Consideração de solução 5min de Leitura - 06 de setembro de 2016

Data Loss Prevention, melhores práticas

Vassoura varrendo números binários, simulando data loss prevention

This post is also available in: Português English Español

Preservar a integridade e confidencialidade das informações é um desafio constante para os negócios, e que tem crescido de forma assustadora nos últimos anos. A integridade assegura a preservação do dado, enquanto que a confidencialidade, se assim o quiser, garante a privacidade do mesmo para pessoas ou instituições autorizadas.

O desafio de garantir a integridade da informação ao longo do tempo, seja ela armazenada, ou em trânsito, fez com que o mercado se especializasse em criar ferramentas para minimizar o vazamento de informações. Isso não é uma realidade para todos os negócios, mas cada vez mais empresas tem desenvolvido diretrizes digitais para assegurar suas informações.

Existem diversas tecnologias para minimizar os incidentes de segurança, e uma das metodologias mais aplicadas e recomendadas é tratar a defesa em profundidade, adicionando várias camadas para proteger as informações.

Dentre as tecnologias que tem ganhado espaço ao longo do tempo, pode-se destacar o Data Loss Prevention (DLP), que nada mais é do que tecnologias que permitem atuar diretamente na prevenção de vazamento ou perda de informação por parte das empresas. É um conceito amplo, em que suas aplicações podem ser bastante específicas de acordo com a necessidade de cada negócio, respeitando aquilo que se deseja proteger.

Por conta disso, neste post traremos de forma mais abrangente as boas práticas envolvidas para empresas que desejam iniciar seu entendimento quanto ao tema, auxiliando assim no processo de construção de conhecimento até a implantação da solução.

Os variados tipos de dados

Antes de falar especificamente de Data Loss Prevention, é fortemente recomendado que se tenha o entendimento dos variados tipos de dados existentes, possibilitando determinação do tipo de solução mais adequada para cada necessidade.

Em linhas gerais a literatura trás 3 tipos, que estão relacionados não somente ao armazenamento, mas como eles estão representados e acessados no tempo. O primeiro trata de *dados em uso* que são frequentemente utilizados por servidores, notebooks e etc, vinculados a uma atividade recorrente de colaboradores.

O segundo tipo são os *dados em trânsito ou movimento*, utilizados nas redes de computadores. Neste caso as soluções de Data Loss Prevention devem ser capazes de interpretar em nível de rede a ocorrência, classificar e executar as ações de acordo com a política implantada na empresa.

E o terceiro tipo são aqueles dados que ficam armazenados em base de dados ou servidores de arquivos, que a literatura especializada acaba mencionando como dados em descanso.

O mais importante é entender que os tipos de dados exigem estratégias e muitas vezes soluções diferentes para assegurar sua conformidade. Para dados em uso, é necessário prevenir a evasão através de cópia em mídias externas e semelhantes. Para dados em trânsito, o DLP deve ter a capacidade de analisar online os eventos de rede, e para os dados em repouso, a solução deve ser capaz de monitorar pontos sensíveis de dados que não devem ser acessados, copiados ou alterados.

Data loss prevention na identificação e classificação de dados sensíveis

É impossível criar uma política de proteção de informações se não há conhecimento dos tipos de dados existentes na empresa, e classificá-los quanto ao critério de privacidade, risco, local de armazenamento (se houver), e outros que se façam necessários para distinguir uma informação da outra.

Por conta disso, antes de pensar em uma solução de Data Loss Prevention, é preciso fazer a lição de casa com os itens que estão sendo abordados por este artigo, a fim de adquirir de fato um produto que atenda as necessidades do negócio. Implantar um Data Loss Prevention sem ter os dados devidamente classificados e saber aquilo que se deseja proceder, causará naturalmente uma incidência enorme de falsos positivos, que pode inviabilizar o monitoramento e proteção da infraestrutura, bem como a própria rotina de trabalho.

Muitas soluções permitem que essas classificações sejam facilitadas, varrendo os dados e criando os índices que permitem classificar os arquivos e outras representações eletrônicas de dados. Mas caso não seja possível, crie uma organização mínima daquilo que se pretende proteger.

Um aditivo interessante na classificação é colocar um dado que determine quem é o dono, ou responsável, por aquela informação, arquivo, pasta, banco de dados, etc. Isso facilitará na definição de políticas do DLP de quem deve ser notificado em caso de não conformidade, descentralizando o controle de primeira camada do departamento de segurança ou tecnologia da informação.

Definir políticas e monitoramento

Para os tipos de dados, riscos apresentados e formato de armazenamento ou apresentação, provavelmente haverá uma política diferente para controle. Por conta disso, antes de mais nada, defina as políticas de acordo com as capacidades técnicas da solução.

Políticas nada mais são do que um conjunto de regras que determinam um comportamento esperado de um dado ou informação. Qualquer movimentação diferente da normalidade, seja realizada por usuário, ou por intervenção direta de algum software, as ações previstas são tomadas.

Quanto mais simples as políticas forem e conseguirem refletir a necessidade do negócio, mais facilmente será gerenciado o ambiente. É interessante sempre iniciar com ações de monitoramento, desta forma é possível passar por um período de adaptação e entender como as regras estão se comportando com o ambiente. Com o passar do tempo e amadurecimento das políticas, as ações podem ser alteradas aos poucos para não somente monitorar, mas tomar ação de bloqueio em caso de não conformidade.

Caso sua empresa decida implantar solução de Data Loss Prevention, inicie preferencialmente no modo monitor, isso reduzirá consideravelmente o impacto para os usuários e organização, ao mesmo tempo que permitirá testar as políticas que foram implantadas, verificar quais são as mais usadas, o que é mais violado, e fazer os ajustes necessários para rodar 100% em conformidade com a necessidade do negócio.

Educar ou treinar os usuários

O lado humano é sempre um ponto delicado em qualquer mudança, por conta disso é extremamente importante que os mesmos recebam treinamento adequado da mudança, exceto nos casos em que a solução está sendo colocada de maneira transparente para identificar potenciais problemas que já estejam ocorrendo na instituição.

É importante que os recursos humanos sejam devidamente envolvidos neste processo para assegurar de maneira correta os direitos e deveres dos colaboradores com relação aos dados e quais as ações que serão tomadas em caso de violação das políticas criadas. Este é um passo altamente importante, que muitas empresas, especialmente menores, acabam ignorando.

É importante contextualizar que soluções de Data Loss Prevention não são aplicáveis somente para garantir segurança contra vazamento pensado de informação, na realidade, são grandes aliados dos colaboradores, e dessa maneira que devem ser entendidas, como ferramenta complementar a sua própria segurança, dentro do ambiente corporativo.

Por conta disso, é interessante que uma estratégia de Data Loss Prevention, quando combinada com uma solução de endpoint, informe o usuário da não conformidade e permita ao mesmo corrigir e continuar com a operação. Essa é uma maneira importante de educar e trazer os usuários para o uso e propósito adequado da solução.

O universo de soluções de Data Loss Prevention é extremamente extenso, por conta disso, antes mesmo de pensar em alguma solução, veja se seu negócio está devidamente estruturado com as lições básicas trazidas neste documento, e caso afirmativo, dê os próximos passos para fazer uma análise comparativa das soluções com base na necessidade evidenciada.

This post is also available in: Português English Español