Data Loss Prevention (DLP) ha existido desde principios de la década de 2000, impulsada por diversas startups que se enfocaban principalmente en controles basados en red para bloquear las fugas en el perímetro.
Muchos de los primeros adoptantes implementaron DLP como un elemento fundamental en su postura de ciberseguridad, a menudo junto con firewalls y sistemas de detección de intrusiones, para aplicar políticas a los datos en movimiento.
Lamentablemente, la actitud hacia DLP ha cambiado desde aquellos primeros días. Regulaciones como GDPR en 2018 y CCPA en 2020 exigieron un manejo de datos más estricto, presionando a las organizaciones a usar DLP para registros de auditoría e informes en lugar de para la pura prevención de amenazas. Las multas por incumplimiento eran cuantiosas e implacables.
Sin embargo, cuando el cumplimiento se vuelve más importante que la gestión del riesgo, las prioridades se desalinean. Este panorama ha provocado que el DLP se haya convertido principalmente en un ejercicio de cumplir una casilla por motivos de cumplimiento normativo.
A esto se suma que las primeras formas de DLP, que se basaban en gran medida en reglas estáticas y datos en reposo, simplemente no eran adecuadas para enfrentar las nuevas realidades comerciales. Los profesionales de la seguridad quedaron atrapados en un dilema sin salida, implementando las mejores soluciones que existían en el momento, pero aún siendo golpeados por multas por brechas de datos porque la tecnología DLP aún no era lo suficientemente buena.
En nuestros tiempos modernos, es posible gestionar el riesgo y mantener el cumplimiento cuando se utiliza el sistema adecuado. DLP ha cambiado significativamente a lo largo de los años y las organizaciones deberían reevaluar sus necesidades de DLP, así como cómo podría verse una solución DLP moderna. El truco es usar un sistema construido desde cero teniendo en cuenta ambas necesidades.
El DLP moderno incorpora análisis del comportamiento para detectar anomalías, diferenciándose de los sistemas heredados basados en reglas que a menudo generan altos falsos positivos.
Los volúmenes globales de datos han alcanzado niveles asombrosos y solo seguirán creciendo a medida que el mundo se vuelva más dependiente de los datos digitales. Todo, desde contratos hasta documentación, se está moviendo en línea, aumentando significativamente el riesgo potencial de pérdida de datos.
Los líderes de seguridad deben evaluar las implementaciones actuales frente a estas evoluciones para cerrar las brechas en la protección. Esto incluiría mapear sus ecosistemas de datos, identificar puntos de exposición, realizar evaluaciones de riesgo que prioricen los activos de alto valor, incorporar el comportamiento del usuario en la aplicación de políticas e integrar todo bajo un sistema que monitoree constantemente los datos en reposo y en movimiento.
Si suena a mucho, lo es. Pero también es posible con una solución DLP moderna e integral.
Prepararse para esta nueva realidad requiere comprender cómo es el nuevo panorama de riesgos, qué herramientas y procesos debería considerar una organización y cómo abordar a los proveedores.
Considera el hecho de que el 70% de la pérdida de datos ocurre en el endpoint, lo que da una pista sobre dónde debería estar la mayor concentración de medidas de protección. Sin embargo, la respuesta simplista de "enfocarse en endpoints" no considera la naturaleza compleja del almacenamiento y la transferencia de datos. Aunque los datos se pierden con mayor frecuencia en endpoints, el compromiso que conduce a la pérdida no comienza ni termina ahí; a menudo se origina en otro lugar.
El ejemplo debería dejar claro por qué los profesionales de la seguridad deben reevaluar sus prácticas DLP actuales, mientras también seleccionan herramientas que ofrezcan información contextual.
La protección consciente del contexto requiere visibilidad en toda la red, en las aplicaciones en la nube y en el comportamiento del usuario, no solo en el endpoint. Esta guía repasará el nuevo panorama de DLP, cómo es un DLP eficaz y cómo convertirse en un comprador más informado al elegir proveedores DLP.
El alcance de dónde se encuentran los datos de una organización ha aumentado dramáticamente. Un uso más amplio de herramientas SaaS y de terceros que nunca significa que los datos gravitan naturalmente hacia la nube. Esto ha llevado a la dispersión de datos y a ROT (datos redundantes, obsoletos o triviales) y a menudo da como resultado que las organizaciones tengan demasiados datos en demasiados lugares.
Este problema se agrava en entornos híbridos, especialmente si los activos están migrando continuamente de on-premise a la nube. Esta migración expone los datos a nuevos riesgos y, debido a que los proveedores en la nube manejan el almacenamiento, las organizaciones conservan la responsabilidad de las configuraciones de seguridad, lo que significa que los proveedores de almacenamiento en la nube inseguros transfieren la mayor parte del riesgo a la organización.
Las organizaciones han aumentado su dependencia de proveedores de terceros, y la empresa promedio utiliza 106 aplicaciones SaaS en 2024. Las grandes empresas promedian 131 herramientas SaaS. Eso es solo herramientas SaaS, sin incluir otros proveedores.
Los proveedores a menudo pueden acceder a datos sensibles, creando posibles puntos de fuga si carecen de controles estrictos. Si bien los equipos suelen auditar el acceso de los proveedores, los estándares inconsistentes entre socios pueden complicar la aplicación, mientras que la adopción generalizada de SaaS y la implementación simplificada pueden significar que los proveedores SaaS se incorporen en días sin que el equipo de seguridad lo sepa o pueda evaluarlos adecuadamente.
Los entornos de desarrollo de código abierto son otra área de riesgo. Los componentes de código abierto pueden contener vulnerabilidades conocidas y desconocidas. Cuando esos componentes se utilizan en sistemas de desarrollo o producción, los atacantes pueden explotarlos para obtener acceso no autorizado, potencialmente exfiltrando datos.
Un extenso estudio sobre extensiones de VS Code descubrió que más de 2.000 extensiones (aproximadamente el 8,5% de todas las extensiones probadas) son propensas a la fuga de datos. Estos componentes de código abierto son especialmente riesgosos porque, debido a su naturaleza, los actores de amenazas pueden desarrollar fácilmente kits de exploits o ataques dirigidos a ellos. Al identificar un componente ampliamente utilizado, los atacantes pueden dirigirse a miles de empresas a través de una sola vulnerabilidad.
Las políticas de trabajo remoto e híbrido han descentralizado el acceso a los datos. Los empleados acceden a los sistemas desde diversas ubicaciones y dispositivos, aumentando el riesgo en los endpoints. Las múltiples ubicaciones y la fuerza laboral global también pueden fragmentar la gestión de datos, lo que conduce a una mayor dispersión.
Una fuerza laboral ampliamente distribuida también puede ser una pesadilla para el cumplimiento. Diferentes países tienen diferentes leyes sobre dónde se pueden almacenar o procesar los datos, lo que genera complicaciones cuando los datos son accedidos por alguien fuera de esas jurisdicciones.
Diferentes equipos pueden tener preferencias específicas para herramientas de colaboración, como una preferencia por WhatsApp en LATAM frente a Slack o Teams en EE.UU., lo que complica un proceso DLP estandarizado y la visibilidad general de los datos.
Los elementos anteriores hacen que el DLP sea aún más difícil de lo que ya era, dando como resultado un panorama donde más del 50% de las empresas han sufrido interrupciones del negocio debido a la pérdida de datos, mientras que solo el 35% considera que tiene un programa DLP "maduro" implementado.
El 88% de todos los eventos de pérdida de datos en 2024 fueron causados por el 1% de los usuarios, destacando lo imperativo que es asegurar cada dispositivo y cada punto de pérdida potencial. Todo lo que necesita un infiltrador es un único punto débil para obtener suficiente acceso y causar un daño significativo.
Considerando el nuevo panorama de datos, decir que la visibilidad es un desafío difícil y complejo es quedarse corto. Los datos ahora viven en endpoints, aplicaciones SaaS, plataformas IaaS, herramientas de terceros, plataformas de colaboración, dispositivos personales, múltiples dispositivos propios de los empleados, dispositivos IoT y almacenamiento en la nube.
Las herramientas tradicionales de visibilidad basadas en perímetro no pueden rastrear ni aplicar políticas de manera consistente en todas estas capas y los empleados pueden usar servicios no autorizados para compartir archivos o facilitar su trabajo, a menudo sin el conocimiento del área de TI.
Las estadísticas relacionadas con la falta de visibilidad de una organización son reveladoras.
Los departamentos de seguridad no fueron diseñados originalmente para rastrear datos en los tipos de entornos en los que ahora operan y han luchado por adaptarse a esta nueva normalidad. La visibilidad se rompe porque las herramientas no están integradas, los datos no tienen límites y la mayoría de la clasificación es superficial. Lo que pasa por "clasificación" a menudo es solo coincidencia de palabras clave o etiquetar un archivo como "confidencial" una vez y asumir que se mantiene así, incluso cuando se copia o se comparte.
Incluso con una excelente clasificación, hacer cumplir una sólida higiene de datos puede ser una lucha. En muchas organizaciones, la propia capa de datos está fragmentada y desconectada de los sistemas que se supone deben observarla. Hasta que los profesionales de la seguridad reconsideren dónde y cómo instrumentan el uso de sus datos, la visibilidad integral seguirá fallando.
El DLP solo es eficaz si cubre todos los datos de una organización, lo que puede ser un desafío en el caso de un almacenamiento fragmentado, lo que conduce a una protección incompleta.
Las empresas modernas sufren de dispersión de datos debido a los problemas señalados anteriormente, con activos de datos que se distribuyen cada vez más en numerosos sistemas y ubicaciones de almacenamiento. Las soluciones DLP tradicionales fueron diseñadas para infraestructuras más antiguas y simples, como servidores on-premise, endpoints administrados y redes corporativas. A medida que el trabajo se ha movido a aplicaciones SaaS, almacenamiento en la nube, herramientas basadas en navegador, nubes híbridas y trabajo remoto, esos supuestos heredados ya no son válidos.
Debido a ese cambio, gran parte de los datos sensibles de una empresa ahora residen o se mueven por canales que el DLP tradicional no puede monitorear. Por ejemplo, los empleados pueden usar aplicaciones SaaS o herramientas web para editar, cargar o compartir archivos sensibles. Las soluciones DLP heredadas ubicadas únicamente en los límites de los endpoints a menudo pierden estos canales por completo.
Esta fragmentación crea puntos ciegos donde pueden ocurrir fugas de datos fuera del alcance de la cobertura DLP tradicional, dando como resultado una implementación parcial de DLP, como solo en endpoints o sistemas on-premise. No es de extrañar que esto solo brinde una protección parcial, lo que requiere que los líderes de seguridad busquen soluciones más integrales, si pueden identificar estas limitaciones en primer lugar.
La gestión del riesgo interno (IRM) es una extensión crítica de cualquier estrategia DLP integral. A diferencia de las amenazas externas, los riesgos internos se originan en personas que ya tienen acceso a sistemas o credenciales internos. Esto incluye empleados, contratistas y cualquier otra persona con acceso legítimo, ya sea que sus acciones sean intencionales o por negligencia.
Los factores humanos dominan los eventos de pérdida de datos. Según el Verizon's 2024 Data Breach Investigations Report, el 68% de las brechas de datos involucran un elemento humano no malicioso, como caer en una estafa de ingeniería social.
El IRM es una extensión necesaria del alcance del DLP. El DLP sin conciencia del riesgo interno no tiene en cuenta las causas más comunes de exposición de datos. Las estrategias DLP integrales deben incluir herramientas y procesos capaces de identificar y responder al riesgo interno rápidamente.
Un DLP eficaz comienza con la priorización; de lo contrario, los esfuerzos serán demasiado amplios y diluidos.
"Las organizaciones a menudo imaginan que asegurar los datos a través de soluciones DLP solo es cuestión de configurar una herramienta y todo estará bien", dice Ján Lakatoš, Director of Product en Safetica. "En realidad, implica integrar todo un nuevo proceso de seguridad en su entorno de trabajo y encontrar un equilibrio entre la seguridad estricta y la habilitación del negocio. Y alcanzar un equilibrio que es casi imposible porque hay muchas variables en juego.
Ján Lakatoš, Director of Product en Safetica
La visibilidad es la base de cualquier estrategia DLP eficaz. Sin ella, las organizaciones no pueden descubrir dónde residen los datos sensibles, cómo se mueven o quién interactúa con ellos.
Una visibilidad eficaz requiere un descubrimiento continuo de datos en todos los entornos. También debe ser consciente de la identidad, vinculando el acceso a los datos con usuarios y dispositivos específicos. Esto es esencial tanto para la aplicación de políticas en tiempo real como para la investigación posterior a un incidente.
Ningún sistema DLP puede aplicar controles o detectar usos indebidos sin antes saber qué datos existen y cómo se almacenan.
Una vez establecida la visibilidad, el monitoreo permite a la organización rastrear el acceso y movimiento de los datos en tiempo real. Sin monitoreo, la visibilidad sigue siendo pasiva, lo que podría ser útil para auditorías, pero no es útil para la prevención o detección de incidentes.
Un monitoreo eficaz captura tanto dónde están los datos como cómo se comportan. Determina quién accedió a ellos, qué acciones realizó y si esas acciones se ajustan a la política de la empresa. Idealmente, el monitoreo se extendería a herramientas autorizadas y no autorizadas, incluidas las herramientas basadas en navegador y las plataformas SaaS.
El monitoreo debe ser contextual porque registrar que se accedió a un archivo no es suficiente. El sistema debe capturar quién accedió a él, desde dónde, en qué dispositivo y si se compartió o se exfiltró. Este contexto es crítico para la detección de riesgos, ya que es la única manera de alimentar herramientas DLP más sofisticadas que pueden detectar indicadores de compromiso o ataques de riesgo interno mediante patrones de comportamiento anómalos en lugar de reglas o firmas basadas en el usuario.
Sin un monitoreo continuo y multicapa, los controles DLP no pueden responder a las amenazas del mundo real ni aplicar políticas de manera dinámica.
Los entornos fragmentados crean puntos ciegos y ralentizan los tiempos de reacción, lo que hace necesaria la consolidación. Una arquitectura de datos unificada brinda visibilidad clara de toda la interacción de datos. Esta claridad fortalece la precisión de la detección y reduce la cantidad de posibles puntos de falla.
Tener múltiples reglas en distintas plataformas con respecto a la clasificación de datos o las políticas de retención, o una política dispar basada en bases de datos o entornos dispares, puede generar conflictos. La consolidación y la estandarización aseguran que estas reglas se apliquen de manera uniforme y eliminan brechas de configuración.
Esto da como resultado una respuesta a incidentes más rápida porque solo hay un único lugar para revisar registros y ajustar controles. La consolidación también debe incluir una auditoría que asegure que tus datos no se almacenan en bases de datos públicas o no seguras y verifique que no hayas pasado por alto áreas donde podrían vivir tus datos. Hazlo una prioridad: consolidar reduciendo las fuentes de datos dispersas en un único punto autorizado de información para que las decisiones y acciones se puedan tomar rápidamente y con claridad sobre la situación.
La complejidad de proveedores y demasiadas herramientas pueden aumentar significativamente las posibilidades de pérdida de datos. Las herramientas heredadas dificultan implementar un DLP eficaz, por eso el 78% de las organizaciones tuvieron dificultades con las herramientas DLP en 2024.
Esto no solo es cierto para tu organización, sino también para tu equipo. La falta de personal y las brechas de habilidades están muy extendidas. Casi todos los CISOs informan que sus equipos están con poco personal y el 90% de los profesionales de ciberseguridad reportan brechas de habilidades en sus equipos. Sin embargo, demasiados líderes de seguridad ven esa brecha y piensan que más herramientas son la respuesta.
Esto puede provocar burnout en tu equipo y demasiada complejidad, lo que afectará la efectividad de tu equipo. Enfócate en la automatización para gestionar las tareas rutinarias. Limita la dispersión de herramientas a las integraciones esenciales. Esto aumenta la capacidad mientras previene la sobrecarga.
No agregues a la sobrecarga de un equipo ya tensionado añadiendo complejidad de herramientas a la mezcla.
Existen muchas herramientas DLP y es trabajo del líder de ciberseguridad ser un consumidor informado, de lo contrario podrías estar comprando una herramienta que no se ajusta bien a tu empresa, a tu equipo de seguridad y a tu perfil de riesgo.
No todas las herramientas son iguales y no sirven a todas las empresas por igual. Los líderes de seguridad deberían buscar herramientas que faciliten la proactividad y se alineen con las prioridades que has identificado como parte de tu estrategia de seguridad DLP.
A continuación, ofrecemos una lista de qué tipos de herramientas te ayudarán a construir un stack tecnológico DLP eficaz.
Las herramientas de descubrimiento y clasificación escanean los datos de una organización, encuentran dónde se almacena la información y la clasifican en categorías significativas. Su propósito principal es hacer visibles los datos ocultos en todas las ubicaciones (nube, on-premise, terceros) y etiquetarlos adecuadamente para que se pueda aplicar la protección correspondiente.
Estas herramientas examinan computadoras, servidores, almacenamiento en la nube, sistemas de correo electrónico, carpetas compartidas y, a veces, incluso archivos antiguos. Identifican cosas como registros de clientes, detalles de pago, identidades personales, documentos internos y propiedad intelectual.
Una vez identificados, aplican etiquetas claras a los datos que permiten que las reglas de seguridad se apliquen automáticamente, como bloquear descargas o evitar el uso compartido externo.
Las herramientas Mobile Device Management (MDM) crean un entorno controlado para cualquier teléfono, tableta o incluso laptop que toque información del negocio.
Estas herramientas le dan a una organización el poder de establecer reglas sobre cómo se comportan los dispositivos, sin importar dónde se encuentren. Esto es central para la prevención de pérdida de datos porque el mayor riesgo con los dispositivos móviles es que se mueven y se conectan a múltiples redes diariamente. Salen de las oficinas, se conectan a redes inseguras, se extravían y almacenan archivos sensibles que pueden caer fácilmente en manos equivocadas si se roban.
Una solución MDM resuelve varios problemas a la vez, como:
Las herramientas IRM se enfocan en evitar la pérdida de datos que proviene de personas dentro de la organización. Esto incluye empleados, contratistas y cualquier otra persona con acceso legítimo a los sistemas.
Estas herramientas observan las acciones que podrían llevar a que los datos sean robados o mal utilizados. Buscan patrones de comportamiento que sugieran un aumento del riesgo, como descargas inusualmente grandes, intentos de eludir restricciones, copia de grandes cantidades de archivos, acceso a datos en horarios extraños o movimiento de información a ubicaciones que no son propiedad del empleador.
El comportamiento anómalo no siempre significa una mala intención, pero el riesgo aún está ahí. En el peor de los casos, una cuenta de usuario puede haber sido comprometida y, en el mejor de los casos, los datos del empleador están cayendo fuera del alcance de la visibilidad de una organización. El resultado no cambia. El riesgo de pérdida de datos y de una brecha de datos sigue presente.
Las amenazas internas no siempre tienen que ser maliciosas, y a menudo no lo son. Sin embargo, la negligencia inocente o la mala higiene de seguridad no reducen la necesidad de abordar el riesgo interno.
La gestión de riesgo interno a menudo se trata como algo separado de las herramientas de pérdida de datos porque se enfoca en el comportamiento humano en lugar de los movimientos de archivos o las reglas de dispositivos. Sin embargo, debería considerarse junto con la prevención de pérdida de datos porque muchos incidentes ocurren incluso cuando hay controles tradicionales en su lugar. Al complementar ambos, puedes lograr un entorno y una organización más seguros.
Estos pasos deberían brindarte un sólido punto de partida para implementar una estrategia DLP moderna y eficaz.
"Es importante entender cuáles son los objetivos y/o expectativas", dice Miloš Blata, Director of Sales Engineering en Safetica. "¿Es la clasificación de datos, la protección de datos, las verificaciones seguras del perímetro, descubrir dónde reside Data-in-Rest, cumplir con un cumplimiento normativo o estándar, saber qué está pasando en general, registrar y gestionarlo eficazmente (idealmente usando IA), una combinación de algunos de estos o todo combinado? Una vez que se aclara este paso 0, gestionar una configuración DLP se vuelve mucho más simple.
Miloš Blata, Director of Sales Engineering en Safetica
A medida que abordas a tus proveedores, considera lo anterior y hazte las siguientes preguntas.
Estas preguntas te ayudarán a evaluar qué proveedores tendrán el mayor impacto en tu organización.
A medida que continúes desarrollando tu estrategia DLP, recuerda considerar los fundamentos. Una estrategia sólida es aquella que cubre todos los aspectos de la protección de datos pero también incorpora los nuevos riesgos planteados por una huella digital generalizada y los riesgos en constante evolución que representan los insiders. Sin embargo, una base sólida es suficiente para asegurar que tu estrategia DLP pueda adaptarse a estas nuevas amenazas y riesgos. Tómate el tiempo para construir esa base y luego estarás listo para encontrar las herramientas y el proveedor adecuados.