Guía de Supervisión de Prevención de Pérdida de Información (DLP)

Se entiende por prevención de pérdida de información (DLP) al conjunto de herramientas tecnológicas y procesos destinados a la detección, protección, supervisión y administración de la información sensible, con el fin de evitar que la misma sea accedida por personal no autorizado.

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades contar con un adecuado marco conceptual para la prevención de pérdida de información. Entre otros aspectos, se evaluarán:

Aspectos Generales

• La existencia de políticas que determinen pautas de contratación, desvinculación y acuerdos de confidencialidad de la información, con el personal y entes proveedores de servicios de la organización, aún después de no formar parte de la misma.
• La aplicación de una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad aceptados y firmados por todas las personas usuarias.
• La existencia de procedimientos que establezcan pautas y obligaciones que indiquen claramente a la persona usuaria dentro de qué límites se desempeñará su actividad.
• La inclusión en la estrategia global de seguridad de aspectos vinculados con la prevención de pérdida de información.
• La inclusión de iniciativas y actividades de concientización vinculadas con la prevención de pérdida de datos que contemplen, entre otros aspectos, la responsabilidad en el manejo de la información.
• La existencia de un marco normativo que establezca lineamientos generales para todo el ciclo de vida de la información.
• La definición de un proceso continuo de identificación, con el objetivo de reconocer los puntos de entrada y salida de la información.
• Disponer de una clasificación de la información que sirva como base para la aplicación de medidas de protección.
• La implementación de técnicas que permitan efectuar un monitoreo continuo de la información.
• La inclusión dentro del proceso de gestión de incidentes de los eventos vinculados con fuga de información.
• La realización de auditorías periódicas que permitan verificar el cumplimiento de los aspectos señalados, reportando las conclusiones de las mismas al Directorio o autoridad equivalente.

Controles de DLP

• La existencia de normas y procedimientos para el control y la gestión de los datos en donde se definan medidas para proteger la información confidencial en los distintos estadios (tránsito, reposo, en equipos de personas usuarias y en servicios de terceros).

Datos en tránsito

• La existencia de controles que eviten la salida del ámbito de la red interna de datos no cifrados, en función de su clasificación.
• El establecimiento de mecanismos que aseguren el intercambio de datos con terceros.
• El registro y monitoreo del tráfico de red para identificar e investigar transferencias inapropiadas de datos confidenciales.
• La aplicación de mecanismos seguros para el acceso remoto a la red de la organización.
• La realización de controles de acceso a Internet.
• La implementación de mecanismos de seguridad sobre medios físicos en tránsito y en custodia.

Datos en reposo

• La existencia de mecanismos de encripción de los datos confidenciales en función de la clasificación de la información.
• La definición de controles que, según la clasificación de la información, aseguren la utilización de medios cifrados para la extracción de los datos.
• La definición de procesos seguros para el descarte del equipamiento y los soportes de almacenamiento.

Datos en equipos de personas usuarias

• La existencia de técnicas de cifrado de discos y dispositivos.
• La definición de configuraciones seguras en dispositivos que se encuentran en posesión de personas usuarias.
• La definición de procedimientos que establezcan claramente las responsabilidades en la destrucción y el descarte de información con su adecuado registro.

Datos en servicios de terceros

• La ejecución de análisis de riesgos que contemplen las amenazas específicas en el uso y extracción de la información.
• La existencia de técnicas de encripción de los datos en reposo y en tránsito en función de la clasificación de la información.
• La existencia de mecanismos de control que permitan a la entidad monitorear, entre otros aspectos, las actividades relacionadas con el servicio provisto, los incidentes de seguridad relevantes y el resultado de la ejecución de los resguardos de datos.

Junio, 2020. Versión inicial