ciberseguridad
dlp
prevención de pérdida de datos
La Prevención de Pérdida de Datos (DLP) es un aspecto crucial de la ciberseguridad moderna. Esta lección cubre estrategias y tecnologías clave de DLP, centrándose en la protección de 3 estrategias principales:
Datos almacenados que no están siendo procesados o transmitidos actualmente. Por ejemplo: Archivos en discos duros, bases de datos, almacenamiento en la nube.
Hay 3 estrategias principales para proteger los datos en reposo:
Un proceso de convertir datos en una forma codificada para prevenir el acceso no autorizado. Si alguien intenta acceder a los datos, verá una versión codificada que no podrá entender.
Al comparar herramientas de cifrado para datos en reposo, considera los siguientes criterios:
| Criterios | BitLocker (Windows) | FileVault (macOS) | VeraCrypt (multiplataforma) | LUKS (Linux) | AWS Key Management Service |
|---|---|---|---|---|---|
| Fortaleza del Cifrado | AES-256 | AES-256 | AES, Twofish, Serpent | AES, Twofish, Serpent | AES-256 |
| Gestión de Claves | Basado en TPM, integración AD | Integrado con Apple ID | Gestionado por el usuario | Gestionado por el usuario | Totalmente gestionado por AWS |
| Impacto en el Rendimiento | Bajo | Bajo | Moderado | Bajo | Mínimo (basado en la nube) |
| Compatibilidad de Plataforma | Solo Windows | Solo macOS | Windows, macOS, Linux | Solo Linux | Agnóstico a la nube |
| Facilidad de Uso | Alta | Alta | Moderada | Moderada | Alta |
| Capacidades de Integración | Fuerte con el ecosistema Windows | Fuerte con el ecosistema Apple | Limitada | Fuerte con sistemas Linux | Integración extensa con servicios AWS |
| Cumplimiento | FIPS 140-2 | FIPS 140-2 | No certificado | FIPS 140-2 | Múltiple (FIPS 140-2, HIPAA, etc.) |
| Opciones de Recuperación | Clave de recuperación, recuperación AD | Clave de recuperación, recuperación iCloud | Disco de rescate | Copia de seguridad del encabezado LUKS | Rotación de claves, claves multi-región |
| Auditoría e Informes | Limitado | Limitado | Limitado | Limitado | Completo |
| Costo | Incluido con Windows | Incluido con macOS | Gratuito (código abierto) | Gratuito (código abierto) | Modelo de pago por uso |
Un sistema para restringir el acceso a los datos basado en roles y permisos de usuario. Esto asegura que solo individuos autorizados puedan ver o modificar información sensible.
Al comparar herramientas de control de acceso para datos en reposo, considera los siguientes criterios:
| Criterios | Active Directory (Windows) | OpenLDAP (multiplataforma) | IAM (AWS) | Azure AD (Microsoft Cloud) | Okta (Basado en la nube) |
|---|---|---|---|---|---|
| Métodos de Autenticación | Kerberos, NTLM | LDAP, SASL | Multi-factor | Multi-factor, SAML | Multi-factor, SAML |
| Granularidad de Autorización | Alta | Moderada | Alta | Alta | Alta |
| Compatibilidad de Plataforma | Centrado en Windows | Multiplataforma | Servicios AWS | Ecosistema Microsoft | Agnóstico a la nube |
| Escalabilidad | Buena | Moderada | Excelente | Excelente | Excelente |
| Inicio de Sesión Único (SSO) | Sí | Limitado | Sí | Sí | Sí |
| Cumplimiento | HIPAA, SOC 2 | Depende de la implementación | Múltiple (HIPAA, PCI DSS, etc.) | Múltiple (GDPR, HIPAA, etc.) | SOC 2, ISO 27001 |
| Auditoría e Informes | Completo | Limitado | Completo | Completo | Completo |
| Capacidades de Integración | Fuerte con Windows | Moderada | Integración extensa con AWS | Fuerte con servicios Microsoft | Integraciones extensas con terceros |
| Experiencia de Usuario | Buena | Básica | Buena | Buena | Excelente |
| Costo | Incluido con Windows Server | Gratuito (código abierto) | Pago por uso | Basado en suscripción | Basado en suscripción |
Un proceso de categorización de datos basado en su sensibilidad e importancia para la organización. Esto ayuda a aplicar medidas de seguridad y controles de acceso apropiados a diferentes tipos de datos.
Al comparar herramientas de clasificación de datos, considera los siguientes criterios:
| Criterios | Microsoft Information Protection | Titus Classification Suite | Boldon James Classifier | Varonis Data Classification Engine | BigID Data Intelligence |
|---|---|---|---|---|---|
| Métodos de Clasificación | Basado en contenido, basado en contexto | Basado en reglas, aprendizaje automático | Dirigido por el usuario, automatizado | Basado en contenido, basado en comportamiento | Basado en IA/ML, reconocimiento de patrones |
| Tipos de Archivo Soportados | Office, PDF, imágenes | Amplia gama de tipos de archivo | Office, CAD, PDF | Datos estructurados y no estructurados | Datos estructurados y no estructurados |
| Capacidades de Integración | Fuerte con el ecosistema Microsoft | Integraciones extensas con terceros | Buena con varias soluciones DLP | Fuerte con sistemas de archivos Windows | Amplio soporte de fuentes de datos |
| Nivel de Automatización | Alto | Alto | Moderado a Alto | Alto | Muy Alto |
| Interfaz de Usuario | Intuitiva | Fácil de usar | Personalizable | Enfocada en administración | Moderna e intuitiva |
| Escalabilidad | Excelente | Buena | Buena | Excelente | Excelente |
| Informes y Análisis | Completo | Detallado | Bueno | Avanzado | Análisis en profundidad |
| Soporte de Cumplimiento | GDPR, CCPA, HIPAA, etc. | Múltiples regulaciones | Personalizable para varios estándares | GDPR, CCPA, HIPAA, etc. | Regulaciones de privacidad integrales |
| Soporte en la Nube | Integración nativa en la nube | Nube y en sitio | Nube y en sitio | Entornos híbridos | Nativo en la nube, multi-nube |
| Costo | Basado en suscripción | Basado en licencia | Basado en licencia | Basado en suscripción | Basado en suscripción |
Los datos en movimiento se refieren a la información que se está transmitiendo a través de una red, como por correo electrónico, transferencias de archivos o tráfico web.
Al comparar estrategias para asegurar datos en movimiento, considera los siguientes criterios:
| Criterios | SSL/TLS | IPsec VPN | SFTP | HTTPS | Segmentación de Red |
|---|---|---|---|---|---|
| Fortaleza del Cifrado | Fuerte (AES) | Fuerte (AES, 3DES) | Fuerte (AES) | Fuerte (AES) | N/A (complementario) |
| Nivel de Protocolo | Transporte | Red | Aplicación | Aplicación | Red |
| Autenticación | Basada en certificados | Clave pre-compartida, certificados | Contraseña, basada en clave | Basada en certificados | N/A |
| Integridad | Sí | Sí | Sí | Sí | N/A |
| Impacto en el Rendimiento | Bajo | Moderado | Bajo | Bajo | Bajo |
| Facilidad de Implementación | Moderada | Compleja | Fácil | Fácil | Moderada |
| Compatibilidad | Amplio soporte | La mayoría de los dispositivos | La mayoría de los sistemas | Basado en web | Infraestructura de red |
| Casos de Uso | Web, correo, apps | Sitio a sitio, acceso remoto | Transferencias de archivos | Aplicaciones web | Protección de red interna |
| Cumplimiento | PCI DSS, HIPAA | HIPAA, GDPR | PCI DSS, HIPAA | PCI DSS, HIPAA | Parte de la defensa en profundidad |
| Costo | Bajo a moderado | Moderado a alto | Bajo | Bajo | Moderado a alto |
Al comparar herramientas para proteger datos en movimiento, considera los siguientes criterios:
| Criterios | Cisco AnyConnect | OpenVPN | WinSCP | Let's Encrypt | Cisco ASA |
|---|---|---|---|---|---|
| Tipo | Cliente VPN | Solución VPN | Cliente SFTP | Autoridad de Certificación SSL/TLS | Firewall/VPN |
| Métodos de Cifrado | AES-256 | OpenSSL (varios) | AES, 3DES | RSA, ECDSA | AES, 3DES |
| Plataformas | Windows, macOS, Linux, iOS, Android | Multiplataforma | Windows | Cualquier servidor web | Dispositivo de red |
| Facilidad de Uso | Fácil de usar | Moderada | Fácil de usar | Fácil de implementar | Compleja |
| Escalabilidad | Alta | Moderada | N/A (lado del cliente) | Alta | Alta |
| Integración | Ecosistema Cisco | Flexible | Independiente | Servidores web | Ecosistema Cisco |
| Cumplimiento | FIPS 140-2 | Configurable | Soporta cumplimiento | Ampliamente aceptado | FIPS 140-2 |
| Costo | Comercial | Gratuito/Comercial | Gratuito | Gratuito | Comercial |
| Características Adicionales | Evaluación de postura | Scripts personalizados | Sincronización de archivos | Renovaciones automáticas | Prevención de intrusiones |
| Soporte | Grado empresarial | Comunidad/Comercial | Comunidad | Comunidad | Grado empresarial |
Los datos en uso se refieren a la información que está siendo procesada, accedida o manipulada activamente por aplicaciones o usuarios. Esto incluye datos que están actualmente en la RAM de una computadora, en la caché de la CPU o siendo mostrados en una pantalla. Por ejemplo, cuando un usuario abre una hoja de cálculo financiera sensible y está editando activamente las celdas, esos datos se consideran "en uso". De manera similar, cuando una aplicación está procesando información de tarjetas de crédito durante una transacción, esos datos también están en uso. Proteger los datos en uso es crucial porque a menudo están en su estado más vulnerable y expuesto durante el procesamiento activo.
Un caso famoso donde los datos en uso fueron potencialmente violados involucra las vulnerabilidades Meltdown y Spectre, descubiertas en 2018. Estas vulnerabilidades afectaron a casi todos los procesadores modernos, incluyendo los de Intel, AMD y ARM.
Este caso subraya la importancia crítica de proteger los datos en uso y los complejos desafíos involucrados en asegurar la información a nivel de hardware.
Al comparar estrategias para asegurar datos en uso, considera los siguientes criterios:
| Criterios | Prevención de Captura de Pantalla | Restricciones de Copiar-Pegar | Marcas de Agua | Aislamiento de Aplicaciones | Cifrado de Memoria |
|---|---|---|---|---|---|
| Nivel de Protección | Moderado | Moderado | Bajo a Moderado | Alto | Muy Alto |
| Impacto en la Experiencia del Usuario | Moderado | Alto | Bajo | Bajo a Moderado | Bajo |
| Complejidad de Implementación | Moderada | Baja | Baja | Alta | Muy Alta |
| Efectividad | Buena para datos visuales | Buena para datos de texto | Buena para rastreo | Excelente para aislamiento | Excelente para datos sensibles |
| Compatibilidad | Dependiente del SO | Específica de la aplicación | Amplia compatibilidad | Dependiente del SO y la app | Dependiente del hardware |
| Dificultad de Evasión | Moderada | Baja a Moderada | Baja | Alta | Muy Alta |
| Impacto en el Rendimiento | Bajo | Bajo | Bajo | Moderado | Moderado a Alto |
| Soporte de Cumplimiento | HIPAA, GDPR | PCI DSS, HIPAA | Protección de derechos de autor | HIPAA, GDPR, PCI DSS | FIPS 140-2, HIPAA |
| Costo | Moderado | Bajo | Bajo | Moderado a Alto | Alto |
| Escalabilidad | Buena | Excelente | Excelente | Moderada | Moderada |
Al comparar herramientas para proteger datos en uso, considera los siguientes criterios:
| Criterios | Symantec DLP | McAfee DLP Endpoint | Digital Guardian | CrowdStrike Falcon | Forcepoint DLP |
|---|---|---|---|---|---|
| Prevención de Captura de Pantalla | Sí | Sí | Sí | Limitado | Sí |
| Control de Copiar-Pegar | Sí | Sí | Sí | No | Sí |
| Marcas de Agua | Sí | Limitado | Sí | No | Sí |
| Control de Aplicaciones | Sí | Sí | Sí | Sí | Sí |
| Escaneo de Memoria | Sí | Limitado | Sí | Sí | Limitado |
| Compatibilidad con SO | Windows, macOS | Windows, macOS, Linux | Windows, macOS, Linux | Windows, macOS, Linux | Windows, macOS |
| Integración en la Nube | Sí | Sí | Sí | Nativa | Sí |
| Análisis de Comportamiento del Usuario | Sí | Limitado | Sí | Sí | Sí |
| Respuesta a Incidentes | Incorporada | Incorporada | Avanzada | Avanzada | Incorporada |
| Opciones de Implementación | En sitio, Nube | En sitio, Nube | En sitio, Nube, Híbrido | Nativo en la nube | En sitio, Nube |
La integración de red para DLP involucra dos aspectos clave.
Puertas de Enlace de Red: Primero, requiere implementar soluciones DLP en las puertas de enlace de red, que son los puntos de entrada y salida del tráfico de red. Esto permite monitorear y controlar los datos a medida que se mueven dentro y fuera de la red de la organización.
Herramientas de Seguridad de Red: Segundo, implica integrar DLP con herramientas de seguridad de red existentes como firewalls y servidores proxy. Esta integración permite un enfoque más integral para la protección de datos al combinar las capacidades de filtrado de tráfico de firewalls y proxies con los controles centrados en datos de los sistemas DLP. Juntas, estas medidas crean una defensa robusta contra la exfiltración de datos no autorizada y ayudan a asegurar que la información sensible permanezca dentro de los límites seguros de la red de la organización.
Similar a cómo funciona la Detección y Respuesta de Endpoints (EDR), la integración de endpoints en la Prevención de Pérdida de Datos (DLP) implica la instalación de agentes de software especializados en dispositivos de usuario individuales como computadoras, laptops y dispositivos móviles. Estos agentes sirven como centinelas locales, monitoreando continuamente las actividades en el dispositivo y aplicando políticas de seguridad predeterminadas. Rastrean acciones como transferencias de archivos, operaciones de copiar y pegar, y uso de aplicaciones, asegurando que los datos sensibles no sean mal manejados o filtrados.
Cuando un usuario intenta una acción que viola las políticas DLP establecidas, el agente puede intervenir en tiempo real, ya sea bloqueando la acción directamente o emitiendo una advertencia al usuario. Este enfoque permite a las organizaciones extender sus medidas de protección de datos más allá del perímetro de la red, salvaguardando información sensible incluso cuando los dispositivos se utilizan fuera del sitio o desconectados de la red corporativa.
La integración en la nube en la Prevención de Pérdida de Datos (DLP) implica extender las medidas de protección de datos a varias nubes. Típicamente involucra el uso de conexiones basadas en API para vincular sistemas DLP con plataformas en la nube, permitiendo a las organizaciones aplicar políticas de protección de datos consistentes en sus entornos locales y en la nube.
La integración de aplicaciones en el contexto de la Prevención de Pérdida de Datos (DLP) implica incorporar controles DLP directamente en aplicaciones personalizadas e integrarlos con suites de productividad comúnmente utilizadas. Para aplicaciones personalizadas, los controles DLP pueden ser incorporados durante el proceso de desarrollo, permitiendo mecanismos de protección adaptados que se alinean con los requisitos específicos de manejo de datos de la aplicación.
Cuando se trata de suites de productividad ampliamente utilizadas como Microsoft 365 o Google Workspace, la integración DLP típicamente implica aprovechar las características DLP incorporadas o usar soluciones de terceros que se conectan sin problemas con estas plataformas.
Al comprender e implementar estas estrategias y tecnologías de DLP, las organizaciones pueden reducir significativamente el riesgo de brechas de datos y exposición no autorizada de datos.