Segurança da Informação nunca foi um tema tão abordado como atualmente. Em tempos de GDPR e LGPD, o assunto se tornou simplesmente crucial para a saúde das organizações (visto que a não conformidade com as regulamentações pode causar problemas reais, principalmente no âmbito financeiro). Para mais informações sobre GDPR ou LGPD, consulte nossos conteúdos que vão te explicar tudo o que você precisa saber sobre esses assuntos para assim, entrar em conformidade com as regulamentações. Basta clicar em seus respectivos nomes acima.
O assunto deste artigo é sobre a prevenção a perda de dados, onde será abordado como a organização com a solução ideal, pode proteger suas informações de vazamento ou acesso indevido, monitorar por onde suas informações trafegam e descobrir onde elas se encontram armazenadas.
Com a facilidade de acesso à informação, seja ela dentro ou fora da organização com a popularidade do Home Office, a organização precisa entender como suas informações confidenciais ou sensíveis são tratadas ou manipuladas.
Com toda essa revolução na forma de coletar, armazenar, tratar e utilizar informações, a solução de DLP (Data Loss Prevention) se tornou crucial para toda e qualquer organização que visa uma real proteção de seus dados.
O que é uma solução de DLP e como atua na prática?
Antes de explanarmos os principais recursos, é importante explicar o que é de fato a solução de DLP e como ela pode auxiliar na organização.
O DLP, acrônimo para Data Loss Prevention, é uma solução com foco na prevenção a perda de dados, sendo utilizada na descoberta de dados em repouso, monitoramento dos dados em trânsito e no bloqueio desses dados para mitigar acessos indevidos a eles. Toda análise é baseada em uma política composta por regras que vão definir as ações tomadas após uma correspondência ser identificada, como realização de bloqueio, quarentena, notificação ao ponto focal da política ou até mesmo um e-mail personalizado solicitando treinamento de Segurança da Informação para o usuário ofensor.
Vale ressaltar que existem diversas soluções de DLP direcionadas para diferentes vertentes, como o Network DLP, Storage DLP, Endpoint DLP Cloud, entre outras, mas todas com o mesmo objetivo: prevenir a perda de dados. No mercado, podem ser encontrados recursos de DLP em outras soluções como também uma solução específica para tal, o que é recomendado para a maioria das organizações, pois contém recursos importantes para a identificação, detecção e monitoramento das informações confidenciais. O DLP como recurso que vem em algumas soluções de Endpoint Protection, Web Security, entre outras, tem funcionalidades limitadas a apenas aquele meio proposto pela solução, sendo também uma versão com recursos mínimos para detecção e monitoramento de informações pré-definidas.
Devido ao propósito deste artigo, iremos abordar a solução de DLP, ou seja, a versão completa com recursos e assinaturas específicas para uma melhor proteção dos dados de uma organização.
Para um melhor entendimento, ao longo do artigo, pode ser visto o termo “Informação Confidencial” para se referir a qualquer dado que tenha importância para a organização, seja ela uma informação que a compromete nos quesitos de financeiro, imagem e até mesmo no regulatório, como um dado sensível ou pessoal.
Como adotar o DLP e quais as suas vantagens?
Os fabricantes líderes do mercado em DLP possuem praticamente os mesmos recursos, só diferenciando o método que eles são aplicados e como são centralizados.
Em relação aos módulos de DLP, temos como principais o de Endpoint, Rede, Storage e Nuvem. Para a organização, a definição de qual módulo adquirir pode ser a questão. Normalmente, é recomendado a organização começar com o módulo de Endpoint, pois nele é centralizado os principais recursos de um DLP e onde está o principal meio de vazamento de informações, pois como é sabido em resultados de pesquisas, o ser humano é o elo mais fraco de segurança da informação. Neste caso, qualquer ação do usuário será avaliada e monitorada em relação às regras criadas. É possível também a realização de varreduras locais nas estações de trabalho por meio das políticas de DLP para a localização e/ou mapeamento de informações confidenciais armazenadas localmente. Os outros módulos não deixam de ser importantes, porém vão depender muito da estratégia da organização em como ela quer seguir na prevenção a perda de dados, pois vai depender de uma análise e como estão sendo estruturadas as suas camadas de segurança. O módulo de Rede tem como principal objetivo analisar o tráfego que sai da organização pelos principais protocolos, como por exemplo protocolo de e-mail e web. O módulo de Storage fica com a parte da descoberta e mapeamento das informações confidenciais no ambiente, e o módulo de Nuvem faz a avaliação, monitoramento e prevenção dos dados hospedados em serviços sancionados e contratados pela organização.
As principais vantagens de se ter um DLP por completo, é ter a visibilidade das informações monitoradas e dos recursos a serem utilizados para a identificação dos dados por meio de regras de DLP. Mais abaixo, será abordado os principais recursos do DLP disponíveis nesses fabricantes líderes de mercado.
Políticas, regras e regras de resposta
As políticas de DLP podem ter uma ou mais regras com componentes para detecção. Esses componentes vão desde palavras-chave e expressões regulares a arquivos indexados e leitura de digitalização por meio de tecnologia OCR (Reconhecimento Óptico de Caracteres). Nas políticas, definimos o que vai ser monitorado pelo DLP, como serão e para quais usuários. Há também regras de resposta onde pode-se notificar o usuário ofensor com texto personalizado, por meio de e-mail ou popup, informando que ele está violando uma política de DLP. Este momento, pode ser aproveitado para conscientizar o usuário sobre as melhores práticas de utilização daquela informação em específica.
Proteção de dados em estações de trabalho
Nas estações de trabalho podemos realizar todo o monitoramento e, consequentemente, a prevenção a perda de dados dos principais canais de saída de informação, como dispositivos removíveis, tráfego para sites, tráfego para servidores de rede, FTP, CloudStorage, e-mail entre outros. Todos esses canais são monitorados em tempo real com o agente instalado na estação de trabalho. Este recurso é tratado como um dos principais do DLP, pois é nele onde o usuário realiza a manipulação das informações confidenciais da organização.
Detecção de eventos baseado em conteúdo
Este método de detecção pode ser utilizado em regras de DLP para a localização de palavras-chave, frases, palavras por similaridade, expressões regulares, tipos de arquivos entre outros. A gama de opções são das mais variadas, inclusive com detecção por assinatura de arquivo. Neste ponto, vale ressaltar que mesmo sendo trocada a extensão do arquivo, o DLP analisa a assinatura para validar se ele é o que diz ser. Há políticas predefinidas para vários países, com detecção de regras específicas e um validador, como CPF para o Brasil.
Detecção de eventos baseado em dados não estruturados
O método de detecção que é muito utilizado pelas organizações, é o de dado não estruturado, ou seja, qualquer arquivo que não tenha um delimitador ou segmentação. Um exemplo bom que pode ser dado, é de um arquivo de relatório gerencial de um determinado setor. O DLP vai indexar o arquivo por meio de sua tecnologia exclusiva reduzindo o tamanho drasticamente, e depois realizando as análises por base em exposição, no caso de um usuário mal intencionado tentar realizar uma ação com por exemplo, metade do arquivo. O DLP chega no ponto de realizar os dados de um documento e corresponder cópias parciais do arquivo original.
Detecção de eventos baseado em dados estruturados
O método de detecção de dados estruturados leva em consideração a informação delimitada ou segmentada por meio de um padrão, como por exemplo uma planilha com os dados dos funcionários da organização separados por coluna ou até mesmo informações de uma determinada tabela de banco de dados. Neste caso, o DLP realiza a indexação igualmente como é realizado no método acima, com a diferença apenas na configuração.
Uma boa solução de DLP realmente é fundamental para as organizações
Os recursos abordados acima estão disponíveis em todos os módulos de uma solução líder de DLP, basta definir quais os módulos serão inicialmente estratégicos para aquisição dentro da organização. Com a entrada em vigor da LGPD, uma solução de DLP se faz mais do que necessário para ter a visibilidade do que acontece com as informações confidenciais da organização. Lembrando sempre que o DLP é uma solução que precisa de acompanhamento constante, logo, é recomendável um recurso humano de segurança da informação com experiência na solução para a realização da criação, ajustes e avaliação periódica de melhoria contínua no ambiente.