Como implementar uma estratégia DLP em sua empresa (Parte 2)
Essa é a segunda e última parte da série Como implementar uma estratégia DLP em sua empresa, a primeira parte você confere aqui.
DLP fácil com a HF
Nossa solução DLP atua em duas frentes monitorando as ações dos usuários mais os principais meios de vazamento:
- Gateway de segurança de e-mail protegendo o servidor de e-mail mais proteção contra ataques de spam e phishing.
- Proteção endpoint instalada diretamente em equipamentos como desktops, laptops, dispositivos móveis, protegendo dados, acesso à internet e e-mail.
Cada solução usa regras de controle de dados para identificar e agir quando um usuário tenta transmitir dados sensíveis ou sigilosos para fora da empresa, uma regra de controle de dados é composta de três elementos:
- Itens a serem combinados: as opções incluem tipos, extensões e nomes de arquivos e o conteúdo dos mesmos.
- Pontos a monitorar: os pontos de monitoramento incluem e-mail, locais de armazenamento e aplicativos.
- Ações a serem tomadas: monitorar, bloquear ou solicitar a autorização do usuário.
Os tipos de dados protegidos incluem uma ampla gama de formatos de dados PII e financeiros, todos os quais atualizados constantemente por nosso fornecedor de segurança. Se necessário, o gestor de TI pode também definir listas personalizadas. As regras de controle de dados devem ser escritas para tipos específicos e quantidades de dados. Por exemplo, as regras de controle de dados podem ser definidas em e-mails de saída para evitar que usuários enviem informações financeiras como contas bancárias no corpo do e-mail, assunto ou arquivos anexados.
Proteger dados confidenciais com base no conteúdo pode ser complexo. Aqui na HF trabalhamos com uma biblioteca pré-construída de definições de dados sensíveis, conhecidas como listas de controle de conteúdo (CCLs – Content Control Lists). Além de escolher quais CCLs implementar, é preciso determinar como colocar as políticas para funcionar, podendo ser gravando logs silenciosamente, registrando e alertando o usuário com um aviso para prosseguir (semelhante a um modo de treinamento), ou registrar e bloquear a ação. Com foco no uso do e-mail as opções incluem registrar em log, colocar em quarentena, bloquear ou criptografar o conteúdo antes de enviar.
É importante usar nomes de regras claros e bem-formados que explicam ao usuário por que suas ações foram registradas (log), alertadas ou bloqueadas. É possível personalizar a mensagem e apontar para uma página de política na rede interna e/ou fornecer informações de contato do suporte.
Cenários de uso comum
Identificando PII
As políticas de perda de dados mais comuns dizem respeito à identificação de dados PII e financeiros. Os seguintes cenários explicam como configurar políticas para proteger esses ativos sensíveis:
- Cenário 1: a empresa precisa identificar qualquer informações de cartão de crédito ou débito enviadas via e-mail, se em certas ocasiões informações desse tipo precisarem ser transmitidas, é necessário criptografar a comunicação.
- Cenário 2: a empresa precisa detectar usuários que transferem grande volume de dados de clientes, para fazer isso é preciso detectar quando informações PII ou financeiras são carregadas na internet (também via webmail) ou transferidas para dispositivos de armazenamento removíveis, é importante configurar o sistema para consultar o usuário e auditar sua resposta quando um evento desse tipo é gerado.
Combinando definições PII e conjuntos de dados personalizados da empresa
Para aumentar a precisão, pode-se combinar as definições PII pré-configuradas pela solução DLP com um conjunto personalizado de dados. Por exemplo, uma universidade pode combinar definições PII para e-mail mais endereços físicos (Rua, CEP, Bairro etc.) com sua própria lista de alunos e colaboradores internos.
Usando marcadores de documentos para monitorar dados sensíveis
A solução DLP que trabalhamos também pode ser usada para identificar documentos que contém dados confidenciais que não podem ser classificados como dados PII ou financeiros, podendo ser feito de duas maneiras.
Para documentos de propósito único que contenham informações confidenciais – por exemplo, uma análise restrita de desempenho pessoal ou um um contrato de aquisição comercial – é possível adicionar uma seqüência de caracteres ocultos marcando o documento, essa string pode ser inserida no cabeçalho, rodapé ou nos metadados do documento.
Quando dados confidenciais são criados e manipulados por um grupo mais amplo dentro da organização, faz mais sentido usar um sistema de classificação de documentos, para isso é importante simplificar usando apenas dois ou três marcadores de classificação (por exemplo, “Confidencial Interno” e “Confidencial Parceiros”), além disso cada marcador deve ser exclusivo para evitar marcações dúbias.
No começo, organizar e marcar os documentos pode ser um desafio, por isso recomenda-se trabalhar com marcadores em modelos de documentos. Uma vez que o processo de marcação do documento esteja implementado, é possível combinar uma série de regras dentro da solução DLP afim de monitorar o tratamento das informações dentro da empresa. Ao final será possível ter uma visão de como os dados estão sendo compartilhados em toda a organização.
Melhores práticas para o lançamento de uma estratégia DLP
As medidas de segurança tradicionais não são mais adequadas, com apenas um antivírus e restrições nos equipamentos a rede já estava protegida, hoje há mais tecnologias no mesmo ambiente e é preciso a participação do usuário na implementação de novas soluções. Abaixo algumas dicas para uma lançamento bem-sucedido:
- Começar com uma política de segurança transparente. Fornecer aos usuários um documento explicando os principais aspectos da política DLP respondendo a perguntas sobre a privacidade deles. Concentrar-se nos tipos de dados que precisam ser protegidos e garantir que a organização está empenhada com o projeto.
- Implantar as tecnologias de proteção de dados para evitar perda acidental de dados. Acidentes acontecem, pessoas perdem laptops ou enviam e-mails para o endereço errado, por isso é importante implementar soluções de segurança, como controle de conteúdo, controle de dispositivo e criptografia para tornar os dados ilegíveis sem a senha correta.
- Começar com um pequeno subconjunto de dados priorizados e expandir lentamente as regras. Se ativar todas as regras ao mesmo tempo, o número de eventos será significativo, os usuários serão inundados com mensagens avisando-os de suas ações e o responsável pelo monitoramento ficará sobrecarregado, gerando transtornos, atrasos nas soluções e afetando a produtividade, a TI será acusada de dificultar o negócio e os usuários começarão a ignorar as mensagens de aviso.
- Evitar linguagem acusatória em avisos. Em vez de acusar o usuário de enviar dados sensíveis é mais prudente dizer ao usuário que parece que ele pode estar enviando dados de uma maneira que viola a política interna da empresa.
- Divulgar informativos aconselhando os usuários a como enviar dados de forma segura. O propósito do monitoramento não deve ser flagrar usuários violando as regras, mas sim educá-los para que eles se tornem parte do processo DLP.
Conclusão
A perda de dados do cliente ou informações corporativas pode causar danos permanentes ao negócio e reputação de uma empresa. A estratégia DLP deve ter vários níveis de atuação, consistindo em monitoramento de conteúdo, criptografia de dados e conformidade de políticas. A prevenção de perda de dados não precisa ser difícil ou cara, com a solução que trabalhamos atualmente é possível proteger toda a rede, de servidor, e-mail a estações. O investimento é acessível já a partir de pequenas empresas.
Recomendamos a todos os gestores e proprietários de empresas a refletir sobre a importância do sigilo de seus dados, o que aconteceria se uma lista de clientes caísse em mãos erradas? Faça um contato conosco e saiba mais sobre a nossa solução DLP.
Referências
- Best Practices for a Successful DLP Implementation – Symantec Connect. Acessado em 03/06/2017.
- Dalton, Curtis. 7 strategies for a successful DLP deployment – CSO Online. Acessado em 03/06/2017.
- Pittenger, Mike. The CISO’s Guide to Data Loss Prevention: DLP Strategy Tips, Quick Wins, and Myths to Avoid – Digital Guardian. Acessado em 04/06/2017.