ESTRATEGIAS PARA LA

CLASIFICACIN E LA INFORMACIN
Y LA PREVENCIN DE FUGA DE
INFORMACIN
Carlos Andres Leon Tejada
Universidad Piloto de Colombia - Postgrado
Bogot, Colombia
andres.leon@hotmail.com

Abstract
- Protect information from
unauthorized disclosure has become one of the
most important concerns for companies
worldwide. High profile cases where it has been
seen as essential to protect intellectual property
and confidential data. Taking into account
legislative and regulatory requirements, such as
Health Insurance Portability and Accountability
Act (HIPAA), the Sarbanes-Oxley Act (SOX),
the Gramm-LeachBliley Act (GLBA), (ITAR),
Payment Card Industry Data Security Standard
(PCI DSS), and SB1386 among others, are the
main guardians to implement solutions to
prevent data loss.
ndice de trminos - Data Loss Prevention
(DLP), Seguridad de la Informacin,
Resumen - Proteger la informacin de la
divulgacin no autorizada se ha convertido en
una de las preocupaciones ms importantes
para las empresas de todo el mundo. Casos de
alto perfil en donde se ha visto como
fundamental proteger la propiedad intelectual y
datos confidenciales.
Teniendo en cuenta requisitos reglamentarios y
legislativos, como la portabilidad del seguro de
salud y la ley de responsabilidad (HIPAA), la
ley Sarbanes-Oxley (SOX), la ley GrammLeachBliley (GLBA), (ITAR), Payment Card
Industry Data Security Standard (PCI DSS), y

SB1386 entre otros, son los principales tutores

para la implementacin de soluciones de
prevencin de prdida de datos.
I.

INTRODUCCIN

La mayora de las empresas utiliza salvaguardas

para controlar la informacin sensitiva. Sin
embargo, a menudo estos controles no son
permanentes y se administran en diferentes
puntos de la empresa con diferentes niveles de
diligencia y eficacia. El resultado es que a pesar
de sus esfuerzos, en empresas a todo lo largo y
ancho del mundo se producen fugas de grandes
volmenes de informacin sensitiva. Estas fugas
generan un riesgo considerable para las
empresas, sus clientes y socios comerciales, y
tienen el potencial de ejercer un impacto
negativo sobre la reputacin del negocio, su
cumplimiento, ventajas competitivas, finanzas,
confianza de los clientes y socios comerciales.
La preocupacin y la necesidad de tener un
mejor control y proteger informacin sensitiva
ha dado lugar a un nuevo conjunto de soluciones
dirigidas a mejorar la capacidad de una empresa
para proteger sus activos de informacin. Estas
soluciones son variadas en cuanto a sus
capacidades y metodologas, pero en conjunto se

han ubicado dentro de una categora conocida

como prevencin de fuga de datos (DLP). Si
bien todava es una tecnologa joven, la DLP se
est adoptando cada vez ms y un nmero
creciente de productos est siendo lanzado al
mercado. En un estudio publicado a principios
de este ao por la empresa de investigacin en
TI TheInfoPro, DLP se calific como una
primera prioridad para los presupuestos de
seguridad de las empresas 1
Cabe mencionar que si bien las soluciones de
DLP tienen la capacidad de interceptar algunos
intentos maliciosos o delictivos de robo de
informacin, la tecnologa todava no est
suficientemente desarrollada para impedir
mtodos ms sofisticados de robo de datos.
Afortunadamente el consenso general es que
estos casos constituyen una parte muy pequea
del riesgo general de la fuga de datos. En un
informe publicado en marzo de 2009 por el
Instituto Ponemon, se estima que 88 por ciento
de los incidentes relacionados con fuga de datos
fueron debidos a negligencia por parte de los
usuarios y 12 por ciento se debi a intentos
maliciosos. 2 No obstante este bajo porcentaje
puede ser algo engaoso, pues normalmente un
porcentaje mucho mayor de robos maliciosos de
datos que de prdidas accidentales conducir a
acciones adversas.

Fig. 1 Niveles de Proteccin de la Informacin

Los sistemas de seguridad de prevencin de

robo de datos tpicos proporcionan proteccin
razonable en contra de las amenazas externas
mediante el uso de defensas perimetrales como
cortafuegos y deteccin de intrusiones o
prevencin. Sin embargo estos sistemas no estn
diseados para evitar el robo de informacin
interna. Por lo que hay que disear medidas
adicionales de seguridad que protegen la
informacin interna, la mayora de las empresas
solo tienden a limitar el acceso de datos, slo
para el personal autorizado pero cuando tal
acceso legtimo no da derecho al usuario para
eliminar, copiar o extraer datos de la empresa,
las soluciones existentes no protegen
adecuadamente contra este riesgo.
Segn el estudio Magic Quadrant for ContentAware Data Loss Prevention realizado por la
consultora Gartner, en el ao 2014 ms del 50%
de las empresas utilizar alguna caracterstica en
sus polticas de seguridad a la hora de realizar
una prevencin de fuga de informacin (Data
Loss Prevention) en sus datos sensibles. Sin

embargo slo el 30% de estas dispondr de una

solucin o estrategia DLP global basada en el
contenido.
La siguiente tabla muestra en datos brutos, la
prdida de informacin expuesta por cada una
de las empresas de seguridad. 3

Fig. 2 Grfico de las empresas lderes en Data Loss Prevention,

segn Gartner

II.

ESTRATEGIAS PARA LA
IMPLEMENTACIN

Un asesoramiento experto asegura inversiones

prevencin de fuga de informacin (DLP)
alcanzar los objetivos de negocio.

Tabla 1. Total de fuga de informacin expuesta por las empresas

que proporcionan herramientas y servicios DLP.

Por estos casos se recomienda realizar diseos

de soluciones de seguridad de DLP donde se
podr tener control y seguimiento de la
informacin ha accesos autorizados y no
autorizados.
Toda solucin de DLP debe ser capaz de ofrecer
una proteccin completa tanto en la informacin
en reposo, en uso y la informacin en
movimiento

Un ciclo de vida completo para un proyecto de

DLP incorpora las mejores prcticas, mejoras
operativas
y
aplicacin
adecuada
de
herramientas. Como reflejo de las presiones
empresariales del mundo real, se debe crear un
programa considerando una proteccin completa
de datos en el contexto de maximizar el retorno
de la inversin.
Uno de los procesos ms importantes dentro de
la estructura de seguridad de la informacin, es
el de la clasificacin de la informacin. Estos
procesos estarn asociados a la implementacin
de controles necesarios para dar la proteccin
necesaria a la informacin de acuerdo con los
niveles de clasificacin establecidos.
La prevencin de prdida de datos protege los
datos confidenciales y la propiedad intelectual
contra transferencia no autorizada a travs de
varios medios de comunicacin (intranet,
internet, dispositivos externos, etc.).
Proteger informaciones confidenciales de
divulgacin no autorizada se ha tornado una
gran preocupacin para las empresas de todo el
mundo. Algunos casos conocidos destacaron la
necesidad urgente de que las empresas protejan
sus activos principales, su propiedad intelectual
y los datos confidenciales.
La prdida de datos puede ocurrir por medio de
varios canales de comunicaciones de datos:
Aplicaciones (e-mail, webmail, screen capture
o captura de pantalla, P2P, mensajes
instantneos, Skype)

 Red (HTTP, HTTPS, FTP, Wi-Fi)

Fsica (USB, iPod, impresora, fax, CD, DVD y
otros dispositivos removibles, discos duros)

flujo de salida de mensajes.

III.

HBITOS BSICOS DE
SEGURIDAD 4

La prdida de datos puede tener consecuencias A continuacin se brindan algunos consejos a

drsticas para las empresas, debido a las tener en cuenta ante este escenario, de tal modo
exigencias legales de tornar esas prdidas que sea posible evitar las principales causas de
pblicamente conocidas. Hay innumerables fuga de informacin, principalmente enfocados
factores del mercado que llevaron al inters por al mbito corporativo:
las soluciones de prevencin de fuga de
informacin:
1. Conocer el valor de la propia informacin.
Realizar un anlisis de riesgos y un estudio
de valuacin de activos para poder
Exigencias legales y de gobernanza
determinar un plan de accin adecuado que
corporativa.
permita evitar posibles filtraciones.
Las empresas precisan adherir a una lista
creciente de normas del mercado, legales y 2. Concientizar y disuadir. Disear una
estrategia de concientizacin que incluya la
de privacidad, que exigen ms control de la
responsabilidad en el manejo de la
poltica corporativa.
informacin, que funcione tanto para
capacitar a las personas que podran filtrar
Amenazas de multas por incumplimiento de
informacin por error u omisin, como para
normas, procesos civiles y daos a la marca
persuadir a las que deliberadamente intenten
de la empresa.
hacerlo,
mostrando
las
potenciales
consecuencias.
Prdida de registros y datos confidenciales
de clientes.
3. Utilizar defensa en profundidad. Considerar
el modelo de defensa en capas para tomar
Aunque no sea un problema reciente, la
distintas medidas de diferente naturaleza a
divulgacin de la prdida de datos para el
fin de no centralizar las soluciones ni
pblico y el riesgo excesivo asociado a la
promover puntos nicos de falla.
falta de conformidad han destacado la
necesidad de prevencin.
4. Incluir herramientas tecnolgicas. En
La proteccin de derechos de propiedad
intelectual siempre ha sido una prioridad crtica.
Empresas de varios sectores estn extremamente
preocupadas en proteger patentes, marcas
registradas o no, secretos comerciales,
proyectos, arquitecturas, derechos de autora,
algoritmos, cdigos fuentes de software,
esquemas de hardware, invenciones, procesos
comerciales y otros recursos corporativos.
Las empresas con contratos de tercerizacin
estn preocupadas, principalmente con el
aumento de informaciones en formato
electrnico. Adems el e-mail es el sistema
principal de archivado de esas informaciones, lo
que torna an ms importante la proteccin del

mbitos corporativos resulta muy importante

contar con una solucin tcnica de
proteccin, por medio de hardware, software,
o combinacin de ambos, tanto a nivel de
redes como de equipos (servidores y
estaciones de trabajo). El crecimiento de
amenazas como el spyware hace que los
cdigos maliciosos tambin sean potenciales
puntos de fuga de informacin.
5. Seguir los estndares internacionales.
Alinearse con estndares internacionales de
gestin de la seguridad permite disminuir el
riego de incidentes y evitar que el negocio se
vea afectado por un determinado evento de
filtracin.

6. Mantener polticas y procedimientos claros.

Relacionado con el punto anterior, se debe
tener una clara definicin y comunicacin de
las polticas de seguridad y acuerdos de
confidencialidad, aceptados y firmados por
todos los usuarios. Esto minimiza potenciales
fugas de informacin, al contar con un
consentimiento firmado del usuario para no
realizar ciertas acciones.
7. Procedimientos seguros de contratacin y
desvinculacin. Tanto al momento de la
contratacin como en la desvinculacin de
una persona dentro de una organizacin, se
produce la conexin o desconexin de una
nueva pieza con el motor de la organizacin,
por lo que deben tenerse en cuenta los
mtodos de acceso y registro de los usuarios
en sus primeros o ltimos momentos de
trabajo.
8. Seguir procesos de eliminacin segura de
datos. Es fundamental que los datos que se
desean
eliminar
sean
efectivamente
eliminados y los medios de almacenamiento
adecuadamente tratados antes de ser
reutilizados.
9. Construir un entorno de confianza. Contar
con personal capacitado y responsable para
la gestin y administracin de informacin
sensible.

motivo en ESET trabajamos constantemente en

capacitar a nuestros usuarios y brindar las
herramientas tanto tcnicas como educativas
para evitar cualquier incidente informtico,
comenta Federico Pacheco, Education &
Research Manager para ESET Latinoamrica. 4
IV.

METODOLOGA

La solucin de prevencin de fuga de

informacin DLP, es una herramienta que
permite el monitoreo, auditoria y bloqueo de
informacin confidencial o privada que sale de
la empresa o viaja a travs de canales de
comunicacin autorizados y no autorizados tales
como aplicaciones, dispositivos fsicos y
protocolos de red.
La metodologa recomendada para la
implementacin de la herramienta est basada
en un ciclo de vida de seis pasos aplicables a la
organizacin:
1. Descubrir y Aprender: En esta fase se
realiza la monitorizacin de la informacin
relacionada con las diferentes jefaturas,
informacin recopilada por la solucin
McAfee DLP.
2. Evaluar el Riesgo: Evaluacin del riesgo
asociado a la informacin por parte del
perfil funcional.

10. Aceptar y entender la realidad. Si bien el

seguir estos consejos no garantiza de forma
absoluta la seguridad de la informacin, estas
prcticas ayudan a disminuir los riesgos de
prdida de informacin valiosa y resaltan la
importancia de tomar medidas concretas y
definir un plan realista, alejado de la
paranoia innecesaria.

Refinamiento de los niveles de impacto

asociados a cada categora de clasificacin
basados en la retroalimentacin realizada por
los usuarios funcionales.

Es importante entender que no es posible

controlar todas las variables y mucho menos
todas las acciones de las personas que integran
una corporacin, por lo tanto, siempre habr un
margen de error en relacin a la proteccin de
la informacin. Sin embargo la idea es reducir
ese margen al mnimo posible. Y esto se logra
por medio de prcticas efectivas y adecuadas en
torno a la Seguridad Informtica. Por tal

3. Afinamiento de Poltica: Personalizacin

de Poltica Base DLP con base en la
informacin analizada por parte de los
usuarios funcionales.

Anlisis Poltica Base DLP con base en la

informacin recopilada y la gestin de riesgos
asociada.

4. Aplicar Controles: Creacin de Grupos de

usuarios a los cuales se aplicaran las
polticas, asociacin de las diferentes
polticas a los grupos de usuarios y

replicacin de la poltica definida para las

diferentes jefaturas
en ambiente
produccin.
5. Monitorizar,
Reportar
y
Evaluar:
Monitorizacin de los eventos generados
por la solucin, SOC.
Evaluacin resultados areas o procesos
involucrados y definicin de planes de Accin.
6. Prevenir: Paso a modo prevencin para las
reas con base en la definicin de los
planes de accin.
Posterior a esto se pasara a Perfeccionar y
Verificar la poltica implementada bajo Ciclos
PHVA.

Fig. 3 El ciclo PHVA o ciclo de Deming

Referencias
[1]

SC Magazine; Security Spending, DLP Projects to

Increase, www.scmagazineus.com/security-spendingdlp-projects-to-increase/article/164337/

[2]

Trend Micro; Data-stealing Malware on the Rise

Solutions to Keep Businesses and Consumers Safe,
Focus
Report
Series,
June
2009,
USA,
http://us.trendmicro.com/
imperia/md/content/us/pdf/threats/securitylibrary/data_
stealing_malware_focus_report_-_june_2009.pdf

[3]

http://blog.elevenpaths.com/2013/08/fuga-deinformacion-en-empresas-lideres.html

[4]

http://www.eset-la.com/centroprensa/articulo/2010/consejos-evitar-fugainformacion/2376