Cuando las principales organizaciones de todo el mundo inician el camino hacia la prevención de pérdida de datos, tratan con un promedio de 20 incidentes de este tipo cada día. Los incidentes deben ser investigados, los comportamientos evaluados, y las mitigaciones implementadas por un equipo especializado en este tema que probablemente no ha crecido desde que la solución de prevención de pérdida de datos (DLP, por sus siglas en inglés) fue implementada, en promedio, hace cuatro años. Aunque el 83% de las organizaciones dicen contar con una solución completamente desplegada que satisface la mayoría o la totalidad de sus necesidades, el 33% informa que siguen sufriendo una importante pérdida de datos, y muchas otras puede que ni siquiera sepan si perdieron datos.
Intel Security y el Instituto Ponemon, se complacen en presentar las conclusiones del Estudio Comparativo de Protección de Datos de 2016: Visibilidad y Madurez de un Programa de Prevención. El propósito de esta investigación es comparar la tasa actual de incidentes de pérdida de datos a lo largo de diversas industrias y geografías, aislar los componentes críticos de la madurez de DLP, e identificar importantes áreas de enfoque para incrementar la visibilidad y ayudar a prevenir incidentes.
La investigación se realizó en Norteamérica (Estados Unidos y Canadá), India, Reino Unido, y la región de Asia-Pacífico (Australia, Nueva Zelanda y Singapur), y encuestó a 1,000 profesionales de TI y de seguridad de TI de servicios financieros, menudeo, gobierno, cuidado de la salud y manufactura, en organizaciones comerciales (1,000 – 5,000 empleados) y empresariales (más de 5,000 empleados).
Descubrimientos Clave
- Las organizaciones trataron con un promedio de 20 incidentes diarios. El promedio del número de incidentes en el comienzo fue de 20 por día, pero aproximadamente el 17% de los encuestados informaron menos de 5 y 7% informaron 50 o más. El tamaño de la organización estuvo directamente relacionado con el número de incidentes sufridos, desde 15 (de 1,000 a 3,000 empleados) a 27 (más de 5,000 empleados).
- El costo promedio de una fuga de datos varía de $80 a más de $350 dólares por registro. La pérdida o el robo de los registros de pacientes representa la fuga de datos más cara, mientras que las organizaciones gubernamentales sufren la fuga de datos menos costosa per cápita.
- El despliegue de DLP promedio es de casi 4 años y satisface la mayoría de los requisitos. Como el número de incidentes, la duración del despliegue está directamente relacionada con el tamaño de la organización, siendo las organizaciones más pequeñas las que están atrasadas aproximadamente un año. Sin embargo, existe una amplia distribución en las respuestas, con algo menos de la mitad de todas las organizaciones con despliegues de entre 1 y 3 años.
- Este fue un estudio ciego, es decir, a los encuestados no se les dio ninguna indicación de qué compañía fue la patrocinadora. Intel Security fue predominantemente seleccionada.
- La mayoría de configuraciones no están generando suficiente visibilidad hacia posibles incidentes de pérdida de datos. Uno de los mayores desafíos de la prevención de esto es la incertidumbre alrededor de falsos negativos, o incidentes que no se denuncian. Más del 40% de los encuestados está utilizando sólo una de las opciones de configuración de DLP disponibles, por lo que corren el riesgo de no recibir suficiente visibilidad hacia posibles incidentes. Peor aún, ¡5% del grupo dijeron que no sabían cómo funciona la tecnología!
- Las organizaciones necesitan ser más proactivas a la hora de notificar a los usuarios y compartir información de incidentes. La mayoría de las organizaciones están formando a sus empleados para considerar el valor de los datos que están procesando. Sin embargo, sólo el 33% de las organizaciones están compartiendo los resultados de su solución DLP hacia afuera del equipo de seguridad. Sin retroalimentación, es difícil mejorar la protección de la información confidencial.
- Las organizaciones consideran que los despliegues de nuevos proyectos (40%) y las reorganizaciones internas (38%) son las causas más probables de un incremento de incidentes, pero los incrementos reales fueron informados como de ser del 10% o menos. Los mayores incrementos porcentuales fueron causados por los eventos menos citados: las revelaciones financieras no publicadas (25%) y el uso por parte de los empleados de los medios sociales (24%), fueron los desencadenadores más probables de los picos de 20% o más en incidentes de pérdida de datos.
Componentes Críticos de Madurez de DLP
Establezca su configuración DLP para monitorear y bloquear incidentes
El bloqueo automatizado de incidentes no sólo reduce la carga en el equipo de seguridad, sino que proporciona información esencial para ayudar a los usuarios a cambiar su comportamiento y reducir futuros incidentes.
Las implementaciones DLP deben utilizar múltiples métodos de identificación de datos para la capturar incidentes
Los datos no estructurados, como documentos de oficina, son cada vez más objeto de robo de datos y no pueden ser identificados como confidenciales o delicados si se basan sólo en expresiones regulares. Otros métodos, tales como diccionarios y análisis de datos no estructurados, son necesarios para hacer que la postura de seguridad esté alineada con los métodos de ataque, riesgos y blancos de hoy.
Más incidentes implican mayor visibilidad del movimiento de datos
Más incidentes representan más trabajo, pero también reducen la probabilidad de falsos negativos e incrementan la probabilidad de que usted detecte una exfiltración de datos. Conforme el equipo de prevención de pérdida de datos obtiene experiencia con la naturaleza de estos incidentes, puede utilizar una técnica avanzada, como la formación de usuarios, clasificación de datos o bloqueo automatizado, para reducirlos.
Asegúrese de que usted esté observando múltiples tipos de datos estructurados y no estructurados
Aunque 48% de las organizaciones monitorean el acceso a la información de crédito personal, sólo 38% observan información personalmente identificable de clientes y empleados e información personal de salud. Estos tipos de datos son cada vez más valiosos para los ladrones de datos, y están haciendo de las organizaciones de todos los tipos blancos probables. El número de actividades monitoreadas tiene un fuerte efecto sobre el número de incidentes diarios. Monitorear una actividad genera un promedio de 17 incidentes diarios, mientras que el monitoreo de cinco actividades genera un promedio de 58 incidentes diarios.
La formación de los usuarios y la retroalimentación continua se necesitan para cambiar el comportamiento
Depender exclusivamente de productos DLP para identificar y prevenir la pérdida de datos sin el resto de los otros componentes de formación, no parece ser el mejor abordaje. La gran mayoría de las organizaciones están empleando DLP para reforzar el conocimiento de datos, y están descubriendo que esto está ayudando a reducir el número de incidentes. Lamentablemente, muchos no comparten los resultados de su DLP con líderes de negocios, lo que potencialmente hace que los empleados reciban información contradictoria del equipo de seguridad y de su líder de negocios.
Asegúrese de que usted observa tantos vectores de movimiento de datos como sea posible
La mayoría de las organizaciones está intentando detectar usos sospechosos de correo electrónico. Sin embargo, este medio no es el vehículo más probable para la exfiltración de datos perpetrada por personas de adentro. Según un estudio previo de investigación de Intel Security sobre métodos de exfiltración de datos, el 26% de robos por parte de agentes internos involucró laptops robadas o unidades USB. Menos del 40% de las organizaciones tuvieron visibilidad de DLP en el endpoint.
Áreas de enfoque importantes para visibilidad futura
Este estudio proporciona puntos de referencia útiles que pueden emplear las organizaciones para evaluar sus capacidades de DLP, configuraciones, niveles de asignación de personal y actividades relacionadas de conocimiento y formación de pérdida de datos. Comprender las causas subyacentes de los incidentes de pérdida de datos, y especialmente las actividades que desencadenan las fluctuaciones en el número de incidentes, es crítico para construir métodos de prevención sostenibles contra pérdida de datos.
Saber cómo se mueven sus datos internos proporciona visibilidad para detectar cuando los ladrones pretenden imitar el comportamiento del cliente o eludir los controles de seguridad, como cuando se presenta el uso de aplicaciones no aprobadas o cifrado donde no es necesario.
Un resultado importante de este estudio es que la conformidad regulatoria ya no es el motivo número uno para la implementación de DLP. La protección de datos fue citada por más de las tres cuartas partes de los encuestados como el principal motivo para tener una solución DLP. Esta es una buena noticia, porque la conformidad no es garantía de seguridad y privacidad. En vez de ello, se necesitan controles de seguridad y privacidad adecuados para asegurar la prevención de pérdida de datos, y, por lo tanto, la conformidad. Al mismo tiempo, comprender y gestionar los datos fue el motivo menos citado, y hasta que esto llegue a la cima de la lista, la pérdida de datos probablemente seguirá siendo un problema importante.
La clasificación de datos, encontrar y marcar datos a lo largo de todos los sistemas de la organización, sigue siendo una capacidad subutilizada. Para obtener los mejores resultados, los sistemas de clasificación de datos deben ofrecer una mezcla de clasificación automática mediante el uso de múltiples métodos de identificación y clasificación manual que pueden utilizar los empleados para aumentar el sistema automatizado. Esta clasificación hace que al crear o compartir documentos se proporcione formación y sensibilización adicional mientras los empleados realizan sus actividades cotidianas.
Conclusión
La pérdida de datos es un problema grave y sigue afectando a muchas organizaciones en todo el mundo. Todas las organizaciones están en riesgo, independientemente de país, sector o tamaño.
La visibilidad está en el centro de la prevención de pérdida de datos, ya que no se puede proteger lo que no se detecta. Esto implica el uso de múltiples opciones de configuración de DLP para garantizar que sus políticas y procedimientos corporativos están siendo monitoreados y aplicados. También significa desplegar soluciones DLP para cubrir los datos a lo largo de toda la organización, en reposo, en procesamiento y en movimiento, en la red corporativa, en los endpoints, y en las nubes. También se necesita una asignación de personal adecuada para que todo esto suceda, ya sea desarrollar las configuraciones y procesos necesarios, ajustarlos para obtener un rendimiento óptimo, o investigar incidentes.