Implantación de un sistema DLP en una clínica dental

Abstract

Actualmente todas las organizaciones que utilizan sistemas de información se enfrentan a riesgos de fuga de datos, que pueden suponer problemas competitivos, de imagen, y/o legales. Para mitigar este riesgo aparecen las soluciones DLP (Data Loss Prevention). Estas permiten monitorizar las actividades realizadas por parte de los usuarios en los sistemas, el tráfico que viaja por la red, y la información en reposo, con el fin de implantar controles de seguridad que monitoricen o impidan la fuga de datos de forma voluntaria o involuntaria. En este trabajo se exploran las características de las herramientas DLP, se comparan varias de ellas, y se selecciona la más idónea para su posterior implementación en el marco de una clínica dental. Se elabora una guía de instalación, configuración y evaluación de un conjunto de controles definidos ad hoc, que representan diferentes casos de uso basados en la limitación de utilización de dispositivos extraíbles, de envío de información sensible a través de correo electrónico u otros programas, encriptación de ficheros que contienen información personal, y escaneo y descubrimiento de información sensible en reposo. A continuación, se realiza un análisis de la contextualización legal a tener en cuenta durante la implantación de este tipo de soluciones para respetar la privacidad de los trabajadores. El principal resultado obtenido es que estas herramientas permiten establecer de forma sencilla y efectiva un gran conjunto de controles de seguridad que cumplen el objetivo de detectar e impedir la fuga de datos antes de que se produzca.

Currently, all organizations that use information systems face risks of data leakage, which can lead to competitive, image, and/or legal problems. To mitigate this risk, DLP (Data Loss Prevention) solutions appear. These allow monitoring the activities carried out by users in the systems, the traffic that travels through the network, and the information at rest, in order to implement security controls that monitor or prevent data leakage voluntarily or involuntarily. In this work the characteristics of the DLP tools are explored, several of them are compared, and the most suitable one is selected for its subsequent implementation in the framework of a dental clinic. An installation, configuration and evaluation guide is prepared for a set of ad hoc defined controls, which represent different use cases based on the limitation of the use of removable devices, sending sensitive information through email or other programs, encryption of files containing personal information, and scanning and discovery of sensitive information at rest. Next, an analysis of the legal contextualization to be taken into account during the implementation of this type of solutions to respect the privacy of workers is carried out. The main result obtained is that these tools make it possible to easily and effectively establish a large set of security controls that meet the objective of detecting and preventing data leakage before it occurs.

Actualment totes les organitzacions que utilitzen sistemes d'informació s'enfronten a riscos de fugida de dades, que poden suposar problemes competitius, d'imatge, i/o legals. Per a mitigar aquest risc apareixen les solucions DLP (Data Loss Prevention). Aquestes permeten monitorar les activitats realitzades per part dels usuaris en els sistemes, el trànsit que viatja per la xarxa, i la informació en repòs, amb la finalitat d'implantar controls de seguretat que monitorin o impedeixin la fugida de dades de manera voluntària o involuntària. En aquest treball s'exploren les característiques de les eines DLP, es comparen diverses d'elles, i se selecciona la més idònia per a la seva posterior implementació en el marc d'una clínica dental. S'elabora una guia d'instal·lació, configuració i avaluació d'un conjunt de controls definits ad hoc, que representen diferents casos d'ús basats en la limitació d'utilització de dispositius extraïbles, d'enviament d'informació sensible a través de correu electrònic o altres programes, encriptació de fitxers que contenen informació personal, i escaneig i descobriment d'informació sensible en repòs. A continuació, es realitza una anàlisi de la contextualització legal a tenir en compte durant la implantació d'aquesta mena de solucions per a respectar la privacitat dels treballadors. El principal resultat obtingut és que aquestes eines permeten establir de manera senzilla i efectiva un gran conjunt de controls de seguretat que compleixen l'objectiu de detectar i impedir la fugida de dades abans que es produeixi.