LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 09:40:15

LegalToday

Por y para profesionales del Derecho

Estrategias DLP: el Control de la información

Abogado Dpto. IT & Compliance

La implantación de estrategias DLP dentro de una entidad, se constituye como una necesidad cada día más importante dentro de las políticas de seguridad de la información de las empresas, garantizando con ello el control y la confidencialidad de la información. Estas estrategias DLP, se encuentran enlazadas con otros principios normativos como son los establecidos para el tratamiento de datos de carácter personal. Una estrategia DLP ayuda al cumplimiento normativo, estableciendo límites técnicos y organizativos para el control de la información.

Estrategias DLP: El Control de la información

Recientemente hemos podido leer publicado en las noticias de prensa la perdida masiva de datos de carácter personal por parte de entidades tanto del sector público, como del sector privado. Así como ejemplos más significativos todos conocemos el caso de la Administración pública del Gobierno Británico, donde se produjo el robo de expedientes con información de miles de militares de la Royal Air Force, la perdida de discos con los datos personales de todas las familias del Reino Unido con niños menores de 16 años o un dispositivo de memoria USB con nombres y claves de entrada en un importante banco de datos del Gobierno encontrado en el aparcamiento de un pub inglés.

Esto no hace sino concienciar a las organizaciones acerca de la necesidad de establecer una serie de políticas que garanticen la seguridad de la información confidencial que disponen en sus sistemas. Para ello una de las medidas más aconsejables y que se ha impulsado definitivamente, es la adopción de estrategias DLP (Data Leak Prevention o Data Loss Prevention, en función del fabricante o desarrollador del software correspondiente).

Las estrategias DLP tienen como finalidad que cualquier organización pueda descubrir, clasificar y proteger información en función del grado de sensibilidad o criticidad que le atribuya, tanto en una red, como en un medio de almacenamiento o como en terminales de trabajo.

Otra de las medidas que están adoptando las entidades es la implantación de soluciones DRM (Digital Right Management), medidas que están orientadas a que sea el usuario final quien tenga la responsabilidad de decidir que es o no confidencial y establecer los permisos sobre dichos documentos. Sin embargo esto supone esfuerzos individuales, dejando la clasificación de la información en manos del usuario final, que es el eslabón más débil de la cadena, desde el punto de vista de formación, concienciación y voluntad.

Sin embargo las soluciones DLP están basadas en que sea la propia organización quien instaure las políticas y los usos que se debe hacer de la información. Para ello la entidad establece las restricciones a la información por parte de los usuarios en el acceso, modificación o copia. Como podemos observar estas estrategias DLP, cumplen así con el control de accesos establecido el Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, en su Art. 91.3 "El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos distintos de los autorizados".

Y es que algunas de las medidas de seguridad que normalmente son más difíciles de implantar en grandes organizaciones, como es el control de acceso (y sobre todo uso) de la información, la utilización de dispositivos removibles y el backup de la información en función de su nivel de protección por tal normativa, se pueden alcanzar de mejor modo a través de las estrategias DLP.

Por lo tanto, otra de las características de las estas estrategias es que las mismas se pueden integrar de una forma prácticamente automática en las tareas de cumplimiento de la normativa de protección de datos de carácter personal.

La metodología para la instauración de una estrategia de DLP, parte de una visión completa de la información, para posteriormente ir concretando hasta llegar al detalle del contenido de cada documento, todo ello en base a políticas consensuadas y predefinidas. Por lo tanto, es necesario partir desde la identificación, almacenamiento y clasificación de la información.

En último lugar, la necesidad de implantar una estrategia DLP se fundamenta en poder disponer de registros de la información clasificada, que serán más rigurosos cuanto más confidencial sea ésta, de modo que se pueda determinar qué acciones se han realizado sobre la información, para poder evaluar así los cumplimientos normativos y obtener una prueba fehaciente en caso de usos indebidos. De este modo, la entidad dispondría de capacidad ante Juzgados y Tribunales, en el caso de que algún usuario exceda de forma maliciosa, los límites y derechos establecidos.

Indicar por ello, que la implantación de una estrategia DLP y la adopción de soluciones de este tipo en cualquier entidad pero principalmente en grandes organizaciones, se ha convertido en un procedimiento para proteger la información frente a su mal uso y posibilidad de pérdida. Igualmente y como ya se ha comentado el adoptar una estrategia DLP, se convierte por tanto en una medida adicional para el cumplimiento de ciertos aspectos de seguridad de la normativa de protección de datos.

Recordemos que la normativa de protección de datos tiene como objetivo fundamental proteger la privacidad y la intimidad de la información que disponen las entidades, para lo cual establece una serie de medidas de seguridad en orden a controlar los accesos a la información tanto desde su tratamiento automatizado, como desde su tratamiento manual, por lo tanto las estrategias de DLP no son más que un tema más a gestionar dentro de los riesgos de seguridad de la información de toda gran entidad.     

En conclusión cabe destacar que la implantación de estas soluciones aparece como una mejora importante, en las políticas de seguridad de la información de una entidad, su adopción conlleva una sinergia con otras estrategias dentro de la entidad, como es garantizar el uso de la información crítica de una organización, poner límites técnicos a la salida de información protegida de un sistema, cumplir con diversas normas de obligado cumplimiento e implantar políticas de seguridad que logren concienciar al usuario sobre su responsabilidad en el uso de la información de la compañía en la que trabaja.

¿Quiere leer otros artículos de IT & Compliance?

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.