Panorama de prevención de pérdida de datos

Introducción
La prevención de pérdida de datos (DLP) está pasando de
ser una preocupación de seguridad a convertirse en un
mandato empresarial crítico. Varios factores están
impulsando este cambio, incluido el uso creciente de la
nube, la llegada de Bring Your Own Device (BYOD) en las
organizaciones, la proliferación de datos y las
regulaciones de privacidad. Según Gartner (Gartner,
2016), "La prevención de pérdida de datos y el mercado
de DLP empresarial están experimentando un
renacimiento a través de una 'segunda ola' de adopción".
El mayor impulsor es la actividad de violación que ha
afectado a las organizaciones en casi todos los
sector de la economía global. Esta lección explora los impactos comerciales, las motivaciones, los
factores de riesgo, las regulaciones y los marcos que dan forma al panorama actual de
Prevención de pérdida de datos.
DLP aborda los riesgos que los profesionales de la seguridad de la información conocen desde hace mucho
tiempo. Estos riesgos se centran en el manejo de ciertos tipos de datos sensibles, como la Información de
Identificación Personal (PII), los datos del titular de la tarjeta de crédito, la información financiera y legal,
así como la Propiedad Intelectual (IP) de la empresa. Esta lección cubre el enfoque de Symantec para
administrar ese riesgo, basado en la madurez y las mejores prácticas de cientos de clientes en todo el
mundo.
Además, la lección presenta anécdotas y experiencias de clientes del mundo real con DLP.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
2 Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema1: Datos Paisaje de prevención de pérdidas
En los últimos años, ha habido frecuentes titulares de noticias que anuncian violaciones masivas de datos,
que afectan a organizaciones en todos los ámbitos, desde agencias gubernamentales hasta empresas de
atención médica y otros proveedores de servicios, así como a millones de personas. Según el Informe de
Investigaciones de Violación de Datos de Verizon de 2015 (Verizon Enterprise Solutions, 2015), The New
York Times escribió sobre violaciones de datos en más de 700 artículos en 2014 en comparación con
menos de 125 el año anterior.
El tipo de datos que se exponen va desde Información de Identificación Personal (PII), datos del titular
de la tarjeta de crédito, información financiera y legal, así como Propiedad Intelectual (IP) de la
empresa.
Este tema describe los factores que dan forma al panorama actual de DLP, centrándose en el impacto
empresarial, los tipos de datos y las fuentes comunes de amenazas de DLP.

Impacto empresarial de la
pérdida de datos La exposición no autorizada de datos representa un
riesgo crítico para las organizaciones. Hay impactos
inmediatos (por ejemplo, tarifas estipuladas por las
leyes), así como consecuencias a largo plazo, como la
reputación de la marca, que pueden acarrear daños
irreversibles.
El Ponemon Institute, un centro de investigación privado
dedicado a la privacidad y la protección de datos, ha
publicado informes anuales sobre el costo de las
filtraciones de datos. Según su último estudio (Ponemon
Institute, 2015), el costo promedio en 2015 por cada
registro robado o perdido con información sensible y
confidencial es de $ 154, en comparación con
$ 145 el año anterior.
En general, este tipo de investigación se enfoca en PII, dado que un modelo de costos puede derivarse del
número de individuos cuya información está expuesta. Cuantificar otros tipos de información, como la
propiedad intelectual, es mucho más desafiante.

Financiero
Lo más probable es que los impactos financieros sean la consecuencia inmediata y última de las filtraciones
de datos. Hay varias fuentes de impactos financieros, como multas, monitoreo y reparación de crédito,
auditorías, costos de litigio, acuerdos e infraestructura, por nombrar algunas.

Productividad
No es raro que las organizaciones necesiten implementar medidas de emergencia para controlar los daños
después de una violación de datos. Estas medidas pueden afectar el proceso comercial legítimo actual, lo
que genera problemas de productividad mientras se implementan los controles de clasificación.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 1: panorama de prevención de pérdida de datos 3

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Ventaja competitiva
Las organizaciones dedican importantes recursos al desarrollo de su propiedad intelectual, a través de los
cuales pueden ofrecer productos y servicios innovadores que les ayuden a alcanzar sus objetivos. Una
violación de datos de IP (especialmente a un competidor o un estado extranjero) puede traducirse en una
ventaja competitiva dramáticamente disminuida.

Reputación
Más que nunca, los clientes tienen serias expectativas de privacidad y protección de datos mientras
compran, reciben servicios o atienden necesidades de atención médica. Varias empresas han
experimentado la pérdida de clientes debido a la pérdida de confianza después de una violación de
datos.

seguridad nacional
Aunque no se considera un impacto comercial típico, las violaciones de datos que afectan los sistemas
e instalaciones de infraestructura crítica podrían tener consecuencias graves para una nación y sus
ciudadanos.

Tipos de datos en riesgo

Si bien cada organización tiene sus propias prioridades para el manejo de datos, los tipos de datos
identificados como en riesgo y protegidos por las regulaciones se dividen en varias categorías. Es posible
y aceptado que la misma información pueda caer en varias categorías según el contexto en el que se
utilice. Los siguientes son los tipos de datos más comunes en riesgo.

Figura 1: Tipos de datos en riesgo

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
4 Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Información de identificación personal
Existen varias definiciones de información de identificación personal (PII), pero en general este término
se refiere a cualquier dato que pueda potencialmente identificar a una persona específica directa o
indirectamente. Ejemplos de PII a los que se hace referencia comúnmente en las regulaciones públicas y
privadas son el nombre completo, la fecha de nacimiento, los números de identificación nacional, el
sexo, la religión e incluso la afiliación política.
Casi todas las organizaciones tienen que gestionar la PII de empleados, socios, clientes y otras partes
interesadas. Estas entidades se denominan "sujeto de datos" en la legislación de la Unión Europea (UE) y
"PII principal" en América del Norte y otras regiones. PII es una entidad legal más que técnica. Al tratar con
la PII, las organizaciones siempre deben asegurarse de cumplir con la debida diligencia y el debido cuidado.

Propiedad intelectual
La propiedad intelectual (PI) se refiere a los activos u obras derivados de la creatividad y el intelecto
humanos. Algunos ejemplos son código fuente, secretos comerciales, diseños de productos, procesos
únicos, dibujos, planes de fabricación, listas de precios, tarifas y tablas. Como es el caso de la PII, la
propiedad intelectual generalmente está protegida por leyes.

Información financiera
Las organizaciones deben proteger la información financiera estratégica, como los estados financieros y
los cuadros de mando que contienen información vital para la planificación financiera y las decisiones de
previsión. También se debe proteger otra información táctica u operativa, como números de cuenta y de
ruta, contratos de préstamo, documentos de nómina de empleados y detalles de seguros.

Información sanitaria
La protección de la información sanitaria es uno de los campos más interesantes cuando se trata de la
privacidad y protección de los datos, ya que abarca la integración de industrias altamente reguladas. Las
organizaciones de atención médica deben proteger la PII, la propiedad intelectual y la información
financiera al tiempo que cumplen con varias regulaciones y mandatos.

Otras formas de información confidencial

Finalmente, también hay información que no necesariamente pertenece a una clasificación
formal, como memorandos y documentos confidenciales, documentos de fusiones y
adquisiciones, planes de marketing y organigramas, cuya protección debe garantizarse.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 1: panorama de prevención de pérdida de datos 5

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Amenazas comunes de pérdida de datos
Las fuentes de amenaza más comunes para la pérdida de datos son personas internas bien intencionadas,
personas internas maliciosas y personas externas maliciosas. Es importante identificar los diferentes
desafíos que cada amenaza plantea a las organizaciones.

Figura 2: Fuentes de amenazas comunes para la pérdida de datos

Insiders bien
intencionados En general, los empleados leales aprovechan la
información y los recursos que necesitan para realizar
legítimamente su trabajo. Una combinación de procesos
comerciales rotos, falta de capacitación y conciencia, o la
ausencia de procedimientos adecuados de control de
riesgos puede ser la fuente de fugas de datos graves. No
es raro que un informante bien intencionado tome
atajos para hacer las cosas más eficientes o hacer algo
descuidado, poniendo los datos confidenciales en riesgo
de pérdida en el proceso.
En un estudio reciente realizado por WSJ. Estudios
personalizados (WSJ.
Custom Studios, 2015), los ejecutivos corporativos que fueron encuestados admitieron haber
participado intencional o involuntariamente en comportamientos que colocaban los datos
corporativos en un riesgo significativo de violación de seguridad. Esos comportamientos incluyeron
las siguientes actividades:
• El 53% cargó y almacenó documentos de la empresa en una memoria USB.
• El 51% envió documentos de la empresa por correo electrónico desde una dirección de correo
electrónico personal.
• El 44% subió documentos de la empresa a sitios de intercambio de archivos para poder trabajar desde
otros dispositivos o compartirlos con otros.
• El 38% compartió información y documentos de la empresa a través de sitios de redes sociales.
• El 24% instaló software no autorizado o accedió a servicios en la nube no autorizados en una
computadora de escritorio o portátil corporativa.
• El 22% instaló software no autorizado en dispositivos corporativos.
Un programa de prevención de pérdida de datos exitoso debe incluir un componente de educación y
concientización que capacite a los usuarios sobre cómo manejar datos confidenciales de forma
segura.
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
6 Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Insiders
maliciosos Si bien los iniciados bien intencionados siguen
representando la mayor parte del riesgo de pérdida de
datos, hay empleados que se sienten con derecho a los
datos que pueden haber sido responsables de desarrollar
y, a menudo, no dudan en quedarse con una copia.
Otro estudio del Ponemon Institute (Ponemon Institute,
2012) encontró que el 59% de los empleados que dejaron
o se les pidió que dejaran sus empresas se llevaron datos
confidenciales. Además, el 79% de estos encuestados
admitió que su antiguo empleador no les permitió irse
con esos datos. El estudio también encontró que el 67%
de
los encuestados "utilizaron información confidencial, sensible o patentada de su antigua empresa para
aprovechar un nuevo trabajo". Además, aproximadamente el 68% de los encuestados planeaba utilizar
información como "listas de correo electrónico, listas de contactos de clientes y registros de empleados"
que tomaron de sus empleadores.

Forasteros
maliciosos En el Informe de Investigaciones de Violación de Datos de
2015 (Verizon Enterprise Solutions, 2015), más del 80%
de las 2.122 filtraciones de datos confirmadas en 2014
tenían intrusos maliciosos como los principales
perpetradores, y en el 60% de las filtraciones,
comprometieron a las organizaciones en cuestión de
minutos.
Los forasteros maliciosos (competidores, piratas
informáticos, delincuentes) suelen ser los autores
intelectuales detrás de la mayoría de las violaciones
masivas de datos. Estos son los actores de los que
escuchamos con frecuencia en las personas y
organizaciones de noticias que están motivados para
robar información para
lucro para su organización o para beneficio personal. Obtienen acceso a una organización y buscan
objetivos fáciles, como información valiosa dejada en ubicaciones desprotegidas por personas con
buenas intenciones.

Cumplimiento normativo de protección de la información

Regulaciones
aplicables Es crucial identificar las regulaciones locales, regionales,
internacionales o industriales que exigen las prácticas de
protección de datos para cada organización. Hay varios
países que tienen leyes de protección de datos maduras,
pero en los últimos diez años en todo el mundo se ha
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
aprobado una cantidad sin importante aún, esas regulaciones se están mejorando con
precedentes de nuevas instrumentación adicional donde la tecnología juega un
regulaciones. Más papel definitivo para la aplicabilidad y el cumplimiento.

Tema 1: panorama de prevención de pérdida de datos 7

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
DLA Piper LLP, un bufete de abogados global, creó un mapa muy útil e interactivo de leyes de protección
de datos que está disponible en su sitio web en http://www.dlapiperdataprotection.com/. Baker &
Hostetler LLP en su Compendio internacional de leyes de privacidad de datos de 2015 (Baker & Hostetler
LLP, 2015) también identificó una lista de países que tienen leyes de protección de datos. Según ese
documento, los siguientes países tienen leyes de privacidad de datos: Argentina, Australia, Austria,
Bahamas, Bélgica, Brasil, Canadá, Chile, China (República Popular), Colombia, Costa Rica, República Checa,
Dinamarca, Finlandia, Francia, Alemania. , Grecia, Hong Kong, Hungría, India, Indonesia, Irlanda, Italia,
Japón, Luxemburgo, Malasia, México, Países Bajos, Perú, Filipinas, Qatar, Arabia Saudita, Singapur, Corea
del Sur, España, Taiwán, Trinidad y Tobago, Ucrania, Emiratos Árabes Unidos, Reino Unido y Uruguay.

Reglamento general de protección de datos de la Unión Europea

El Reglamento general de protección de datos (RGPD) de la Unión Europea (UE) está diseñado para
estandarizar la legislación de privacidad de datos y proporcionar una única regulación común en los 28
estados miembros de la UE, así como en Islandia, Liechtenstein y Noruega, que juntos constituyen la
Política Económica Europea. Área (EEE). A diferencia de la Directiva de protección de datos de la UE,
según la cual cada país define su propia legislación nacional, el RGPD debe adoptarse en su totalidad en
todo el EEE (aunque los países individuales pueden hacer modificaciones a medida que lo apliquen).

Figura 3: Resumen de cambios introducidos por el Reglamento General de Protección de Datos

El reglamento se aprobó formalmente el 25 de mayo de 2016 y se convierte en ley en todos los estados
del EEE el 25 de mayo de 2018. El RGPD se aplica a cualquier organización que recopile o procese datos
personales pertenecientes a los residentes del EEE, ya sea que la organización tenga su sede o no en el
EEE. Este concepto, conocido como "extraterritorialidad", es una característica importante del GDPR y
lo distingue de la Directiva de Protección de Datos.
El RGPD incluye muchas disposiciones de seguridad,
algunas de las cuales no se relacionan con la tecnología
sino con las políticas y procedimientos de una
organización. Hay cuatro áreas de la regulación que se
pueden aplicar a la tecnología:
• Conozca sus datos personales: comprenda qué datos
personales recopila, si se pueden vincular a un
individuo y si son sensibles (como datos genéticos o
biométricos). Además, comprenda las reglas de
retención que rigen dichos datos.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
8 Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
• Procesar datos de manera legal: revise las reglas relativas a la recopilación y el procesamiento de
datos y asegúrese de cumplir con dichas reglas de manera confiable y segura.
• Incorporar la privacidad: asegúrese de que sus procesos incorporen la privacidad y de tener en cuenta
cualquier desarrollo tecnológico en curso que pueda poner en peligro las protecciones de privacidad.
Considere no tanto si puede hacer algo técnicamente, sino si debe hacerlo de manera ética, en el
sentido de analizar si afecta la privacidad individual. Aplique la prueba de "escalofríos": si lo que está
haciendo suena raro, probablemente no debería hacerlo.
• Proteger los datos personales: implementar una gestión de riesgos completa de los datos
personales, teniendo en cuenta quién tiene acceso a ellos, dónde se encuentran y cómo se utilizan.
Proteja los datos personales mediante una sólida gestión y seguridad de los riesgos de la
información.
El RGPD impone sanciones económicas graves por
filtraciones de datos, hasta 20 millones de euros, o el 4%
de la facturación global (ventas globales netas generadas
por una empresa). También requiere que todas las
empresas informen cualquier violación de datos, ya sea
maliciosa o accidental, dentro de las 72 horas.
Las empresas deben informar tanto a las autoridades
centrales como a cualquier persona cuya información
personal pueda haber sido comprometida. Los
ciudadanos tendrán nuevos derechos legales para
entablar demandas individuales y presentar reclamos de
compensación en caso de violación de datos. Es
importante tener en cuenta que, si los datos se cifraron
de forma segura en el momento de la infracción, es
posible que se reduzcan las sanciones y multas.
Se aplican multas cuando se considera que una empresa no ha implementado las protecciones adecuadas.
• Si las empresas no implementan la seguridad, están expuestas a sanciones por incumplimiento.
• Si las empresas sufren una infracción a pesar de sus mejores esfuerzos, notifíquenlo de inmediato y
pueden demostrar los mejores esfuerzos que hicieron, estarán menos expuestas a sanciones.
• Si las empresas sufren una infracción por falta de seguridad suficiente, pueden ser sancionadas no
solo por la infracción en sí, sino también por no haber tomado las medidas de seguridad adecuadas.
• Si las empresas sufren una infracción y no la denuncian, se exponen a sanciones más altas por la
decisión deliberada de no cumplir.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 1: panorama de prevención de pérdida de datos 9

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Marcos para la protección de la
información A Para abordar la complejidad de la protección de la
información, se han publicado varias compilaciones y
normas de mejores prácticas. La Asociación de Control y
Auditoría de Sistemas de Información - ISACA (ISACA,
2015) presentó una excelente compilación de marcos
que los ejecutivos están utilizando para gestionar sus
desafíos de privacidad y protección de la información.
• ISO / IEC 27002: 2013 Tecnología de la información —
Técnicas de seguridad — Código de prácticas para
controles de seguridad de la información

• Principios de privacidad generalmente aceptados del Instituto Americano de Contadores Públicos

Certificados y del Instituto Canadiense de Contadores Públicos (AICPA / CICA GAPP)
• Publicación especial (SP) 800-53, Rev.4 del Instituto Nacional de Estándares y Tecnología (NIST),
Controles de seguridad y privacidad para organizaciones y sistemas de información federales
• ISO / IEC 29100: 2011 Tecnología de la información — Técnicas de seguridad — Marco de privacidad
• ISO / IEC 22307: 2008 Servicios financieros: evaluación del impacto de la privacidad

Dos estándares adicionales de NIST (no mencionados en el estudio) se refieren específicamente a la

privacidad de los datos y son buenas referencias para las mejores prácticas:
• SP 800-122, Guía para proteger la confidencialidad de la información de identificación personal (PII)
• SP 800-66, Rev 1, Guía de recursos introductorios para implementar la regla de seguridad de la Ley
de portabilidad y responsabilidad del seguro médico (HIPAA)

Ejercicio 1: Discusión dirigida por un instructor

1. Individualmente, Revise o confirme el impacto comercial y los tipos de datos en riesgo
en su propia organización. En su organización, ¿ha identificado las principales
amenazas de pérdida de datos?

2. Referira la historia básica de Symplified Healthcare. Proporcione ejemplos específicos de tipos de

datos en riesgo para Symplified Healthcare. ¿Cuáles son algunos tipos de datos en riesgo que
Symplified Healthcare podría identificar?

3. El instructor puede hacer una demostración del mapa de regulaciones de DLA Piper.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
10 Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Resumen del tema
Este tema cubre los conceptos básicos del panorama actual de pérdida de datos.
• Impacto empresarial de la pérdida de datos: las violaciones de datos afectan a las organizaciones de
muchas formas críticas, incluidas las financieras ($ 154 USD por registro perdido, según Ponemon),
la disminución de la ventaja competitiva y el daño a la reputación de la marca.
• Tipos de datos en riesgo: PII, IP e información financiera se identifican como los tipos más comunes
de información en riesgo. Las organizaciones pueden crear e identificar activos de información
adicionales que deben protegerse de las infracciones.
• Fuentes comunes de amenazas de pérdida de datos: los internos bien intencionados son la amenaza
más común, los internos malintencionados son una amenaza grave (dado que ya tienen acceso a los
recursos) y los externos maliciosos son los cerebros detrás de la mayoría de las violaciones masivas de
datos.
• Ecosistema regulatorio de protección de datos y marcos para las mejores prácticas: En los últimos
diez años, las leyes de protección de datos han proliferado en todo el mundo. El Reglamento general
de protección de datos de la Unión Europea, por ejemplo, ayuda a estandarizar y fortalecer las leyes
de protección de datos en los estados miembros de la UE.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 1: panorama de prevención de pérdida de datos 11

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 2: Datos gestión del riesgo de pérdida
Symantec ha recopilado las mejores prácticas de más de 150 implementaciones de Symantec Data Loss
Prevention en una variedad de entornos y sectores verticales en un enfoque general de reducción de
riesgos. Estas mejores prácticas muestran cómo crear la combinación adecuada de personas, procesos y
tecnología, y cómo aplicar esa combinación en las seis fases del proyecto para lograr de manera constante
una reducción de riesgos mensurable.

Programa de reducción de
riesgos de DLP El primer paso para la protección de datos sostenible a
largo plazo es comprometerse con un Programa de
reducción de riesgos de DLP en toda la empresa, que
involucre personas, procesos y tecnología.
Una vez que se toma la decisión para abordar este
riesgo, las organizaciones necesitan un plan claramente
definido para el éxito, con pasos, tareas, recursos y
objetivos específicos para alcanzar sus metas a corto y
largo plazo.

Equilibrio entre productividad y

seguridad La nube y los dispositivos móviles hacen que las
empresas sean más ágiles. Se pueden implementar y
activar nuevas funciones y procesos rápidamente, y las
organizaciones pueden ajustar las cosas sobre la marcha
si es necesario. Las personas tienen la libertad y la
flexibilidad de trabajar de la forma que elijan, y facilitan
mucho la colaboración y el intercambio, ya que el 30% de
los empleados utilizan sus dispositivos personales para
trabajar. Pero la nube y los dispositivos móviles también
presentan nuevos y difíciles desafíos cuando se trata de
proteger dispositivos y aplicaciones, particularmente
aquellos que la organización no posee.
La privacidad y la seguridad son las principales preocupaciones que pueden hacer que una organización
dude en aceptar los beneficios de la nube, BYOD y las ofertas de redes sociales. La prevención de la pérdida
de datos es un mandato empresarial, no una iniciativa de seguridad. El programa de reducción de riesgos
de DLP debe lograr el equilibrio adecuado entre la prevención de pérdida de datos, por un lado, y la
productividad e innovación empresarial, por el otro.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
12 Pérdida de datos anteriorention
paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Implementación de la reducción de riesgos de DLP
Para lograr una mayor reducción de riesgos, más rápido y con menos recursos, los programas de
Reducción de Riesgos de DLP deben incluir los siguientes atributos comunes:
• Participación a nivel ejecutivo. El apoyo para proteger los datos y cambiar los procesos comerciales y
el comportamiento de los empleados debe provenir de arriba.
• Un enfoque priorizado. Los datos confidenciales adoptan muchas formas y pueden ubicarse
en cualquier lugar de una organización. Dirigirse primero a los datos más críticos proporciona
valor inmediato.
• Participación del propietario de la empresa. La información necesaria para identificar nuevas
amenazas, mantener las políticas actualizadas y reparar los procesos comerciales dañados debe
provenir de las personas más cercanas a los datos.
• Un equipo de respuesta a incidentes (IRT) capacitado. Los roles, responsabilidades y
procedimientos claramente definidos impulsan la coherencia y la aceptación organizacional.
• Educación de los empleados. La visibilidad del comportamiento de los empleados permite una
formación centrada en las principales áreas de riesgo, mientras que la aplicación en tiempo real de
las políticas de protección de datos de la empresa promueve una cultura de seguridad.

Figura 4: Atributos recomendados de un programa de reducción del riesgo de pérdida de datos

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 2: Gestión del riesgo de pérdida de datos 13

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Symantec recomienda un modelo de seis pasos para abordar el riesgo de pérdida de datos:
planificación, implementación, línea de base, reparación, notificación y prevención.

Figura 5: Proceso de reducción del riesgo de pérdida de datos en seis fases

Planificación
La primera fase del modelo es la fase de planificación, y el objetivo es sentar las bases para el programa
DLP a largo plazo, incluidas las siguientes tareas clave:
• Asignar el personal adecuado
• Orientación áreas de mayor riesgo
• Definición del enfoque de respuesta a incidentes
• Establecer métricas de éxito e hitos durante los primeros 90 días
• Desarrollar planes de comunicación y divulgación para los empleados
Los clientes que incorporan estos elementos clave al comienzo de sus iniciativas de DLP desarrollan un
programa de DLP integral para toda la organización que da como resultado el logro rápido de sus
objetivos de reducción de riesgos.

14 Prevención de pérdida de datos

Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Despliegue
Todos los requisitos recopilados en la fase de planificación se aprovechan en la fase de implementación. La
fase de implementación se enfoca en configurar la infraestructura, configurar las políticas iniciales,
informar y establecer un flujo de trabajo de respuesta a incidentes inicial para permitir las operaciones del
sistema del día a día del equipo del proyecto. Tener un conocimiento sólido de los requisitos comerciales y
decidir qué productos se implementarán primero lo ayudará a planificar y ejecutar de manera efectiva.
Las tareas clave incluyen:
• Determinar la integración con el proceso empresarial existente
• Confirmación de la topología de implementación y el tamaño del hardware
• Validando la integración con la infraestructura actual
• Implementar y optimizar el rendimiento

Base
El enfoque de la fase de línea de base es recopilar datos, comprender dónde está el riesgo de la
organización y ajustar las políticas y procedimientos en preparación para tomar medidas en las fases de
remediación, notificación y prevención / protección. Symantec recomienda permanecer en la fase de
referencia durante dos a cuatro semanas para cada política que se implemente. Ese período de tiempo
generalmente proporciona suficientes datos para que una organización se asegure de que las políticas
sean precisas, logre una comprensión de alto nivel de dónde es mayor su riesgo, confirme que su enfoque
para la corrección de incidentes funcionará y establezca algunos objetivos de reducción de riesgos.
Algunas organizaciones permanecen en la fase de referencia durante más tiempo, hasta seis meses. El
beneficio de permanecer más tiempo en la fase de referencia es que es posible detectar procesos que
pueden ocurrir solo trimestralmente, semestralmente o anualmente.
Las tareas básicas clave incluyen:
• Establecer horarios de reuniones
• Afinación Policias y procedimientos
• Organizar incidentes para comprender los factores de riesgo
• Comenzando a rastrear métricas

Remediación
El enfoque de la fase de remediación es cambiar los procesos comerciales de alto riesgo identificados en la
fase de referencia y desarrollar aún más el plan de remediación para todos los incidentes. La participación
de los representantes de la unidad de negocios es fundamental durante esta fase para identificar y
modificar estos procesos comerciales para hacerlos más seguros, sin afectar negativamente el flujo de
trabajo comercial normal. Además, un equipo de respuesta a incidentes en pleno funcionamiento es
esencial para avanzar con eficacia en esta fase. El trabajo de línea de base de ajustar políticas y
procedimientos y comprender y organizar incidentes debería haber ayudado a solidificar y enfocar los
esfuerzos del equipo. La planificación de respuesta completada en esta fase es la base para la clave de
notificaciones de infracción para la siguiente fase de notificación.
Los pasos clave incluyen:
• Trabajando con representantes de la unidad de negocio para arreglar los procesos de negocio dañados
• Construyendo una práctica de respuesta a incidentes eficiente
• Monitoreo y comunicación de métricas

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 2: Gestión del riesgo de pérdida de datos 15

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Notificación
El enfoque de esta fase es notificar a los empleados sobre las violaciones de las políticas corporativas para
impulsar un cambio de comportamiento. Esto significa, por ejemplo, enviar notificaciones automáticas
por correo electrónico para darles a los empleados un aviso inmediato de las infracciones de las políticas,
o pantallas emergentes automáticas que les notifican la infracción y les dan la opción de justificar la
acción. Para las organizaciones que han optado por no divulgar su iniciativa DLP a los empleados, esto
significa identificar las áreas de supervisión y desarrollar programas de educación y concientización
dirigidos a los grupos que representan el mayor riesgo. Symantec recomienda que las organizaciones sean
transparentes y abiertas con sus empleados sobre la iniciativa del programa DLP. Esta comunicación
abierta involucra a los empleados en el programa y fomenta la reducción proactiva de riesgos por parte
de todos en la organización.
Los pasos clave incluyen:
• Alertando a los empleados
• Configurar, probar y habilitar notificaciones
• Monitoreo y comunicación de métricas
Los clientes ven una reducción drástica de los incidentes una vez que se habilitan las notificaciones. Todo
el trabajo realizado en la fase de planificación en torno a las comunicaciones de los empleados ayuda a
que esta sea también la más corta de las fases.

Prevención
La prevención de incidentes, malintencionados o no intencionales, es el objetivo final de cualquier
iniciativa de prevención de pérdida de datos. Esta fase culmina con la aplicación automática de las
políticas de seguridad, incluido el bloqueo de las comunicaciones de red, la transferencia de archivos y la
copia de archivos; poner en cuarentena las comunicaciones de la red y los archivos expuestos; cifrado de
comunicaciones por correo electrónico; e iniciar investigaciones forenses.
Los pasos clave incluyen:
• Configurar y probar la prevención / protección
• Alertando a los empleados
• Habilitación de prevención / protección
• Monitoreo y comunicación de métricas

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
dieciséis Prevención de pérdida de datos
Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Enfoques generales para la respuesta a incidentes
La respuesta a incidentes (RI) es uno de los factores clave de éxito para cualquier modelo exitoso de
gestión de riesgos de pérdida de datos. El nivel de madurez de una organización está estrechamente
relacionado con su eficacia de RI. Independientemente del tipo de modelo, el IRT de la organización debe
tener evaluaciones periódicas de su progreso, así como determinar la efectividad de los procesos y si los
procesos necesitan ser revisados. El ajuste del flujo de trabajo, como el ajuste de políticas, es esencial
para responder a nuevos riesgos y lograr una reducción de riesgos exitosa.

Centralizad
o En el enfoque centralizado para la respuesta a incidentes,
también llamado estructura de respuesta de "distribución
en abanico", un pequeño grupo actúa como el personal
de primera respuesta para todos los incidentes y escala
los incidentes críticos a través de canales definidos al
personal o unidades de negocios apropiados (por
ejemplo, Forense, Legal, Compliance , o Recursos
Humanos) para una mayor investigación o resolución. El
grupo de primeros respondedores es pequeño y
enfocado, y el grupo de respondedores de escalada es
más grande y está más distribuido.

Descentraliza
do El modelo descentralizado, o estructura de respuesta
"fan-in", consta de unidades de negocio individuales (por
ejemplo, Finanzas, Marketing, Desarrollo de productos,
etc.) que nombran personal selecto para servir como
primeros en responder a los incidentes relacionados con
su unidad de negocio y escalar los incidentes críticos al
personal apropiado para una mayor investigación o
resolución. El grupo de primeros respondedores es
grande y está distribuido, y el grupo de respondedores
de escalada es más pequeño y está más enfocado.

Enfoques adicionales
Los servicios gestionados de respuesta a incidentes centrados en la pérdida de datos están comenzando
a emerger en el mercado. Principalmente, se subcontrata la estructura de respuesta en abanico del
modelo centralizado y el triaje se realiza en coordinación con los recursos internos de la organización.

Resumen del tema

Este tema cubrió el enfoque de Symantec para la gestión de riesgos de pérdida de datos:
• El programa de reducción de riesgos de pérdida de datos de Symantec propone un programa
integral orientado a los negocios para lograr una mayor reducción de riesgos, más rápido y con
menos recursos.
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
• El enfoque propuesto proporciona una base sólida para la gestión de riesgos de DLP; sin embargo, es
necesario reconfirmar constantemente que los controles y procedimientos que lo rodean siguen
siendo válidos y apropiados.

Tema 2: Gestión del riesgo de pérdida de datos 17

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema3: Datos Casos de uso del mundo real de Prevención de
pérdidas
Este tema presenta tres casos de uso del mundo real que ilustran los conceptos cubiertos en esta lección.

Becton Dickinson y compañía

Becton Dickinson (BD) es una empresa estadounidense
de tecnología médica incluida en la lista Fortune 500 con
30.000 empleados en todo el mundo. La protección IP
fue su principal impulsor de DLP. BD estaba expandiendo
su desarrollo de dispositivos médicos en el extranjero.
Tenían crecientes sospechas de que se estaba filtrando o
robando IP crítica. BD observó a los competidores lanzar
productos que eran similares a productos que todavía
tenían en desarrollo en los EE. UU. No solo eso, sino que
descubrieron que un pequeño grupo de personal senior
de I + D que se había reubicado descargaba terabytes de
datos, lo cual era muy inusual.
BD pudo ver grandes volúmenes de datos saliendo por la puerta, pero no tuvo visibilidad del contenido o
el contexto. Como resultado, hubo un tremendo impulso de la alta dirección para implementar DLP para
evitar la filtración de IP de gran valor.
Dentro de los 10 días posteriores a la implementación de Symantec DLP, BD estaba revisando los archivos
de incidentes con su unidad de negocios de I + D (BU). La mayoría de los incidentes fueron causados por
procesos comerciales rotos; sin embargo, un caso se destacó para un miembro del personal de la BU. Un
ingeniero que había dimitido estaba enviando correos electrónicos y descargando cantidades masivas de
archivos confidenciales que contenían secretos comerciales para almacenamiento extraíble. BD involucró
inmediatamente a la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, que confiscó al
ingeniero y todas sus computadoras y dispositivos. Este fue un caso de alto perfil que fue cubierto por el
Wall Street Journal.

Citrix Systems, Inc.

Citrix Systems, Inc., líder en soluciones de virtualización y
nube, necesitaba monitorear instancias de código fuente
en su red para proteger la propiedad intelectual. Citrix
implementó Symantec DLP para monitorear el flujo de
información potencialmente sensible o confidencial y
fortalecer la seguridad. Al crear un inventario de datos
confidenciales, Symantec DLP ayudó a Citrix a desarrollar
mejores controles sobre la información y priorizar los
esfuerzos de seguridad.
Symantec DLP está ayudando a Citrix a identificar y
corregir procesos comerciales obsoletos con seguridad
potencial
trascendencia. El equipo de Citrix pudo demostrar valor inmediato para la empresa al capturar incidentes
Copyright © 2018 Symantec Corporation. Todos los derechos
reservados
que ayudaron a educar a los usuarios e implementar procesos comerciales mejorados para proteger a Citrix
contra la pérdida de IP que podría resultar de errores honestos de personas internas bien intencionadas o
de procesos comerciales rotos.

18 Prevención de pérdida de datos

Paisaje

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Además, TI pudo asociarse con auditoría interna para fortalecer los controles. Citrix reconoce que es un
proceso continuo, pero Symantec DLP es un factor clave de éxito y un potenciador de sus esfuerzos de
cumplimiento de PCI y Sarbanes-Oxley.

Salud de
Bernabé Barnabas Health es el sistema integrado de prestación de
servicios de salud más grande de Nueva Jersey y el
segundo empleador privado más grande del estado, y
brinda servicios a más de dos millones de pacientes cada
año. El desafío de Barnabas Health: la necesidad de
proteger y administrar grandes cantidades de datos
electrónicos de misión crítica y altamente sensibles. Para
seguir cumpliendo y evitar posibles multas, Barnabas
Health necesitaba controles de acceso y salvaguardias
técnicas para proteger el contenido electrónico
restringido del uso y la transmisión no autorizados.
Barnabas Health agregó Symantec DLP en 2010 para hacer cumplir las restricciones sobre el intercambio
y la transmisión de información confidencial de pacientes entre médicos y personal médico. Barnabas
Health desarrolló nuevas políticas de intercambio de información y creó mensajes de advertencia para los
usuarios finales a fin de generar conciencia sobre las obligaciones de cumplimiento normativo del
hospital y reforzarlas. Barnabas Health utiliza Symantec DLP para detectar datos confidenciales en discos
duros y luego bloquear el envío por correo electrónico, la impresión o la copia de información restringida
del paciente.
antes de El software se implementó en 2010, el equipo de seguridad de TI de Barnabas Health identificó
un promedio de 15 casos por trimestre de posibles eventos de alto riesgo, como la transmisión del
expediente médico personal de un paciente o el número de seguro social. Un analista de TI tardó dos días
en investigar, confirmar y corregir cada infracción limpiando los datos confidenciales del servidor de
correo, los buzones de correo de los empleados y las cintas de respaldo. Aunque Symantec DLP ahora
genera alertas de infracción aproximadamente al mismo ritmo, el porcentaje de eventos que se
consideran importantes se redujo del 100% al 25%. Además, el tiempo de investigación y reparación del
técnico se ha reducido a la mitad a solo un día. El 75 por ciento restante de las alertas son menores y se
reparan en dos horas.

Resumen del tema

Estos casos de uso del mundo real proporcionan ejemplos y demuestran cómo las características
recomendadas de un programa de reducción del riesgo de pérdida de datos (participación a nivel
ejecutivo, un enfoque priorizado, participación del propietario de la empresa, un equipo de respuesta a
incidentes bien capacitado y educación de los empleados) han ayudado a las organizaciones con desafíos
complejos para reducir el riesgo de manera sostenible.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Tema 3: Casos de uso del mundo real de Data Loss Prevention 19

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados
Revisión de la lección
Esta lección presentó una descripción general del panorama de prevención de pérdida de datos.
El primer tema explicó cómo varios factores (nube, BYOD, proliferación de datos y regulaciones de
privacidad global) han transformado la DLP en un mandato comercial. Este cambio es impulsado en parte
por el notorio impacto que las violaciones por pérdida de datos causan a las organizaciones de varias
maneras críticas: financieras, disminución de la productividad y ventajas competitivas, y daño a la
reputación de la marca e incluso a la seguridad nacional.
El segundo tema cubrió la gestión del riesgo de pérdida de datos, explicando cómo DLP aborda los riesgos
que los profesionales de la seguridad de la información conocen desde hace mucho tiempo. Estos riesgos
se centran en el manejo de ciertos tipos de datos sensibles, como PII, IP, información financiera y de
salud. El riesgo está impulsado principalmente por tres amenazas comunes: personas internas bien
intencionadas, personas internas maliciosas y personas externas maliciosas. El enfoque sugerido por
Symantec para administrar el riesgo de pérdida de datos es adoptar un Programa de reducción de riesgos
de DLP, basado en cinco atributos fundamentales: participación a nivel ejecutivo, un enfoque priorizado,
participación del propietario de la empresa, un equipo de respuesta a incidentes (IRT) capacitado y
educación de los empleados. Un programa de este tipo se implementa mejor a través de un proceso de
seis pasos: planificación, implementación, línea de base, remediación, notificación y prevención.
Por último, la lección cubrió anécdotas y experiencias de clientes del mundo real con DLP.

Copyright © 2018 Symantec Corporation. Todos los derechos

reservados