Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
La prevención de pérdida de datos (DLP) está pasando de
ser una preocupación de seguridad a convertirse en un
mandato empresarial crítico. Varios factores están
impulsando este cambio, incluido el uso creciente de la
nube, la llegada de Bring Your Own Device (BYOD) en las
organizaciones, la proliferación de datos y las
regulaciones de privacidad. Según Gartner (Gartner,
2016), "La prevención de pérdida de datos y el mercado
de DLP empresarial están experimentando un
renacimiento a través de una 'segunda ola' de adopción".
El mayor impulsor es la actividad de violación que ha
afectado a las organizaciones en casi todos los
sector de la economía global. Esta lección explora los impactos comerciales, las motivaciones, los
factores de riesgo, las regulaciones y los marcos que dan forma al panorama actual de
Prevención de pérdida de datos.
DLP aborda los riesgos que los profesionales de la seguridad de la información conocen desde hace mucho
tiempo. Estos riesgos se centran en el manejo de ciertos tipos de datos sensibles, como la Información de
Identificación Personal (PII), los datos del titular de la tarjeta de crédito, la información financiera y legal,
así como la Propiedad Intelectual (IP) de la empresa. Esta lección cubre el enfoque de Symantec para
administrar ese riesgo, basado en la madurez y las mejores prácticas de cientos de clientes en todo el
mundo.
Además, la lección presenta anécdotas y experiencias de clientes del mundo real con DLP.
Impacto empresarial de la
pérdida de datos La exposición no autorizada de datos representa un
riesgo crítico para las organizaciones. Hay impactos
inmediatos (por ejemplo, tarifas estipuladas por las
leyes), así como consecuencias a largo plazo, como la
reputación de la marca, que pueden acarrear daños
irreversibles.
El Ponemon Institute, un centro de investigación privado
dedicado a la privacidad y la protección de datos, ha
publicado informes anuales sobre el costo de las
filtraciones de datos. Según su último estudio (Ponemon
Institute, 2015), el costo promedio en 2015 por cada
registro robado o perdido con información sensible y
confidencial es de $ 154, en comparación con
$ 145 el año anterior.
En general, este tipo de investigación se enfoca en PII, dado que un modelo de costos puede derivarse del
número de individuos cuya información está expuesta. Cuantificar otros tipos de información, como la
propiedad intelectual, es mucho más desafiante.
Financiero
Lo más probable es que los impactos financieros sean la consecuencia inmediata y última de las filtraciones
de datos. Hay varias fuentes de impactos financieros, como multas, monitoreo y reparación de crédito,
auditorías, costos de litigio, acuerdos e infraestructura, por nombrar algunas.
Productividad
No es raro que las organizaciones necesiten implementar medidas de emergencia para controlar los daños
después de una violación de datos. Estas medidas pueden afectar el proceso comercial legítimo actual, lo
que genera problemas de productividad mientras se implementan los controles de clasificación.
Reputación
Más que nunca, los clientes tienen serias expectativas de privacidad y protección de datos mientras
compran, reciben servicios o atienden necesidades de atención médica. Varias empresas han
experimentado la pérdida de clientes debido a la pérdida de confianza después de una violación de
datos.
seguridad nacional
Aunque no se considera un impacto comercial típico, las violaciones de datos que afectan los sistemas
e instalaciones de infraestructura crítica podrían tener consecuencias graves para una nación y sus
ciudadanos.
Propiedad intelectual
La propiedad intelectual (PI) se refiere a los activos u obras derivados de la creatividad y el intelecto
humanos. Algunos ejemplos son código fuente, secretos comerciales, diseños de productos, procesos
únicos, dibujos, planes de fabricación, listas de precios, tarifas y tablas. Como es el caso de la PII, la
propiedad intelectual generalmente está protegida por leyes.
Información financiera
Las organizaciones deben proteger la información financiera estratégica, como los estados financieros y
los cuadros de mando que contienen información vital para la planificación financiera y las decisiones de
previsión. También se debe proteger otra información táctica u operativa, como números de cuenta y de
ruta, contratos de préstamo, documentos de nómina de empleados y detalles de seguros.
Información sanitaria
La protección de la información sanitaria es uno de los campos más interesantes cuando se trata de la
privacidad y protección de los datos, ya que abarca la integración de industrias altamente reguladas. Las
organizaciones de atención médica deben proteger la PII, la propiedad intelectual y la información
financiera al tiempo que cumplen con varias regulaciones y mandatos.
Insiders bien
intencionados En general, los empleados leales aprovechan la
información y los recursos que necesitan para realizar
legítimamente su trabajo. Una combinación de procesos
comerciales rotos, falta de capacitación y conciencia, o la
ausencia de procedimientos adecuados de control de
riesgos puede ser la fuente de fugas de datos graves. No
es raro que un informante bien intencionado tome
atajos para hacer las cosas más eficientes o hacer algo
descuidado, poniendo los datos confidenciales en riesgo
de pérdida en el proceso.
En un estudio reciente realizado por WSJ. Estudios
personalizados (WSJ.
Custom Studios, 2015), los ejecutivos corporativos que fueron encuestados admitieron haber
participado intencional o involuntariamente en comportamientos que colocaban los datos
corporativos en un riesgo significativo de violación de seguridad. Esos comportamientos incluyeron
las siguientes actividades:
• El 53% cargó y almacenó documentos de la empresa en una memoria USB.
• El 51% envió documentos de la empresa por correo electrónico desde una dirección de correo
electrónico personal.
• El 44% subió documentos de la empresa a sitios de intercambio de archivos para poder trabajar desde
otros dispositivos o compartirlos con otros.
• El 38% compartió información y documentos de la empresa a través de sitios de redes sociales.
• El 24% instaló software no autorizado o accedió a servicios en la nube no autorizados en una
computadora de escritorio o portátil corporativa.
• El 22% instaló software no autorizado en dispositivos corporativos.
Un programa de prevención de pérdida de datos exitoso debe incluir un componente de educación y
concientización que capacite a los usuarios sobre cómo manejar datos confidenciales de forma
segura.
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
6 Prevención de pérdida de datos
Paisaje
Forasteros
maliciosos En el Informe de Investigaciones de Violación de Datos de
2015 (Verizon Enterprise Solutions, 2015), más del 80%
de las 2.122 filtraciones de datos confirmadas en 2014
tenían intrusos maliciosos como los principales
perpetradores, y en el 60% de las filtraciones,
comprometieron a las organizaciones en cuestión de
minutos.
Los forasteros maliciosos (competidores, piratas
informáticos, delincuentes) suelen ser los autores
intelectuales detrás de la mayoría de las violaciones
masivas de datos. Estos son los actores de los que
escuchamos con frecuencia en las personas y
organizaciones de noticias que están motivados para
robar información para
lucro para su organización o para beneficio personal. Obtienen acceso a una organización y buscan
objetivos fáciles, como información valiosa dejada en ubicaciones desprotegidas por personas con
buenas intenciones.
Regulaciones
aplicables Es crucial identificar las regulaciones locales, regionales,
internacionales o industriales que exigen las prácticas de
protección de datos para cada organización. Hay varios
países que tienen leyes de protección de datos maduras,
pero en los últimos diez años en todo el mundo se ha
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
aprobado una cantidad sin importante aún, esas regulaciones se están mejorando con
precedentes de nuevas instrumentación adicional donde la tecnología juega un
regulaciones. Más papel definitivo para la aplicabilidad y el cumplimiento.
El reglamento se aprobó formalmente el 25 de mayo de 2016 y se convierte en ley en todos los estados
del EEE el 25 de mayo de 2018. El RGPD se aplica a cualquier organización que recopile o procese datos
personales pertenecientes a los residentes del EEE, ya sea que la organización tenga su sede o no en el
EEE. Este concepto, conocido como "extraterritorialidad", es una característica importante del GDPR y
lo distingue de la Directiva de Protección de Datos.
El RGPD incluye muchas disposiciones de seguridad,
algunas de las cuales no se relacionan con la tecnología
sino con las políticas y procedimientos de una
organización. Hay cuatro áreas de la regulación que se
pueden aplicar a la tecnología:
• Conozca sus datos personales: comprenda qué datos
personales recopila, si se pueden vincular a un
individuo y si son sensibles (como datos genéticos o
biométricos). Además, comprenda las reglas de
retención que rigen dichos datos.
3. El instructor puede hacer una demostración del mapa de regulaciones de DLA Piper.
Programa de reducción de
riesgos de DLP El primer paso para la protección de datos sostenible a
largo plazo es comprometerse con un Programa de
reducción de riesgos de DLP en toda la empresa, que
involucre personas, procesos y tecnología.
Una vez que se toma la decisión para abordar este
riesgo, las organizaciones necesitan un plan claramente
definido para el éxito, con pasos, tareas, recursos y
objetivos específicos para alcanzar sus metas a corto y
largo plazo.
Planificación
La primera fase del modelo es la fase de planificación, y el objetivo es sentar las bases para el programa
DLP a largo plazo, incluidas las siguientes tareas clave:
• Asignar el personal adecuado
• Orientación áreas de mayor riesgo
• Definición del enfoque de respuesta a incidentes
• Establecer métricas de éxito e hitos durante los primeros 90 días
• Desarrollar planes de comunicación y divulgación para los empleados
Los clientes que incorporan estos elementos clave al comienzo de sus iniciativas de DLP desarrollan un
programa de DLP integral para toda la organización que da como resultado el logro rápido de sus
objetivos de reducción de riesgos.
Base
El enfoque de la fase de línea de base es recopilar datos, comprender dónde está el riesgo de la
organización y ajustar las políticas y procedimientos en preparación para tomar medidas en las fases de
remediación, notificación y prevención / protección. Symantec recomienda permanecer en la fase de
referencia durante dos a cuatro semanas para cada política que se implemente. Ese período de tiempo
generalmente proporciona suficientes datos para que una organización se asegure de que las políticas
sean precisas, logre una comprensión de alto nivel de dónde es mayor su riesgo, confirme que su enfoque
para la corrección de incidentes funcionará y establezca algunos objetivos de reducción de riesgos.
Algunas organizaciones permanecen en la fase de referencia durante más tiempo, hasta seis meses. El
beneficio de permanecer más tiempo en la fase de referencia es que es posible detectar procesos que
pueden ocurrir solo trimestralmente, semestralmente o anualmente.
Las tareas básicas clave incluyen:
• Establecer horarios de reuniones
• Afinación Policias y procedimientos
• Organizar incidentes para comprender los factores de riesgo
• Comenzando a rastrear métricas
Remediación
El enfoque de la fase de remediación es cambiar los procesos comerciales de alto riesgo identificados en la
fase de referencia y desarrollar aún más el plan de remediación para todos los incidentes. La participación
de los representantes de la unidad de negocios es fundamental durante esta fase para identificar y
modificar estos procesos comerciales para hacerlos más seguros, sin afectar negativamente el flujo de
trabajo comercial normal. Además, un equipo de respuesta a incidentes en pleno funcionamiento es
esencial para avanzar con eficacia en esta fase. El trabajo de línea de base de ajustar políticas y
procedimientos y comprender y organizar incidentes debería haber ayudado a solidificar y enfocar los
esfuerzos del equipo. La planificación de respuesta completada en esta fase es la base para la clave de
notificaciones de infracción para la siguiente fase de notificación.
Los pasos clave incluyen:
• Trabajando con representantes de la unidad de negocio para arreglar los procesos de negocio dañados
• Construyendo una práctica de respuesta a incidentes eficiente
• Monitoreo y comunicación de métricas
Prevención
La prevención de incidentes, malintencionados o no intencionales, es el objetivo final de cualquier
iniciativa de prevención de pérdida de datos. Esta fase culmina con la aplicación automática de las
políticas de seguridad, incluido el bloqueo de las comunicaciones de red, la transferencia de archivos y la
copia de archivos; poner en cuarentena las comunicaciones de la red y los archivos expuestos; cifrado de
comunicaciones por correo electrónico; e iniciar investigaciones forenses.
Los pasos clave incluyen:
• Configurar y probar la prevención / protección
• Alertando a los empleados
• Habilitación de prevención / protección
• Monitoreo y comunicación de métricas
Centralizad
o En el enfoque centralizado para la respuesta a incidentes,
también llamado estructura de respuesta de "distribución
en abanico", un pequeño grupo actúa como el personal
de primera respuesta para todos los incidentes y escala
los incidentes críticos a través de canales definidos al
personal o unidades de negocios apropiados (por
ejemplo, Forense, Legal, Compliance , o Recursos
Humanos) para una mayor investigación o resolución. El
grupo de primeros respondedores es pequeño y
enfocado, y el grupo de respondedores de escalada es
más grande y está más distribuido.
Descentraliza
do El modelo descentralizado, o estructura de respuesta
"fan-in", consta de unidades de negocio individuales (por
ejemplo, Finanzas, Marketing, Desarrollo de productos,
etc.) que nombran personal selecto para servir como
primeros en responder a los incidentes relacionados con
su unidad de negocio y escalar los incidentes críticos al
personal apropiado para una mayor investigación o
resolución. El grupo de primeros respondedores es
grande y está distribuido, y el grupo de respondedores
de escalada es más pequeño y está más enfocado.
Enfoques adicionales
Los servicios gestionados de respuesta a incidentes centrados en la pérdida de datos están comenzando
a emerger en el mercado. Principalmente, se subcontrata la estructura de respuesta en abanico del
modelo centralizado y el triaje se realiza en coordinación con los recursos internos de la organización.
Salud de
Bernabé Barnabas Health es el sistema integrado de prestación de
servicios de salud más grande de Nueva Jersey y el
segundo empleador privado más grande del estado, y
brinda servicios a más de dos millones de pacientes cada
año. El desafío de Barnabas Health: la necesidad de
proteger y administrar grandes cantidades de datos
electrónicos de misión crítica y altamente sensibles. Para
seguir cumpliendo y evitar posibles multas, Barnabas
Health necesitaba controles de acceso y salvaguardias
técnicas para proteger el contenido electrónico
restringido del uso y la transmisión no autorizados.
Barnabas Health agregó Symantec DLP en 2010 para hacer cumplir las restricciones sobre el intercambio
y la transmisión de información confidencial de pacientes entre médicos y personal médico. Barnabas
Health desarrolló nuevas políticas de intercambio de información y creó mensajes de advertencia para los
usuarios finales a fin de generar conciencia sobre las obligaciones de cumplimiento normativo del
hospital y reforzarlas. Barnabas Health utiliza Symantec DLP para detectar datos confidenciales en discos
duros y luego bloquear el envío por correo electrónico, la impresión o la copia de información restringida
del paciente.
antes de El software se implementó en 2010, el equipo de seguridad de TI de Barnabas Health identificó
un promedio de 15 casos por trimestre de posibles eventos de alto riesgo, como la transmisión del
expediente médico personal de un paciente o el número de seguro social. Un analista de TI tardó dos días
en investigar, confirmar y corregir cada infracción limpiando los datos confidenciales del servidor de
correo, los buzones de correo de los empleados y las cintas de respaldo. Aunque Symantec DLP ahora
genera alertas de infracción aproximadamente al mismo ritmo, el porcentaje de eventos que se
consideran importantes se redujo del 100% al 25%. Además, el tiempo de investigación y reparación del
técnico se ha reducido a la mitad a solo un día. El 75 por ciento restante de las alertas son menores y se
reparan en dos horas.