1

Resumen— En la actualidad, la mayor parte de las

organizaciones pierden información valiosa por daños de los

dispositivos electrónicos y en menor porcentaje por robo. Algunas

organizaciones que usan ciertos dispositivos, como por ejemplo

servidores de computo, que permiten almacenar gran cantidad de

información, sincronizar el correo el electrónico, manejar agendas

detalladas de actividades, conexiones bluetooth, que si bien

facilitan el desarrollo de las actividades de los empleados,

representan un riesgo en cuanto a la pérdida de confidencialidad

en la información si no se tienen en cuenta las consecuencias de

incorporar la tecnología y los posibles mecanismos para

protegerla. Si esta información llegase a manos de personas no

autorizadas, se expone a la organización a una situación de riesgo

operacional, financiero y hasta reputacional que puede afectar a

ésta gravemente.

Actualmente las entidades gubernamentales y privadas le están

dando mayor importancia al manejo de la información con la que

cuentan estableciendo políticas, procedimientos, normas e

inclusive leyes que la regulan.

Y es que la información que posee una empresa es uno de los

principales activos a proteger, en este artículo nos centraremos en

algunas medidas de prevención para proteger dicha información.

Palabras clave— Data loss Prevention(DLP), Perdida de datos,

Prevención, Valor de los datos.

Ing. Luis Fran Cardozo González y Bladimiro García Severiche

pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la

siguiente investigación como parte del desarrollo de Seguridad en Redes

(Email: lucag2004@gmail.com, bgarcias18@hotmail.com).

La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago

Chinchilla.

Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su

dedicación y muestra de apoyos en nuestra formación.

I. INTRODUCCIÓN

El mundo ha cambiado [1]. Hace un tiempo sustraer un

activo de una organización implicaba llevárselo materialmente.

Algunos se llevaban material de oficina (folios, grapas, etc.),

otros documentos confidenciales originales o fotocopiados. En

la actualidad, los datos y la información que manejan las

empresas son activos muy valiosos y no es necesario

esconderlos en la chaqueta cuando el jefe no mira para

robarlos. La información se puede enviar por correo

electrónico, mensajería instantánea, subir a una página de

Internet, imprimir o copiar en un dispositivo de

almacenamiento USB o de multitud de otras maneras

inventadas o por inventar.

La Prevención de Perdida de Datos tiene como objetivo

identificar, monitorizar y proteger los datos de una

organización. Los datos pueden ser tratados por usuarios en

sus estaciones de trabajo, pueden transmitirse o pueden ser

almacenados.

II. DESARROLLO

1. ¿Qué es la Perdida de datos?

La pérdida de datos es una condición de error en sistemas de

información en el que la información se destruye por las fallas o

negligencia en el almacenamiento, transmisión o procesamiento,

o simplemente por fuga de la información.

1.1 El valor de los datos.

Establecer el valor de los datos es algo totalmente relativo,

pues la información constituye un recurso que, en muchos casos,

no se valora adecuadamente debido a su intangibilidad. Además,

las medidas de seguridad no influyen en la productividad del

sistema por lo que las organizaciones son resistentes a dedicar

recursos a esta tarea.

1.2 Información en las empresas u organizaciones.

Respecto a la información en las organizaciones se han

encontrado documentos que describen la valoración de la

información y la administración de la información como

herramienta básica en las organizaciones. En general, se

detalla la propuesta de autores que consideran a la información

como un activo.

1.2.1 La información como un activo.

Respecto al valor de la información, [2] Oppenheim,

Stenson, & Wilson (2003a), identifican los atributos de la

información y concluyen que a ésta se le puede considerar, en

Luis Fran Cardozo González, Bladimiro García Severiche

Prevención de perdida de Datos (Data Loss Prevention)

2

el ámbito de las organizaciones, como activo informativo. En

la misma línea temática, [3] Max F. Cohen (2002) analiza

algunos aspectos del uso de la información en la economía de

la información y al igual que Oppenheim, Stevenson &

Wilson, considera que la información es un activo.

Al considerar a la información como activo se encuentra una

denotación económica, mejor dicho en la economía de la

información, la cual concibe una preocupación de la cantidad

de información procesada en una organización, mediante la

interacción de sus integrantes, para la toma de decisiones

(Cohen, 2002). Cohen, basado en un contexto de la teoría de la

información, describe cómo las organizaciones utilizan la

información, desde el control de inventarios —materia

prima—, horas máquina disponibles, tiempo de entrega de

productos, hasta el uso de información por parte de los

clientes, con la finalidad última de reducir costos.

Las cualidades que conforman la [4] seguridad de los activos

de información de una organización son:

La confidencialidad tiene relación con la protección de

información frente a posibles accesos no autorizados, con

independencia del lugar en que reside la información o la

forma en que se almacena.

La información sensible o valiosa que la organización custodia

o maneja, necesita ser protegida mediante estrictas medidas de

control. La verificación y la autorización son dos mecanismos

que se emplean para asegurar la confidencialidad de la

información.

La integridad se refiere a la protección de información,

datos, sistemas y otros activos informáticos contra cambios o

alteraciones en su estructura o contenido ya sean

intencionados, no autorizados o casuales.

También es importante proteger los procesos o programas que

se emplean para manipular los datos. La información se debe

preservar y poner a disposición de sus propietarios y de los

usuarios autorizados de una forma precisa, completa y

oportuna.

La disponibilidad es la garantía de que los usuarios

autorizados puedan acceder a la información y recursos

cuando los necesiten.

1.3 Tipos de pérdida de datos o información

La pérdida de los datos [5] se produce muchas veces por

acción intencional, como la eliminación de un archivo o

programa, o de manera involuntaria, como la perdida de cd o

tarjetas de memorias o la incapacidad de leer el formato de un

archivo desconocido; o por otras causas, como error de

Hardware, por ejemplo; un fallo del sistema principal en un

disco duro, los errores de software o mala usabilidad; o por

desastres naturales, terremotos, inundaciones y con un gran auge

los delitos informáticos, como el robo, la piratería, el sabotaje,

con actos maliciosos como gusanos, virus y hackers. Según el

blog de penjana minda strategik[6] nos muestra un informe

estadísticos de las causas de perdida de datos más frecuentes.

Ver Figura 1.

Figura 1. Causas más frecuentes de la perdida de datos.

1.4 Por qué se pierde la información

July Calvo[7] en su artículo “Fuga de información en las

organizaciones”, nos dice que algunas organizaciones usan

ciertos dispositivos como por ejemplo celulares que permiten

almacenar gran cantidad de información, sincronizar el correo

electrónico, manejar agendas detalladas de contactos,

conexiones bluetooth, conexiones wireless, que si bien

facilitan el desarrollo de las actividades de los empleados,

representan un riesgo en cuanto a la pérdida de

confidencialidad de la información si no se tienen en cuenta

las consecuencias de incorporar la tecnología y los posibles

mecanismos para proteger la información.

Eduardo Campos Segura [8] en su artículo “La fuga de

información en las empresas” nos dice que “De acuerdo a

estudios de mercado como lo muestra la Figura 2, 63% de las

empresas públicas y privadas pierden anualmente archivos de

información valiosa, pero solo 23% es por robo. De la pérdida

de información 57% se debe al extravío de equipos portátiles,

como computadoras, celulares, agendas electrónicas, o

dispositivos como discos compactos y memorias USB”.

Figura 2. Fuga de información anual en empresas públicas y

privadas.

Las personas en general utilizan sus computadoras portátiles en

lugares públicos sin considerar que las actividades que realizan

en ellas, pueden estar siendo observadas por alguna persona que

3

no debe tener acceso a dicha información. Tener mecanismos de

destrucción controlada de información una vez que los

dispositivos van a reasignarse, también es un elemento de

protección.

1.5 Puntos de fuga y perdida de datos

Como July Calvo[9] nos dice, existen diferentes amenazas y

vulnerabilidades que pueden conllevar a la fuga y perdida de

datos, a continuación se describen algunas de ellas.

Redes sociales. Páginas como Facebook, Hi5, Twitter,

Badoo, representan un riesgo para la pérdida de confidencialidad

de la información si las organizaciones no realizan campañas de

sensibilización que eviten que los empleados publiquen

información de la compañía en dichos sitos.

Publicación de videos. Las organizaciones realizan

actividades al interior de sus instalaciones que son grabadas, en

algunas ocasiones estas grabaciones son subidas a páginas como

YouTube sin tener en cuenta la información que puede ser

revelada, como por ejemplo nombre de áreas de acceso

restringido, controles de seguridad existentes, nombres y cargos

de empleados de la compañía, lo que puede poner en evidencia

información que sólo es relevante para la compañía.

Robo de dispositivos móviles. La información almacenada

en estos dispositivos en la mayoría de las ocasiones transita

dentro y fuera de la organización sin ningún mecanismo de

protección, lo que puede ocasionar que personal ajeno a la

compañía tenga acceso a información de carácter confidencial.

Falta o inadecuada clasificación de activos de

información. El hecho que las organizaciones no cuenten con

una adecuada clasificación de activos de información, conlleva a

que los empleados no tengan claro cuál es el nivel de protección

de cada activo, lo que dificulta la protección de los mismos.

Falta de sensibilización a los usuarios. Las compañías

deben realizar en gran medida campañas de sensibilización, las

cuales permiten involucrar a los empleados con la seguridad de

la información, proporcionando herramientas que van a facilitar

la toma de decisiones cuando se enfrenten ante un evento que

pueda afectar su seguridad.

Virus y Malware. Los virus y los programas maliciosos son

una amenaza constante para los datos de las compañías, debido a

su fácil propagación, y en algunas ocasiones su difícil detección.

Falta de acuerdos de confidencialidad. Las organizaciones

hoy en día tienen diversos proveedores y empleados que llegan a

conocer información del funcionamiento de la compañía, como

por ejemplo: información de clientes internos y externos, planes

estratégicos, proyectos futuros, proyectos en ejecución, entre

otra, la cual en algunos casos debe ser mantenida bajo reserva

aun con los mismos empleados de la compañía.

2. Que es la Prevención de perdida de datos

Es un término de seguridad [10] referente a un sistema que

identifica, monitorea y protege datos en uso, datos en

movimiento y datos en reposo por medio de mecanismos de

inspección, análisis contextual de transacciones(origen, destino,

medio, etc.), siendo administrado desde una consola central

donde tiene la capacidad de detectar y prevenir uso no

autorizado así como transmisión de información confidencial.

2.1 Factores Clave para prevenir la pérdida de datos

A pesar de la aplicación de las nuevas tecnologías de seguridad,

las empresas siguen siendo vulnerables, como muestran los

siguientes datos del articulo Efficacy of Emerging Network

Security Technologies[11];

El 64% de las empresas tuvo una brecha de seguridad el

pasado año.

El 34% de las empresas tuvo más de un incidente.

El 62% de los responsables técnicos creen que los

ataques más serios provienen de la web.

El 60% de los responsables técnicos apunta a ataques de

denegación de servicio (DoS), el 47% a una inyección

SQL.

Ante este panorama[12], las compañías requieren tener una

solución y procesos claros para evitar sufrir pérdidas o fugas

de información. En el mercado existen ya varias tecnologías

DLP que evitan la pérdida de datos en uno o más puntos del

ciclo de vida de la información, ya sea mientras ésta se

encuentra transitando la red, almacenada y sin movimiento, o

bien, en un punto final. Adicionalmente, varias empresas están

adoptando DLP como una forma de mitigar los riesgos de

hacer negocios a través de conexiones de alta velocidad y

comunicaciones móviles.

Sin embargo, DLP es un asunto que va más allá de la

tecnología. Proteger la información y evitar su pérdida

requiere además de dos factores clave: tener procesos

establecidos e involucrar al personal. Como parte de los

procesos, es importante identificar los riesgos, establecer

políticas, procesos y educar a los usuarios.

En términos de capital humano, DLP requiere el respaldo de

múltiples equipos y colaboración de varios departamentos que

van desde planta física, jurídico, administración, gerentes de

riesgo empresarial, recursos humanos, mercadotecnia y ventas.

De esta manera podemos identificar tres factores claves para

prevenir la perdida de datos:

2.1.1 Evaluando riesgos

Es importante aclarar que el proceso de identificación de

riesgos no significa clasificar toda la información que llega,

sale o es almacenada en la organización. Por el contrario,

significa identificar el tipo de información cuyas pérdidas

generan mayor impacto negativo en la compañía y es ahí

donde primero se debe aplicar DLP. Para algunas

organizaciones, puede tratarse de códigos fuente, diseños de

productos o propiedad. Para otras, podría ser información de

los clientes o datos financieros.

Otra buena práctica que siguen varias empresas es el uso de

soluciones DLP que incluyen un componente de evaluación de

riesgos y esto significa que la actividad en la red se supervisa

durante dos o tres días y después se elabora un informe que

muestra a la organización los datos que salen a través de la

4

red, así como los departamentos involucrados y la frecuencia.

Este informe permite a las compañías determinar qué clase de

datos están en mayor riesgo y los departamentos que generan

los mayores riesgos.

2.1.2 Estableciendo políticas y procesos

Una vez que la organización ha identificado la protección

que necesita puede establecer políticas para prevenir y

administrar la pérdida de datos. Posteriormente debe diseñar

los procesos para controlar estos incidentes y medir su

progreso con la consiguiente reducción de riesgos. Es crucial

aclarar quién es el responsable de realizar las tareas

establecidas en caso de una violación o pérdida de datos, para

que cuando ocurra una crisis, el personal adecuado realice los

procesos necesarios para mitigar los riesgos.

Por ejemplo, el personal de seguridad de TI, así como los

empleados involucrados y sus gerentes deberían ser

notificados. Si se sospecha que hay un comportamiento

malicioso, es necesario traer especialistas forenses y jurídicos.

Si ocurre una gran fuga de datos, las relaciones públicas

juegan un papel importante. Asimismo, los gerentes de las

unidades de negocio deben rastrear los consiguientes riesgos

de dicha pérdida.

Es importante que se configuren las soluciones DLP más

actuales para supervisar si los datos más importantes de la

compañía salen a través de un Gateway, o bien, de un punto

final en particular, por ejemplo. Las organizaciones también

pueden utilizar la información real que saben que es

importante, para definir las políticas y luego cumplirlas

adecuadamente.

Muchas soluciones DLP cuentan con funcionalidades

inteligentes de respuesta a incidentes para que las

organizaciones puedan automatizar el cumplimiento de las

políticas con la flexibilidad necesaria. La inclusión de análisis

y flujo de trabajo permiten al sistema calcular la gravedad de

los incidentes y proporcionar el nivel de cumplimiento de

manera automática. Aún mejor, estas soluciones pueden

reducir significativamente el tiempo de configuración de TI al

ofrecer plantillas basadas en las mejores prácticas del sector

para dar respuesta a incidentes, así como mejorar el flujo de

trabajo de las medidas correctivas.

2.1.3 Mayor Conciencia

En ocasiones la eficacia de la mejor tecnología y los

procesos pueden verse afectados si los empleados no entienden

el valor de la información de la compañía y su papel en la

disminución de riesgos. Teniendo una mayor conciencia, los

empleados también pueden convertirse en la línea de defensa

más fuerte de la compañía y en su recurso más valioso.

Sin embargo, ¿cómo lo harían? los programas de

entrenamiento para tomar conciencia de la protección pueden

ayudar de la misma manera que la claridad en las políticas

internas. Sin embargo, quizás la educación más eficaz se

deriva de la intervención en el momento oportuno. Después de

todo, muchas brechas de datos son el resultado de errores

sencillos del usuario. Las personas cometen errores, pueden

olvidar o entender mal las cosas, pero también corrigen los

errores cuando saben que se equivocaron.

Claramente, en el mundo de hoy, los directores de TI y

seguridad de las empresas de todos los tamaños están

comprometidos con la protección de la información,

independientemente de donde es enviada, almacenada o

utilizada. Con la ayuda de las soluciones DLP que involucran

al personal, los procesos y la tecnología, las empresas no

solamente pueden saber donde está la información, quién la

está usando y a dónde va, también pueden administrar y

controlar eficazmente los riesgos de la información ahora y en

el futuro.

III. CONCLUSIONES

Una solución para la Prevención de Perdida de Datos [13]

puede cubrir necesidades de seguridad importantes en las

empresas. En los momentos que nos encontramos, la

información es clave y las organizaciones no se pueden

permitir el privilegio de tener fugas no controladas. De

momento, las soluciones de Prevención de Perdida de Datos

existentes no son triviales de desplegar y requieren de personal

especializado para su integración en la organización.

.

REFERENCIAS

[1] Introducción a la tecnología "Data Loss Prevention". |

Florencio Cano. Disponible en Internet:

http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-

data-loss-prevention-dlp

[2] Studies on information as an asset I: Definitions. Journal

of Information Science, 29(3), 159-166. | Oppenheim, C.,

Stenson, J. & Wilson, R. M. S. (2003a).

[3] Algunos aspectos de la utilización de la información en la

economía de la información. Ciencias de la Información 26-

36. | Cohen, M. F. (2002).

[4] Seguridad de la información en las instituciones financieras

| Ing. Paola Katherine Macías Anchundia.

Disponible en Internet:

http://repositorio.maeug.edu.ec/bitstream/123456789/183/2/10

3929998713387829484856861425577492026.pdf

[5] Types of data loss. | From Wikipedia, the free

encyclopedia. Disponible en Internet:

http://en.wikipedia.org/wiki/Data_loss#Types_of_data_loss

[6] PMS! 5 Ways to Prevent Data Loss. | Penjana Minda

Strategik. Disponible en Internet:

http://polimuadzamshah.blogspot.com/2012/04/pms-5-ways-

to-prevent-data-loss.html

[7] Fuga de información en las organizaciones. | Newnetsa -

July Calvo. Disponible en Internet:

http://www.newnetsa.com/2009/08/fuga-de-informacion-en-

5

las-organizaciones/

[8] La fuga de información en las empresas. | PROSEG

Information Security - Eduardo Campos Segura. Disponible en

Internet: http://www.liderempresarial.com/num175/10.php

[9] Fuga de información en las organizaciones. | Newnetsa -

July Calvo. Disponible en Internet:

http://www.newnetsa.com/2009/08/fuga-de-informacion-en-

las-organizaciones/

[10] Data Loss Prevention. Arame Seguridad para TI. ISACA.

9 - 12. | Karl-Heinz Holtschmit.

[11] Efficacy of Emerging Network Security Technologies.

editado por el Ponemon Institute. | February 2013.

[12] Tres Factores Clave para prevenir la pérdida de datos. |

Wilson Grava - vicepresidente de Symantec América Latina.

Disponible en Internet:

http://www.addictware.com.mx/index.php/blog/167-tres-

factores-clave-para-prevenir-la-pida-de-datos

[13] Introducción a la tecnología "Data Loss Prevention". |

Florencio Cano. Disponible en Internet:

http://www.seinhe.com/blog/14-introduccion-a-la-tecnologia-

data-loss-prevention-dlp