¿Qué es Safetica (ESET) DLP?

DLP (Data Loss Prevention) = sistema para evitar fugas de información sensible dentro de una empresa.

• Proteger datos sensibles

• Controlar el comportamiento de los usuarios

• Reducir riesgos internos (empleados, errores, negligencia)

No solo protege contra hackers, sino contra mal uso interno de la información.

Arquitectura y funcionamiento detallado

1. Usuario (punto de origen del riesgo)

El sistema parte de una realidad clave:

la mayoría de fugas ocurren desde dentro

El usuario puede, intencional o accidentalmente:

• Copiar archivos a USB

• Subir documentos a la nube (Drive, Dropbox…)

• Enviar información por email

• Hacer capturas de pantalla

• Imprimir documentos confidenciales

Safetica considera todo esto como eventos a monitorizar

2. Agente Safetica (endpoint agent)

Este es el componente más importante técnicamente.

Es un software instalado en cada endpoint (PC del usuario)

Funciones principales

a) Monitorización en tiempo real

• Intercepta acciones del sistema operativo:

  • acceso a archivos

  • operaciones de copia/movimiento

  • conexiones a dispositivos externos

• Funciona a nivel bajo (kernel / sistema)

b) Clasificación de datos

El agente analiza el contenido:

• Palabras clave (ej: “confidencial”, “salary”, “clientes”)

• Tipos de archivo (Excel, PDF, bases de datos)

• Patrones:

  • IBAN

  • tarjetas de crédito

  • DNI/NIF

Esto se llama content inspection

c) Contexto del usuario

No solo mira el archivo, también:

• Quién es el usuario

• En qué equipo está

• En qué aplicación trabaja

• A dónde va la información

Ejemplo:
No es lo mismo enviar un archivo a:

• correo corporativo ✅

• Gmail personal ❌

3. Servidor DLP (Safetica Management Service)

Este es el “cerebro” del sistema.

Recibe información de todos los agentes

• Logs de actividad

• Incidentes de seguridad

• Intentos de fuga

Funciones clave

a) Centralización

• Consolida todos los eventos de la empresa

• Permite auditoría completa

b) Análisis de comportamiento

• Detecta patrones sospechosos:

  • usuarios que copian mucho volumen

  • accesos fuera de horario

  • transferencias inusuales

Aquí entra el concepto de insider threat detection

c) Reporting y visibilidad

• Paneles (dashboards)

• Informes de riesgo

• Historial de acciones

4. Políticas y reglas (Policies Engine)

Aquí se define qué está permitido y qué no

Es la capa lógica del sistema

Tipos de reglas

a) Basadas en contenido

• “Bloquear archivos con datos financieros”

• “Detectar documentos con información personal”

b) Basadas en canal

• USB

• Email

• Navegador web

• Impresión

c) Basadas en contexto

• Usuario (ej: departamento financiero)

• Ubicación (oficina vs remoto)

• Horario

d) Basadas en riesgo

• Nivel de sensibilidad del dato

• Tipo de acción

Ejemplo avanzado

Regla compleja:

“Si un usuario del departamento financiero intenta subir un Excel con IBANs a una web externa fuera del horario laboral → bloquear y alertar”

5. Motor de respuesta (Enforcement)

Cuando una acción coincide con una política:

Opciones del sistema

• Permitir (solo registrar)

• Advertir al usuario

• Bloquear directamente

• Solicitar justificación

• Escalar a seguridad IT

Interacción con el usuario

Ejemplo:

“Estás intentando copiar datos sensibles. Esta acción está restringida.”

Esto también tiene efecto educativo (user awareness)

Interpretación del flujo (gráfico)

El diagrama representa 3 capas clave:

1. Usuario → Agente

Todo pasa primero por el endpoint
control en tiempo real

2. Agente → Servidor

Se reporta la actividad
visibilidad global

3. Agente ↔ Políticas

Decisión inmediata
bloquear o permitir en milisegundos

Ejemplo completo (flujo real)

1. Usuario descarga base de datos de clientes

2. Intenta subirla a Google Drive personal

3. El agente:

   • detecta datos sensibles

   • identifica destino externo

4. Consulta políticas

5. Resultado:

   • ❌ bloqueo inmediato

   • alerta al administrador.

   • registro del incidente