Software DLP | Prevención fuga de datos personales

Un software DLP (Data Loss Prevention) o Sistema de Prevención de Pérdida de Datos es una solución de ciberseguridad diseñada para ayudar a las organizaciones a proteger su información confidencial y sensible de fugas o pérdidas no autorizadas.

Este tipo de software se utiliza para evitar que los datos confidenciales salgan de la red de una organización o se compartan de manera inapropiada.

Un software DLP opera de varias maneras:

• Monitoreo de Actividad: Supervisa constantemente la actividad de los usuarios en la red, en dispositivos móviles y en sistemas de almacenamiento en la nube para identificar acciones que puedan poner en riesgo la seguridad de los datos.
• Detección de Patrones: Utiliza algoritmos y reglas predefinidas para detectar patrones de comportamiento que podrían indicar una fuga de datos. Por ejemplo, puede identificar el envío de datos confidenciales por correo electrónico o su carga en servicios de almacenamiento en la nube.
• Aplicación de Políticas: Permite a las organizaciones definir políticas de seguridad personalizadas que determinan cómo deben manejarse los datos confidenciales. Estas políticas pueden incluir restricciones sobre el acceso, la transferencia o el uso de datos sensibles.
• Acciones de Prevención: Cuando se detecta una actividad que viola las políticas de seguridad, el software DLP puede tomar medidas preventivas, como bloquear la transferencia de datos, notificar a los administradores o registrar la actividad para su revisión posterior.
• Educación del Usuario: A menudo, los software DLP incluyen componentes de concienciación y formación para educar a los usuarios sobre las políticas de seguridad y las mejores prácticas.

En resumen, un software DLP es una herramienta crucial en la protección de datos confidenciales y en el cumplimiento de regulaciones de privacidad y seguridad. Ayuda a las organizaciones a prevenir fugas de información, minimizar riesgos y garantizar que su información más valiosa se mantenga segura y en manos autorizadas.

Las soluciones DLP ofrecen varios beneficios para las empresas, como:

• Mejorar la productividad al identificar y abordar actividades no laborales o ineficientes.
• Prevenir el uso indebido de recursos y proteger la propiedad intelectual.
• Detectar amenazas de seguridad, como el acceso no autorizado a información confidencial.
• Evaluar el rendimiento individual y del equipo para tomar decisiones informadas.
• Cumplir con requisitos legales y normativas de privacidad y seguridad.

Al seleccionar un software DLP, es importante considerar los siguientes aspectos:

• Funcionalidades de seguridad, como encriptación, control de acceso y auditorías.
• Cumplimiento con las regulaciones de protección de datos aplicables, como el RGPD.
• Interfaz fácil de usar y compatible con los sistemas existentes.
• Actualizaciones y soporte técnico frecuentes.
• Evaluaciones de seguridad y revisiones por parte de expertos en el campo.
• Recuerda que es importante evaluar las necesidades específicas de tu organización y buscar soluciones que se adapten a tus requisitos particulares.
• Cumplimiento de regulaciones y requisitos legales.
• Reducción de costos asociados a la gestión de documentos en papel.
• Toma de decisiones más informada basada en datos precisos y actualizados.

En efecto, resulta totalmente obligatorio. A través de la pantalla informativa que aparece en cada inicio de sesión de los equipos, se da cumplimiento al:

• Estatuto de los Trabajadores: el art. 20.3 permite al “empresario adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.”

Las facultades organizativas empresariales se encuentran limitadas y condicionadas por los derechos del trabajador, quedando obligado a respetarlos. Para que la organización pueda controlar el uso del ordenador sin vulnerar el derecho a la intimidad, no sólo ha de establecer las instrucciones de uso. Además, debe advertir de los controles que la empresa va a realizar para controlar este uso.

No es suficiente, pues, con que el empresario establezca válidamente una prohibición absoluta de uso privado de los medios de la empresa. Debe advertir de los controles y procedimientos que se van a utilizar para conocer el uso que da el trabajador al ordenador (en este caso, software de monitorización y control de accesos).

“Si se instala un software de monitorización, se debe comunicar de manera fehaciente”

Mientras no exista regulación empresarial o un “código de conducta” referente al uso del ordenador y del acceso a Internet de los trabajadores, (y no sea comunicado a los trabajadores de manera fehaciente) no puede existir incumplimiento de la buena fe contractual (por el mero uso no dañino). Tampoco el empresario puede ejercer controles y registros en los ordenadores de los trabajadores. El motivo es que estos se encuentran protegidos por el derecho a la intimidad como consecuencia de la doctrina fijada por el TEDH de 3 de abril de 2007 (TEDH 2007.23) (Caso Copland).

Además, la garantía de intimidad no se restringe al correo electrónico. También se extiende a los archivos personales del trabajador así como los archivos temporales. Éstos son copias que se guardan automáticamente en el disco duro de los lugares visitados a través de Internet. Esos archivos pueden contener datos sensibles en orden a la intimidad del trabajador, en la medida en que pueden incorporar informaciones reveladoras sobre aspectos privados (ideología, orientación sexual, aficiones personales, etc.).

• RLOPD (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el desarrollo reglamentario de la Ley Orgánica 03/2018, de 5 de diciembre, de protección de datos personales y garantía de de los derechos digitales). El art. 89.2 establece que “el personal debe conocer de forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

¿Cómo informar a los usuarios sobre el software de monitorización?

El camino más simple para el empresario es proceder comunicar fehacientemente a los trabajadores de la organización sobre:

• Los usos permitidos de los ordenadores.
• Los permisos de acceso a Internet, así como los mecanismos que se implantarán para su control, (también disponibles con el software de monitorización).

De esta manera, si estas tecnologías se utilizan para fines privados en contra de estas directrices o prohibiciones, y con conocimiento de los controles y medidas aplicables, no podrá entenderse que al realizar el control se ha vulnerado “una expectativa razonable de intimidad”.

Las empresas tienen la obligación de llevar a cabo un registro diario de las horas que realice cada empleado, a fin de poder asegurar el control de las horas extraordinarias. Este control, según la Audiencia Nacional (AN), debe realizarse incluso en aquellas compañías en las que no se hagan horas extra.

En la letra c) del apartado 4 del artículo 12 del Estatuto de los Trabajadores establece que: “la jornada de los trabajadores a tiempo parcial se registrará día a día y se totalizará mensualmente, entregando copia al trabajador, junto con el recibo de salarios, del resumen de todas las horas realizadas en cada mes”.

La sentencia, del 4 de diciembre de 2015, determina que “el registro de jornada, que no de horas extraordinarias, es el requisito constitutivo para controlar los excesos de jornada”. Además, asevera que la negación de este registro “coloca a los trabajadores en situación de indefensión que no puede atemperarse porque las horas extraordinarias sean voluntarias, puesto que el único medio de acreditarlas es, precisamente, el control diario”.

La creación de un registro, concluye la resolución, eliminará cualquier duda sobre si se hacen o no horas extraordinarias y si su realización es voluntaria.

No solo eso, sino que resulta obligatorio en cumplimiento del art. 91 del RLOPD: “limitar el acceso únicamente a aquellos recursos que los usuarios precisen para el desarrollo de sus funciones”.

Con ET Seguridad puedes autorizar o revocar la autorización de acceso a los programas, archivos por tipología o bien la navegación en Internet.

Si el equipo informático no se encuentra gestionado a través de cuentas de usuarios personales, será menester definir perfiles de usuario en la propia aplicación ET Seguridad que permita garantizar:

• 91.3 del RLOPD: Exigencia del establecimiento de “mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.”
• 93.1 del RLOPD: Obligatoriedad de la “adopción de las medidas que garanticen la correcta identificación y autenticación de los usuarios” con independencia del nivel de seguridad de los datos que vaya a usar y tratar.
• 93.2 del RLOPD: Exigencia del establecimiento de “un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.”
• 31 bis del Código Penal (aprobado en la Ley Orgánica 1/2015, de 30 de marzo). Con el fin de evitar la responsabilidad penal de la empresa por los posibles delitos cometidos por sus directivos, empleados y colaboradores, se prevé la implantación de modelos de organización y gestión que persiguen la exención/atenuación de la responsabilidad penal de la empresa y sus directivos. El riesgo, hoy por hoy, de que una persona jurídica pueda verse implicada en un delito contra la intimidad o intrusismo informático (art. 197 del Código Penal) es tan grande que se deben imponer medidas restrictivas y de seguridad con celo máximo. Evidentemente, el grado técnico de este riesgo implicará un asesoramiento técnico independiente por parte de informáticos, ingenieros u personal cualificado.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas se debe asegurar que éstas:

• 93.2 del RLOPD: Se definirán contraseñas únicas por cada usuario de modo que “permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.”
• 93.3 del RLOPD: El almacenamiento de las contraseñas deberá garantizar “su confidencialidad e integridad.”

Efectivamente, a través del ET Seguridad es posible la administración sencilla e intuitiva de las opciones de contraseñas de la directiva de Windows. Esto permite la configuración de:

• Longitud mínima de la contraseña.
• Vigencia mínima y máxima de la contraseña.
• Historial de contraseñas.
• Umbral de bloqueo.
• Duración del bloqueo.

Dicha configuración da cumplimiento al:

• 93.4 del RLOPD: La periodicidad de renovación de las contraseñas “en ningún caso será superior a un año.”
• 98 del RLOPD: A partir del tratamiento de datos considerados de nivel medio se exige el establecimiento de “un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.”

No solamente es posible, sino que el control de la navegación en Internet es un mecanismo para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales. Dicho control no se puede realizar de cualquier manera, de modo que el empresario deberá proceder a comunicar fehacientemente a los trabajadores de la organización los usos permitidos del acceso a Internet, así como los mecanismos que se implantarán para su control (revisar respuesta a la pregunta ¿Debo informar a los usuarios?).

Según un estudio realizado por Robert Half International, empresa especializada en personal ejecutivo, navegar por Internet lidera la lista de tareas en las que se pierde el tiempo durante la jornada de trabajo. Para evitar un uso excesivo, alrededor del 25% de las empresas españolas han limitado el uso de Internet en el trabajo, según una encuesta realizada por Adecco.

Con nuestro software de monitorización ET Seguridad, también es posible registrar y controlar el acceso a Internet y generar informes de tiempo de permanencia en las distintas páginas visitadas. Paralelamente, permite la personalización de las listas negras (acceso denegado a páginas web) por equipo.

Naturalmente que sí. El Administrador puede activar la monitorización de los intentos de acceso a aplicaciones, archivos ubicados en determinados directorios, archivos cifrados, archivos ubicados en dispositivos conectados por USB y páginas web en Internet.

Cuando los datos contenidos en los archivos o accedidos a través de las aplicaciones sean considerados de nivel alto de seguridad, el art. 103.1 del RLOPD establece que: “de cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.”

Cuando los datos contenidos en los archivos o accedidos a través de las aplicaciones sean considerados de nivel alto de seguridad, no solamente es obligatorio registrar el acceso, sino que el art. 103.4 establece que “el período mínimo de conservación de los datos registrados será de dos años.”

ET Seguridad almacena los registros de acceso por defecto durante 2 años, aunque es posibles ampliar el plazo.

Las capturas de pantalla son una herramienta gráfica de registro de la actividad realizada en el seno de la organización. La configuración de los disparadores permite definir aquellos eventos que serán fotografiados (o capturados) cuando se produzcan, definiendo el tiempo entre capturas y el de almacenamiento de las imágenes.

No solamente es necesario el registro de los accesos, sino que dicha información de registro debe ser accesible por parte de los responsables de su revisión y análisis. El art. 103.5 del RLOPD establece que “el responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.”

El software de monitorización incorpora un visor de informe de accesos a aplicaciones, archivos y páginas web visitadas, archivos cifrados, capturas de pantalla y control horario, totalmente exportables para su revisión por parte del personal autorizado.

Por supuesto, con el fin de facilitar al Responsable de Seguridad la tarea de análisis de la información y elaboración del informe de las revisiones y problemas detectados, exigido en el art. 103 del RLOPD, se ofrece el servicio de análisis gestionado de la actividad. Dicho análisis incluye la disposición de un informe con detalle del registro de la actividad y estadísticas de uso y acceso.

Porqué resulta obligatorio garantizar el acceso indebido a la información durante su transporte o transmisión. El cifrado de datos es el proceso por el que una información legible se transforma mediante un algoritmo en información ilegible. Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes.

El propio desarrollo reglamentario de la Ley Orgánica 03/2018, de 5 de diciembre, de protección de datos personales y garantía de de los derechos digitales establece:

• 92.3 del RLOPD: En el traslado o envío de documentación “se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.”
• 101.2 del RLOPD: La distribución de los soportes que contengan datos de carácter personal de nivel alto “se realizará cifrando dichos datos”.
• 104 del RLOPD: La transmisión de datos de carácter personal de nivel alto a través de redes públicas o redes inalámbricas de comunicaciones electrónicas “se realizará cifrando dichos datos”.

Siempre que deseen garantizar la integridad y confidencialidad de la información contenida en los equipos de trabajo, dispositivos portables o aquella documentación que vaya adjunta a un correo electrónico.

Para ello, el módulo de cifrado ET Encrypt ofrece distintas modalidades de uso:

• Cifrado/descifrado de carpetas: cifra/descifra el contenido de toda una carpeta.
• Cifrado/descifrado de archivo: cifra/descifra el contenido del archivo con opción de descifrado online (sin coste para el destinatario).
• Creación de carpeta segura: cifrado automático de los archivos contenidos en la carpeta segura de uso privado por el usuario.

Conversión de dispositivo extraíble (conectado por USB) a dispositivo seguro: la aplicación de cifrado permite la creación de la carpeta segura en el dispositivo externo con cifrado automático de los archivos contenidos en la misma para el traslado seguro del dispositivo.