Em 2014, 20.6% dos incidentes de segurança da informação tiveram como causa o uso indevido de privilégios; e 29.4% ocorreram por ações não intencionais que comprometeram a segurança de um ativo da informação. Estes são os dados do relatório de investigações de violação de dados da Verizon, empresa especializada em telecomunicações. Como se sentir confortável diante deste cenário de risco constante? É um campo minado que exige muita cautela e atenção para traçar uma rota segura para todos os detentores e usuários do ativo da Informação.

Recentemente, muitos desses casos tangíveis às múltiplas relações da sociedade em que somos imersos – vida privada, vida pública, família, escola, trabalho – têm sido publicados pelos noticiários nacionais. O vazamento de dados do Colégio Bandeirantes, em março deste ano, por exemplo, chamou muita atenção ao envolver a divulgação não consensual de atas de reuniões com informações sigilosas, relacionadas à vida pessoal de alunos. Ao buscar e acessar notícias que abordam o tema de um modo geral, nota-se diversos comentários e questionamentos sobre a responsabilidade, a necessidade de documentar informações pessoais que arrisquem violar a privacidade e os negócios, e, consequentemente, sobre as medidas que precisam ser adotadas para evitar acontecimentos deste tipo.

Para quem está na área de Segurança da Informação ou, de alguma forma, envolvido nesse espaço, a mencionada notícia é apenas mais uma entre tantas outras que se acumulam ao longo de um passado recente. Podemos citar também o caso do soldado americano Bradley Manning que tornou pública uma grande quantidade de informações sigilosas do governo americano para o WikiLeaks; ou, ainda, o ciberataque contra a Sony no fim do ano passado, resultando no vazamento de informações delicadas dos seus colaboradores.

Passado o momento da contextualização e da surpresa inicial diante de dados alarmantes, é preciso aceitar que organizações de variados portes que lidam com uma quantidade cada vez maior de dados e informações armazenadas, processadas e transportadas em ativos de tecnologia, ganham gradativamente maior preocupação sobre como evitar situações de risco.

Hoje temos uma série de alternativas a serem adotadas para diminuir a possibilidade de que ocorrências como essas se concretizem – a Gestão de Riscos para Ativos Tecnológicos, com a finalidade de identificar, analisar, avaliar e tratar os riscos que afetam os objetivos da organização é uma delas. Criação de acordos de confidencialidade para evitar o vazamento de informações sensíveis; treinamentos com foco em conscientização de segurança da informação aos funcionários, prestadores de serviços e outros; e, também, o desenvolvimento de uma política de segurança da informação que viabilize todos os itens mencionados anteriormente também são soluções indispensáveis.

Além de tudo isso, faz-se necessário abordar a solução de segurança Data Loss Prevention – DLP – na qual todas as ocorrências no ambiente, caracterizadas como um possível vazamento de dados ou informações confidenciais sejam visualizadas, remediadas, notificadas e prevenidas. Por mais diferente que seja o ramo da organização, as informações que se julguem confidenciais podem existir e um eventual vazamento pode resultar em impactos de diversos graus para os objetivos de negócios.

Para entender o objetivo de uma solução DLP, três perguntas chaves devem ser feitas:

Onde está minha informação confidencial?

O DLP não é uma “solução mágica”. Ou seja, você não poderá simplesmente disponibilizar todos os seus documentos e arquivos e automaticamente solucionar e distinguir o que é público do que é confidencial. Se faz necessário que o proprietário da informação a classifique. Caso a organização não tenha uma classificação da informação aplicada na cultura, tenha a certeza de que o vazamento de documentos confidenciais pode vir a ocorrer; não por uma falha do DLP, mas sim por não haver nada que aponte que a informação é sensível e requer meios de proteção diferenciados.

Como ela está sendo usada?

Talvez essa pergunta gere dúvidas, mas, ao perceber que integrantes da organização com permissão de acesso a informações sensíveis podem enviar documentos deste tipo para suas respectivas contas de e-mails pessoais sem os deletar posteriormente, ou podem fazer compartilhamento com serviços como Dropbox ou GoogleDocs sem a devida autorização, ou até mesmo podem levá-los para outras empresas, surge, então, a necessidade de monitorar constantemente o seu uso. Dessa forma, uma vez que situações não conformes sejam identificadas, elas podem vir a ser tratadas.

Como posso prevenir o vazamento?

Respostas automáticas podem ser definidas para a execução de ações no momento que uma determinada operação caracterize um possível vazamento, seja uma notificação por e-mail ao gestor da área ou um alerta exibido ao usuário em sua estação de trabalho, alertando-o sobre a possibilidade do documento em uso conter possíveis informações confidenciais, ou até mesmo o bloqueio da ação feita pelo funcionário em sua estação de trabalho.

Uma vez entendida a função do DLP, o primeiro passo em um projeto seria escolha de uma solução, correto? Errado!

Não inicie um projeto de DLP onde o primeiro passo seja a escolha da solução. Como citei anteriormente, alguns requisitos precisam ser atendidos para que o projeto esteja alinhado às necessidades da organização, tais como:

  • A classificação da informação, cujos resultados são apontar quais documentos e informações demandam proteção diferenciada, entre outros.
  • Criar um mapeamento de pessoas ou grupos permitidos para os respectivos documentos sensíveis e quais ações devem ser tomadas ao ocorrer um vazamento.

Agora que você está ciente sobre alguns pontos antes de se iniciar um projeto de implementação de DLP, o próximo passo é escolher uma solução.

Solução DLP

No mercado, estão disponíveis soluções de diferentes fornecedores e as limitações podem existir. Ou seja, sempre verifique se a solução possui algum tipo de restrição com o ambiente, caso positivo, essa restrição se tornará um “ponto cego” no monitoramento. Esse cenário pode ser esclarecido no seguinte exemplo: a utilização de um módulo DLP para monitorar estações de trabalho e o mesmo não é compatível com a aplicação de e-mail usada pela organização (Outlook ou Notes). Desta forma, nenhuma informação sensível enviada pelo agente de e-mail será monitorada.

O uso de uma solução com workflow é totalmente recomendável, pois nem todo evento criado no DLP será automaticamente um incidente de segurança, ou seja, um evento criado demanda a necessidade de analisar todas as informações contidas no mesmo, tanto pela equipe responsável por gerenciar a solução, como pela área responsável do negócio. Propriedades para definir a prioridade do tratamento dos eventos é importante, pois uma política habilitada pode gerar uma quantidade considerável de eventos.

Responsabilidades

Por mais que um projeto de Data Loss Prevention tenha a implementação gerenciada por profissionais de segurança da informação ou do setor de TI, a participação ativa das áreas do negócio é crucial para o sucesso do projeto.

Lembre-se, quem deve classificar a informação é o proprietário da mesma. A equipe que está implementando a solução, seja de TI ou de Segurança da Informação, não possui capacidade de interpretar se as informações das áreas do negócio são sensíveis ou não.

Conclusão

Diante do cenário exposto no início do artigo, considerando os números expressivos de incidentes de segurança, as organizações que almejam atingir seus objetivos necessitam avaliar soluções que minimizem que os possíveis eventos indesejados se tornem realidade e acabem por criar algum tipo de impacto ao negócio.

Desta forma, apresentei o DLP como mais um mecanismo a ser adotado na prevenção de vazamento de dados e informações confidenciais, podendo também ser utilizado como insumo para programas de treinamento e conscientização sobre como trabalhar com informações sensíveis. Além disso, aproveitei para pontuar algumas dicas com o intuito de facilitar a implementação da solução. Espero que este artigo seja útil a todos que a desconheciam.

richardmendeslimaRichard Mendes Lima é Consultor de Projetos da Módulo, pós-graduado em Segurança de Redes de Computadores e certificado em MCSO, MCRM, ISO 27002 e ITIL. Atuou como colunista para TI Especialistas e Portal GSTI.

 
Leia também:

>> Gestão de Riscos da Informação é para os fortes

>> Como construir um diferencial competitivo com a Gestão de Segurança da Informação

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/05/20150513_post_dlp.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/05/20150513_post_dlp.pngRichard LimaCiberdefesaGestão de RiscosSegurança da Informaçãodata loss prevention,dlp,segurança da informação,vazamento de dados
Em 2014, 20.6% dos incidentes de segurança da informação tiveram como causa o uso indevido de privilégios; e 29.4% ocorreram por ações não intencionais que comprometeram a segurança de um ativo da informação. Estes são os dados do relatório de investigações de violação de dados da Verizon, empresa especializada...