Una ciberseguridad eficaz requiere un enfoque integral y holístico. Tal enfoque combina múltiples controles en diferentes superficies de ataque, como defensas perimetrales (firewalls y VPNs), protección de endpoints, gestión de identidades y seguridad de datos. Cada capa aborda vectores de amenaza específicos mientras ofrece una protección que es la suma de sus partes.
Esto requiere una intención específica de pensar en estas capas e implementarlas estratégicamente de manera complementaria para maximizar la efectividad de ambas. De lo contrario, aunque combinar soluciones puntuales dispares pueda abordar amenazas específicas, inevitablemente puede crear brechas por las que las amenazas pueden colarse.
En lugar de comprar y administrar múltiples herramientas y esperar que funcionen juntas, los profesionales de seguridad deberían considerar cómo esas herramientas podrían trabajar en conjunto desde el inicio de la elaboración de su estrategia. De esa manera se pueden encontrar eficiencias y descubrir un mejor proveedor.
Una de esas combinaciones es conectar las soluciones de IRM (Insider Risk Management) y DLP (Data Loss Prevention).
Tanto IRM como DLP se enfocan en proteger los datos organizacionales, pero desde ángulos diferentes. IRM evalúa y monitorea a las personas que tienen acceso a los datos, mientras que DLP controla qué sucede con los datos en sí. Así es como ambos pueden trabajar bien juntos.
Insider Risk Management (IRM) es un marco y un conjunto de prácticas para identificar, evaluar y mitigar los riesgos que representan las personas con acceso legítimo a los recursos de una organización, como empleados, contratistas y socios comerciales.
En el lado de las amenazas y los riesgos, IRM abarca insiders maliciosos, negligencia y credenciales comprometidas, que constituyen una gran parte de los incidentes de seguridad. En 2024, el 83% de las organizaciones reportaron un ataque interno, mientras que en 2025, las amenazas internas costaron a las organizaciones un promedio de 17,4 millones de dólares al año.
La gestión de riesgos tradicional aborda las amenazas que se encuentran fuera de las operaciones de una organización, mientras que IRM se enfoca específicamente en las amenazas internas, ya sean intencionales o no, debido a su acceso a los sistemas, activos, datos y otra información sensible de la organización.
Como parte de una estrategia IRM, las organizaciones deberían determinar cosas como:
Un empleado que se va con acceso a las bases de datos de clientes representa un riesgo diferente al de un administrador de sistemas con acceso root a los servidores de producción. Comprender estas distinciones permite a las organizaciones mapear escenarios potenciales de incidentes.
Aunque IRM requiere herramientas y procesos, la evaluación de riesgos es lo primero. Antes de invertir en software de monitoreo o establecer protocolos de respuesta, las organizaciones deben primero comprender su postura actual de riesgo. Esto significa inventariar los activos de datos y documentar quién tiene acceso a qué, lo que ayuda a identificar las brechas en los controles existentes.
Un IRM eficaz comienza con la identificación del riesgo y la evaluación del alcance. Después de eso, las organizaciones pueden comenzar a invertir en herramientas y cambios en los procesos.
Ahí es donde DLP puede desempeñar un papel. Una vez que las organizaciones comprenden su panorama de riesgo interno, pueden configurar controles de datos que aborden los escenarios específicos que han identificado.
Data Loss Prevention (DLP) se refiere a las tecnologías y procesos utilizados para evitar que los datos sensibles salgan del control organizacional. DLP abarca todas las formas de pérdida de datos, ya sea que ocurra a través de exfiltración maliciosa, exposición accidental o protección inadecuada.
DLP es parte de la seguridad general de los datos, que cubre el cifrado, los controles de acceso, el respaldo y la recuperación, la infraestructura de almacenamiento seguro y los protocolos de transmisión segura. DLP opera como la capa de aplicación dentro de este marco más amplio. Garantiza que los datos estén protegidos y almacenados de manera que se minimicen las fugas y exposiciones.
En cuanto a las herramientas DLP, estas están específicamente orientadas a monitorear los datos en tres estados:
La visibilidad es un componente clave de un DLP eficaz. Sin la visibilidad adecuada, un DLP eficaz es imposible. Las organizaciones deben saber dónde residen los datos sensibles, quién accede a ellos, cómo se mueven a través de los sistemas y por dónde salen de la organización. Por ejemplo, un sistema DLP podría bloquear cargas no autorizadas de archivos al almacenamiento en la nube, pero solo si puede identificar qué archivos contienen información sensible y reconocer cuándo ocurren los intentos de carga. Esto requiere un escaneo continuo de los repositorios de archivos y la clasificación de datos.
Las organizaciones pueden tener los mejores procesos y herramientas, pero los puntos ciegos aún pueden conducir a fugas y brechas de datos porque los humanos son propensos a cometer errores. Probablemente sea por eso que el 95% de las brechas de datos en 2024 se atribuyeron al error humano.
Aquí es donde IRM puede desempeñar un papel importante. IRM aborda la brecha de visibilidad enfocándose en el comportamiento de los usuarios y los patrones de acceso. Cuando las organizaciones evalúan el riesgo interno, mapean quién tiene acceso a qué datos e identifican patrones de acceso que sugieren uso indebido o compromiso. Esta visibilidad conductual complementa los controles técnicos del DLP.
Al saber cómo funcionan estos elementos, los líderes de seguridad ya pueden empezar a pensar en las superposiciones entre ambos y asegurarse de que trabajen juntos estratégicamente. Aquí hay superposiciones clave a considerar
Al implementar un IRM eficaz, las organizaciones mejoran la visibilidad, lo que conduce a un mejor DLP. Un DLP eficaz se basa en gran medida en la visibilidad. Sin saber qué archivos contienen números de tarjetas de crédito de clientes o qué bases de datos almacenan secretos comerciales, el DLP no puede distinguir entre la actividad rutinaria del negocio y las violaciones de políticas.
Al mismo tiempo, los pasos iniciales de la gestión del riesgo interno, específicamente la evaluación e identificación de dónde radica el riesgo, incluyen la visibilidad y el mapeo del acceso a los datos en toda la organización. Esto cumple una función esencial para un DLP óptimo.
Tu acción: Tómate el tiempo para priorizar la identificación y evaluación de tu riesgo en todas las áreas: on-premise, en la nube y de terceros. Luego podrás implementar más eficazmente la visibilidad y (con el tiempo) los procesos de seguridad, lo que da como resultado un IRM y un DLP más sólidos.
IRM podría identificar a los usuarios de alto riesgo, pero carecer de los controles técnicos para monitorear sus actividades con los datos. DLP, por otro lado, podría detectar transferencias de archivos sospechosas sin entender si el usuario involucrado tiene razones comerciales legítimas o representa un riesgo elevado. Sin embargo, si ambos trabajan en conjunto, pueden comunicarse entre sí y detectar riesgos potenciales mucho antes, antes de que se conviertan en un problema.
Las organizaciones pueden identificar indicadores de compromiso comprendiendo los patrones normales de acceso para cada rol y luego marcando desviaciones como personal de finanzas accediendo a documentos de ingeniería o representantes de ventas exfiltrando conjuntos de datos inusualmente grandes. Esto se logra mejor si IRM y DLP están funcionando a toda máquina.
Tu acción: Mediante herramientas y políticas documentadas, identificar tus indicadores de compromiso, específicamente los basados en el comportamiento, debe ser referenciado y revisado en ambas estrategias DLP e IRM. Al asegurarte de que estén cubiertos en ambas estrategias, las acciones resultantes (eliminar el acceso del usuario, poner en cuarentena a un usuario o alertar a tu SOC) mitigan el riesgo de manera más eficaz en ambas áreas.
DLP garantiza que el riesgo interno se mitigue porque hay prácticas de datos seguras vigentes. Por ejemplo, el principio de privilegio mínimo restringe el acceso a los datos solo a lo que las personas necesitan para sus funciones laborales específicas, minimizando el riesgo de un ataque interno.
Por otro lado, las fallas en IRM normalmente conducen a la pérdida de datos porque una amenaza pudo acceder a datos a los que no debería haber tenido acceso o aprovechar permisos innecesarios. Al contar con una solución o proceso que limite y prevenga el acceso innecesario a los datos o los permisos elevados, puedes mitigar el riesgo asociado al IRM y al DLP. Esto incluye la seguridad zero trust y requiere una verificación continua de la identidad del usuario y el estado del dispositivo antes de conceder acceso a los datos. Los sistemas de identidad y control de acceso aplican los requisitos de autenticación y los límites de permisos. Estas prácticas respaldan el DLP al reducir la superficie de ataque, lo que a su vez significa que menos personas tienen acceso, mitigando el riesgo interno.
Tu acción: Prioriza aprovechar algunas de las estrategias anteriores mediante herramientas, procesos y políticas. Minimizar el acceso general por rol, función y usuarios respalda tanto IRM como DLP y es una de las mejores formas de minimizar el riesgo sin ralentizar las operaciones.
Como aconseja el Chief Technology Officer Zbyněk Sopuch: "Los líderes de seguridad deberían ver IRM y DLP como dos capas de la misma estrategia: seguridad centrada en los datos enriquecida con inteligencia conductual. Alinear ambos garantiza la protección contra acciones internas accidentales y maliciosas mientras se mantiene la productividad del negocio".
La ciberseguridad funciona mejor como un enfoque por capas. Asegurarse de que tu equipo conozca estas prioridades y estrategias ayuda a una organización a lograr defensa en profundidad. Los líderes de ciberseguridad deben trabajar con su equipo para entender cómo interactúan los diferentes controles y se refuerzan mutuamente. Cuando los responsables de respuesta a incidentes saben que el DLP puede proporcionar contexto sobre a qué datos accedió un insider, pueden priorizar las investigaciones de manera más eficaz.
Cuando los administradores de DLP entienden qué usuarios IRM ha marcado como riesgo elevado, pueden aplicar el monitoreo apropiado sin crear excesivos falsos positivos para toda la organización. Esto crea eficiencias significativas en múltiples prioridades estratégicas.
Al aprovechar IRM en DLP y viceversa, las organizaciones logran una postura de ciberseguridad más sólida sin invertir más recursos ni tiempo.
Safetica brinda capacidades de IRM y DLP en una única plataforma. Con Safetica, las organizaciones implementan un solo sistema en lugar de coordinar entre proveedores separados de IRM y DLP, lo que reduce la complejidad de integración que puede generar brechas en la seguridad.