O que é Data Loss Prevention e como ela se relaciona com o vazamento de dados

Por mais que um projeto de DLP tenha a implementação gerenciada por profissionais de segurança da informação ou do setor de TI, a participação ativa das áreas do negócio é crucial para o seu sucesso

O soldado americano Bradley Manning tornou pública uma grande quantidade de informações sigilosas do governo americano para o WikiLeaks. O ciberataque contra a Sony resultou no vazamento de informações delicadas dos seus colaboradores.

Passado o momento da contextualização e da surpresa inicial diante de fatos como os citados, é preciso aceitar que organizações de variados portes, que lidam com uma quantidade cada vez maior de dados e informações armazenadas, processadas e transportadas em ativos de tecnologia, começam gradativamente a se preocupar sobre como evitar situações de risco.

Hoje temos uma série de alternativas a serem adotadas para diminuir a possibilidade de que ocorrências como essas se concretizem – a Gestão de Riscos para Ativos Tecnológicos, com a finalidade de identificar, analisar, avaliar e tratar os riscos que afetam os objetivos da organização é uma delas. Criação de acordos de confidencialidade para evitar o vazamento de informações sensíveis; treinamentos com foco em conscientização de segurança da informação aos funcionários, prestadores de serviços e outros; e, também, o desenvolvimento de uma política de segurança da informação que viabilize todos os itens mencionados anteriormente também são soluções indispensáveis.

Além de tudo isso, faz-se necessário abordar a solução de segurança Data Loss Prevention – DLP – na qual todas as ocorrências no ambiente, caracterizadas como um possível vazamento de dados ou informações confidenciais sejam visualizadas, remediadas, notificadas e prevenidas. Por mais diferente que seja o ramo da organização, as informações que se julguem confidenciais podem existir e um eventual vazamento pode resultar em impactos de diversos graus para os objetivos de negócios.

Para entender o objetivo de uma solução DLP, três perguntas chaves devem ser feitas:

1 - Onde está minha informação confidencial?
O DLP não é uma “solução mágica”. Ou seja, você não poderá simplesmente disponibilizar todos os seus documentos e arquivos e automaticamente solucionar e distinguir o que é público do que é confidencial. Se faz necessário que o proprietário da informação a classifique. Caso a organização não tenha uma classificação da informação aplicada na cultura, tenha a certeza de que o vazamento de documentos confidenciais pode vir a ocorrer; não por uma falha do DLP, mas sim por não haver nada que aponte que a informação é sensível e requer meios de proteção diferenciados.

2 - Como ela está sendo usada?
Talvez essa pergunta gere dúvidas, mas, ao perceber que integrantes da organização com permissão de acesso a informações sensíveis podem enviar documentos deste tipo para suas respectivas contas de e-mails pessoais sem os deletar posteriormente, ou podem fazer compartilhamento com serviços como Dropbox ou GoogleDocs sem a devida autorização, ou até mesmo podem levá-los para outras empresas, surge, então, a necessidade de monitorar constantemente o seu uso. Dessa forma, uma vez que situações não conformes sejam identificadas, elas podem vir a ser tratadas.

3 - Como posso prevenir o vazamento?
Respostas automáticas podem ser definidas para a execução de ações no momento que uma determinada operação caracterize um possível vazamento, seja uma notificação por e-mail ao gestor da área ou um alerta exibido ao usuário em sua estação de trabalho, alertando-o sobre a possibilidade do documento em uso conter possíveis informações confidenciais, ou até mesmo o bloqueio da ação feita pelo funcionário em sua estação de trabalho.

Uma vez entendida a função do DLP, o primeiro passo em um projeto seria escolha de uma solução, correto? Errado!

Não inicie um projeto de DLP onde o primeiro passo seja a escolha da solução. Como citei anteriormente, alguns requisitos precisam ser atendidos para que o projeto esteja alinhado às necessidades da organização, tais como:

▪A classificação da informação, cujos resultados são apontar quais documentos e informações demandam proteção diferenciada, entre outros.

▪Criar um mapeamento de pessoas ou grupos permitidos para os respectivos documentos sensíveis e quais ações devem ser tomadas ao ocorrer um vazamento.

Agora que você está ciente sobre alguns pontos antes de se iniciar um projeto de implementação de DLP, o próximo passo é escolher uma solução.

segurancaa

Solução DLP
No mercado, estão disponíveis soluções de diferentes fornecedores e as limitações podem existir. Ou seja, sempre verifique se a solução possui algum tipo de restrição com o ambiente, caso positivo, essa restrição se tornará um “ponto cego” no monitoramento. Esse cenário pode ser esclarecido no seguinte exemplo: a utilização de um módulo DLP para monitorar estações de trabalho e o mesmo não é compatível com a aplicação de e-mail usada pela organização. Desta forma, nenhuma informação sensível enviada pelo agente de e-mail será monitorada.

O uso de uma solução com workflow é totalmente recomendável, pois nem todo evento criado no DLP será automaticamente um incidente de segurança, ou seja, um evento criado demanda a necessidade de analisar todas as informações contidas no mesmo, tanto pela equipe responsável por gerenciar a solução, como pela área responsável do negócio. Propriedades para definir a prioridade do tratamento dos eventos é importante, pois uma política habilitada pode gerar uma quantidade considerável de eventos.

Responsabilidades
Por mais que um projeto de Data Loss Prevention tenha a implementação gerenciada por profissionais de segurança da informação ou do setor de TI, a participação ativa das áreas do negócio é crucial para o sucesso do projeto.

Lembre-se, quem deve classificar a informação é o proprietário da mesma. A equipe que está implementando a solução, seja de TI ou de Segurança da Informação, não possui capacidade de interpretar se as informações das áreas do negócio são sensíveis ou não.

Conclusão
Diante do cenário exposto no início do artigo, considerando os números expressivos de incidentes de segurança, as organizações que almejam atingir seus objetivos necessitam avaliar soluções que minimizem que os possíveis eventos indesejados se tornem realidade e acabem por criar algum tipo de impacto ao negócio.

Desta forma, apresentei o DLP como mais um mecanismo a ser adotado na prevenção de vazamento de dados e informações confidenciais, podendo também ser utilizado como insumo para programas de treinamento e conscientização sobre como trabalhar com informações sensíveis. Além disso, aproveitei para pontuar algumas dicas com o intuito de facilitar a implementação da solução. Espero que este artigo seja útil a todos que a desconheciam.