¿Qué es AWS DLP?

Muchas organizaciones almacenan sus datos delicados en la nube utilizando Amazon Web Services (AWS). La prevención de pérdida de datos (DLP) es una herramienta para mantener esos datos a salvo de robos, filtraciones y fraudes. Con la DLP, los administradores clasifican los datos, establecen reglas sobre quién puede acceder a ellos y supervisan estrictamente ese acceso. Normalmente, las organizaciones utilizan DLP en entornos en los que las normativas de conformidad exigen estrictos controles de seguridad de los datos. Dado que AWS está en la nube, ofrece herramientas de protección de datos que siguen las normas de DLP.

A medida que una organización extiende su entorno informático a la nube, los datos deben ser auditados y rastreados. El primer paso de AWS Data Loss Prevention es hacer un inventario de todos los archivos y activos. A continuación, toda la información se etiqueta, categoriza y agrupa. Y se identifican los dispositivos y recursos que acceden a los datos en la nube de AWS.

A continuación, los administradores desarrollan políticas de autorización basadas en la orientación proporcionada por una evaluación de riesgos. Realizada por un equipo de seguridad, una evaluación de riesgos determina qué datos son delicados. Los administradores elaboran las políticas de acceso de los usuarios basándose en el nivel de delicadeza de los datos y el factor de riesgo. “Alto” riesgo son los datos más delicados, como los números de tarjetas de crédito o de la seguridad social. “Bajo” riesgo son los datos menos delicados, como el nombre de pila o los datos demográficos de un cliente. Son datos que deben protegerse, pero no se trata de información crítica que pueda utilizarse en el espionaje empresarial, el fraude o el robo de identidad.

En la DLP, los datos se etiquetan con uno de estos tres calificativos: confidencialidad, integridad y disponibilidad. Estas etiquetas determinan cómo se almacenan y protegen los datos. A los datos confidenciales sólo pueden acceder los usuarios autorizados. Los datos etiquetados con “integridad” son críticos para la productividad empresarial y deben protegerse de la corrupción. “Disponibilidad” indica que los datos deben almacenarse de forma que sean fácilmente accesibles para los usuarios autorizados.

Los administradores a menudo confían en AWS Data Loss Prevention para ayudar con la conformidad. Las normativas de conformidad sobre cómo se accede a los datos y cómo se almacenan suelen ser específicas del sector. Algunos ejemplos de organismos de control de la conformidad son HIPAA, PCI-DSS, RGPD, FISMA y FERPA. Antes de que los administradores diseñen las políticas de almacenamiento, deben consultar a expertos sobre cualquier normativa de cumplimiento pertinente. El incumplimiento de las normativas puede acarrear fuertes multas y, en algunos casos, sanciones millonarias.

Las normativas de cumplimiento son reglas estrictas sobre cómo se almacenan los datos, tanto en reposo como en movimiento. Los datos en reposo son cualquier archivo o activo que esté almacenado en la red. Está en reposo porque no está destinado a ser transferido o trasladado a ninguna otra ubicación. Estos datos deben protegerse de una vulneración e incluso puede ser necesario cifrarlos.

Los datos en movimiento son cualquier información transferida a través de la red o de Internet. Estos datos podrían ser un archivo transferido de una ubicación de almacenamiento a otra. O podría ser un archivo adjunto enviado por correo electrónico a un usuario externo. Las bases de datos mueven datos del almacenamiento local a las aplicaciones que los solicitan, lo que significa que estos datos también están en movimiento al desplazarse por la red.

Las estrictas normas de cumplimiento se aplican tanto a los datos en reposo como a los que están en movimiento. Por ejemplo, la DLP exige que los datos en movimiento estén cifrados. Pero los datos en reposo pueden almacenarse sin cifrar en función de su nivel de sensibilidad y confidencialidad.

Cada organización tiene sus propias prácticas para proteger los datos. A la hora de crear nuevas políticas desde cero, resulta útil seguir las normas generales. Aquí indicamos algunas:

• Auditar y clasificar los datos. Durante este paso, se establece la importancia de los datos y su nivel de protección.
• Elegir la arquitectura de AWS adecuada. Amazon Web Services ofrece varios niveles de gestión de datos y controles de seguridad para proteger los datos en reposo y en movimiento.
• Definir roles y reglas de autorización. Con estas políticas se controla quién puede acceder a los datos.
• Registrar todos los procedimientos. De este modo, cada empleado y cada nuevo empleado podrá seguir procesos específicos repetibles.

AWS cuenta con sus propias herramientas de DLP integradas. Pero muchas organizaciones optan por trabajar con herramientas de DLP adaptadas a sus requisitos empresariales específicos. También existen muchas herramientas de DLP de terceros para proteger los datos.

Las organizaciones que necesiten una herramienta de DLP de AWS deben buscar una solución que agilice el cumplimiento de las normativas del sector. Por ejemplo, si la empresa se especializa en atención sanitaria, la herramienta de DLP debe incluir conjuntos de reglas de conformidad con la HIPAA. Las soluciones con normas de conformidad incorporadas facilitan enormemente la categorización de los datos y el seguimiento de los requisitos de conformidad.

Ejemplos de herramientas de DLP de Amazon Web Services:

• Paneles de control para una visión rápida del estado pasado y presente del sistema.
• Análisis para estadísticas y orientación general.
• Herramientas para la inteligencia de datos y la visibilidad del entorno.