La prevención de pérdida de datos en endpoints comprende un conjunto de estrategias de ciberseguridad que ayudan a prevenir el robo o la divulgación de datos confidenciales contenidos en equipos endpoint.
Dentro de los endpoints, habrá grandes volúmenes de información sin filtrar. La clasificación de datos es el proceso de contenedorizar los datos corporativos para determinar qué información es sensible y comprender mejor qué tipo de medidas de seguridad es necesario implementar.
Las reglas de datos son un conjunto de criterios configurados por el administrador para encontrar tipos específicos de datos sensibles. Las reglas de datos se pueden crear utilizando plantillas predefinidas o plantillas personalizables mediante mecanismos como RegEx, huellas dactilares, búsqueda por palabras clave. Durante el proceso de descubrimiento de datos, el agente analizará el endpoint y encontrará cualquier dato sensible que coincida con la regla de datos implementada para esa política.
Para los tipos comunes de documentos sensibles como PII, salud, finanzas, código fuente, entre otros, puede examinar y seleccionar una plantilla según los países.
Para encontrar documentos sensibles específicos de su organización o circunstancia, puede utilizar plantillas personalizadas para determinar los criterios que tendría que cumplir un documento para ser considerado sensible. Endpoint DLP admite reglas personalizadas que utilizan RegEx, coincidencia de palabras clave, coincidencia de documentos, huellas digitales y extensiones de archivo.
Cuando los datos sensibles se pueden detectar por la presencia de un patrón/cadena específico en un archivo, se utilizan patrones RegEx. Estos patrones se pueden predecir y luego buscar para identificar una coincidencia.
La búsqueda por palabras clave se utiliza para buscar palabras clave específicas en un documento que podrían hacerlo sensible y, por tanto, inapropiado para su transferencia fuera de la organización.
La huella digital es una técnica que se prefiere ante RegEx en caso de que los datos sensibles no se puedan identificar mediante una coincidencia exacta, sino que se pueden detectar identificando plantillas similares y analizando su porcentaje de coincidencia.
La definición de perímetros se refiere a las restricciones que el administrador puede configurar y que dictan los límites dentro de los cuales se puede procesar un determinado tipo de datos sensibles. Los límites perimetrales incluyen el correo electrónico, diversas aplicaciones web en la nube, dispositivos periféricos, etc.
En una solución de DLP, se produce un falso positivo cuando la solución indica que se ha infringido una política de DLP aunque no sea así. Un falso positivo puede producirse como resultado de un error de detección de datos o porque el destino del archivo no está aprobado para la transferencia de archivos sensibles.
Los usuarios finales pueden verse obligados a enviar archivos confidenciales fuera del perímetro de la empresa con fines oficiales. En tales casos, pueden permitirse anular la política citando una justificación adecuada y proceder a la transferencia de los archivos.
La anulación se refiere a la capacidad de llevar a cabo una acción de DLP a pesar del evento de un falso positivo. El permiso de anulación debe concederse a los usuarios privilegiados y a los usuarios que contactan frecuentemente con el exterior de la organización.
El número de ocurrencias en una regla RegEx se refiere al número mínimo de veces que tiene que ocurrir un patrón para que se considere sensible. Por ejemplo, si el número de ocurrencias de un patrón es 2, el archivo puede considerarse sensible si el patrón aparece dos o más veces.
Mientras que la concordancia de palabras clave se centra en identificar las palabras clave específicas que se consideran sensibles en el documento, la concordancia de documentos compara la similitud general del documento proporcionado con el formato que se considera sensible.
El porcentaje de precisión con el que el documento presentado puede considerarse comparable a la plantilla sensible se denomina porcentaje de coincidencia en la identificación. Aumentar el porcentaje de coincidencia necesario para clasificar un documento como sensible puede ayudar a mejorar la precisión de la detección y reducir los falsos positivos.
Endpoint DLP Plus se centra en la prevención de pérdida de datos desde el origen, identificando la información sensible y monitoreando su transferencia a través de la nube, el correo electrónico y otras fuentes, mientras que Device Control se centra en regular el acceso a los datos presentes en los endpoints, especialmente a través de dispositivos periféricos y otros canales físicos.
En el "modo de auditoría", se permitirá la transferencia de los archivos sensibles dentro y fuera del perímetro de la empresa. El perímetro de la empresa define las restricciones que el administrador puede configurar para dictar los límites dentro de los cuales se pueden procesar los datos sensibles. Sin embargo, sólo los archivos transferidos fuera del perímetro de la empresa serán auditados y podrán consultarse en el "informe de eventos sensibles de DLP". El informe le proporcionará detalles sobre cómo añadir/eliminar entradas a su política DLP sin que ello afecte a la productividad. Esto se aplica a las políticas de acceso a archivos, cliente de correo electrónico, carga de archivos, dispositivos de almacenamiento extraíbles e impresión.
La configuración de las políticas de prevención de filtración de datos depende del tipo de clasificación elegido para clasificar un archivo como sensible. Estos son: Clasificación basada en el contenido y clasificación basada en el contexto:
Marcar un archivo como sensible cuando el contenido del archivo coincide con un patrón RegEx o una palabra clave/documento es una clasificación basada en el contenido.
La clasificación basada en el contexto clasifica un archivo como sensible, basándose en las propiedades del archivo (protegido por contraseña o basado en la extensión del archivo) y en la naturaleza del origen del archivo (un archivo descargado de una aplicación marcada por la empresa).
Dado que los contenidos que aparecen en pantalla no se pueden escanear, no pueden clasificarse como datos sensibles.
Por tanto, los datos que manejan las "aplicaciones de confianza" se clasificarán como sensibles y la opción "bloquear dentro de aplicaciones de confianza" restringirá la funcionalidad de captura de pantalla dentro de esas aplicaciones.
El agente analizará los archivos incrustados en los formatos .docx, .xlsx y .pptx en busca de datos confidenciales.