La palabra ‘DATA’ y números binarios en CGI.

¿Qué es la prevención de pérdida de datos (PPD)?

jul. 2023
Inicio del Blog

PPD son las siglas de Prevención de pérdida de datos (DLP, en inglés). PPD es un concepto, o un conjunto de estrategias , que consta de herramientas o procesos que, cuando las utiliza un administrador de red, puede impedir el acceso, uso indebido o pérdida de datos sensibles. Con la PPD, los usuarios no envían datos sensibles o críticos fuera de las redes de sus organizaciones. Los usuarios de redes son susceptibles a compartir datos, accidental o maliciosamente, lo cual podría perjudicar a la organización propietaria de las redes. Por ejemplo, el reenvío de mensajes de trabajo fuera del dominio corporativo, o cargar archivos sensibles en un servicio comercial de almacenamiento en la nube, como Dropbox. El software de PPD categoriza y protege los datos sensibles, tanto si son críticos para la organización como confidenciales o regulados.

Motivos para adoptar la PPD

Las circunstancias nunca han sido más favorables para la adopción generalizada del software de PPD. El volumen de datos expuesto por las vulneraciones ha ido creciendo de año en año. Entre el 60% y el 70% de todas las vulneraciones de datos es objeto de difusión pública, con un significativo perjuicio para la reputación, y en ocasión las finanzas, de las organizaciones. El 84% de los directivos de TI creen que la PPD es más difícil a causa de los trabajadores remotos. Cada 11 segundos, otra empresa cae víctima de un ciberataque. En EE.UU., el coste medio de una vulneración de datos es de 9,44 millones de dólares. La PPD aborda tres temas sensibles comunes de la seguridad informática de las organizaciones: protección de los datos personales y cumplimiento normativo correspondiente, protección de PI y visibilidad de los datos.

  • Protección de los datos personales y cumplimiento normativo correspondiente: toda organización que recoja y almacene IPI, DSP o PCI posiblemente esté sujeta al cumplimiento de normas como la HIPAA o el RGPD. Ello implica que están obligadas a proteger los datos sensibles de sus clientes.
  • Protección de PI: si su organización posee propiedad intelectual valiosa, secretos comerciales o incluso secretos de Estado, su pérdida o robo puede ponerla en peligro. Las soluciones de PPD pueden utilizar clasificación contextual, capaz de jerarquizar la PI de maneras estructuradas y desestructuradas. Mediante políticas y controles es posible frenar la exfiltración de datos.
  • Visibilidad de los datos: una solución de PPD empresarial exhaustiva puede detectar y vigilar sus datos en terminales, en redes y en la nube. Podrá ver cómo los usuarios de su organización interactúan con los datos.

Además, la PPD es conveniente para vigilar amenazas de infiltrados, protección de datos de Office 365, análisis de comportamientos de usuarios/entidades y amenazas avanzadas.

Buenas prácticas de prevención de pérdida de datos

Administrador de red frente a un bastidor de servidores mirando un portátil.

Al iniciar una evaluación de la mejor manera de implementar la PPD en su organización, es importante recordar: no todos los datos son críticos. Diferentes organizaciones priorizarán diferentes datos. ¿El robo de qué tipo de datos sería más desastroso? Centre su estrategia de PPD inicial en protegerlos.

Considere clasificar sus datos por contexto. Asocie una clasificación con la aplicación de origen, el almacén de datos o el usuario creador. Las etiquetas de clasificación persistentes indican que las organizaciones pueden negociar el uso de los datos.

La capacitación y las directrices pueden reducir el riesgo de pérdidas accidentales de datos por el personal interno. Las soluciones de PPD más avanzadas ofrecen alertas a los usuarios para indicarles que su uso de los datos puede vulnerar las políticas de la empresa o incrementar los riesgos, a la vez que controlan las actividades de riesgo.

Una implementación correcta de PPD se basa en entender cómo se utilizan los datos en la organización y cómo identificar los comportamientos de riesgo. Las organizaciones deben monitorizar los datos en movimiento como parte de una estrategia de observación de qué ocurre con sus datos más sensibles, y entender los problemas que toda estrategia de PPD debería abordar.

Naturalmente, el nivel de riesgo variará en función del destino de los datos, como asociados, clientes, la cadena de suministro, etc. Normalmente, el riesgo es mayor cuando se utiliza en terminales, como en mensajes de correo electrónico o dispositivos de almacenamiento extraíbles. Un programa de PPD sólido tendrá en cuenta estos riesgos de los datos móviles.

¿Cuál es su principal objetivo de protección de datos? Quizá no sea un tipo de datos específico. La protección de la PI, el cumplimiento normativo, la obtención de la visibilidad de los datos: todos son objetivos valederos. Tener establecido un objetivo simplifica la determinación de cómo implementar de manera eficaz su solución de PPD.

Es importante no apresurarse antes de adoptar una solución de PPD. Establezca objetivos mensurables de rápido cumplimiento para la definición de su concepto inicial. Puede adoptar un concepto de proyecto, reduciendo el ámbito inicial del programa para centrarse en un tipo de datos específico. Por ejemplo, hacer hincapié en detectar y automatizar la clasificación de datos sensibles. Es una estrategia más eficiente que una implementación inicial demasiado ambiciosa y compleja.

Al implementar su programa de PPD, establezca y vigile KPI, con el objeto de tener patrones de medida de su éxito y detectar áreas de posibles mejoras. Comparta estos parámetros con los directivos de su organización para demostrar el valor que agrega la PPD.

Al implementar su programa inicial de PPD, no cometa el error de hacerlo en un único departamento cada vez. Una aplicación incongruente y unas prácticas de PPD ad hoc serán ignoradas por diversas secciones de la organización con las cuales no están relacionadas directamente, lo cual se traduce en un importante derroche de recursos.

En relación con este aspecto, lo mejor es conseguir el visto bueno de ejecutivos de la organización, como el Director financiero y el Consejero delegado, para conseguir la aprobación del presupuesto para un programa de PPD. Tendrá que demostrar cómo la PPD aborda los temas sensibles de diferentes unidades de negocio, como el crecimiento rentable y el uso eficiente de los activos (ya que la PPD elimina la necesidad de personal adicional). De esta manera, la adopción generalizada del programa por parte de toda la organización resultará más fácil de defender y de coordinar. La colaboración de los directivos de las unidades de negocio para definir las políticas de PPD que regirán los datos de la organización permite que todas las unidades conozcan dichas políticas, cómo implantarlas y sus repercusiones.

¿Por qué la PPD está siendo tan ampliamente adoptada?

El mercado de PPD está evolucionando para reaccionar ante el incremento de enormes vulneraciones de datos.

  • Más Directores de Seguridad informática: con la creciente visibilidad de los Directores de Seguridad informática, que responden directamente a los Consejeros delegados, la PPD aporta capacidades de información que facilitan las actualizaciones periódicas.
  • Ampliación de los mandatos de cumplimiento normativo: continuamente aparecen nuevas y más amplias normas globales sobre generación de datos, lo que implica que las organizaciones tienen que prepararse y adaptarse. Las soluciones de PPD ofrecen esa flexibilidad.
  • Más lugares en los cuales proteger datos: el creciente uso de servicios de terceros, de la nube y de complejas redes de cadenas de suministros implica que también la protección de los datos es compleja. La visibilidad de los eventos de salida de datos de su organización, y sus contextos, es importante para garantizar que no caigan en las manos equivocadas.
  • Frecuencia y magnitud de las vulneraciones; ciberdelincuentes, infiltrados maliciosos e incluso naciones rivales, pueden fijarse como objetivo sus datos personales por multitud de razones: espionaje corporativo, beneficios financieros personales e incluso ventajas políticas. La PPD puede proteger contra numerosos adversarios. Las enormes vulneraciones de datos, como las sufridas por Equifax, Yahoo y muchos otros, afectan a miles de millones de usuarios. Impedir nuevas grandes vulneraciones puede ser tan sencillo como elegir la PPD adecuada.
  • El valor de los datos robados: los datos robados suelen acabar en la web oscura, donde individuos y grupos por igual los compran y venden para su propio beneficio. Es que existe un significativo incentivo financiero, en especial por determinados tipos de datos.
  • Mayor variedad de datos dignos de robar: hoy en día, los datos sensibles incluyen activos inmateriales, como modelos de fijación de precios y metodologías comerciales. Los activos inmateriales constituyen el 84% del valor bursátil de las empresas del S&P 500.
  • Escasez de especialistas en seguridad: todavía existen millones de puestos de trabajo de seguridad, lo cual afecta a muchísimas empresas. Los servicios de PPD administrados pueden cubrir esta brecha de personal en forma de extensión remota.
Cuatro colegas en una oficina bien iluminada, utilizando tabletas, un portátil y material impreso para discutir asuntos sobre la seguridad de la red.

¿Qué dicen los expertos acerca de la PPD?

Muchos especialistas en ciberseguridad coinciden en que la responsabilidad de mantener las normas de protección de los datos no recae únicamente en los expertos, sino sobre todos los integrantes de la organización. Aunque, como es natural, el Departamento de TI tendrá que encargarse de la mayor parte del trabajo, todos los involucrados de una organización influyen en las políticas de seguridad y en su puesta en práctica. Una vulneración de datos provoca un daño generalizado a toda la organización, que un Departamento de TI no tiene la posibilidad de resolver solo. Todas las mentes y recursos de la organización deben invertirse e involucrarse en el desarrollo de una solución de PPD. Los expertos recomiendan que los directivos participen en el proceso de descubrimiento para poder formular preguntas y ver demostraciones antes de aprobar la decisión definitiva.

Aunque el cifrado no supone la solución completa para la pérdida de datos, es fundamental en cualquier solución. Si se implementa adecuadamente, un cifrado sólido es inquebrantable. Sin embargo, cualquier fallo en su implementación será aprovechado por las fuerzas hostiles.

Si las organizaciones se muestran proactivas en su concepto de la ciberseguridad, detectar y disuadir las amenazas infiltradas resultará más fácil. El uso de la línea de unidades Flash cifradas IronKey es una excelente manera para ayudar a una organización a cumplir sus objetivos de PPD. La capacitación interna para fomentar el conocimiento, las aptitudes y la concienciación es un método para ello. Otro consiste en implementar actividades de monitorización para establecer los parámetros de las actividades, dentro de las funciones de trabajo, que alerten de instancias de quebrantamiento de estas normas.

#KingstonIsWithYou #KingstonIronKey

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Vídeos relacionados

Trisha sosteniendo una unidad IKVP80ES junto al icono de un escudo, una pantalla con código y un candado 5:38

La manera adecuada de almacenar sus archivos y acceder a los mismos de manera segura

En el caso de creativos que producen contenidos para clientes de alto perfil, el almacenamiento cifrado puede proteger sus archivos importantes y ayudarle a cumplir sus responsabilidades en materia de seguridad.

Trisha con una enorme unidad SSD de 2,5 pulgadas en la mano, junto a una unidad SSD M.2 con un candado y un icono de Windows 5:02

Comparación del cifrado por hardware y por software

¿Cuál es la diferencia entre el cifrado por hardware y por software?

Artículos relacionados

Inicio del Blog