Data Loss Prevention (DLP) es una industria de miles de millones. Las organizaciones despliegan herramientas sofisticadas que monitorizan el trafico de red, escanean correos electronicos en busca de contenido sensible, bloquean unidades USB y clasifican documentos en tiempo real. Sin embargo, las brechas de datos siguen ocurriendo -- y la causa raiz rara vez es una regla DLP que falta.

El problema real es mas simple: la mayoria de las organizaciones no saben que datos tienen, donde estan, quien puede acceder a ellos y como fluyen entre sistemas.

No puedes prevenir la perdida de algo que no sabes que existe.

Por que fallan las implementaciones de DLP

Un despliegue tipico de DLP es asi: el equipo de seguridad compra una herramienta, define algunas politicas (bloquear numeros de tarjetas de credito en el correo saliente, marcar archivos etiquetados como "Confidencial") y despliega agentes en endpoints y pasarelas de red.

En pocas semanas, la herramienta genera miles de alertas. La mayoria son falsos positivos. Los riesgos reales -- un NAS Synology no asegurado con anos de contratos de clientes, un exempleado que todavia accede al CRM a traves de una clave API olvidada, una copia de seguridad diaria que fluye sin cifrar a un servicio en la nube en una jurisdiccion con leyes de privacidad debiles -- pasan desapercibidos porque la herramienta DLP no los conoce.

Las herramientas DLP monitorizan lo que pueden ver. Pero solo pueden ver lo que les dices que busquen. Y solo puedes decirles que buscar si sabes lo que tienes.

Las cinco cosas que debes documentar antes de desplegar DLP

1. Tus servicios

Cada plataforma SaaS, servicio en la nube, aplicacion local y herramienta de terceros que procesa tus datos. No solo los que gestiona TI -- tambien los que los departamentos contrataron por su cuenta.

Para cada servicio, necesitas saber: que hace, quien lo proporciona, donde se almacenan los datos (pais), que rol desempena el proveedor (responsable vs encargado del tratamiento) y cual es tu estrategia de salida si necesitas irte.

2. Tus elementos de datos

?Que categorias de datos procesas? Datos personales de clientes, registros financieros, datos de RRHH de empleados, informacion sanitaria, propiedad intelectual, secretos comerciales. Cada elemento de datos necesita una clasificacion (que tan sensible es), una base juridica (por que lo procesas) y un periodo de retencion (durante cuanto tiempo lo conservas).

3. Tus usuarios y su acceso

?Quien accede a que? Mapea cada rol de usuario a cada servicio que utiliza. Esto revela riesgos de concentracion (una persona con acceso a todo) y sobreaprovisionamiento (personas con acceso que no necesitan).

4. Tus dispositivos

Los portatiles, telefonos, tablets y estaciones de trabajo que tu gente utiliza para acceder a los servicios. Para cada dispositivo: ?esta el disco cifrado? ?Hay MDM? ?Esta el sistema operativo actualizado? ?Esta disponible el borrado remoto?

Un agente DLP en un portatil corporativo es inutil si los mismos datos son accesibles desde un telefono personal no gestionado.

5. Tus transferencias de datos

?Como fluyen los datos entre servicios? Integraciones API, exportaciones de archivos, reenvio de correo electronico, replicacion de copias de seguridad, descargas manuales. Cada transferencia es un punto potencial de fuga. Las transferencias transfronterizas tienen requisitos legales adicionales segun el RGPD.

El mapeo de datos como base de la DLP

Una vez que tienes esta documentacion, todo cambia:

  • Las politicas DLP se vuelven dirigidas. En lugar de "bloquear todos los numeros de tarjetas de credito en todas partes", puedes decir "monitorizar las transferencias salientes del Servicio X porque procesa registros financieros clasificados como Restringidos".
  • La evaluacion de riesgos se hace posible. Puedes puntuar cada servicio en funcion de la sensibilidad de los datos que contiene, los dispositivos que acceden a el y las transferencias en las que participa.
  • Las revisiones de acceso se vuelven accionables. Sabes quien tiene acceso a que, asi que puedes verificar si sigue siendo apropiado.
  • La respuesta a incidentes se vuelve mas rapida. Cuando algo sale mal, ya sabes que datos habia en ese sistema y quien podria haber accedido a ellos.
  • El cumplimiento se convierte en un subproducto. El articulo 30 del RGPD exige un Registro de Actividades de Tratamiento (RAT). Si has mapeado tu panorama de datos, el RAT se escribe solo.

El coste de no mapear

Las organizaciones que se saltan el mapeo de datos y van directamente a las herramientas DLP suelen acabar en una de dos situaciones:

  1. Fatiga de alertas. La herramienta DLP genera tantos falsos positivos que el equipo de seguridad empieza a ignorar las alertas -- incluidas las reales.
  2. Falsa confianza. La herramienta DLP esta desplegada y "funcionando", pero solo cubre el 30% del panorama real de datos. El otro 70% es invisible y esta desprotegido.

Ambas situaciones son peores que no tener DLP en absoluto, porque crean la ilusion de seguridad.

Un enfoque practico para pymes

Los paquetes DLP empresariales cuestan cifras de seis digitos y requieren equipos dedicados. Las pequenas y medianas empresas necesitan un enfoque diferente:

  1. Empieza con la documentacion. Mapea tus servicios, usuarios, elementos de datos, dispositivos y transferencias. Solo esto revela la mayoria de tus riesgos.
  2. Puntua tus riesgos. Usa la documentacion para evaluar cada servicio: ?que es lo peor que puede pasar si este servicio se ve comprometido?
  3. Corrige las brechas obvias. Cifrado ausente, acceso innecesario, copias de seguridad no monitorizadas, ATD caducados -- estos no necesitan una herramienta DLP para arreglarlos.
  4. Considera controles dirigidos. Una vez que sabes donde viven tus datos sensibles, puedes aplicar controles dirigidos: cifrado para datos en reposo, revisiones de acceso para servicios de alto riesgo, verificaciones de cumplimiento de copias de seguridad para recuperacion ante desastres.
  5. Revisa regularmente. Los panoramas de datos cambian. Se adoptan nuevos servicios, las personas entran y salen, se anaden flujos de datos. Conviertelo en un proceso trimestral, no en un proyecto puntual.

Herramientas para el mapeo de datos

Readmodel® esta disenado especificamente para este ejercicio de mapeo. Proporciona mas de 200 plantillas de servicios preconfiguradas, puntua riesgos automaticamente en funcion de la sensibilidad de los datos y los patrones de acceso, verifica el cumplimiento de la estrategia de copias de seguridad, evalua la seguridad de los dispositivos y genera tanto informes legibles como exportaciones conformes al RGPD.

Las organizaciones que previenen la perdida de datos de forma mas eficaz no son las que tienen las herramientas DLP mas caras. Son las que saben donde viven sus datos.

La prevencion de perdida de datos comienza con el mapeo de datos. Todo lo demas viene despues.