Fuente de ayuda

  Estamos en el proceso de seleccionar una herramienta de prevención de pérdida de información (DLP). Después de discutirlo con los proveedores, nos dimos cuenta de que la implementación exitosa de DLP depende de la clasificación de los datos para identificar las palabras clave que permitan que DLP reconozca los datos a proteger. El desafío es que tenemos una gran cantidad de datos dispersos por todas partes. Por lo tanto, todavía estamos luchando con el enfoque correcto que nos ayudará a clasificar los datos. ¿Cómo deberíamos abordar este problema?

  Los datos o la información es un habilitador primario para cualquier organización, como se establece en COBIT 5. Las organizaciones de hoy generan, procesan, usan y almacenan volúmenes de datos/información. Muchas organizaciones enfrentan problemas similares cuando clasifican datos/ información. Aunque no existe una panacea para este problema, se puede abordar con base en los enfoques utilizados por diversas organizaciones.

El informe técnico de Prevención de Fuga de Datos¹ de ISACA identifica tres objetivos clave para una solución DLP:

• Ubique y catalogue la información confidencial almacenada en toda la empresa. (Clasificación de datos)
• Monitoree y controle el movimiento de información sensible a través de redes empresariales. (Controles de nivel de red)
• Controle y controle el movimiento de información confidencial en los sistemas del usuario final. (Controles del usuario final)

El informe técnico proporciona pautas para implementar DLP. Estas pautas son:

• La clasificación de datos debe ser el primer paso del programa.
• Definir e implementar políticas de clasificación y protección de datos.
• Implementar y configurar soluciones DLP por política.
• Identificar y monitorear el riesgo asociado con las limitaciones de las soluciones DLP para proteger los datos de la organización.

El objetivo principal de DLP es evitar que la información secreta y confidencial llegue a destinatarios no deseados. Las organizaciones esperan que DLP pueda detectar cada vez que dicha información secreta o confidencial se transmita más allá de los límites de la organización. Una implementación efectiva de DLP requiere una planificación cuidadosa y un cambio cultural, que no son posibles sin identificar y clasificar los datos y la información de la organización.

También se debe tener en cuenta un punto más: implementar soluciones DLP puede no proporcionar el nivel requerido de seguridad en la protección de datos. Puede tener que ser complementado con la implementación e integración de la gestión de derechos digitales (DRM) y las soluciones de gestión de acceso.

Otros aspectos a considerar al implementar una solución DLP incluyen:

• Generalmente, los requisitos regulatorios significan que las filtraciones de datos pueden ser catastróficas para las organizaciones, y la posibilidad de responsabilidad y litigio son los principales factores que impulsan a las organizaciones a considerar las tecnologías DLP.
• Muchas veces, DLP es implementado por organizaciones que se enfocan en proteger solo los derechos de propiedad intelectual y secretos comerciales.
• La implementación de DLP y de administración de derechos digitales (DRM) debe considerarse como un programa organizacional y no como una iniciativa de TI.
• Dichos programas pueden tener múltiples proyectos/fases y pueden requerir de uno a tres años para implementarse por completo, dependiendo del tamaño de la organización.
• DLP puede proteger datos/información dentro del perímetro de la organización, pero no puede extenderse más allá de límites como DRM.
• La clasificación de datos es la base para que DLP tenga éxito.
• DLP no es una protección adecuada en los casos en que la organización usa tecnologías en la nube.

En este punto, el foco está en el primer paso: la clasificación de datos.

Las mejores prácticas de clasificación de datos sugieren los siguientes pasos:

1. Defina un esquema de clasificación en el que los datos/información dentro de la organización se identifican y clasifican en categorías predefinidas (por ejemplo, alto secreto, confidencial, sensitivo, interno, público). Las organizaciones pueden adoptar un esquema diferente dependiendo de la naturaleza de sus datos/información.
2. Identifique los datos de la organización que están en forma suave (digital o electrónica) y forma rígida (documentos físicos). Además, tenga en cuenta que hay una gran cantidad de datos/ información en las cabezas de los empleados que manejan los datos mientras llevan a cabo sus responsabilidades.
3. Defina una política de clasificación y protección de datos que se aplicará en toda la organización. La política debe abordar la política de privacidad y el cumplimiento relacionado.
4. Determine el método para clasificar los datos. El mejor enfoque para esto es usar un marco de gestión de riesgos para ayudar a determinar la naturaleza de los datos.
5. Clasifica y etiqueta los datos.
6. Implementar controles para la protección.

Las organizaciones enfrentan grandes desafíos mientras ejecutan el quinto paso, principalmente debido a:

• El volumen de datos generados, procesados y almacenados
• Múltiples propietarios de datos y coordinación entre ellos
• Dependencia interfuncional y accesos requeridos por tales equipos
• Clasificación y etiquetado de datos históricos

Las siguientes sugerencias se pueden considerar al ejecutar el proceso de clasificación de datos:

• Eduque a los propietarios de los procesos de negocios sobre la clasificación de datos y la política de protección, incluida la política de privacidad.
• Pídales a los propietarios de los procesos de negocios que identifiquen los elementos de datos y la fuente de los datos. Esto ayudará a identificar a los propietarios/custodios de datos. Por ejemplo, los datos de los empleados generados y pertenecientes a la función de recursos humanos (HR), pero utilizados por otros departamentos, deben clasificarse por HR, y otros deben usar esa clasificación.
• Forme pequeños conjuntos de datos que creen información significativa a partir de elementos de datos y los clasifique. Por ejemplo, el número de empleado, el nombre, la fecha de nacimiento, la dirección y la fecha de contratación pueden formar un conjunto de datos que generalmente utilizan otras funciones, como nómina y seguridad física. Muchos elementos de datos independientes no se pueden clasificar, con algunas excepciones (por ejemplo, números de tarjetas de crédito).
• Identifique los conjuntos de datos (parciales o completos) utilizados en el informe/documento al clasificar dicha información y determinar el nivel de clasificación del informe/información basado en la clasificación de los conjuntos de datos. La mayoría de la información o los informes generalmente contienen múltiples conjuntos de datos. En general, prevalecerá el nivel más alto. Por ejemplo, la información personal de los empleados es confidencial; por lo tanto, la nómina del empleado se clasifica automáticamente como confidencial.
• Determinar y documentar excepciones.
• Mantener un inventario de conjunto de datos centralizado y centrado en funciones que valide la clasificación de los datos.
• Implementar un proceso para revisión periódica.
• Implementar un proceso de clasificación en curso.

Una vez que el proceso de clasificación esté en marcha, se pueden considerar pasos adicionales para optimizar la seguridad. Las etiquetas utilizadas para clasificar datos se pueden usar como palabras clave al implementar soluciones DLP.

Un último punto a tener en cuenta es que aunque las soluciones DLP mejoran significativamente la capacidad de una organización para gestionar los riesgos asociados con las filtraciones de datos, la implementación de estas soluciones es compleja y propensa a errores y errores que pueden dificultar el logro de los objetivos. La planificación y la preparación cuidadosas, la comunicación y la capacitación son esenciales para que los programas de DLP tengan éxito.

Notas finales

¹ ISACA, Data Leak Prevention, USA, 2010