Logotipo de Trellix
¿Por qué Trellix?
Plataforma
Servicios
Partners
Recursos
Acerca de
Primeros pasos
¿Ha sufrido un ataque?
Soporte
Póngase en contacto con nosotros
Menú principal
¿POR QUÉ TRELLIX?
¿Por qué Trellix? Ventajas de Trellix frente a la competencia La ventaja de Trellix Platform Certificaciones y conformidad
INTELIGENCIA DE AMENAZAS
Advanced Research Center Trellix Insights Informes de amenazas Últimos artículos de blog
Menú principal
FUNCIONES DE LA PLATAFORMA
Acerca de nuestra plataforma Trellix Wise Motor
CATEGORÍAS DE PRODUCTOS
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
SOLUCIONES
Detección y respuesta al ransomware Estrategia de confianza cero (Zero-Trust) Inteligencia artificial y operaciones de seguridad CISO Sector público Seguridad para elecciones
Menú principal
SERVICIOS PROFESIONALES
Trellix Thrive Servicios MDR ( Managed Detection and Response) Servicios para soluciones Servicios de consultoría en ciberseguridad
EDUCACIÓN Y FORMACIÓN
Servicios educativos Cursos de formación
Menú principal
NUESTRA RED
Presentación para partners Security Innovation Alliance OEM & Embedded Alliances Servicios prestados por los partners
PORTAL DE PARTNERS
Inicio de sesión en el portal de partners de Trellix Conviértase en partner
PARTNERS ESTRATÉGICOS
Amazon Servicios web (AWS) Google Cloud Telefónica Tech
Menú principal
CENTRO DE RECURSOS
Biblioteca de recursos Historias de clientes Concienciación sobre la seguridad Temas
APRENDER
Seminarios web Semanalmente Serie de charlas técnicas Visitas guiadas por productos
INICIO DE SESIÓN
Inicio de sesión en Trellix Trellix Hive Developer Portal Marketplace
Menú principal
EMPRESA
Acerca de Trellix Equipo directivo Reconocimientos el sector Experiencias de los clientes Oportunidades de empleo
MEDIOS DE COMUNICACIÓN
Notas de prensa Últimas Noticias Blogs Acceder a la sala de prensa
CONECTAR
Eventos Contáctenos

¿Qué es DLP y cómo funciona?

Definición Cómo funciona Mejores prácticas Solicitar una demostración

¿Qué es DLP?

La prevención de la pérdida de datos (DLP), según Gartner, puede definirse como las tecnologías que realizan tanto la inspección de contenido como el análisis contextual de los datos enviados a través de aplicaciones de mensajería como el correo electrónico y la mensajería instantánea, en movimiento a través de la red, en uso en un dispositivo endpoint gestionado, y en reposo en servidores de archivos locales o en aplicaciones y almacenamiento en la nube. Estas soluciones ejecutan respuestas basadas en directivas y reglas definidas para abordar el riesgo de filtraciones o exposición involuntarias o accidentales de datos confidenciales fuera de los canales autorizados.

Las tecnologías DLP se dividen en dos categorías: DLP empresarial y DLP integrada. Si bien las soluciones DLP empresariales son completas y están empaquetadas en software de agente para equipos de sobremesa y servidores, en appliances físicos y virtuales para supervisar las redes y el tráfico de correo electrónico, o en appliances de software para el descubrimiento de datos, la DLP integrada se limita a gateways web seguros (SWG), gateways de correo electrónico seguros ( SEG), productos de cifrado de correo electrónico, plataformas de gestión de contenido empresarial (ECM), herramientas de clasificación de datos, herramientas de descubrimiento de datos y brókeres de seguridad de acceso a la nube (CASB).

¿Cómo funcionan las soluciones DLP?

Comprender las diferencias entre conocimiento del contenido y el análisis contextual es esencial para comprender cualquier solución DLP en su totalidad. Una forma útil de pensar en la diferencia es que si el contenido es una carta, el contexto es el sobre. Si bien el conocimiento del contenido implica capturar el sobre y observar dentro de él para analizar el contenido, el contexto incluye factores externos como el encabezado, el tamaño, el formato, etc., todo lo que no incluye el contenido de la carta. La idea detrás del conocimiento del contenido es que, aunque queremos utilizar el contexto para obtener más inteligencia sobre el contenido, no queremos limitarnos a un solo contexto.

Una vez que se abre el sobre y se procesa el contenido, existen varias técnicas de análisis de contenido que se pueden utilizar para activar infracciones de directivas, concretamente:

  1. Expresiones regulares/basadas en reglas: la técnica de análisis más común utilizada en DLP implica un motor de análisis de contenido para reglas específicas como números de tarjetas de crédito de 16 dígitos, números de la seguridad social de EE. UU, de 9 dígitos, etc. Esta técnica es un filtro inicial excelente, ya que las reglas se pueden configurar y procesar rápidamente, aunque pueden ser propensas a altas tasas de falsos positivos sin la validación de la suma de comprobación para identificar patrones válidos.
  2. Identificación por huellas digitales de base de datos: también conocido como coincidencia exacta de datos (EDM), este mecanismo analiza las coincidencias exactas de un volcado de base de datos o una base de datos activa. Aunque los volcados de base de datos o las conexiones activas de la base de datos afectan al rendimiento, esta es una alternativa para datos estructurados de bases de datos.
  3. Coincidencia exacta de archivos: el contenido del archivo no se analiza; sin embargo, los hashes de los archivos se comparan con huellas digitales exactas. Proporciona un número bajo de falsos positivos, aunque este enfoque no funciona para archivos con varias versiones similares pero no idénticas.
  4. Coincidencia parcial de documentos: busca una coincidencia completa o parcial en archivos específicos, como varias versiones de un formulario rellenadas por diferentes usuarios.
  5. Conceptual léxico: utilizando una combinación de diccionarios, reglas, etc., estas directivas pueden alertar sobre ideas completamente desestructuradas que escapan a una categorización simple. Debe personalizarse para la solución DLP proporcionada.
  6. Análisis estadístico: utiliza el aprendizaje automático u otros métodos estadísticos, como el análisis bayesiano, para desencadenar infracciones de directivas en contenido seguro. Requiere un gran volumen de datos para realizar el análisis; cuanto mayor sea, mejor; de lo contrario será propenso a falsos positivos y negativos.
  7. Categorías predefinidas: categorías predefinidas con reglas y diccionarios para tipos comunes de datos confidenciales, como números de tarjetas de crédito/protección en el marco de la norma PCI y la ley HIPAA, etc.

En la actualidad, existen miles de técnicas en el mercado que permiten realizar diferentes tipos de inspección de contenido. Un aspecto a tener en cuenta es que, si bien muchos proveedores de soluciones DLP han creado sus propios motores de contenido, algunos emplean tecnología de terceros no diseñada para esta función. Por ejemplo, en lugar de crear una coincidencia de patrones para los números de tarjetas de crédito, un proveedor de DLP podría adquirir tecnología de un proveedor de motores de búsqueda para comparar patrones de números de tarjetas de crédito. Al evaluar las soluciones DLP, preste mucha atención a los tipos de patrones detectados por cada solución en relación con un cuerpo real de datos confidenciales para confirmar la precisión de su motor de contenido.

Las mejores prácticas de DLP refuerzan la seguridad de los datos

Las mejores prácticas de DLP combinan tecnología, controles de procesos, personal cualificado y concienciación de los empleados. A continuación se muestran las directrices recomendadas para desarrollar un programa DLP eficaz:

  1. Implementar un único programa de DLP centralizado: muchas organizaciones implementan prácticas y tecnologías inconsistentes e improvisadas de DLP, que implementan varios departamentos y unidades de negocio. Esta incoherencia provoca una falta de visibilidad de los activos de datos y debilita la seguridad de los datos. Además, los empleados suelen ignorar los programas DLP del departamento que no respalda el resto de la organización.
  2. Evaluar recursos internos: para crear y ejecutar un plan de DLP, las organizaciones necesitan personal con experiencia específica, incluido el análisis de riesgos de DLP, la respuesta y los informes de filtración de datos, las leyes de protección de datos y la formación y concienciación sobre DLP. Algunas normativas gubernamentales exigen que las organizaciones empleen personal interno o contraten a consultores externos con conocimientos en protección de datos. Por ejemplo, el Reglamente general de protección de datos (RGPD) incluye disposiciones que afectan a las organizaciones que venden bienes o servicios a consumidores de la Unión Europea (UE) o supervisan su comportamiento. El RGPD dispone de un delegado de protección de datos (DPO) o del personal que puede asumir las responsabilidades del DPO, incluida la realización de auditorías de conformidad, la supervisión del rendimiento de DLP, la formación de los empleados sobre los requisitos de conformidad y la función de enlace entre la organización y las autoridades de conformidad.
  3. Realizar un inventario y una evaluación:  una evaluación de los tipos de datos y su valor para la organización es un paso inicial importante en la implementación de un programa de DLP. Esto implica identificar los datos relevantes, dónde se almacenan y si se trata de datos confidenciales (propiedad intelectual, información confidencial o datos regulados). Algunas soluciones DLP pueden identificar rápidamente los activos de información analizando los metadatos de los archivos y catalogando el resultado o, si es necesario, abriendo los archivos para analizar el contenido. El siguiente paso es evaluar el riesgo asociado con cada tipo de datos, si se filtran. Las consideraciones adicionales incluyen los puntos de salida de datos y el posible coste para la organización si se pierden los datos. La pérdida de información sobre los programas de prestaciones para empleados conlleva un nivel de riesgo distinto al de la pérdida de 1000 archivos médicos de pacientes o de 100 000 números y contraseñas de cuentas bancarias.
  4. Implementar en fases:  DLP es un proceso a largo plazo que se implementa mejor en etapas.por El enfoque más eficaz es priorizar los tipos de canales comunicación y de datos. Del mismo modo, considere la posibilidad de implementar componentes o módulos de software de DLP según sea necesario, en función de las prioridades de la organización, en lugar de todos al mismo tiempo. El análisis de riesgos y el inventario de datos ayudan a establecer estas prioridades.
  5. Crear un sistema de clasificación:  para que una organización pueda crear y ejecutar directivas de DLP, necesita un marco de clasificación de datos o una taxonomía para los datos estructurados y no estructurados. Las categorías de seguridad de los datos pueden incluir información confidencial, interna, pública, de identificación personal, datos financieros, datos regulados, propiedad intelectual, etc. Los productos DLP pueden analizar datos mediante una taxonomía preconfigurada, que la organización puede personalizar posteriormente, para ayudar a identificar las categorías clave de datos. Si bien el software de DLP automatiza y acelera la clasificación, son las personas las que seleccionan y personalizan las categorías. Los propietarios de contenido también pueden evaluar visualmente ciertos tipos de contenido que no se pueden identificar mediante palabras clave o frases sencillas.
  6. Establezca directivas de gestión y corrección de datos: después de crear el marco de clasificación, el siguiente paso es crear (o actualizar) directivas para gestionar diferentes categorías de datos. Los requisitos gubernamentales especifican las directivas de DLP para gestionar datos confidenciales. Las soluciones DLP normalmente aplican reglas o directivas preconfiguradas basadas en diversas normativas, como HIPAA o RGPD. El personal de DLP puede personalizar las directivas en función de las necesidades de la organización. Para administrar las directivas, los productos de implementación de DLP previenen y supervisan los canales salientes (como el correo electrónico y el chat web) y proporcionan opciones para gestionar posibles infracciones de seguridad. Por ejemplo, un empleado a punto de enviar un correo electrónico con datos adjuntos confidenciales podría recibir una ventana emergente que sugiera que se debe cifrar el mensaje, o bien el sistema podría bloquearlo por completo o redirigirlo a un administrador. La respuesta se basa en las reglas que establece la organización.
  7. Formar a los empleados:  El conocimiento y la aceptación por parte de los empleados de las directivas y los procedimientos de seguridad es fundamental para la prevención de la pérdida de datos. Las iniciativas de educación y formación, como clases, formación online, mensajes de correo electrónico periódicos, vídeos e informes, pueden mejorar el conocimiento de los empleados de la importancia de la seguridad de los datos y mejorar su capacidad para seguir las mejores prácticas de DLP. Las sanciones por violar la seguridad de los datos también pueden mejorar la conformidad, especialmente si están definidas con claridad. El SANS Institute proporciona una variedad de recursos de formación y concienciación sobre la seguridad de los datos.

Explore more Security Awareness topics

View Data Protection Topics View All Security Awareness