En este Cybersecurity Awareness Month queremos traer a la conversación el podcast que los expertos en ciberseguridad de SPC Internacional dedicaron para discutir un tema fundamental en la protección corporativa: las mejores prácticas para la gestión de políticas de DLP (Data Loss Prevention). El panel, que incluyó a Hugo Alfaro (anfitrión), Santiago Peñate, Carlos García, José Guillermo de León, y Walter Navarrete desde El Salvador, profundizó en la necesidad de ir más allá de la simple implementación de herramientas para construir una estrategia robusta basada en la comprensión del dato y el riesgo.
El contexto fundamental: Dato vs. Información
Una de las primeras complejidades abordadas por el equipo fue la distinción crucial entre dato e información, conceptos que a menudo se confunden.
- Dato (Data): Es la materia prima, que por sí sola, sin contexto, carece de valor. Un ejemplo simple sería un número, como «28,340,» cuya relevancia es nula hasta que se le agrega un significado.
- Información (Information): Es el producto del análisis de datos dentro de un contexto específico. Como lo resumió el equipo, existe una fórmula fundamental: Dato + Contexto = Información.
Las organizaciones manejan y procesan primariamente datos. Sin embargo, lo que se vuelve valioso y lo que los equipos de seguridad buscan proteger es que el dato no se fugue con todo su contexto, momento en el cual se convierte en información crítica.
La capa de datos en la defensa en profundidad
Dentro del modelo de «Defensa en Profundidad» —que incluye capas de seguridad perimetral, red, endpoints y aplicaciones— la capa de seguridad de datos es crucial y debe ser estudiada y entendida con seriedad.
Los datos en una organización se encuentran hiperdispersos y pueden ser:
- Estructurados: Típicamente encontrados en bases de datos.
- No estructurados: Documentos (Word, PDF), hojas de cálculo (Excel con fórmulas), y planes estratégicos.
Los vectores de fuga son múltiples y variados:
- Correo electrónico y memorias USB.
- Almacenamientos en la nube y carpetas compartidas mal configuradas.
- Computadoras robadas.
- Documentos impresos.
- Explotación directa de bases de datos (como SQL injection).
- Aplicaciones móviles.
El enemigo interno: El Insider
En la conversación sobre DLP, se planteó la pregunta de quién representa el mayor peligro para la fuga de datos: el hacker externo o el insider (empleado interno). El consenso del panel fue claro: el insider es más peligroso.
La razón es que el insider (ya sea un actor malintencionado o un empleado negligente) tiene acceso, relacionamiento y, lo más importante, el contexto del negocio y sabe exactamente qué información buscar.
Aun cuando las empresas invierten grandes cantidades en programas de concientización, la negligencia del usuario sigue siendo un riesgo significativo. Los expertos recordaron que la seguridad de la información también implica políticas de comportamiento (como políticas de escritorio limpio o evitar discutir temas confidenciales en público).
La ruta estratégica para un DLP exitoso
Implementar un DLP —que Santiago definió coloquialmente como un «policía de datos» o «guardia de datos»— sin una estrategia adecuada es inútil, ya que se estaría protegiendo «a lo loco».
La necesidad de un DLP a menudo surge de regulaciones (como las normas ARCO en El Salvador, Panamá o República Dominicana) que buscan penalizar la mala gestión de datos, forzando a las empresas a adquirir soluciones. Sin embargo, la estrategia debe nacer de una verdadera gobernanza de datos.
Según los expertos, la clasificación de datos es el punto fundamental para que un DLP funcione. No todos los datos son importantes, por lo que es vital priorizar y etiquetar aquellos que tienen un nivel de importancia específico para la organización.
Los panelistas articularon la ruta correcta y estratégica para la implementación de DLP:
- Análisis del contexto: Entender el giro del negocio y dónde residen los datos críticos.
- Evaluación de riesgo: Determinar el apetito de riesgo de la organización y analizar dónde están y cómo transitan los datos importantes (en reposo, en tránsito y en creación).
- Definición de estrategia: Elegir marcos de cumplimiento y aplicar mejores prácticas para la mitigación del riesgo.
- Selección de solución: Solo después de estos pasos, elegir e implantar la solución DLP que mejor se adapte a las necesidades identificadas (por ejemplo, soluciones en endpoints, cloud CASB o on-premise).
El éxito del DLP radica en entender que la protección de datos es una ciencia que requiere una estrategia eficiente y eficaz para la organización. Si se omite la clasificación de datos y el análisis de riesgo, la herramienta DLP corre el riesgo de convertirse únicamente en un gasto y no en una inversión útil.
Para aquellos interesados en profundizar su estrategia de DLP, nuestros expertos recomiendan acercarse a especialistas del equipo comercial de SPC Internacional para identificar la importancia de sus activos de información y definir la alternativa más estratégica.
Puedes ver el episodio completo en nuestro canal de YouTube
