A proteção dos recursos digitais e da propriedade intelectual está se tornando cada vez mais um desafio para as organizações. Contestações de patentes e batalhas judiciais crescentes pela propriedade intelectual ilustram a importância de proteger a propriedade intelectual a fim de ganhar vantagem competitiva. Um relatório do escritório de Marcas e Patentes dos EUA publicado em 2010 estima que 5.06 trilhões de dólares em valor agregado, ou 34.8% do produto interno bruto dos Estados Unidos¹, são gerados pelas indústrias que dependem da propriedade intelectual. Além disso, as organizações tratam dados confidenciais pessoais, financeiros ou do negócio que são governados por leis e normas em jurisdições tanto locais como internacionais. As organizações precisam tomar medidas adequadas contra perda ou vazamento de dados.

Estudos recentes descrevem pirataria externa como a causa primária da perda de dados no mundo corporativo^{2, 3}, porém, as organizações têm poucos mecanismos de diagnóstico e comunicação de perdas ocorridas internamente. Modernas arquiteturas tecnológicas, como firewalls, sistemas de detecção de intrusões, verificação de vulnerabilidade e testes de intrusão são desenvolvidos primariamente para proteger a rede contra ameaças externas. Encontrar perdas ou vazamento de dados internamente requer arquiteturas diferentes com foco no tratamento de dados dentro da organização, bem como no fluxo de saída de dados. Todos os dias uma grande quantidade de dados sai em forma de emails, upload de dados, transferência de arquivos e mensagens instantâneas a partir da rede da organização. As ameaças de perda de dados interna podem acontecer por sabotagem interna da área de Tecnologia da Informação (TI), roubo por pessoas da organização, de propriedade intelectual ou dados confidenciais, fraude, negligência ou erro humano.⁴ Uma grande porcentagem de perda de dados interna ocorre por negligência do usuário, e não por intenção maliciosa.^{5, 6} Perdas de dados internas, acidental ou negligente ocorrem devido ao mau entendimento das práticas de uso de dados por parte do pessoal interno, ausência de políticas ou normas, ou erros do usuário.⁷ As soluções de prevenção de perdas de dados (também chamadas DLP) focalizam em perdas de dados intencionais ou acidentais, principalmente por fontes internas, através da definição de políticas dentro do sistema para prevenir ou detectar a evasão de dados confidenciais.

Soluções DLP evoluíram de várias formas desde 2006/2007⁸ como uma abordagem corporativa integrada para prevenir, detectar e responder à disseminação não autorizada de vários dados confidenciais através da rede da organização. A prevenção de perda de dados foi identificada como um dos 20 controles mais críticos para a segurança das organizações.⁹ Entretanto, pesquisas recentes indicam que a adoção e utilização de tecnologias DLP é baixa, e geralmente mal sucedida.¹⁰ Pesquisas também revelaram que soluções DLP estão sendo implementadas apenas em áreas limitadas, como monitoração de web e email, e não como uma solução integrada.¹¹

Alguns problemas comuns não são considerados adequadamente durante a implementação de soluções DLP. Dez considerações essenciais que podem ajudar as organizações a planejar, implementar, obrigar o cumprimento e gerenciar as soluções DLP, agregando valor à organização, são descritas aqui.

Soluções DLP: Como Funcionam

Soluções DLP usam varredura e tecnologias de inspeção detalhada de conteúdo (DCI) para identificar a sensitividade do conteúdo e prevenir ou bloquear a saída de dados confidenciais da rede da organização. Soluções integradas de DLP também suportam criptografia de dados ou de mídia, coleta de dados relacionados a malware, monitoração de acesso a armazenamento de dados confidenciais, e descoberta de dados e classificação. Endpoints, gateways de armazenamento e de transferência de dados são monitorados, e determinadas atividades ou movimento de dados são bloqueados através de definições e implementação de políticas DLP apropriadas.

De forma abrangente, as soluções DLP têm como objetivo atividades em três níveis:

• Nível do cliente (em operação)—Políticas são definidas e implementadas, tendo como alvo endpoints usados por empregados para operações do dia-a-dia. Atividades do usuário que violam políticas previamente definidas são monitoradas ou bloqueadas por agentes DLP instalados nos terminais do usuário.
• Nível de rede (em trânsito)—As políticas DLP têm como foco os movimentos fora da rede da organização. Dados transmitidos de um local para outro são monitorados e, se necessário, bloqueados pelo sistema DLP nos gateways de rede ou de email. Pacotes de dados transmitidos são inspecionados usando técnicas de revisão “deep packet-level” para verificar a natureza do conteúdo em trânsito. Transferências de dados através de email (SMTP), web (HTTP/HTTPS) e transferência de arquivos (FTP/FTPS) são comparadas com as políticas para prevenir ou detectar vazamento de dados confidenciais.
• Nível de armazenamento (em descanso)—O alvo neste caso são os dados estáticos armazenados nos servidores. Dados sensíveis armazenados em repositórios são varridos de acordo com determinadas regras, usando “crawlers” para identificar a localização e avaliar a sensibilidade dos dados e a adequação da localização de acordo com a política. Varreduras de descobrimento são usadas para classificar ou selecionar os arquivos e então, monitorar seu acesso.

10 Considerações Essenciais

Com base em lições aprendidas na revisão de implementações DLP, aqui estão 10 considerações essenciais que podem ajudar as organizações a implementar uma solução DLP como mecanismo de proteção de dados:

1. Implementar uma abordagem holística e uma proposição de valor para DLP baseados em uma avaliação de risco–Soluções DLP deveriam ser consideradas como parte de um mecanismo de segurança e estratégia de proteção de dados. É importante entender a arquitetura de segurança existente e avaliar de que maneira uma solução DLP pode adicionar proteção. A avaliação deveria considerar que informação a organização deseja proteger, o risco de segurança baseado na arquitetura de segurança atual e futura, o custo total, e os benefícios de valor agregado pela introdução da solução DLP. Uma análise de custo-benefício objetiva, avaliando o custo da perda de dados, o custo total da implementação e gerenciamento, e benefícios potenciais fornecem a proposição de valor para uma solução DLP. Uma proposição de valor DLP e uma decisão de continuidade deve ser baseada em uma avaliação e análise de risco objetiva, considerando a direção atual e futura do negócio.
2. Envolver as pessoas adequadas com o modelo de organização adequado—As equipes do negócio tem uma grande participação na prevenção e detecção de fluxo de dados confidenciais. O requisito ou a necessidade de estabelecer políticas de DLP podem vir de várias fontes: políticas corporativas (da alta gerência), avaliações de risco (pela gestão de riscos), de eventos recentes relacionados com segurança (de segurança de TI, jurídica, ou gerência de conformidade) e ameaças/preocupações ad hoc. Políticas DLP devem atender requisitos legais e de privacidade de dados. Representantes de departamentos-chave, tais como pesquisa e desenvolvimento, engenharia, conformidade e jurídico podem contribuir para desenvolver políticas baseadas nos seus respectivos riscos. Um dos fatores principais de sucesso é envolver as pessoas corretas com papéis e responsabilidades definidos desde o início. A equipe de DLP deve possuir representantes que são responsáveis por proteção de dados, proprietários da informação e aqueles com funções chave, TI e de várias unidades de negócio. Membros da equipe também devem receber treinamento apropriado sobre o sistema DLP, seu uso e limitações para permiti-los contribuir efetivamente para a implementação. O líder da equipe deve ter um bom conhecimento de requerimentos organizacionais e do negócio e do sistema DLP e ser habilitado a controlar problemas relacionados com DLP.
3. Identificar dados confidenciais e entender como eles são tratados—Tecnologias de proteção de dados centradas em conteúdo como DLP dependem muito de uma correta classificação da informação confidencial. Políticas DLP são definidas inicialmente visando documentos confidenciais e seu tratamento dentro da organização. Simplificar atividades de manuseio de dados da criação ao arquivamento e remoção através de políticas e práticas deveria ser um passo necessário para a aplicação com sucesso da DLP. A identificação e a classificação dos dados confidenciais de acordo com as políticas e diretrizes da organização são passos importantes na execução de uma estratégia abrangente de proteção de dados. Entender como esses dados confidenciais são manuseados, quais são os cenários de exceção, e quais cenários devem ser evitados ou bloqueados, também é requerido para definição das políticas DLP. As políticas e procedimentos devem guiar claramente os empregados sobre as práticas apropriadas ou não apropriadas. Treinamento e conscientização podem ajudar a atingir esse objetivo.
4. Implementar em fases, baseado no progresso—As soluções DLP fornecem uma grande variedade de opções de implementação, permitindo às organizações focalizar em áreas de alto risco. As opções mais usadas em DLP são monitoração de e-mail, web e USB/flash-drive. A implementação inicial deve ser restrita a uma região ou divisão. Uma abordagem em fases, priorizando módulos e visando endpoints chave, permite aprender com a experiência antes de uma aplicação mais abrangente. Deve-se planejar um “road map” de implementação, com objetivos e pontos de controle para revisão do progresso, incluindo decisões de continuidade da implementação. Os módulos poderiam ser primeiramente executados em pequenos grupos ou áreas para refinar as políticas e minimizar o impacto sobre o negócio. A equipe de implementação deve revisar os resultados iniciais objetivamente, incluindo oportunidades de melhoria, benefícios e impacto sobre as operações.
5. Minimizar o impacto na performance do sistema e nas operações do negócio—DLP coleta informações de muitos endpoints e consome uma largura de banda considerável. Agentes instalados nos endpoints e em pontos de monitoração a nível de pacotes de dados nos gateways de rede pode também impactar a performance do usuário. Políticas mal definidas podem desencadear um número grande de eventos e assim impactar a performance do usuário. Isto pode gerar insatisfação entre os usuários e impactar de maneira adversa o programa DLP. A implementação em fases discutida anteriormente, aliada a testes adequados de políticas, pode ajudar a minimizar o impacto na performance e promover uma experiência positiva para o usuário. A infra-estrutura de DLP e a capacidade da rede tem que ser planejadas adequadamente para minimizar o impacto para o negócio. Teste adequado de políticas num ambiente de teste pode ajudar a entender a eficácia da política e o impacto potencial sobre o negócio antes de uma implementação mais ampla. Monitoração periódica e medição dos impactos na performance do sistema e dos usuários pode ajudar a avaliar o impacto negativo que resultaria de políticas DLP mal configuradas.
6. Criar políticas DLP relevantes e processos de gerenciamento das políticas— Criar políticas relevantes e com significância é primordial à estratégia de DLP. A Figura 1 mostra operações de DLP típicas numa organização. As políticas são criadas para monitorar ou bloquear (evitar) a saída de dados confidenciais da rede da organização. Um processo estruturado de solicitação e revisão da política pode ajudar a garantir que as políticas definidas sejam significantes e relevantes e não se sobreponham a outras políticas existentes. Modificações nas políticas devem ser tratadas através de um processo controlado. As políticas DLP também necessitam de uma revisão periódica para se adaptar a mudanças na tecnologia, práticas do negócio ou a novos cenários de riscos. Para uma implementação de sucesso é necessário estabelecer um processo de gestão do ciclo de vida das políticas (figura 2) desde a solicitação até a modificação/remoção e envolvendo as pessoas adequadas. O processo deve incluir uma atividade de gestão de mudanças robusta, incluindo mudanças de emergência para enfrentar ameaças específicas de caráter pontual. Antes de implementar de modo abrangente, deve-se testar as políticas em um ambiente restrito ou de testes, para garantir que elas estejam funcionando devidamente e não causam impacto negativo.
   
   
   
7. Implementar mecanismos eficientes de revisão de eventos e investigação— Eventos iniciados por violações da política e os relatórios das atividades (no bloqueio ou monitoramento) são saídas importantes de uma ferramenta DLP que proporciona informações valiosas e conhecimento. É necessário ter um mecanismo de revisão eficaz e compreensivo para obter os benefícios da solução. Regras de resposta podem ser definidas no sistema para responder de uma determinada forma para cada caso. Alertas podem ser configurados para eventos determinados. Uma equipe de revisão de eventos representativa e competente deve revisar eventos críticos e agir em tempo hábil, para prevenir um impacto negativo para o negócio. Incidentes sérios podem requerer uma investigação detalhada, de preferência por uma equipe diferente. Dados que não são mais necessários devem ser eliminados para liberar espaço. Deve-se estabelecer regras apropriadas de resposta a eventos baseadas em risco para cada política definida, para identificar e dar prioridade a eventos incomuns. A equipe de revisão de eventos deve ter conhecimento adequado dos riscos de negócio. O feedback das revisões de eventos para os donos das políticas, pode ser útil para refinar as políticas e tomar medidas efetivas para reduzir os erros (casos identificados erroneamente) dos eventos ocorridos. Revisão e investigação dos eventos devem ser feitas com cuidado, seguindo procedimentos estabelecidos para estar em conformidade com as políticas, leis e regulamentações.
8. Fornecer análise e relatórios significativos—Eventos ativados pelas políticas DLP dão informações úteis sobre onde, quando e como os dados confidenciais estão armazenados e usados dentro da organização. Os eventos podem ser analisados desmembrando-os em políticas individuais, departamentos, regiões e tendências. A imagem geral pode dar uma idéia das práticas atuais de utilização de dados e onde a organização precisa de conscientização e treinamento adicional. Um programa DLP efetivo pode fortalecer as práticas atuais quando precisam de melhorias. Um processo significativo de análise e reporte pode ajudar os donos das políticas a melhorar a eficácia de suas políticas DLP. Perfis de eventos e tendências também podem ajudar a criar ou refinar políticas e diretrizes. Relatórios periódicos devem ser configurados para comunicar padrões e tendências de perdas de dados para as partes interessadas para melhorar as práticas de controle e modificar as políticas, se necessário. Um dos fatores críticos de sucesso de uma análise é desenvolver os indicadores corretos (métricas) e padrões adequados e análise de tendências para capturar as mudanças e exceções. Em geral, os eventos de perda de dados devem reduzir progressivamente para cada política, se suportados por programas de conscientização e outras ações da gerência (figura 3).
9. Implementar medidas de segurança e conformidade— Sistemas DLP coletam uma quantidade grande de dados, dos quais alguns podem ser de natureza pessoal. O uso dos dados pessoais coletados deve estar em conformidade com as leis de privacidade de dados e regulamentação dos países nos quais os dados são coletados. Os dados podem também ser de natureza do negócio; portanto, é crítico gerenciar o sistema DLP e os dados capturados de maneira segura e em conformidade com as leis e diretrizes aplicáveis. Da mesma forma que outras tecnologias, DLP tem suas próprias limitações em prevenir ou detectar todos os eventos de perda de dados em um mundo de tecnologia dinâmica. Desta forma é necessário entender os cenários de alto risco em potencial nos quais a tecnologia DLP pode ser desativada por razões maliciosas e trabalhar com as equipes de segurança de TI para construir medidas de segurança robustas. Práticas seguras e controladas para criar, atualizar e remover as configurações das políticas e gerenciamento de eventos no sistema DLP e segregação de funções apropriada devem fortalecer a segurança em geral. Baseando-se no escopo da implementação, é importante conhecer os requisitos de privacidade de dados aplicáveis e tomar as medidas apropriadas, tais como notificação ao empregado e consentimento do mesmo, se necessário. A equipe de DLP deve fazer parte da estrutura de governança corporativa e trabalhar em conjunto com outras equipes de segurança para garantir proteção de dados.
10. Implementar um mecanismo de fluxo de dados organizacional e supervisão—Compartilhamento de dados e fluxos de dados das informações do negócio são o salva-vidas de uma organização inovadora. Todo dia, no curso da operação normal do negócio, as organizações compartilham dados com vários grupos, como fornecedores, clientes, parceiros de pesquisa, organizações de regulamentação e vendedores. Ao proteger perda ou vazamento de dados confidenciais, as organizações devem também garantir que as soluções DLP não dificultem o fluxo de dados legítimos dentro ou fora da organização. Uma equipe de supervisão deve revisar os benefícios de DLP para o negócio de maneira continua e também verificar o impacto no fluxo de dados legítimos dentro da organização. Os benefícios do negócio de um programa DLP precisam de verificação periódica por uma equipe de supervisão. Cenários onde a tecnologia muda rapidamente podem também afetar a eficácia da solução DLP; DLP pode não conseguir capturar todas as exceções. A equipe de supervisão precisa revisar os custos totais e benefícios do programa DLP de forma periódica. A equipe de supervisão pode também dar a direção estratégica para o programa DLP baseado nas revisões periódicas.

Conclusão

Garantir que a organização tome medidas adequadas para proteger contra perda ou vazamento de dados é uma responsabilidade importante do departamento de TI. A gerência tem que dar garantias às partes interessadas que as medidas para proteger os ativos digitais confidenciais, incluindo propriedade industrial e dados pessoais e financeiros, foram postas em prática. Uma solução DLP completa e integrada deve fornecer controles razoáveis para proteger perda de dados de origem interna. Ao mesmo tempo, implementar uma solução DLP em organizações maiores precisa de um planejamento cuidadoso, implementação sistemática e processos efetivos. As 10 considerações essenciais identificadas mostram em estágios diferentes o que pode impactar o sucesso de uma solução DLP em agregar valor ao negócio da organização. Apesar de que nem todas são aplicáveis a todas as organizações, considerações sobre os pontos de aplicação pode aumentar o sucesso da implementação da solução DLP e o cumprimento das políticas.

Notas Finais

¹ US Patent and Trademark Office, “Intellectual Property and the U.S. Economy: Industries in Focus,” Economics and Statistics Administration, março 2012, www.uspto.gov/news/publications/IP_Report_March_2012.pdf
² KPMG, “Data Loss Barometer: A Global Insight Into Lost and Stolen Information,” 2012, www.kpmg.com/US/en/IssuesAndInsights/ArticlesPublications/Documents/data-loss-barometer.pdf
³ Verizon, “Data Breach Investigations Report,” 2012, www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-ebk_en_xg.pdf
⁴ Janes, Paul; “Information Assurance and Security Integrative Project: People, Process, and Technologies Impact on Information Data Loss,” SANS Institute, 7 de novembro de 2012, www.sans.org/reading_room/whitepapers/dlp/people-process-technologies-impact-information-data-loss_34032
⁵ Op cit, KPMG
⁶ ISACA, Data Leak Prevention, white paper, setembro 2010, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Data-Leak-Prevention.aspx
⁷ CSIS, “20 Critical Security Controls, Version 4.1,” SANS Institute www.sans.org/critical-security-controls/guidelines.php
⁸ Kanagasingham, Prathaben; “Data Loss Prevention,” SANS Institute, 2008, www.sans.org/reading_room/whitepapers/dlp/data-loss-prevention_32883
⁹ Op cit, CSIS
¹⁰ Forrester, “Rethinking DLP: Introducing the Forrester DLP Maturity Grid,” setembro 2012, www.forrester.com/Rethinking+DLP+Introducing+The+Forrester+DLP+Maturity+Grid/fulltext/-/E-RES61231
¹¹ Ashford, Warwick; “Why Has DLP Never Taken Off?,” ComputerWeekly, 22 de janeiro 2013, www.computerweekly.com/news/2240176414/Why-has-DLP-never-taken-off

Nageswaran Kumaresan, Ph.D., CISA, CRISC, CGMA, CIA, é Auditor-Líder de TI na General Motors Company (GM) e possui experiência significativa na condução de auditorias globais de alto perfil na GM, incluindo implementação de sistemas de prevenção de perda de dados e cumprimento de políticas. Anteriormente à GM, trabalhou na IBM Consulting, PricewaterhouseCoopers e Deutsche Bank.

Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2014 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.