En los últimos años se ha observado un cambio en la forma en que la información transita y se almacena en las empresas. Antiguamente era común el uso de medios físicos, como porta archivos, para almacenar papeles y documentos importantes.
¿Se centra principalmente en el cumplimiento? ¿Se limita a utilizar patrones de interés proporcionados por el proveedor para satisfacer un marco específico del sector como PCI, PII o GDPR? Lo más probable es que esto describa al menos una parte de su estrategia de DLP, ya que no es difícil de configurar y puede satisfacer un requisito empresarial clave de presentación de informes de cumplimiento normativo.
Después de reflexionar, la mayoría de los clientes me dicen que esto tiene dos problemas: la eficacia y que no hace nada para proteger la exfiltración de datos sensibles.
Los falsos positivos son un hecho cuando se utilizan patrones estáticos, ya que los patrones utilizados para comparar no están relacionados de ninguna manera con los datos reales del cliente. Y tengamos en cuenta que los datos de los clientes nunca son estáticos.
¿Qué es la prevención de pérdida de datos (DLP)?
La prevención de la pérdida de datos (DLP) –a veces denominada prevención de la fuga de datos, prevención de la pérdida de información y prevención de la extrusión– es una estrategia para evitar que las personas accedan a información sensible que no necesitan. También garantiza que los empleados no envíen información sensible o crítica fuera de la red corporativa.
Aunque los equipos de seguridad utilizan la DLP para evitar que la información sensible y la propiedad intelectual se filtren fuera de los firewall corporativos, también es una estrategia de software. Y el uso de la DLP está creciendo. Gartner estima que, para finales de 2021, el 90 % de las organizaciones habrán implementado al menos una forma de DLP integrada, frente al 50 % en 2017.
Hay dos tipos de productos de DLP: dedicados e integrados. Los dedicados son productos independientes, que son profundos y complejos. Los productos integrados son más básicos y funcionan con otras herramientas de seguridad. Se centran en la aplicación de políticas y son menos costosos que las herramientas de DLP dedicadas.
Los productos de software de DLP utilizan reglas empresariales para imponer el cumplimiento de la normativa y clasificar y proteger la información confidencial y crítica, de modo que los usuarios no autorizados no puedan compartir accidental o maliciosamente datos que puedan poner en peligro a la organización.
La información sensible puede ser filtrada o robada deliberadamente por un empleado malintencionado o por hackers informáticos externos, pero las investigaciones demuestran que la mayoría de las pérdidas de datos se producen por un error del personal interno sin intención de cometerlo. Sin embargo, eso no disminuye la gravedad del problema.
Una alternativa dinámica a la estática lo que he descubierto es que hay organizaciones que necesitan algo más que patrones de coincidencia estáticos no relacionados para mantener sus datos seguros.
¿Cómo funciona la prevención de la pérdida de datos?
El software de DLP supervisa, detecta y bloquea los datos sensibles para que no salgan de la organización. Esto significa que es necesario supervisar tanto la entrada a las redes corporativas, como los datos que intentan salir de la red.
La mayoría de los productos de software de DLP se centran en acciones de bloqueo. Por ejemplo, si un empleado intenta reenviar un correo electrónico de la empresa en contra de la política de la misma fuera del dominio corporativo, o subir un archivo corporativo a un servicio de almacenamiento en la nube para consumidores, como Dropbox, se le denegará el permiso.
Además, el software de DLP puede bloquear los ordenadores de los empleados para que no lean ni escriban en unidades de memoria USB para evitar copias no autorizadas.
La detección se centra principalmente en el correo electrónico entrante, buscando archivos adjuntos e hipervínculos sospechosos para los ataques de phishing.
La mayoría de los programas de DLP ofrecen a las organizaciones la opción de marcar los contenidos incoherentes para que el personal los examine manualmente o bloquearlos directamente.
Durante algún tiempo, la detección y el bloqueo se realizaban mediante reglas establecidas por el equipo de seguridad de una organización, pero éstas eran simplistas y a menudo se eludían. El software más reciente utiliza inteligencia artificial basada en el aprendizaje automático, que puede aprender y mejorar el enfoque de la detección y el bloqueo con el tiempo.
Industrias como la banca o la sanidad manejan los historiales médicos de los pacientes, los diagnósticos y los datos de las citas, o los números de las cuentas de ahorro, las retiradas y los depósitos. Miles de personas visitan hospitales y bancos cada día, lo que provoca cambios proporcionales en los registros y archivos que contienen los datos. Y las visitas virtuales provocan directamente cambios en los datos. Con todas estas piezas en movimiento, ¿de qué sirve un conjunto estático de patrones de coincidencia, sin relación con los datos sensibles, si van a generar falsos positivos? La investigación manual de todos esos falsos positivos supone una carga adicional para las operaciones de seguridad. Tiene que haber una forma mejor de servir a este tipo de organizaciones.
Hay que realizar un enfoque más dinámico de la comparación de datos, en el que los clientes utilicen su propio conjunto de datos vivos como fuente para definir de forma segura los patrones de coincidencia. Además, considere que esos patrones se actualizan con una cadencia regular (diaria/semanal/mensual) específica para las necesidades de su organización. Este enfoque no sólo da lugar a una mayor eficacia de la detección debido a la relación de los patrones con los datos y a la frescura de los mismos, sino que también hace que la tasa de falsos positivos baje al mínimo, reduciendo los incidentes y ahorrando así costes operativos.
Esto no es sólo un aspecto "agradable de tener" de la DLP para las organizaciones, sino un "must-have" por el que me preguntan los líderes de seguridad de todos los sectores. Todos los clientes de Netskope destacan hoy en día esto a sus dirigentes cuando describen cómo demuestran el valor y la eficiencia de sus inversiones en seguridad. En mi opinión, también es un prerrequisito práctico para proteger los datos; bloquear las transacciones comerciales por error (es decir, las detecciones de falsos positivos) llevará a los usuarios a encontrar formas de eludir los controles previstos.
Dado que este enfoque es nativo de Netskope DLP, y a escala masiva, nos diferencia de lo que pueden ofrecer otros proveedores y redefine nuestro papel para ayudar a nuestros clientes a transformar sus estrategias de seguridad y DLP.
Más que un proveedor de DLP, un socio de gobierno de datos a medida que hemos empezado a aplicar este enfoque dinámico de la DLP con organizaciones de todos los sectores, ha empezado a cambiar la relación de Netskope con nuestros clientes de DLP.
También nos esforzamos por mantener actualizados los datos de coincidencia dinámica. Mantener la DLP en buen estado cambia la forma en que los clientes nos ven, y las conversaciones que podemos permitir a nuestros clientes.
Visite nuestra página https://www.satelite-ec.com/netskope y solicite más información para la aclaración de alguna duda.
Commentaires