Skip to content
Aiqon Blog
Gerenciamento de risco

10 práticas essenciais para política de prevenção de dados – DLP

Publicado

Toda organização independente do tamanho ou setor, precisa de uma estratégia/política de prevenção de perda de dados (DLP) para prevenir que os dados sejam acessados ou deletados impropriamente. Essa estratégia deve focar na proteção dos dados valiosos, sensíveis ou regulados como registros médicos, dados financeiros e propriedade intelectual. A DLP tipicamente envolve tanto as tecnologias como as políticas. Por exemplo, técnicas comuns incluem configurar estações de trabalho dos usuários para bloquear os dispositivos USB e ter políticas formais relacionadas ao compartilhamento de dados confidenciais via e-mail.

Conteudo relacionado: Como construir uma política de classificação de dados

Para uma proteção mais completa, várias organizações implementam um sistema de prevenção de perda de dados, que podem ajudar a:

  • Controlar permissões para acessar ativos de informação
  • Monitorar atividades bem-sucedidas e com falhas nas estações de trabalho, servidores e rede, incluindo quem está lendo ou copiando arquivos e tirando screen shots.
  • A informação de auditoria flui dentro e fora da organização, incluindo os de localidade remota usando notebooks ou outros dispositivos móveis
  • Controlar o número de canais de transferência de informação (como o uso de pen drives ou aplicativos de mensagem instantânea), incluindo a interceptação e bloqueamento do fluxo de dados de saída.

Nesse Artigo

Criando uma política de prevenção de dados

Para criar uma política de prevenção de perda de dados você precisa determinar o nível de proteção requerida. Por exemplo, seu objetivo for encontrar tentativas de acesso não autorizadas ou monitorar a ação de todos os usuários?

Conteudo relacionado: A importância da classificação de dados na prevenção de perda de dados (DLP)

Parâmetros básicos

Os parâmetros básicos que você deve definir

  • Quais dados organizacionais precisam ser protegidos. Identifique exatamente o conteúdo que precisa de proteção. Exemplos incluem Números de segurança social (Como RG), informação de cartão de crédito, segredos de negócio, plantas, dados financeiros e informação pessoal identificável (PII). Tenha certeza de considerar se a sua organização está sujeita a qualquer política de conformidade; se for o caso, você deve proteger todos os dados descritos na política.
  • Onde os dados residem. Para proteger os dados, você precisa identificar todos os locais que eles residem, incluindo compartilhamentos na rede, bancos de dados, armazenamentos na nuvem, e-mail, aplicativos de mensagem instantânea e discos rígidos. Se os funcionários puderem usar seus próprios dispositivos para acessar o seu ambiente de TI, estes dispositivos devem ser protegidos também.
  • Condições para acessar diferentes tipos de dados. Diferentes tipos de dados requer diferentes níveis de proteção. Por exemplo, as organizações compartilham alguns dados livremente com o público, enquanto outros dados são secretos e devem estar disponíveis apenas a alguns indivíduos. Marcações digitais e marcas d’agua te ajudarão a atribuir apropriadamente o acesso a cada pedaço dos dados.
  • Ações a se tomar em caso de informação de segurança. Passos a serem tomados quando uma atividade suspeita é detectada e quem é responsável por cada um deles. Lembre-se que as soluções de DLP podem responder automaticamente, como bloqueando a operação ou enviando uma notificação ao serviço de segurança.
  • Qual informação pode ser arquivada e quando. Sua política DLP deve detalhar as regras para arquivamento de dados, como sua trilha de auditoria e a informação sobre incidentes de segurança de TI. Lembre-se que você precisa assegurar o seu sistema de arquivo contra ataques externa e ameaças interna, como um administrador de sistema que pode alterar os registros no arquivo.
  • Ameaças. Sua política deve considerar possíveis casos de vazamento e avaliar a possibilidade da ocorrência e o dano que seria causado.

Status dos dados

Ao longo do refinamento das políticas, lembre-se de considerar os dados em todas as suas formas.

  • Dado em repouso – Informação armazenada em bancos de dados, repositórios na nuvem, computadores, notebooks, dispositivos móveis entre outros.
  • Dado em trânsito – Dados que estão sendo transmitidos entre duas partes (por exemplo, durante uma transação de pagamento)
  • Dado em utilização – Dados que estão sendo trabalhados que podem ser modificados.

Aplique esse conhecimento para ajudar o fluxo de dados da sua organização e os caminhos de transmissão permitidos para diferentes tipos de documentos. Crie regras que especifiquem as condições para o processamento, modificação, cópia, impressão e outros usos desses dados. Tenha certeza de incluir processos de negócio realizado com aplicações e programas que acessam dados confidenciais.

Preocupação legais

Tenha certeza de avaliar os potenciais ramificações legais da sua política de DLP, em particular, gravar a ação de funcionários em vídeo pode ser visto como uma violação dos direitos constitucionais e alertas falsos no seu sistema de DLP pode gerar conflitos com funcionários com ações legitimas flagradas como suspeitas. Opções para endereçar esses problemas pode incluir modificar acordos com funcionários e treiná-los com as políticas de segurança.

Como as soluções de DLP funcionam

Uma vez criada a política de DLP no papel, você pode focar em configurar políticas apropriada no seu sistema de DLP. Tipicamente, o sistema de DLP tem um conjunto de regras especificas seguidas de forma rígida pelo programa. Cada regra consiste de uma condição e ação que precisa ser tomada quando essa condição é feita. As regras são ranqueadas por prioridade e o programa as processa em ordem. Algumas soluções incluem tecnologias de Machine learning que geram ou aprimoram regras.

Leia também:  Detecção de Ameaça Interna

Por exemplo, o processo pode seguir dessa forma:

  • Uma regra identifica o incidente (por exemplo, um usuário tentando enviar informação sensível por um aplicativo de mensagem instantânea)
  • A solução bloqueia a mensagem de ser enviada
  • A solução gera o relatório com detalhes do incidente, incluindo o usuário envolvido, e o envia para um endereço de e-mail especifico (como o oficial de segurança de TI) ou o armazena em um compartilhamento especifico, especificado pela sua política de DLP.

Técnicas de detecção

A principal função de um sistema de DLP é detectar a informação confidencial em um fluxo de dados. Diferentes sistemas usam diferentes métodos, incluindo:

  • Criar impressões digitais de informações protegidas
  • Afixar marcações as informações
  • Procurar por certas palavras chave e expressões regulares encontradas em diversos tipos de documentos sensíveis (como contratos e declarações financeiras)
  • Usar análise de texto

Naturalmente, precisão é crucial, falsos negativos, a falha em encontrar informação que é sensível, pode levar a brechas não detectadas. Falsos positivos, alertas em dados que não são sensíveis, que faz com que a equipe de segurança perca tempo e recurso e leva-os a confrontar usuários acusados falsamente de comportamento improprio. Logo, você deve procurar por uma solução de DLP que minimiza ambos falsos positivo e negativo.

Melhores práticas de DLP

As técnicas de DLP e auditoria devem ser usadas para forçar continuamente as políticas de uso de dados. O objetivo é saber como os dados estão sendo usados, onde estão indo ou foram e se eles cumprem os padrões de política de conformidade como a LGPD. Quando um evento suspeito é detectado, notificações em tempo real devem ser enviadas aos administradores para que eles possam investigar. Os violadores devem sofrer as consequências descritas na política de segurança de dados.

As melhores práticas de DLP a seguir te ajudara a proteger seus dados sensíveis de ameaças internas e externas.

1 – Identifique e classifique dados sensíveis

Para proteger os dados de forma efetiva, você precisa saber exatamente quais tipos de dados você tem. A tecnologia de descobrimento de dados irá scanear seus repositórios de dados e relatar o que foi encontrado, te dando a visibilidade que você precisa no conteúdo que você precisa proteger. Motores de descobrimento de dados normalmente usam RegEx para suas buscas; elas são flexíveis mas um pouco complicadas de criar e ajustar.

Usar a tecnologia de descobrimento e classificação de dados te ajuda a controlar o acesso aos dados do usuário e te ajuda a evitar armazenar dados sensíveis em localidades seguras, reduzindo o risco de brechas de dados e perda de dados. Toda a informação critica ou sensível deve ser marcada com uma assinatura digital que denota sua classificação, para que você proteja de acordo com o valor para a sua organização. Ferramentas de terceiros como o Netwrix Data Classification, podem fazer o descobrimento e classificação de dados de forma mais fácil e mais precisa.

Com os dados sendo criados, armazenados ou transmitidos, a classificação pode ser atualizada. Entretanto, os controles devem estar em dia para prevenir que os usuário falsifiquem os níveis de classificação. Por exemplo, apenas usuários privilegiados devem ser capazes de rebaixar a classificação do dado.

Siga estes guias para criar uma política forte de classificação de dados. E não esqueça de realizar o descobrimento e classificação de dados como parte do seu processo de avaliação de risco de TI.

política dlp classificação de dados

Listas de controle de acesso

Uma lista de controle de acesso (ACL) é uma lista de quem pode acessar qual recurso e a que nível. Ela pode ser parte um sistema operacional ou aplicação. Por exemplo, uma aplicação customizada pode ter uma ACL que lista quais usuários tem permissão naquele sistema.

ACLs podem ser baseadas em listas brancas e listas negras. Uma lista branca é uma lista de itens que podem ser permitidos como lista de sites que os usuários podem visitar usando os computadores da companhia ou uma lista de softwares terceiros que podem ser instalados nos computadores. Listas negras são uma lista de coisas proibidas, como sites específicos que funcionários não podem acessar ou softwares proibidos dentro da empresa.

Listas brancas são usadas de forma mais comum e elas são configuradas no nível de sistema de arquivos. Por exemplo, no Microsoft Windows você pode configurar as permissões de NTFS e criar ACLs de NTFS a partir delas. Você pode encontrar mais informações sobre como configurar propriamente as permissões de NTFS nessa lista de melhores práticas de gerenciamento de permissões NTFS. Lembre-se que os controles de acesso devem ser implementados em todas as aplicações que tem controles de acesso com base em função (RBAC); como os grupos do AD e as delegações.

Leia também:  As senhas fracas estão te colocando em risco?

2 – Use a criptografia de dados

Todos os dados críticos do negócio devem ser criptografados enquanto em repouso ou trânsito. Dispositivos portáteis devem usar soluções de disco criptografáveis se eles contém algum dado importante.

Criptografar esses discos rígidos dos computadores e laptops ajudará a evitar a perda de informação critica mesmo que os atacantes tenham acesso ao dispositivo. A forma mais básica de criptografar os dados nos sistema Windows é a tecnologia Encrypting File System (EFS). Quando um usuário autorizado abre o arquivo, o EFS o descriptografa e oferece uma cópia não criptografada para a aplicação. Usuários autorizados podem ver ou modificar o arquivo e o EFS salvará a alteração de forma transparente como dado criptografado. Mas usuários não autorizados não podem ver o conteúdo do arquivo mesmo eles tendo acesso completo ao dispositivo, eles receberão um erro de acesso negado, prevenindo a brecha.

Outra tecnologia de criptografia da Microsoft é o BitLocker. Ele complementa o EFS oferecendo uma camada adicional de proteção para armazenamento em dispositivos Windows. O BitLocker protege os dispositivos de Endpoint que estão perdidos ou foram roubados de roubo de dados ou exposição e oferece o descarte seguro dos dados quando você desativa um dispositivo.

Criptografia com base no hardware.

Além da criptografia com base no software, a criptografia com base no hardware pode ser aplicada. Dentro das configurações avançadas em algumas BIOS, você pode escolher permitir ou não um modulo de plataforma confiável (TPM), que é um chip que pode armazenar chaves criptográficas, senhas e certificados. Um TPM pode auxiliar com uma geração de chave hash e pode proteger outros dispositivos fora computadores, como smartphones. Ele pode gerar valores usados em toda criptografia de disco, como o BitLocker. Um chip TPM pode ser instalado na placa mãe.

3 –  Aprimore os seus sistemas

Qualquer lugar onde os dados sensíveis podem residir, mesmo que temporariamente, devem ser assegurados com base nos tipos de informação que os sistemas podem potencialmente ter acesso. Isso inclui todos os sistemas externos que podem ter acesso na rede interna via conexão remota com privilégios significantes, já que a rede é tão segura quanto seu elo mais fraco. Entretendo, a usabilidade ainda deve ser levada em consideração, e o balanço entre funcionalidade e segurança deve ser determinado.

Linha de base do SO

O primeiro passo é assegurar que seus sistemas tenham certeza de que a configuração do sistema operacional seja o mais seguro possível. A maioria dos sistemas operacionais vem com serviços desnecessários que devem dar aos atacantes mais campo para comprometimento. Os únicos programas e serviços que devem estar habilitados são os que são essenciais para seus funcionários realizarem seu trabalho. Se alguma coisa não tem um propósito de negócio, ela deve ser desabilitada. Também pode ser benéfico criar uma imagem base do SO usada para o funcionário padrão. Se alguém precisar de alguma funcionalidade adicional ela pode ser revista caso-a-caso. Os sistemas operacionais Windows e Linux cada um tem suas próprias configuração de linha de base.

4 – Implemente uma estratégia de gerenciamento de patch rigorosa

Garantir que todos os sistemas operacionais e aplicações do seu ambiente de TI estejam atualizados é essencial para a proteção de dados e segurança cibernética. Enquanto algumas coisas como atualizações as assinaturas das ferramentas de antivírus podem ser automatizadas, patches infraestrutura critica deve ser testada antes para garantir que não há um comprometimento na funcionalidade e nenhuma vulnerabilidade foi introduzida ao sistema.

5 – Atribua funções

Defina claramente a função de cada indivíduo envolvido na estratégia de prevenção de perda de dados. Especifique quem tem quais dados, quais oficiais de segurança de TI estão responsáveis por quais aspectos da investigações de incidentes de segurança, entre outros.

6 – Automatize o máximo possível

Quando mais processos da política de DLP são automatizados, mais amplamente você será capaz de implementá-la na sua organização. Processos manuais de DLP são herdados em um escopo limitado e não podem escalar para cumprir as suas necessidades com exceção de microempresas.

7 – Use a detecção de anomalia

Para identificar o comportamento anormal do usuário, algumas soluções de DLP suplementam a análise estatística simples e regras de correlação com machine learning e analíticas de comportamento. Gerando um modelo de comportamento normal para cada usuário e grupo de usuário torna a detecção de atividade suspeita que pode resultar em vazamento de dados mais precisa.

8 – Eduque as partes interessadas

Colocar uma política de DLP não é o suficiente. Invista em fazer as partes interessadas e usuários se tornarem cientes da política e da sua significância e o que eles precisam fazer para manter os dados da organização seguros.

9 – Estabeleça métricas

Meça a efetividade da sua estratégia de DLP usando métricas como porcentagem de falso positivo, o número de incidentes e o tempo médio para resposta a incidentes.

10 – Não salve dados desnecessários

Qualquer organização deve armazenar apenas a informação que é essencial. Dados que você não tem não podem se perder.

Artigos recomendados

Publicado

Detecção de Ameaça Interna

Incidentes de ameaças internas cresceram 44% ao longo dos últimos dois anos e o custo dos incidentes agora chegam a US$15,3 milhões […]

Comente o que achou do artigo