Chapter 3 Data leak prevention o prevención de fuga de datos

3.1 ¿Qué es la fuga de datos?

La fuga de datos se refiere a la transferencia no autorizada de datos desde dentro de una organización (seguros) a un destinatario externo no deseado. Si bien los datos a menudo se filtran a través de medios digitales, también se pueden filtrar formas físicas de información o documentos. Las fugas de datos pueden presentarse de diferentes formas y pueden variar desde simples correos electrónicos enviados a destinatarios incorrectos hasta ciberataques maliciosos más sofisticados. Si bien estas fugas de datos pueden generar pérdidas monetarias directas para las organizaciones, a menudo son los efectos posteriores del daño a la reputación los que más perjudican a las organizaciones(seguros). Los tipos de fuga de datos más concurrentes:

  • Fugas de datos accidentales: Las fugas de datos accidentales ocurren cuando un usuario dentro de su seguro, sin saberlo, envía información confidencial a usuarios no deseados. Un ejemplo común de una fuga de datos accidental puede ser un correo electrónico enviado al destinatario incorrecto debido a campos autocompletados. Esta práctica resulta ser común ya que las personas caen con más facilidad, ya que como son correos enviados por parte de la empresa, es más certero que las personas caigan.
  • Fugas de datos de usuarios internos maliciosos: este tipo de fuga de datos a menudo se denomina exfiltración de datos. En este ejemplo de fuga de datos, los empleados con malas intenciones roban información confidencial, ya sea como una táctica de venganza o para obtener una compensación de los ciberdelincuentes. Las prácticas comunes para robar información y sacarla de la organización incluyen tomar documentos confidenciales, capturar imágenes de información confidencial o quitar unidades USB. En los seguros suele pasar mucho esto, ya que existen competencia por parte de los empleados, lo cual lleva a hacer trampa hacer cosas como el robo, de un empleado a otro, con el fin de que uno de ellos llegué a su meta.
  • Fugas de datos electrónicos maliciosos: El correo electrónico sigue siendo el vector de ataque número uno para los ciberdelincuentes. Sin embargo, los seguros ya no confían únicamente en el correo electrónico como su principal plataforma de colaboración. También es una práctica común que los empleados utilicen aplicaciones de Internet y plataformas de mensajería instantánea (WhatsApp, telegram, massinger) para colaborar además del correo electrónico. Las fugas de datos electrónicos maliciosos ocurren cuando los ciberdelincuentes atacan a los usuarios con malware a través de uno de los medios digitales antes mencionados. Estos tipos de ataques cibernéticos incluyen tácticas como el phishing y la suplantación de identidad que engañan a los usuarios para que hagan clic en enlaces o archivos adjuntos maliciosos y pueden engañar a los usuarios para que envíe información confidencial. Con la llegada de la mensajería instantánea llegaron nuevas formas de robo, cómo lo es el phishing. Actualmente la mayoría de los seguros y empresas utilizan está mensajería ya que los mantiene conectados con sus clientes de forma más eficiente y rápida, la mayor parte de este tipo de comunicación está hecha por chatbots los cuales están programados para responder ciertas cuestiones, la información que dichos chatbots puede solicitar es la más valiosa y la cual siempre termina siendo vulnerada, en este caso, los seguros tienen a tener este problema muy seguido ya que, al momento de extraer la información, está puede ser vulnerada por los mismos empleados.

3.1.1 ¿Cómo lograr una prevención de fuga de datos efectiva?

Requerimientos para detectar y prevenir a tiempo la fuga de datos en los “seguros”. Identificar, descubrir y clasificar: * Primero, debe identificar los sistemas de registros en los que debe enfocarse. * Luego, clasifique qué constituye información confidencial, que reside en esos sistemas y descubra cuáles son los elementos de datos que son sensibles en función de esas clasificaciones. * Cuanto más automatizados sean estos pasos, más fácil le resultará mantenerse al día con el paisaje de datos y aplicaciones en constante cambio dentro de su entorno.

  1. Analizar los datos confidenciales y las funciones que pueden permitir que éstos fluyan fuera de los sistemas de registros. Los datos confidenciales pueden fluir fuera de estos sistemas a través de análisis e informes, del consumo por aplicaciones posteriores, debido a la replicación en entornos más bajos para desarrollo y test o cuando tenga lugar el procesamiento de datos por parte de los usuarios de negocio.
  2. Mapear. Un mapa de flujo de datos desde estos sistemas de registros a las fuentes descendentes y ascendentes es muy útil para comprender el aumento del riesgo debido a la fuga de datos reales y potenciales. Hay que tener en cuenta que, cuanto más automatizados estén el proceso de detección y análisis, mejor podrá supervisar y administrar los posibles cambios. Esto funciona bastante ya que no es necesario tener a muchos empleados dentro de dichos sistemas, lo cual evita el robo de información de parte de un empleado.
  3. Detectar flujos de datos confidenciales en regiones reguladas para cumplir con las leyes de privacidad de datos. Además de los mapas de flujo de datos del sistema, también hay que mantener el control sobre los datos confidenciales. Para prevenir el data leakage, cualquiera de estos movimientos de datos debe ser detectado.
  4. Aumentar la visibilidad sobre el uso de datos. La monitorización de las actividades y los usuarios de la línea de base para las actividades típicas frente a las anómalas en los sistemas de registros, como las aplicaciones clave y los almacenes de datos, que es donde reside la información más sensible, ayudará a prevenir las amenazas internas. La detección temprana es crucial para evitar las consecuencias de este tipo de acciones malintencionadas que pueden detenerse a tiempo mediante el análisis de comportamiento del usuario, que combina análisis basados en reglas y basados en el aprendizaje automático.

Lago-de-datos-estructurados-y-no-ilustraci. (19–10-08). [Ilustración]. Dreamstime.