DLP (Prevención de Pérdida de Datos)

Qué es DLP (Prevención de Pérdida de Datos)

DLP (Data Loss Prevention / Prevención de Pérdida de Datos) es el término general para las tecnologías y mecanismos que detectan y previenen la filtración involuntaria de datos confidenciales de la organización al exterior. Previene que información confidencial como datos personales, datos financieros, propiedad intelectual y secretos comerciales se filtren a través de envío de correo, subida a almacenamiento en la nube, copia a dispositivos USB, etc.

El contexto que hace necesario DLP incluye el endurecimiento de regulaciones como GDPR y la Ley de Protección de Información Personal, la diversificación de rutas de flujo de datos por la proliferación del trabajo remoto, y el aumento del riesgo de filtración de información por fraude interno. Mientras que el cifrado de datos es la defensa de "hacer que los datos no se puedan leer aunque sean robados", DLP es la defensa de "prevenir que los datos sean sacados en primer lugar".

Los 3 puntos de aplicación de DLP

• DLP de red: Monitorea el tráfico en la salida de la red (gateway) y detecta/bloquea comunicaciones que contienen datos confidenciales. Cubre envío de correo, subida web, transferencia FTP, etc. Para inspeccionar comunicaciones cifradas (HTTPS) se necesita inspección SSL
• DLP de endpoint: Instala agentes en PC y dispositivos móviles para monitorear y controlar operaciones locales como copia a dispositivos USB, capturas de pantalla, impresión y operaciones de portapapeles. Puede prevenir la extracción de datos que no pasa por la red
• DLP de nube: Monitorea datos en aplicaciones SaaS (Microsoft 365, Google Workspace, Slack, etc.) y almacenamiento en la nube. Se integra con CASB (Cloud Access Security Broker) para controlar la compartición y descarga de datos confidenciales en servicios de nube

Combinar estos 3 puntos para cubrir todos los estados de los datos - en reposo (Data at Rest), en tránsito (Data in Motion) y en uso (Data in Use) - es lo ideal.

Clasificación de datos y diseño de políticas

La efectividad de DLP depende en gran medida de la precisión de la clasificación de datos. Si no se define qué son datos confidenciales, DLP no puede funcionar.

• Inspección de contenido: Detecta patrones como números de tarjetas de crédito, números de identificación personal y direcciones de correo mediante expresiones regulares y coincidencia de palabras clave. Para reducir falsos positivos, se combina con verificación de checksum (algoritmo de Luhn, etc.)
• Análisis de contexto: Juzga considerando información contextual como el destino del archivo, el departamento del remitente y la ubicación de almacenamiento del archivo. Diseña políticas según el contexto, como reforzar la inspección de envíos de archivos Excel del departamento de contabilidad al exterior
• Clasificación basada en aprendizaje automático: Analiza el contenido de documentos con modelos de aprendizaje automático para determinar automáticamente el nivel de confidencialidad. Puede manejar datos no estructurados (documentos de texto libre, texto en imágenes) que la coincidencia de patrones no puede detectar

El punto práctico es implementar las políticas gradualmente. Primero opera en modo "solo monitoreo (sin bloqueo)" para verificar la tasa de falsos positivos antes de migrar al modo de bloqueo. También es efectivo aplicar diferentes políticas DLP según el cargo o departamento en integración con IAM.

Desafíos y contramedidas en la implementación de DLP

La implementación de DLP conlleva desafíos técnicos y organizacionales.

• Manejo de falsos positivos: Políticas excesivamente estrictas obstaculizan el trabajo e inducen comportamientos de evasión de DLP por parte de los usuarios (envío por correo personal, fotografías). Preparar ajuste de políticas y flujos de trabajo de solicitud de excepciones
• Inspección de comunicaciones cifradas: Con HTTPS estandarizado, el DLP de red necesita inspección SSL/TLS para examinar el contenido de las comunicaciones. Considerar la privacidad y la carga operativa de gestión de certificados
• Educación de usuarios: DLP no se completa solo con controles técnicos. Que los empleados comprendan por qué es importante la protección de datos y actúen con conciencia de seguridad es la contramedida fundamental
• Integración con confianza cero: Posicionar DLP como parte de la arquitectura de confianza cero, evaluando integralmente el estado de autenticación del usuario, la salud del dispositivo y la confidencialidad de los datos en cada acceso a datos es la dirección futura

Conceptos erróneos comunes

Si implementas DLP, puedes prevenir completamente las filtraciones de datos

DLP es uno de los medios de control técnico y es difícil cubrir todas las rutas de filtración. Existen medios de filtración que DLP no puede detectar, como fotografías de pantalla, transmisión verbal de información y extracción de archivos cifrados. Se necesita un enfoque multicapa que combine medidas técnicas, educación de empleados y gobernanza organizacional.

DLP es una solución costosa para grandes empresas y no es necesaria para pymes

Microsoft 365 E5 y Google Workspace Enterprise incluyen funcionalidad DLP de forma estándar, permitiendo implementar protección básica de datos sin costo adicional. Las pymes también tienen obligaciones de cumplimiento de la Ley de Protección de Información Personal, y la implementación de DLP según el tamaño es una inversión razonable.

Diferencia entre DLP y cifrado de datos

Términos relacionados

Artículos relacionados