ISO 27001

Prevención de pérdida de datos (DLP) en ISO 27001

Por Equipo GRC360 24 de March, 2026 11 min de lectura
Prevención pérdida datos DLP ISO 27001 control A.8.12

La prevención de pérdida de datos (DLP, Data Loss Prevention) es uno de los controles más relevantes de ISO 27001:2022. El control A.8.12 — "Prevención de fuga de datos" — es uno de los 11 controles nuevos incorporados en la revisión de 2022, reflejando el reconocimiento de la norma sobre la importancia de proteger los datos confidenciales no solo de atacantes externos, sino también de fugas internas accidentales o maliciosas.

Esta guía explica qué es DLP, qué exige el control A.8.12 y cómo implementarlo. Complementa con los controles de gestión de identidades y acceso y seguridad de redes.

El control A.8.12: Prevención de fuga de datos

El control A.8.12 establece que deben aplicarse medidas de prevención de fuga de datos en los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información sensible. A diferencia de otros controles técnicos, DLP requiere primero clasificar y entender los datos que se quieren proteger — sin saber qué datos son sensibles y dónde están, no se puede implementar DLP efectivo.

Tipos de DLP

TipoQué protegeCómo funcionaEjemplos de herramientas
DLP de endpointDatos en dispositivos (laptops, PCs)Agente instalado que controla USB, impresión, capturas de pantallaMicrosoft Purview, Symantec DLP, Forcepoint
DLP de redDatos en tránsito (email, web, FTP)Analiza el tráfico de red e inspecciona contenidoCisco SX, Palo Alto, Zscaler
DLP cloud (CASB)Datos en SaaS y cloudAPI o proxy que controla qué se sube/comparte en apps cloudMicrosoft Defender for Cloud Apps, Netskope
DLP de almacenamientoDatos en reposo (servidores, SharePoint)Escanea repositorios y clasifica/alerta sobre datos sensibles mal ubicadosVaronis, BigID, Microsoft Purview

Estrategia de implementación de DLP

Fase 1: Clasificación de la información (prerequisito)

Sin clasificación de datos, DLP no funciona. ISO 27001 aborda esto en el control A.5.12 (clasificación de la información). Las categorías típicas son: Confidencial (datos de clientes, información financiera, datos personales), Interno (información operativa no pública) y Público (información aprobada para divulgación externa).

Fase 2: Identificación de canales de fuga

Mapea cómo puede salir la información de la organización: email, dispositivos USB, servicios cloud personales (Dropbox, Google Drive personal), impresión, FTP, IM, redes sociales y acceso remoto.

Fase 3: Implementación progresiva

Empieza en modo monitor: Nunca implementes DLP directamente en modo bloqueo. Comienza con monitoreo durante 4–8 semanas para entender los patrones de uso legítimo y calibrar las reglas. Un DLP mal configurado en modo bloqueo puede interrumpir operaciones críticas del negocio.

El proceso recomendado es: modo discovery (escanear repositorios), modo monitor (detectar sin bloquear), modo alerta (notificar sobre eventos de riesgo) y finalmente modo bloqueo para acciones de alto riesgo con justificación de negocio confirmada.

DLP para el correo electrónico: el canal más crítico

El correo electrónico es el canal por donde más datos sensibles se filtran. Las políticas DLP para correo deben incluir detección de información financiera en adjuntos o cuerpo del mensaje, detección de datos personales (RUT, pasaportes) en emails salientes, bloqueo de emails con adjuntos clasificados como confidenciales enviados a dominios externos no autorizados, y watermarking de documentos confidenciales.

Métricas de DLP para el SGSI

  • Número de incidentes DLP por canal (email, USB, cloud) por período
  • Tasa de falsos positivos (indica si las reglas necesitan ajuste)
  • Tiempo de respuesta a alertas DLP
  • Porcentaje de datos sensibles correctamente clasificados y etiquetados
  • Número de excepciones aprobadas vs. denegadas

Gestiona el control A.8.12 con GRC360

GRC360 te permite documentar la política DLP, registrar incidentes de fuga de datos, vincular el control A.8.12 con evidencias de cumplimiento y llevar el seguimiento de la implementación progresiva. Demuestra a los auditores que tu DLP está activo y es efectivo.

Probar Gratis

Lee también sobre respaldo y recuperación, seguridad en la nube y gestión de identidades y acceso.

SGSI Controles Activos de Información
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis