Como implementar uma estratégia DLP em sua empresa (Parte 1)
Essa série de 02 artigos foi criada após um treinamento ministrado pela Sophos, parceira HF em segurança de rede e internet, também consultamos diversos artigos, todos em inglês pois há pouco conteúdo em português, sobre o assunto, todos os artigos estão relacionados ao final da parte 2, vale a pena a leitura. Se você não sabe o que é DLP, recomendamos a leitura do nosso artigo O que é DLP?.
Antigamente, uma rotina de trabalho era baseada simplesmente em tarefas, hoje, colaboradores acessam dados da empresa de qualquer lugar, a qualquer momento e através de qualquer dispositivo, embora a mobilidade ofereça claros benefícios à produtividade, ela também aumenta o risco de perda de dados, podendo causar danos irreparáveis ao negócio.
O objetivo desse artigo é mostrar as etapas necessárias para implementar uma estratégia de prevenção de perda de dados (DLP). Vamos iniciar analisando o que está por trás da prevenção da perda de dados e as consequências da perda de dados. Em seguida, colocamos conselhos práticos para uma implementação eficaz.
O que está por trás da DLP?
Com o surgimento de novos equipamentos (notebooks e smartphones) e serviços (webmail, comunicadores instantâneos, redes sociais e acesso remoto), ocorreu uma mudança fundamental na forma com que colaboradores interagem com a tecnologia, levando isso até o ambiente de trabalho. O acesso aos dados corporativos continua essencial para a organização, mas o risco de perder o controle agora é muito maior. Os dias em que um bom firewall básico era suficiente ficaram no passado.
Para evitar vazamento de dados e manter as informações protegidas fora do alcance de pessoas erradas, a equipe de TI precisa das ferramentas certas para minimizar o risco. De olho nesse mercado os fornecedores desenvolveram novas tecnologias que, usadas corretamente, podem reduzir significativamente o risco de perda de dados.
Custos e consequências do vazamento de dados
PII (personally identifable information) ou informação pessoal identificável, é qualquer informação que pode ser usada para identificar diretamente uma única pessoa. São dados como Nome Completo, RG, CPF, números de cartão de crédito ou data de nascimento. A perda de uma informação do tipo PII pode ter efeitos devastadores. Em um caso de exposição, independente de como a empresa tratar esse incidente, suas políticas de segurança e privacidade serão abertas e analisadas por auditores, clientes e pela imprensa, inevitavelmente os clientes perderão a confiança na empresa, resultando em negócios cancelados e perda financeira.
Estudos recentes colocam o custo total de uma única violação de dados na casa de milhões de dólares. De acordo com o Ponemon Institute, nos Estados Unidos o custo de uma única violação de dados em 2012 foi de US$ 188 em média por registro comprometido, sendo o custo total de US$ 5,4 milhões em média.
É simples de pensar que o dano na reputação da empresa pode ter conseqüências muito maiores. O fator que mais contribui no total de perda financeira num caso de violação de dados é a quantidade de negócios perdidos, representando até 56% no caso de empresas norte americanas, o restante do custo diz respeito a atendimento aos clientes afetados, relações públicas e taxas ou multas.
As empresas, quando sofrem violação de dados, também enfrentam pesadas multas devido a leis e regulamentos que procuram proteger as informações pessoais (PII), para reduzir riscos recomenda-se manter regras rígidas mais uma abordagem integrada e multi-camadas para prevenção de perda de dados.
Implementando uma ação multi-camadas para prevenir DLP
Uma estratégia holística de várias camadas de DLP começa com o monitoramento de conteúdo nos pontos de saída de dados, tais como dispositivos de armazenamento portáteis, discos rígidos externos, comunicadores instantâneos e mensagens de e-mail. O plano de ação também deve incluir criptografar dados em repouso e em trânsito para evitar que pessoas não autorizadas acessem a informação que sai da organização. Finalmente, uma abordagem multi-camadas DLP deve incluir a aplicação de regras para o uso adequado de dados por parte do usuário.
As empresas devem priorizar a gestão de dados escolhendo uma solução DLP que controla a distribuição de informações PII nas estações. É importante simplificar a configuração e gerenciamento escolhendo uma solução integrada com as demais tecnologias utilizadas pela empresa.
A conformidade com a política de usuários finais diz respeito a controlar o que eles podem fazer em seus próprios dispositivos, uma das maneiras mais fáceis e eficazes para reduzir o risco de perda de dados, sobre isso há três áreas principais nas quais deve-se pensar:
- dispositivos de armazenamento e interfaces de rede: administrar o uso de dispositivos conectados (pendrives, HDs externos e smartphones);
- aplicativos: gerenciar o uso de aplicativos (compartilhamento de arquivos, armazenamento em nuvem, acesso e controle remoto, aplicativos de mensagem instantânea e browsers);
- filtragem web: gerenciar quais sites os usuários podem acessar filtrando serviços que podem ser porta para vazamento de informações (webmail, armazenamento em nuvem e VPNs do tipo anonymizer).
Avaliando as necessidades DLP
Implementar os componentes técnicos de uma estratégia DLP (monitoramento de conteúdo, criptografia, e conformidade com a política) requer preparação, podendo ficar mais fácil com um planejamento detalhado:
- Compreender como as regras determinadas pelos órgãos reguladores afetam sua organização, entender quais leis se aplicam ao negócio dentro do país onde ele se encontra. Pode ser interessante consultar uma opinião jurídica para ficar claro os requisitos necessários.
- Elaborar um projeto interno com metas a cumprir, definir e documentar o que move o negócio, requisitos reguladores, casos de negócio e objetivos de alta prioridade para implementação de DLP. Por exemplo, o principal objetivo pode ser proteger informações PII armazenadas pela organização e melhorar a auditoria. Um objetivo secundário pode ser proteger propriedade intelectual da área de pesquisa da empresa.
- Apoio da diretoria, como em todos os projetos de TI, é preciso de suporte interno para uma implementação eficaz, com uma estratégia DLP não é diferente, o primeiro passo é informar a alta administração dos objetivos identificados e os benefícios da implementação da política de segurança de dados, é extremamente importante que eles sustentem todo o processo, somente as camadas inferiores aceitarão as novas medidas.
- Representantes das diferentes áreas (RH, comercial, diretoria, jurídico etc.) da organização devem participar e acompanhar o projeto, cada área trabalha com informações de um jeito diferente. além disso dados sensíveis existem em toda a empresa e um eventual vazamento de informações afetará a todos.
- Identificar os tipos de dados dentro da organização, verificar onde esses dados são alocados enumerando os sistemas que precisam ser monitorados. É importante também saber como e quem utiliza os dados, lembrando sempre de adicionar a equipe de TI que, apesar de não terem permissão de utilizar certas informações, tem acesso total a eles.
- Avaliar o risco e o impacto de uma violação de dados para cada tipo de dados, priorizando riscos e abordando o mais grave.
- Planejar políticas para identificar tipos de dados sensíveis e ações em caso de violação. Se um usuário tentar enviar dados de clientes ou confidenciais por e-mail, é importante registrar a ação e avisar o usuário e até bloquear determinada ação.
- Como em qualquer projeto de TI, educar os usuários através de treinamento focando diretrizes e políticas de uso aceitáveis é essencial para o sucesso do projeto. Os objetivos devem ser duplos: gerenciar as preocupações deles em relação às mudanças e conscientizar a todos sobre as novas políticas, uma vez que os usuários sabem o que se espera deles, os mesmos podem ser responsabilizados.
Completadas essas oito etapas, já há uma base sólida para o projeto de DLP podendo abordar os aspectos técnicos da implementação das políticas, o que será visto a seguir. Confira na segunda e última parte a implementação prática de uma estratégia DLP.
Atualizado em 05/06/2017 às 15:13.