Zpedia 

/ ¿Qué es la DLP en la nube (prevención de la pérdida de datos)?

¿Qué es la DLP en la nube (prevención de la pérdida de datos)?

La prevención de la pérdida de datos en la nube (DLP) es una categoría de tecnologías y procesos de seguridad de datos que supervisan e inspeccionan datos en una red corporativa para evitar la exfiltración de datos derivada de ataques cibernéticos como el phishing, el ransomware y las amenazas internas maliciosas. Implementada desde la nube, la DLP en la nube puede proteger datos confidenciales, como información de identificación personal (PII), números de tarjetas de crédito, propiedad intelectual, etc., independientemente de dónde residan o se muevan.
DLP
Confianza ceroSeguridad de los datos
  1. Por qué importa
  2. Cómo funciona
  3. Casos de uso
  4. Tipos de DLP en la nube
  5. Coincidencia exacta de datos
  6. Mejores prácticas
  7. Primeros pasos
  8. Data Visibility: The Foundation of Effective Cloud DLP
  9. Why Cloud DLP Is Critical for the Modern Cloud and Mobile-First Enterprise
  10. Cloud DLP Best Practices
  11. Get Started with Zscaler Cloud Data Loss Prevention
  12. Recursos sugeridos
  13. Preguntas frecuentes
  14. Temas relacionados

¿Por qué es importante la DLP en la nube?

En la era en la que la información confidencial se imprimía en papel, la prevención de pérdidas podía ser tan simple como tener un archivador cerrado con llave. Ahora, los datos corren entre centros de datos, proveedores de nube y dispositivos finales, que están potencialmente sujetos a innumerables vulnerabilidades en el camino. Para protegerlos del acceso no autorizado, debe implementar una estrategia integral de prevención de la pérdida de datos (DLP).

Su estrategia de DLP debe unir a los líderes empresariales y de TI para identificar qué constituyen datos confidenciales para su organización, acordar cómo se deben utilizar estos datos y definir qué se considera una infracción. Estas pautas de seguridad de la información, incluida la clasificación de datos, la privacidad de los datos y la información de cumplimiento, y los procedimientos de remediación, pueden luego traducirse en una política de DLP.

Varios estándares de cumplimiento (por ejemplo, RGPD, HIPAA, PCI DSS) pueden requerir que su organización implemente una DLP para evitar multas o restricciones a sus operaciones, pero las infracciones de datos también pueden exponer los datos personales de los usuarios finales y hacer que su organización pueda perder clientes, incurrir en daños de la marca o sufrir consecuencias legales. Con una política de DLP bien definida y reforzada por una tecnología de asistencia bien administrada, puede reducir significativamente estos riesgos.

Beneficios de la prevención de la pérdida de datos en la nube

La DLP basada en la nube ofrece varias ventajas a cualquier organización y proporciona:

  • Fácil escalabilidad para satisfacer las necesidades de volúmenes de datos crecientes y ecosistemas de información cambiantes.
  • Menores costes de infraestructura debido a la eliminación del hardware local y otros gastos de actualización o mantenimiento relacionados con este.
  • Protección para usuarios y sucursales en cualquier lugar sin necesidad de retornar el tráfico a su centro de datos.
  • Implementación y configuración más rápidas que con la DLP local, sin elementos que administrar.
  • Actualizaciones automáticas desde la nube que brindan la información más reciente y nuevas funciones sin tiempo de inactividad.

Técnicas de prevención de la pérdida de datos en la nube

En términos más simples, la tecnología DLP, incluida la DLP basada en la nube, identifica los datos confidenciales que necesitan protección y, a continuación, los protege. Se puede diseñar una solución DLP para identificar datos en uso, datos en movimiento o datos en reposo (o cualquier combinación de estos) y determinar si son confidenciales. Para ello, los agentes DLP pueden utilizar muchas técnicas diferentes como, por ejemplo:

  • Coincidencia basada en reglas o "expresiones regulares": esta técnica identifica datos confidenciales basándose en reglas escritas previamente (por ejemplo, los números de 16 dígitos suelen ser números de tarjetas de crédito). Debido a la alta tasa de falsos positivos, la coincidencia basada en reglas suele ser solo un primer paso antes de pasar a una inspección más profunda.
  • Coincidencia exacta de datos (huellas digitales de bases de datos): esta técnica identifica datos que coinciden exactamente con otros datos confidenciales a los que ya se ha identificado digitalmente y que proceden generalmente de una base de datos proporcionada.
  • Coincidencia exacta de archivos: esta técnica funciona esencialmente como la coincidencia exacta de datos, excepto que identifica el hash de archivos coincidentes sin analizar el contenido del archivo.
  • Coincidencia parcial de documentos: esta técnica identifica datos confidenciales comparándolos con plantillas o patrones establecidos (por ejemplo, el formato de un formulario estándar de paciente en un centro de atención de urgencias).
  • Aprendizaje automático, análisis estadístico, etc.: este grupo de técnicas se basa en proporcionar a un modelo de aprendizaje un gran volumen de datos para "entrenarlo" a reconocer cuándo es probable que una cadena de datos determinada sea confidencial. Esto es particularmente útil para identificar datos no estructurados.
  • Reglas personalizadas: muchas organizaciones tienen que identificar y proteger tipos de datos de carácter exclusivo, y la mayoría de las soluciones modernas de DLP les permiten crear sus propias reglas para que se ejecuten con las demás.

Una vez que se identifican los datos confidenciales, depende de su política de DLP determinar cómo se protegen esos datos. A su vez, cómo los protege tiene mucho que ver con por qué quiere protegerlos.

Principales casos de uso de la DLP en la nube

Como ya hemos comentado, salvaguardar los datos confidenciales protege a su organización contra otras formas de pérdida (de clientes, de ingresos, de reputación) y le ayuda a cumplir con las regulaciones legales y de la industria. Naturalmente, proteger estos datos requiere poder identificar qué son y dónde están, lo que constituye otro caso de uso clave: la visibilidad de los datos.

En resumen, los principales casos de uso de una solución DLP son:

  • Proteger los datos confidenciales en movimiento y en reposo: la DLP protege los datos a medida que se mueven o se almacenan en múltiples puntos finales, redes y nubes al proporcionar cifrado, aplicar controles de acceso y supervisar actividades sospechosas.
  • Cumplir con las regulaciones: las políticas y tecnologías de DLP le ayudan a aplicar controles de acceso, supervisar el uso y realizar auditorías para garantizar que gestiona datos confidenciales de acuerdo con regulaciones como RGPD, HIPAA y PCI DSS.
  • Obtener visibilidad de sus datos: la DLP proporciona visibilidad de los datos (información sobre dónde reside y se mueve la información confidencial, quién tiene acceso y cómo se utiliza) para ayudarle a identificar vulnerabilidades, detectar actividades de riesgo y, en última instancia, remediar y detener las filtraciones de datos.

Cinco tipos de soluciones DLP en la nube

Debido a que ninguna tecnología puede cubrir todos los casos de uso o tener en cuenta todas las formas en que se pueden perder datos, las ofertas efectivas de protección de datos actuales integran múltiples funciones. Veamos algunas de las tecnologías DLP en la nube más comunes e importantes.

  1. Los agentes de seguridad de acceso a la nube (CASB) supervisan y controlan la actividad de los usuarios y las transferencias de datos entre puntos finales y aplicaciones en la nube aplicando políticas de seguridad para evitar el acceso no autorizado, las fugas de datos y las infracciones del cumplimiento. CASB ofrece visibilidad del comportamiento del usuario, el uso de aplicaciones y el almacenamiento de datos en entornos de nube.
  2. El software DLP protege los datos confidenciales de la fuga de datos a través de puntos finales, correo electrónico, servicios en la nube y otros canales. Al supervisar los datos y hacer cumplir políticas en tiempo real, el software DLP identifica y previene posibles infracciones.
  3. Los análisis de comportamiento de usuarios y entidades (UEBA) supervisan, analizan y correlacionan el comportamiento de los usuarios, los patrones de acceso, los eventos del sistema, etc. para detectar anomalías y amenazas potenciales, como amenazas internas maliciosas, cuentas comprometidas y movimientos laterales.
  4. La gestión de la postura de seguridad (SSPM) de SaaS ayuda a las organizaciones a evaluar y gestionar configuraciones de seguridad, permisos y vulnerabilidades en diferentes aplicaciones SaaS para abordar las brechas de seguridad y mitigar los riesgos asociados con la exposición de datos y el acceso no autorizado.
  5. El aislamiento del navegador ejecuta el contenido web en un entorno seguro para evitar que el contenido web potencialmente malicioso (por ejemplo, descargas no autorizadas, malware, phishing) acceda directamente o afecte al terminal, la red o los datos confidenciales del usuario.

Coincidencia exacta de datos para la DLP en la nube

Las soluciones de prevención de la pérdida de datos han utilizado durante mucho tiempo la coincidencia de patrones para identificar números de tarjetas de crédito, números de la seguridad social, etc. Sin embargo, esta técnica es imprecisa. El tráfico seguro aún se puede bloquear, simplemente porque incluye un patrón seleccionado para su protección, y los equipos de seguridad se pueden ver bombardeados con falsos positivos.

La coincidencia de datos exacta (EDM) es una potente innovación en la tecnología DLP que aumenta la precisión de la detección y prácticamente elimina los falsos positivos. En lugar de analizar patrones, la EDM toma las huellas digitales de los datos confidenciales y, a continuación, vigila los intentos de trasladar dichos datos registrados para evitar que se compartan o transfieran de forma inapropiada.

Comparison

Cloud DLP

Deployment Model:

Delivered as a service from the cloud, no hardware required, accessible from anywhere

 

Scalability and Performance:

Elastic scaling with unlimited capacity, handles traffic spikes automatically

 

Cost Structure:

OpEx model with predictable subscription pricing, no upfront hardware investment

 

Protection Coverage:

On-Premises DLP

Deployment Model:

Deployed on organization's own servers and infrastructure within data centers

 

Scalability and Performance:

Limited by hardware capacity, requires manual scaling and hardware upgrades

 

Cost Structure:

High CapEx for initial hardware, ongoing costs for maintenance and upgrades

 

Protection Coverage:

Strong for on-network users, limited visibility for remote users and cloud traffic

Traditional DLP

Deployment Model:

Combination of network appliances, endpoint agents, and server software

 

Scalability and Performance:

Constrained by appliance throughput, often creates bottlenecks during peak usage

 

Cost Structure:

Mixed CapEx/OpEx with hardware purchases plus licensing and support fees

 

Protection Coverage:

Primarily network-perimeter focused, struggles with encrypted traffic and cloud apps

Mejores prácticas de la DLP en la nube

La estrategia DLP perfecta depende de los datos de su organización y sus necesidades, por lo que las mejores prácticas variarán, pero ese tema nos daría para hacer un artículo dedicado completamente a ese tema. A continuación, veremos algunas de las mejores prácticas de DLP más amplias que se aplican en cualquier situación:

  • Comience en modo de solo supervisión cuando realice la implementación por primera vez para tener una idea del flujo de datos en su organización e informarle sobre las mejores políticas.
  • Mantenga a los empleados informados con notificaciones para usuarios para que las políticas no se ejecuten sin su conocimiento, ya que esto puede interrumpir los flujos de trabajo y frustrarlos.
  • Asegúrese de que sus usuarios puedan enviar comentarios mediante notificaciones (para justificar sus acciones o señalar políticas incumplidas), que puede utilizar para perfeccionar sus políticas.
  • Aproveche medidas de clasificación avanzadas como EDM para reducir los falsos positivos.
  • Utilice una solución que pueda descifrar el tráfico TLS/SSL cifrado, ya que la gran mayoría del tráfico web ahora está cifrado.

Iníciese en Zscaler Cloud Data Loss Prevention

Con riesgos cada vez mayores y regulaciones en expansión para la protección de datos, su organización necesita cerrar las brechas de seguridad que han creado la nube y la movilidad, independientemente de si se derivan de vulnerabilidades o configuraciones incorrectas.

En el pasado, eso habría significado agregar más dispositivos a pilas ya complejas. Hoy en día dispone de Zscaler Data Loss Prevention, que se proporciona 100 % en la nube, y forma parte de la suite Zscaler Data Protection. Zscaler DLP le permite cerrar las brechas de protección de datos sin importar dónde se encuentren sus usuarios o aplicaciones, al mismo tiempo que reduce el coste y la complejidad de TI.

Zscaler DLP proporciona:

  • Protección idéntica para usuarios y datos en cualquier lugar
  • protección en Internet, punto final, correo electrónico, SaaS, aplicaciones privadas y postura en la nube;
  • Inspección TLS/SSL escalable de la nube de seguridad en línea más grande del mundo
  • Flujos de trabajo y operaciones optimizados con un innovador descubrimiento de datos impulsado por el aprendizaje automático

Data Visibility: The Foundation of Effective Cloud DLP

DLP can’t prevent data loss if it’s blind to traffic. This is crucial as organizations continue to move more and more data in the cloud, where three key challenges leave traditional network-based DLP unable to see the traffic it’s supposed to inspect:

  • Remote users: With network DLP, the levels of visibility and protection depend on where users are. They can easily bypass inspection when off-network, connecting directly to cloud apps. Effective DLP and security policies must follow users wherever they connect, and on whatever devices they may be using.
  • Encryption: The incredible growth of TLS/SSL-encrypted traffic has created a significant blind spot for network-based DLP incapable of decrypting it for inspection.
  • Performance limitations: Appliance-based DLP solutions have finite resources that constrain them from scaling effectively to inspect the constantly growing amount of internet traffic inline.

Why Cloud DLP Is Critical for the Modern Cloud and Mobile-First Enterprise

To address the data protection challenges that accompany digital transformation and overcome the weaknesses of traditional enterprise DLP, you need a new mindset and new technology. Reconfiguring a traditional hardware stack for the cloud isn’t enough—it's inefficient and lacks the protection and services of a cloud-built DLP solution, including:

  • Identical protection for all users on- or off-network, ensuring comprehensive data protection for all users, wherever they are—at HQ, a branch, an airport, or a home office.
  • Native inspection of TLS/SSL-encrypted traffic, giving the organization crucial visibility into the traffic where more than 85% of today’s attacks hide.
  • Elastic scalability for inline inspection, preventing data loss by inspecting all traffic as it comes and quarantining.

Cloud DLP Best Practices

The perfect DLP strategy depends on your organization’s data and its needs, so the best practices will vary—but that’s a subject for an entire article. Here, we’ll look at some broader DLP best practices that apply in any situation:

  • Start in monitor-only mode when you first deploy to get a sense of the data flow across your organization to inform you on the best policies.
  • Keep employees in the loop with user notifications so that policies aren't executed without their knowledge, as this can disrupt workflows and frustrate them.
  • Ensure your users can submit feedback on notifications (to justify their actions or flag broken policies), which you can use to refine your policies.
  • Leverage advanced classification measures like EDM to reduce false positives.

Get Started with Zscaler Cloud Data Loss Prevention

100% cloud-delivered Zscaler Data Loss Prevention, part of Zscaler Data Security. Zscaler DLP empowers you to close your data protection gaps no matter where your users or applications are—while simultaneously reducing IT cost and complexity.

Zscaler DLP provides:

  • Identical protection for users and data anywhere
  • Protection across internet, endpoint, email, SaaS, private apps, and cloud posture
  • Scalable TLS/SSL inspection from the world’s largest inline security cloud
  • Streamlined workflows and operations with innovative ML-powered data discovery

Ready to see how Zscaler DLP can safeguard your organization? Request a demo today!

Recursos sugeridos

Lograr una seguridad integral en la nube con Zscaler Data Protection
Obtenga la revisión de la solución de SANS
Informe sobre la pérdida de datos de ThreatLabz 2022
Lea el informe
Por qué debería preocuparse por la DLP empresarial
Leer el blog

Preguntas frecuentes