Академический Документы
Профессиональный Документы
Культура Документы
ISACA
Resumen
La Prevencin de fuga de datos (DLP) consiste en un conjunto de tecnologas dirigidas a detener la prdida de informacin sensitiva
que ocurre en empresas de todo el mundo. Al concentrarse en la ubicacin, clasificacin y monitoreo de informacin en reposo, en
uso y en movimiento, esta solucin puede ser una herramienta sumamente til para ayudar a las empresas a manejar la informacin
que poseen y a detener las numerosas fugas de informacin que ocurren da a da. La DLP no es una solucin tipo plug and play, es
decir que se conecta y se puede usar de inmediato. La aplicacin exitosa de esta tecnologa supone un alto grado de preparacin y el
debido mantenimiento continuo. Empresas que buscan integrar y poner en funcionamiento la DLP deberan prepararse para un esfuerzo
significativo que, si se realiza correctamente, puede reducir de manera considerable el riesgo para la organizacin. Quienes ponen
en prctica esta solucin deben asumir un enfoque estratgico que aborde los riesgos, impactos y pasos de mitigacin, junto con las
medidas de garanta y gobierno adecuadas.
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
El presente documento ofrece una visin general de la DLP y explora los beneficios, riesgos y razones para que una
empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una
solucin de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en
funcionamiento de una solucin de DLP.
Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o
delictivos de robo de informacin, la tecnologa todava no est suficientemente desarrollada para impedir mtodos
ms sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy
pequea del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se
estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los
usuarios y 12 por ciento se debi a intentos maliciosos.2 No obstante, este bajo porcentaje puede ser algo engaoso, pues
normalmente un porcentaje mucho mayor de robos maliciosos de datos que de prdidas accidentales conducir a acciones
adversas.
1
2
e r e c h o s
r e s e r v ad o s
lgunas capacidades de DLP estn embebidas en los sistemas de red, por ejemplo cortafuegos y servidores de correo electrnico, en lugar de funcionar como equipos
A
dedicados.
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
A menudo las empresas no estn conscientes de todos los tipos y ubicaciones de la informacin que poseen. Es
importante, antes de adquirir una solucin de DLP, identificar y clasificar los tipos de datos sensitivos y su flujo de
un sistema a otro y a los usuarios. Este proceso debera producir una taxonoma de datos o un sistema de clasificacin
que aprovecharn diversos mdulos de DLP mientras buscan y toman acciones con respecto a la informacin que
corresponde a las diversas clasificaciones dentro de la taxonoma. El anlisis de procesos de negocio crticos debera
producir la informacin requerida. Las clasificaciones pueden incluir categoras tales como datos privados de clientes
o empleados, datos financieros y propiedad intelectual. Una vez que los datos han sido identificados y clasificados
debidamente, el anlisis ulterior de los procesos debera facilitar la ubicacin de almacenes de datos primarios y trayectos
de datos clave. Con frecuencia, se dispersan mltiples copias y variaciones de los mismos datos a travs de toda la
empresa en servidores, estaciones de trabajo, cintas y otros medios. Usualmente se hacen copias para facilitar probar la
aplicacin sin limpiar antes los datos de contenido sensitivo. Tener una buena idea de las clasificaciones de datos y la
ubicacin de los almacenes de datos primarios es til tanto para la seleccin como para la ubicacin de la solucin de
DLP. Luego de que ha sido instalada la solucin de DLP, podr ayudar a encontrar otras ubicaciones y trayectos de datos.
Tambin es importante entender el ciclo de vida de los datos de la empresa. Entender el ciclo de vida desde el punto
de origen, pasando por el procesamiento, mantenimiento, almacenamiento hasta la eliminacin de los datos, ayudar a
descubrir repositorios de datos adicionales y vas de transmisin.
Se debe recopilar informacin adicional a travs de un inventario de todos los puntos de salida de datos, ya que no todos
los procesos de negocios estn documentados y no todo movimiento de datos es resultado de un proceso establecido.
Elanlisis de los conjuntos de reglas para el enrutador y el cortafuegos puede contribuir con estos esfuerzos.
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
Las empresas debern considerar seriamente poner en prctica la DLP inicialmente en un modo solo de monitoreo.
De esta manera, se podr poner a punto el sistema y predecir los impactos para los procesos de negocios y la cultura
de la organizacin. Permitir que las alertas activadas por el sistema generen conciencia y den lugar a cambios de
comportamiento por lo general suele ser un mejor enfoque que bloquear flujos de trfico y correr el riesgo de desbaratar
los procesos de negocio. Aunque los cuadros directivos tal vez tengan preocupaciones importantes por el volumen de
datos sensitivos que se escapan por la puerta luego de activar el sistema, iniciar el bloqueo real demasiado pronto
puede provocar problemas aun mayores pues interrumpe u obstaculiza seriamente los procesos de negocios crticos.
Loque se espera es que estos procesos se identifiquen durante la etapa de preparacin, pero con frecuencia se pasan
cosas por alto que rpidamente salen a la luz cuando se activa la solucin de DLP.
Resolucin de violaciones
Las soluciones de DLP, por lo general, proporcionan una buena cantidad de informacin til con respecto a la ubicacin
y las vas de transmisin de la informacin sensitiva. Sin embargo, a veces esto puede convertirse en una caja de
Pandora. Una empresa puede desconcertarse rpidamente ante el volumen y la extensin de sus datos sensitivos y la
prdida de los mismos y tal vez pueda estar inclinada a apresurarse y tratar de atender todos los problemas al mismo
tiempo, lo que seguro es una frmula para el desastre. Es importante que una empresa est preparada para emplear un
enfoque basado en riesgo a fin de priorizar y tratar los hallazgos en la forma ms expeditiva posible. Todos los actores
clave deben participar en este proceso, ya que el mismo a menudo implica dejar que un problema contine por un tiempo
mientras se atiende uno ms serio. El anlisis y las decisiones subsiguientes en relacin con el proceso debern estar bien
documentados y mantenerse en anticipacin a futuras auditoras o investigaciones reglamentarias.
Se debe monitorear de cerca la solucin de DLP y entregar informes peridicos de riesgo, cumplimiento y privacidad
a los actores pertinentes (por ejemplo, gestin de riesgo, gestin de cumplimiento, equipo de privacidad y recursos
humanos [RR.HH.]).
Se deben seguir revisando y optimizando las reglas de DLP, pues las soluciones de DLP no informarn a los
administradores si una regla es demasiado amplia y podra tener un impacto importante de desempeo en la
infraestructura de DLP. Las empresas debern asegurarse de que todos los actores sean diligentes en cuanto a informar
cualquier nuevo formato o tipo de dato que tal vez no est representado en el conjunto de reglas de DLP existente.
Se debe disponer de un ambiente de prueba y evaluacin que se utilizar para probar el impacto de los parches y
actualizaciones de la solucin de DLP. Finalmente, es importante dar continuidad a los programas de creacin de
conciencia y adiestramiento, los cuales podran ser reforzados con las capacidades de alerta y generacin de informes de
la solucin de DLP.
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
Ponemon Institute; Ponemon Study Shows the Cost of a Data Breach Continues to Increase, USA, 2009, www.ponemon.org/news-2/23
10
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
Estrategia de mitigacin
Riesgo
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
11
Impacto
Estrategia de mitigacin
12
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
Impacto
Estrategia de mitigacin
Limitaciones de la DLP
Aunque las soluciones de DLP pueden ser
muy tiles para que una empresa tenga
una mayor perspectiva y control de los
datos sensitivos, los actores tienen que
estar conscientes de sus limitaciones y de
las deficiencias en las soluciones de DLP.
Aunque las soluciones de DLP pueden ser muy tiles para que una empresa
tenga una mayor perspectiva y control de los datos sensitivos, los actores
tienen que estar conscientes de sus limitaciones y de las deficiencias en
las soluciones de DLP. Entender estas limitaciones es el primer paso en el
desarrollo de estrategias y polticas que permitirn compensar las limitaciones
de la tecnologa. Algunas de las limitaciones ms importantes comunes entre
las soluciones de DLP son las siguientes:
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
13
14
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
etwork World; Too many data-loss prevention tools become shelfware, says analyst, 22 June 2010, www.networkworld.com/news/2010/062210-data-loss-preventionN
tools.html
6
ISACA; An Introduction to the Business Model for Information Security, USA, 2009, www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf
5
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
15
16
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
Conclusin
La informacin de una empresa puede ser uno de sus activos ms valiosos.
Las soluciones de DLP a menudo tienen una capacidad con mltiples
facetas para aumentar de modo significativo la capacidad de la empresa
para la gestin de riesgos para sus activos de informacin clave. Sin
embargo, las soluciones pueden ser complejas y propensas a afectar otros
procesos y la cultura de la organizacin si se aplican de manera indebida y
apresurada. Unaplanificacin y preparacin cuidadosas, la comunicacin
y el adiestramiento en la creacin de conciencia son primordiales para el
despliegue de un programa exitoso de DLP.
2010 ISACA. D
e r e c h o s
r e s e r v ad o s
17