informes puede ser interna o utilizar herramientas externas
para el mismo propósito.

Enfoque del programa de DLP

La puesta en funcionamiento de una
solución de DLP es una tarea compleja
que requiere considerables actividades
preparatorias.
La aplicación de una solución de DLP es una tarea compleja que requiere
considerables actividades preparatorias, tales como desarrollo de políticas,
análisis de procesos comerciales e inventarios detallados y análisis de los
tipos de información que utiliza la empresa. Estas actividades requieren la
participación de una amplia base de actores tanto de las unidades de negocio
como de TI que la solución apoya. Las secciones siguientes describen las
consideraciones clave para cada etapa del proceso de ejecución.

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 7
 Prevención de fuga de datos

Clasificación, ubicación y trayectos de los datos de la organización

A menudo las empresas no están conscientes de todos los tipos y ubicaciones de la información que poseen. Es
importante, antes de adquirir una solución de DLP, identificar y clasificar los tipos de datos sensitivos y su flujo de
un sistema a otro y a los usuarios. Este proceso debería producir una taxonomía de datos o un sistema de clasificación
que aprovecharán diversos módulos de DLP mientras buscan y toman acciones con respecto a la información que
corresponde a las diversas clasificaciones dentro de la taxonomía. El análisis de procesos de negocio críticos debería
producir la información requerida. Las clasificaciones pueden incluir categorías tales como datos privados de clientes
o empleados, datos financieros y propiedad intelectual. Una vez que los datos han sido identificados y clasificados
debidamente, el análisis ulterior de los procesos debería facilitar la ubicación de almacenes de datos primarios y trayectos
de datos clave. Con frecuencia, se dispersan múltiples copias y variaciones de los mismos datos a través de toda la
empresa en servidores, estaciones de trabajo, cintas y otros medios. Usualmente se hacen copias para facilitar probar la
aplicación sin limpiar antes los datos de contenido sensitivo. Tener una buena idea de las clasificaciones de datos y la
ubicación de los almacenes de datos primarios es útil tanto para la selección como para la ubicación de la solución de
DLP. Luego de que ha sido instalada la solución de DLP, podrá ayudar a encontrar otras ubicaciones y trayectos de datos.

También es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto
de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminación de los datos, ayudará a
descubrir repositorios de datos adicionales y vías de transmisión.

Se debe recopilar información adicional a través de un inventario de todos los puntos de salida de datos, ya que no todos
los procesos de negocios están documentados y no todo movimiento de datos es resultado de un proceso establecido.
El análisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos.

Establecimiento y socialización de procesos y políticas de alto nivel

Una vez que se ha ubicado y clasificado la información, se deberán crear
políticas o modificarlas para definir clasificaciones específicas y el manejo Una vez que se ha ubicado y clasificado
apropiado de cada categoría. Las políticas de clasificación de datos deberán
mantenerse lo más sencillas posible.
la información, se deberán crear políticas
o modificarlas para definir clasificaciones
Luego de que se hayan establecido las políticas, se deberá desarrollar un plan específicas y el manejo apropiado de
de flujo de trabajo de alto nivel. Este plan deberá incluir las categorías de datos cada categoría.
establecidas como objetivos, las acciones que se van a tomar (y por parte de
quién) para atender las violaciones, los procesos de escalación y cualquier
proceso necesario para las solicitudes excepcionales. Además se deberán establecer procesos para casos fuera del
horario de trabajo y días feriados, cuando tal vez no estén disponibles las personas clave. Es importante que los procesos
fuera del horario de trabajo cuenten con procedimientos claros y bien documentados, que en ellos participen personas
que puedan tomar decisiones apropiadas y bien fundamentadas y que los actores pertinentes documenten y revisen
debidamente cualquier decisión que se tome para manejar casos excepcionales fuera del horario de trabajo. Deberá existir
un proceso formal para el manejo de excepciones, el cual deberá documentar toda la información relevante relativa a la
excepción en particular. Asimismo es importante asegurar que existan procesos adecuados para el manejo de incidentes y
que los mismos sean funcionales para cada una de las categorías de reglas antes de iniciar las actividades reales.

8 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

Puesta en práctica
Las empresas deberán considerar seriamente poner en práctica la DLP inicialmente en un modo solo de monitoreo.
De esta manera, se podrá poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura
de la organización. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de
comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de tráfico y correr el riesgo de desbaratar
los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de
datos sensitivos que se “escapan por la puerta” luego de activar el sistema, iniciar el bloqueo real demasiado pronto
puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios críticos.
Lo que se espera es que estos procesos se identifiquen durante la etapa de preparación, pero con frecuencia se pasan
cosas por alto que rápidamente salen a la luz cuando se activa la solución de DLP.

Resolución de violaciones
Las soluciones de DLP, por lo general, proporcionan una buena cantidad de información útil con respecto a la ubicación
y las vías de transmisión de la información sensitiva. Sin embargo, a veces esto puede convertirse en una caja de
Pandora. Una empresa puede desconcertarse rápidamente ante el volumen y la extensión de sus datos sensitivos y la
pérdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo
tiempo, lo que seguro es una fórmula para el desastre. Es importante que una empresa esté preparada para emplear un
enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma más expeditiva posible. Todos los actores
clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema continúe por un tiempo
mientras se atiende uno más serio. El análisis y las decisiones subsiguientes en relación con el proceso deberán estar bien
documentados y mantenerse en anticipación a futuras auditorías o investigaciones reglamentarias.

Programa DLP en curso

Se debe monitorear de cerca la solución de DLP y entregar informes periódicos de riesgo, cumplimiento y privacidad
a los actores pertinentes (por ejemplo, gestión de riesgo, gestión de cumplimiento, equipo de privacidad y recursos
humanos [RR.HH.]).

Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarán a los
administradores si una regla es demasiado amplia y podría tener un impacto importante de desempeño en la
infraestructura de DLP. Las empresas deberán asegurarse de que todos los actores sean diligentes en cuanto a informar
cualquier nuevo formato o tipo de dato que tal vez no esté representado en el conjunto de reglas de DLP existente.
Se debe disponer de un ambiente de prueba y evaluación que se utilizará para probar el impacto de los parches y
actualizaciones de la solución de DLP. Finalmente, es importante dar continuidad a los programas de creación de
conciencia y adiestramiento, los cuales podrían ser reforzados con las capacidades de alerta y generación de informes de
la solución de DLP.

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 9
 Prevención de fuga de datos

Beneficios de DLP para el negocio

Igual que con cualquier conjunto de controles de seguridad, la puesta en
Igual que con cualquier conjunto de práctica de la DLP debería apoyar los objetivos de negocios y ofrecer un
beneficio tangible al negocio. La lista siguiente destaca algunos de los
controles de seguridad, la puesta en beneficios más directos de una solución de DLP que ha sido puesta en
práctica de la DLP debería apoyar los funcionamiento correctamente:
• Protege los datos críticos del negocio y la propiedad intelectual—El
objetivos de negocios y ofrecer un beneficio principal beneficio de DLP es la protección de la información que es crítica
tangible al negocio. para el negocio. Las empresas mantienen muchos tipos de información
que deben proteger por razones legales, de reputación y de competencia.
Por ejemplo, información sobre clientes, registros personales, información
de salud, registros financieros confidenciales, documentos de diseño de
productos, planes comerciales e investigación bajo patente son apenas unos
cuantos casos.
• Mejora el cumplimiento—La DLP puede ayudar a que las empresas cumplan los requerimientos legales relacionados
con la protección y el monitoreo de datos que contienen información privada financiera y sobre los clientes. Las
soluciones de DLP por lo general vienen con reglas previamente configuradas que abordan tipos de datos que han sido
impactados por normativas legales importantes, tales como la industria de tarjetas de pago (PCI), GLBA y HIPAA. El
uso de estos conjuntos de reglas puede simplificar los esfuerzos para proteger los datos afectados por estas normativas.
• Reduce el riesgo de violación de los datos—Al reducir el riesgo de fugas de datos, disminuye el riesgo financiero para
la empresa. En su informe para 2009, el Instituto Ponemon estimó que el costo promedio de la fuga de datos en Estados
Unidos es de $20 por registro.4 Incluso con violaciones relativamente pequeñas de los registros que podrían ascender a
miles, cada incidente representa potencialmente un impacto financiero importante.
• Mejora el adiestramiento y la conciencia—Aunque la mayoría de las empresas cuenta con políticas escritas,
las mismas tal vez hayan sido olvidadas al pasar el tiempo. Las soluciones de DLP alertan, y a veces bloquean, el
movimiento de datos que está violando la política y ofrece educación en línea para garantizar que los usuarios siempre
estén conscientes de las políticas asociadas con datos sensitivos.
• Mejorar los procesos de negocios—Uno de los principales intangibles de la DLP es el desarrollo de nuevas políticas,
controles y pruebas que permiten identificar procesos de negocio interrumpidos. A menudo, el paso de simplemente
evaluar y catalogar los procesos de negocio en preparación a la puesta en funcionamiento de la DLP puede ofrecer una
excelente perspectiva a la empresa.
• Optimiza el espacio en disco y el ancho de banda de la red—Un importante beneficio de las soluciones de DLP
es la identificación de archivos estancados y videos que se están cargando, los cuales consumen una gran cantidad
de recursos de TI, tales como almacenamiento en servidores de archivos y ancho de banda de la red. Depurar los
archivos inactivos y evitar que se carguen videos no relacionados con el negocio puede reducir las necesidades de
almacenamiento, respaldo y ancho de banda.
• Detecta software malicioso o ilegal—Otro intangible clave de la DLP es su capacidad de identificar software
malicioso que trata de transmitir información sensitiva a través del correo electrónico o una conexión de Internet.
La DLP en la red puede ayudar a reducir el daño causado por software malicioso pues detecta la transmisión ilegal
de información sensitiva fuera de la empresa, lo que tal vez no siempre sea así, pues las transmisiones pueden estar
encriptadas. Pero incluso en ese caso, un sistema que cuente con un conjunto de reglas que alerten o bloqueen el flujo
de datos que no puede desencriptar será una excelente ayuda para las defensas contra software malicioso.

4
Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, www.ponemon.org/news-2/23

10 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

Consideraciones de seguridad y riesgo

Igual que con cualquier solución de TI
compleja, la puesta en funcionamiento
de un programa de DLP, de no manejarse
debidamente, puede representar una serie
de riesgos para la empresa.
Igual que con cualquier solución de TI compleja, la puesta en funcionamiento
de un programa de DLP, de no manejarse debidamente, puede representar
una serie de riesgos para la empresa. Muchos de estos riesgos pueden tener
un impacto directo en las operaciones del negocio, por lo tanto, es importante
tomar las medidas de mitigación adecuadas y que los actores en el negocio
participen en todo momento en este proceso. La Figura 1 presenta una
lista de los riesgos operacionales clave que se relacionan con la puesta en
funcionamiento de la DLP.

Figura 1—Riesgos operacionales relacionados con la puesta en funcionamiento de la DLP

Riesgo
Módulos de DLP mal ajustados en la red
Un módulo de DLP de red mal dimensionado
Impacto
• Interrupción de procesos de negocio
• Pérdida de tiempo y de ingresos
• Daño a las relaciones con clientes o socios
comerciales
• Pérdida de apoyo de los actores del negocio
• Pérdida o eliminación de paquetes de red
que permiten que algunos datos pasen sin
ser inspeccionados
Estrategia de mitigación
Se debe poner a punto y probar correctamente
el sistema de DLP antes de activar el bloqueo
real de contenido. Activar el sistema en modo
solo de monitoreo permitirá ponerlo a punto
y ofrecerá la oportunidad de alertar a los
usuarios acerca de procesos y actividades
que están incumpliendo las reglas, de
modo que se puedan emprender los ajustes
correspondientes. La participación de los
actores adecuados del área de TI y negocios
en las etapas de planificación y monitoreo
permitirá garantizar que se anticipen y
mitiguen las interrupciones a los procesos. Por
último, se deben establecer algunos medios
de accesibilidad en caso de que se esté
bloqueando contenido crítico fuera de las horas
de trabajo, cuando el equipo que administra la
solución de DLP no está disponible.
Garantizar que el tamaño del módulo de
DLP sea el adecuado para el volumen de
tráfico en la red es una consideración de
diseño crítica. Sin embargo, es igualmente
importante monitorear los módulos de red
de la DLP para asegurar que el tráfico en la
red no se incremente en el tiempo hasta un
punto tal que haga que el módulo pierda su
efectividad.

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 11
 Prevención de fuga de datos
Figura 1—Riesgos operacionales relacionados con la puesta en funcionamiento de la DLP (cont.)
Riesgo Impacto
Exceso de informes y falsos positivos • Pérdida de tiempo del personal
• Omisión de amenazas ciertas
• Tendencia a ignorar registros en el tiempo
Conflictos con software o rendimiento del • Tiempo de inactividad del sistema
sistema • Degradación del rendimiento
• Interrupción de la DLP o de otros controles
o procesos
12 © 2010 ISACA. D e r e c h o s r e s e r v ad o s
Estrategia de mitigación
Igual que un sistema de detección de
intrusiones (IDS) mal configurado, las
soluciones de DLP pueden registrar
cantidades considerables de falsos positivos,
que sobrecargan al personal y pueden hacer
que se pasen por alto ataques reales. Evite
el uso excesivo de patrones de plantillas o
soluciones tipo “caja negra” que no permiten
un alto grado de personalización. El rasgo
más importante de una solución de DLP
es la capacidad de personalizar las reglas
o plantillas de acuerdo con los patrones
de datos específicos de la organización.
Igualmente es importante que el sistema se
desarrolle en fases, concentrándose primero
en las áreas de más alto riesgo. Tratar de
monitorear demasiados patrones de datos
o permitir demasiados puntos de detección
desde un principio puede sobrecargar
rápidamente los recursos.
Los sistemas de DLP, en particular los
rastreadores y agentes de puntos de destino,
pueden entrar en conflicto con otro software
en el sistema y el rendimiento. Antes del
despliegue, se debe dejar un margen para
una extensa planificación y pruebas. Lo ideal
es disponer de un ambiente de pruebas
y evaluación permanente. Verifique con
el proveedor si hay conflictos conocidos.
Asegúrese de que los rastreadores estén
correctamente configurados y puestos a
punto y que su operación esté programada
de tal manera que no permita ventanas pico
de procesamiento del sistema. Cuando sea
posible evitarlo, no se deben programar
exploraciones sobre puestos de trabajo para
horas de trabajo pico o cuando los sistemas
estén conectados en forma remota. Además,
cerciórese de que todos los parches y
actualizaciones hayan sido probados dentro
del ambiente de prueba antes del despliegue
para producción.
.
 Prevención de fuga de datos

Figura 1—Riesgos operacionales relacionados con la puesta en funcionamiento de la DLP (cont.)

Riesgo
Cambios en procesos o infraestructura de
TI que hacen que los controles de la DLP
pierdan su eficacia
Módulos de red de DLP mal colocados
Falla no detectada de los módulos de DLP
Servicios de directorio incompletos o mal
configurados
Impacto
• Reducción de la eficacia de la DLP debido a El administrador o un representante del
que se evaden los controles de la misma
• Flujos de datos perdidos o no
inspeccionados
• Datos no inspeccionados debido a falla
parcial o total del módulo
• Incapacidad para rastrear violaciones a los
usuarios finales apropiados
Estrategia de mitigación
sistema de DLP deberá participar en el cambio
de los procesos de control a fin de garantizar
que los cambios realizados no evadan o
degraden de cualquier otra manera las
capacidades de la DLP. Además, la empresa
deberá estar bien preparada para los cambios
relacionados con la DLP para reducir el riesgo
de que se pase por alto en forma intencional el
sistema de DLP en aras de la eficiencia.
Es importante asegurarse de la colocación
adecuada de los módulos de red de la DLP.
Asegúrese de que estén disponibles mapas
de red precisos y de que los módulos se
coloquen en los puntos de salida más
externos para los flujos de datos que la
empresa desea
monitorear.
Los módulos de DLP pueden fallar, pero no
siempre informan su estado a la consola.
Es importante realizar pruebas periódicas
para garantizar que los módulos y los filtros
asociados a ellos estén funcionando de
acuerdo con lo esperado.
El servicio de directorio constituye la conexión
clave entre una dirección de red y un usuario
real, y la mayoría de las empresas desea
contar con este proceso en oposición a la
detección manual de esta información, la
que puede consumir demasiado tiempo y
no siempre es posible. Las empresas que
tienen servicios de directorio incompletos
o que carecen de ellos deberán considerar
cubrir esta brecha antes de poner en
funcionamiento una solución de DLP.

Limitaciones de la DLP
Aunque las soluciones de DLP pueden ser
muy útiles para que una empresa tenga
una mayor perspectiva y control de los
datos sensitivos, los actores tienen que
estar conscientes de sus limitaciones y de
las deficiencias en las soluciones de DLP.
Aunque las soluciones de DLP pueden ser muy útiles para que una empresa
tenga una mayor perspectiva y control de los datos sensitivos, los actores
tienen que estar conscientes de sus limitaciones y de las deficiencias en
las soluciones de DLP. Entender estas limitaciones es el primer paso en el
desarrollo de estrategias y políticas que permitirán compensar las limitaciones
de la tecnología. Algunas de las limitaciones más importantes comunes entre
las soluciones de DLP son las siguientes:

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 13
 Prevención de fuga de datos

• Encriptación—Las soluciones de DLP solo pueden inspeccionar la información que primero pueden desencriptar. Para
ello, los agentes de DLP, los dispositivos de red y los rastreadores deben tener acceso y poder utilizar las claves de
desencriptación adecuadas. Si los usuarios tienen la capacidad de usar paquetes de encriptación personales en caso de
que las claves no sean administradas por la empresa y suministradas a la solución de DLP, no se pueden analizar los
archivos. Para mitigar este riesgo, las políticas deben prohibir la instalación y el uso de soluciones de encriptación que
no se administren en forma centralizada; asimismo, se debe educar a los usuarios en el sentido de que cualquier cosa
que no pueda ser desencriptada para inspección (lo que significa que la solución de DLP tiene la clave de encriptación)
finalmente será bloqueada.
• Gráficos—Las soluciones de DLP no pueden interpretar archivos gráficos de modo inteligente. Debido a la incapacidad
de bloquear o inspeccionar manualmente toda información de este tipo, se producirá una brecha importante en la
capacidad que tiene una empresa de controlar su información. La información sensitiva que se digitaliza en un archivo
gráfico o la propiedad intelectual que existe en un formato gráfico, por ejemplo documentos de diseño, entrarían
en esta categoría. Las empresas que tienen una cantidad importante de propiedad intelectual en formato gráfico
deberán desarrollar políticas sólidas que rijan el uso y la divulgación de esta información. Aunque las soluciones de
DLP no pueden leer en forma inteligente el contenido de un archivo gráfico, sí pueden identificar tipos de archivos
específicos, su fuente y su destino. Esta capacidad, combinada con un análisis de tráfico bien definido, puede identificar
movimientos no característicos de este tipo de información y proporcionar cierto grado de control.
• Otros proveedores de servicio—Cuando una empresa envía su información sensitiva a un tercero de confianza,
inherentemente está confiando en que el proveedor de servicio aplica el mismo nivel de control de fugas de
información, ya que las soluciones de DLP de la empresa pocas veces se extienden hasta la red de los proveedores
de servicio. Un programa sólido de gestión de terceros, que incorpora lenguaje contractual efectivo y un programa de
auditoría de apoyo, puede contribuir a mitigar este riesgo.
• Servicios móviles—Con la llegada de los equipos de computación móviles, tales como teléfonos inteligentes, es
indudable que hay canales de comunicación que no se pueden monitorear o controlar fácilmente. El servicio de
mensajes de texto cortos (SMS) es el protocolo de comunicación que permite enviar mensajes de texto y es un ejemplo
clave. Otra consideración es la capacidad de muchos de estos equipos de utilizar Wi-Fi o incluso de convertirse en un
“punto caliente” (hotspot) de Wi-Fi. Ambos casos permiten comunicación fuera de banda que no puede ser monitoreada
por parte de la mayoría de las empresas. Por último, la capacidad de muchos de estos equipos de capturar y almacenar
fotografías digitales e información de audio representa otra posible brecha. Si bien se están alcanzando ciertos avances
en esta área, las grandes limitaciones del poder de procesamiento y administración centralizada siguen constituyendo
un reto. De nuevo, la mejor manera de enfrentar esta situación es desarrollando políticas sólidas y fomentando la
educación de los usuarios para instarlos a que usen debidamente estos equipos.
• Apoyo multilingüe—Pocas soluciones de DLP ofrecen apoyo multilingüe, pero prácticamente todas las consolas de
administración trabajan con el idioma inglés. También es cierto que por cada idioma y juego de caracteres adicionales
que el sistema debe soportar, se incrementan tanto los requerimientos de procesamiento como los tiempos de análisis.
En tanto los proveedores no reconozcan una demanda suficiente para atender esta deficiencia, no quedan muchos
recursos más que buscar otros métodos para controlar las fugas de información en idiomas diferentes al inglés. Las
empresas multinacionales deben considerar cuidadosamente esta deficiencia potencial cuando evalúen y desplieguen
una solución de DLP.

Estos puntos no tienen la intención de desalentar la adopción de la tecnología de DLP. El único recurso para la mayoría
de las empresas es la adopción de políticas de conducta y controles de seguridad físicos que complementen la serie de
controles tecnológicos que están disponibles hoy en día, tales como:
• Supeditación a una única solución—En este momento no existe portabilidad de los conjuntos de reglas entre las
diferentes plataformas de DLP, lo que quiere decir que cambiar de un proveedor a otro o integrarse con una solución
adquirida por una organización puede requerir un trabajo considerable para reproducir un conjunto complejo de reglas
en un producto diferente.

14 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

• Apoyo limitado al sistema operativo cliente—Muchas soluciones de DLP no ofrecen agentes de DLP en los puntos de
destino para sistemas operativos como Linux y Mac, pues su uso como clientes en la empresa es mucho menos común.
Sin embargo, esto da lugar a una deficiencia potencialmente importante para las empresas que tienen varios de estos
clientes. Este riesgo solo se puede abordar por medio de políticas orientadas hacia el comportamiento o requiere el uso
de soluciones personalizadas que no suelen estar integradas en la plataforma de DLP de las empresas.
• Apoyo entre aplicaciones—Las funciones de la DLP también pueden estar limitadas por el tipo de aplicación. Un
agente de DLP que no pueda monitorear las manipulaciones de datos de una aplicación no podrá hacerlo para otra en
el mismo sistema. Las empresas deben asegurarse de que todas las aplicaciones que pueden manipular datos sensitivos
estén identificadas y deben verificar que la solución de DLP sea compatible con ellas. En aquellos casos en los que
existan aplicaciones con las cuales no haya compatibilidad, tal vez sean necesarias otras acciones a través de las
políticas o, de ser factible, la eliminación de la aplicación específica.

Consideraciones en cuanto a cambios y gobierno

Antes de seleccionar y poner en
funcionamiento la tecnología de DLP, es
importante garantizar que se desarrollen
políticas adecuadas para regir su uso.
 a introducción de una solución de DLP para una empresa puede tener un
L
impacto sobre muchos sistemas de TI y procesos de negocio. Estos impactos
pueden implicar cambios considerables a procesos de negocio que tienen
mucho tiempo, un incremento de los gastos generales en sistemas clave
y modificaciones de las configuraciones del sistema y la red. Antes de
seleccionar y poner en funcionamiento una tecnología de DLP, es importante
asegurarse de que se hayan desarrollado las políticas adecuadas para regir su
uso. Es igualmente importante que en el desarrollo de una política de DLP
participen los actores clave que entiendan qué información se debe restringir
y por qué. En una presentación reciente en una reunión sobre gestión de
riesgo y seguridad organizada por Gartner, el analista de esta empresa, Eric
Ouellett, observó lo siguiente:

Las organizaciones subestiman la necesidad de la participación de unidades de negocio que no pertenezcan

al área de TI. En muchos casos, realmente no es apropiado que la gente de TI tenga que analizar lo que los
sistemas de DLP puedan estar reportando en cuanto a problemas de cumplimiento con la protección de datos,
pero en la práctica, el monitoreo de DLP algunas veces no funciona bien en las manos de la gente del negocio
que sería la más adecuada.5

La clave es que las personas correctas en la empresa deben participar en el desarrollo inicial de políticas así como cuando
el programa de DLP se está aplicando, pues ellas serán determinantes a la hora de tomar las decisiones apropiadas en
caso de violaciones. El propietario de datos de negocio que tenga una idea del contexto estará mucho más equipado
para tomar estas decisiones que un analista de seguridad de TI. Asimismo es importante que estos actores entiendan por
completo las ramificaciones de los cambios esperados y que exista una preparación adecuada para evitar un impacto
negativo para estos procesos de negocio.

Además, cabe destacar que es importante reconocer que los cambios significativos al proceso de negocio o
procedimientos que tiene mucho tiempo instaurados puede tener impactos mucho más extensos sobre la cultura de
la empresa. Pese a los mejores esfuerzos para comunicarse y educarse antes de la puesta en funcionamiento, algunas
personas tal vez no entiendan o acepten los cambios y busquen vías para evadir los nuevos controles, introduciendo así

5
 etwork World; “Too many data-loss prevention tools become shelfware, says analyst,” 22 June 2010, www.networkworld.com/news/2010/062210-data-loss-prevention-
N
tools.html
6
ISACA; An Introduction to the Business Model for Information Security, USA, 2009, www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf
© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 15
 Prevención de fuga de datos

un mayor riesgo para la empresa. Entender la naturaleza sistémica de la gestión de seguridad de la información, tal como
la que se describe en la publicación de investigación de ISACA An Introduction to the Business Model for Information
Security,6 puede ayudar a desarrollar estrategias para enfrentar este riesgo.

Las empresas deben asegurar que se aplique un enfoque basado en riesgo cuando se ponga en funcionamiento una
solución de DLP. Incluso cuando se despliegue en modo solo de monitoreo, es fácil abrumarse con el volumen de
información presentada por el sistema. Cuando esto ocurra, existe una clara posibilidad de que la solución sea desechada
hasta el punto de que sea ineficaz o de que a la larga se ignore, como sucedió con muchos primeros sistemas de
detección de intrusiones (IDS). Un enfoque que están empleando algunas empresas consiste en poner en funcionamiento
la DLP solo para sistemas o protocolos específicos que han determinado como de alto riesgo. Un único canal que con
frecuencia se cubre es el del correo electrónico, pues a menudo presenta el máximo riesgo de pérdida de datos para una
empresa.

Consideraciones sobre aseguramiento para la DLP

Los profesionales en aseguramiento tienen la tarea de garantizar que la
Los profesionales en aseguramiento tienen solución de DLP se despliegue, administre y gobierne correctamente, lo que
implica entender claramente los riesgos, así como monitorear constantemente
la tarea de garantizar que la solución de cuatro áreas clave:
DLP se despliegue, administre y gobierne • Estrategia y gobierno empresarial—Revisar la estrategia de protección de
datos para examinar si está acorde con los objetivos de negocio y sus riesgos.
correctamente. Prestar atención a los riesgos indirectos en caso de que la información
confidencial pueda ser objeto de abuso por parte de competidores. Evaluar
si hay puntos de verificación para mantener la estrategia de datos en línea
con los cambiantes objetivos de negocio. Verificar si existe un marco de
gobierno claro que permita orquestar acciones entre las personas, procesos y
tecnología. Verificar si están siendo consideradas todas las leyes, legislación
y leyes de privacidad aplicables.
• La gente—Verificar si los actores adecuados están comprometidos durante y después de poner en funcionamiento la
DLP. Los actores clave son, entre otros:
– Legal, privacidad, seguridad corporativa, seguridad de la información
– Ingeniería y operaciones de TI
– RR.HH. y representantes de los empleados
– Representantes de las líneas de negocio clave
– Gerencia ejecutiva

Revisar el programa de conciencia y adiestramiento para garantizar que los empleados estén conscientes de sus
funciones y responsabilidades. Garantizar que el personal necesario para manejar la información confidencial esté
bien adiestrado de acuerdo con la política de seguridad de la empresa y que solo personal con una necesidad de
negocio tenga acceso a la información confidencial. Asimismo, garantizar que los actores adecuados participen en la
identificación de datos sensitivos y el flujo de trabajo que evalúe y aborde las violaciones de la política de DLP.
• Procesos de negocio—Revisar los procesos de negocio con acceso a información confidencial y determinar si ese
acceso es necesario para ejecutar cada proceso. Identificar la necesidad de acceso a información confidencial desde
procesos de negocio es uno de los métodos más seguros para proteger esos datos. Además, deberán existir procesos
adecuados para el monitoreo, detección, calificación, manejo y cierre de los incidentes de fuga de datos.

16 © 2010 ISACA. D e r e c h o s r e s e r v ad o s .
 Prevención de fuga de datos

• Tecnología—Revisar la tecnología específica que haya sido desplegada y determinar si está instalada según su diseño.
Por ejemplo, determinar si cubre todos los puntos de salida y equipos críticos para la empresa. Esto podría incluir
puntos de salida de socios comerciales y equipos con acceso a información sensitiva. Además, asegurar que cubra
todos los elementos necesarios de la tecnología que se está usando en la empresa. Finalmente, revisiones periódicas de
registros y procesos para el manejo de eventos garantizan que la solución esté siendo utilizada de manera correcta y
optimizada.

Conclusión
La información de una empresa puede ser uno de sus activos más valiosos.
Las soluciones de DLP a menudo tienen una capacidad con múltiples Las soluciones de DLP ofrecen una
facetas para aumentar de modo significativo la capacidad de la empresa
para la gestión de riesgos para sus activos de información clave. Sin
capacidad de múltiples facetas para
embargo, las soluciones pueden ser complejas y propensas a afectar otros incrementar de modo significativo la
procesos y la cultura de la organización si se aplican de manera indebida y capacidad de la organización para la
apresurada. Una planificación y preparación cuidadosas, la comunicación gestión de riesgos para sus activos de
y el adiestramiento en la creación de conciencia son primordiales para el
información clave.
despliegue de un programa exitoso de DLP.

Si desea encontrar otros recursos relacionados con la DLP, visite www.isaca.org/DLP.

© 2010 ISACA. D e r e c h o s r e s e r v ad o s . 17