Actualmente para lograr los objetivos fundamentales de toda empresa: rentabilidad y competitividad, es necesario ocuparse de la Confiabilidad y Protección de la información, ya sea para la toma de decisiones o para la prestación de servicios.  

Con un panorama de crecientes amenazas y tecnología en constante cambio, la exposición añadida por los datos en la nube y usuarios móviles las organizaciones requieren un modelo de seguridad de la información que permita protegerlos del robo de datos y asegurar el cumplimiento regulatorio en el manejo de los mismos: Prevención de Fuga de Datos o Data Loss Prevention (DLP).

Generalmente se asume que la Prevención de Fuga de Datos es un asunto tecnológico, por ende, se considera que es un problema de tecnología y que el área de tecnología es la que debe lidiar con ello. La Prevención de Fuga de Datos es una necesidad de negocio, por lo que debe ser atendida de manera integral desde los más altos niveles de la organización.


 

“Aquí nunca ha pasado algo así”.  Conocida respuesta de funcionarios de alto nivel en muchas organizaciones cuando se habla de riesgos, desastres y seguridad de la información.

Caso Equifax

Equifax una de las mayores agencias de reporte de crédito de Estados Unidos, su base de datos fue hackeada, extrayendo millones de cuentas. La compañía estima que los datos sensibles de 143 millones de personas fueron expuestos.

Te invitamos a leer el artículo completo: La vital importancia de contar con procesos de gestión y aseguramiento de la información – Caso Equifax

 


 

 

La prevención de la pérdida o robo de datos es una necesidad de negocio y una preocupación de la dirección general y/o el consejo directivo, pues puede afectar sus resultados, la reputación o hacerlo acreedor de multas, penalizaciones e incluso inhabilitaciones; interponiéndose pues con el logro de los objetivos organizacionales

 

Modelo de Prevención de fuga de Datos

DLP debe ser parte de una estrategia integral, alineada con el negocio y debe cubrir los 3 ámbitos fundamentales para el éxito de cualquier esfuerzo de Seguridad de la información: Gente, Procesos y Herramientas.

Las acciones de DLP se agrupan en Prevención, Contención y Limpieza.

Prevención

Son todas las acciones preventivas que se puedan tomar para evitar que se materialice la fuga o robo de información.

Contención

Cuando ya sucedió entran en juego las acciones para detener la hemorragia y limitar el daño.

Limpieza – reputación

Los programas de manejo de crisis y relaciones públicas ejecutados para mitigar el daño derivado de la exposición de la información entre otros la imagen y reputación.

 

Taxonomía del modelo DLP

Las organizaciones requieren de un modelo que garantice que los resultados efectivamente apoyen el logro de objetivos organizacionales y que los resultados sean a la medida.

Es un proceso acumulativo y deben cubrirse todos los puntos en órden, de lo contrario sería como querer construir un edificio, y poner los muros y pisos antes de los cimientos.

¿Cuál es el contexto de la organización?
¿Cuál es la información crítica del negocio?
¿A qué obligaciones regulatorias y contractuales está sujeta la organización?
¿Qué impacto tendría la fuga de datos?

DLP paso a paso

A continuación se presentan los diferentes paso del modelo de DLP con los puntos que se deben atender en cada uno.

¿Qué datos tenemos, donde están y quién es el dueño?
¿Cuáles son los riesgos a los que están sujetos los datos?
¿Qué atendemos primero?
¿Los nuevos proyectos cambian el riesgo?

¿Conocemos los flujos de información?
¿Con que controles contamos?
¿Qué nuevas medidas podemos implementar?
Seguridad lógica
Seguridad física

¿Qué tipos de datos tenemos?
Niveles de clasificación de la información
Procedimientos y lineamientos
Etiquetado de los datos

¿Quién es responsable?
Solicitudes de acceso
Otorgamiento de permisos
Verificación de permisos establecidos
Definición de normatividad
Atención de incidentes
Comunicación con partes interesadas.

Capacitación y sensibilización
Área y/o nivel piloto
Resultados significativos cada 6 meses (o menos)
Gestión del cambio (cultural)
Desarrollo de capacidades en la organización

Evaluación periódica
¿Se realiza de la manera que está definido?
¿Se logra el objetivo de control?
Independencia del auditor
Retroalimentación para mejora continúa
Remediación de hallazgos

Capacitación y sensibilización constante
Visibilidad en el más alto nivel
Integración con mecanismos de gestión de desempeño
Integración dentro de los procesos operativos

Conclusión

Todas las organizaciones deben atender la protección de su información como parte de los mecanismos de prevención de riesgos que puedan afectar el logro de sus objetivos de negocio.  La actividad debe ser permanente y aplicada sistemáticamente.

Algunos se preguntarán que tan preparada esta su organización respecto a DLP, se sugiere se hagan las siguientes preguntas y en caso que responda no o no lo suficiente para alguna de ellas se recomienda iniciar un programa de DLP para su organización.

  • ¿Existe un modelo formal de Gobierno de Datos en mi organización?
  • ¿Para los diferentes conjuntos de datos/información podemos decir claramente a que objetivos de negocio están ligados?
  • ¿Están claramente identificados los dueños de los datos?
  • ¿Los datos están clasificados?
  • ¿Existe una base sólida de Seguridad de la información?
  • ¿Hay un entendimiento claro de protección de datos ← → negocio?
  • ¿Se da seguimiento formal y ordenado a la gestión de datos?
  • ¿Cuándo hay hallazgos/desviaciones se resuelven de raíz?

Elaborado por ISM