O que é DLP e como funciona?

Como a DLP funciona?

Compreender as diferenças entre reconhecimento de conteúdo e análise contextual é essencial para compreender qualquer solução de DLP em sua totalidade. Uma maneira útil de pensar na diferença é: se o conteúdo é uma carta, o contexto é o envelope. Embora o reconhecimento de conteúdo envolva obter o envelope e olhar dentro dele para analisar o conteúdo, o contexto inclui fatores externos, como cabeçalho, tamanho, formato etc., tudo o que não inclui o conteúdo da carta. A ideia por trás do reconhecimento de conteúdo é que, embora queiramos usar o contexto para obter mais inteligência sobre o conteúdo, não queremos ficar restritos a um único contexto.

Depois que o envelope é aberto e o conteúdo é processado, há várias técnicas de análise de conteúdo que podem ser usadas para disparar violações de política, incluindo:

1. Expressões regulares/baseadas em regras: a técnica de análise mais comum usada na DLP envolve um mecanismo que analisa o conteúdo em busca de regras específicas, como números de cartão de crédito de 16 dígitos, números de previdência social dos EUA de 9 dígitos, etc. Essa técnica é um excelente filtro de primeira passagem, pois as regras podem ser configuradas e processadas rapidamente, embora possam estar propensas a altas taxas de falsos positivos sem a validação da soma de verificação para identificar padrões válidos.
2. Impressão digital do banco de dados: também conhecido como correspondência exatas de dados, esse mecanismo analisa as correspondências exatas de um despejo de banco de dados ou de um banco de dados ativo. Embora os despejos de banco de dados ou as conexões de banco de dados ativas afetem o desempenho, essa é uma opção para dados estruturados de bancos de dados do.
3. Correspondência exata de arquivos: o conteúdo do arquivo não é analisado; no entanto, os hashes de arquivos são correspondências com impressões digitais exatas. Fornece um baixo índice de falsos positivos, embora essa abordagem não funcione para arquivos com várias versões semelhantes, mas não idênticas.
4. Correspondência parcial de documentos: procura a correspondência completa ou parcial em arquivos específicos, como várias versões de um formulário que foram preenchidas por diferentes usuários.
5. Conceitual/Léxico: usando uma combinação de dicionários, regras, etc., essas políticas podem alertar sobre ideias completamente não estruturadas que desafiam a categorização simples. Elas precisam ser personalizadas para a solução de DLP fornecida.
6. Análise estatística: usa autoaprendizagem ou outros métodos estatísticos, como a análise bayesiana, para disparar violações de política em conteúdo seguro. Requer um grande volume de dados para varredura; quanto maior, melhor. Caso contrário, é propensa a falsos positivos e negativos.
7. Categorias predefinidas: categorias predefinidas com regras e dicionários para tipos comuns de dados confidenciais, como números de cartão de crédito/proteção PCI, HIPAA, etc.

Há uma infinidade de técnicas no mercado hoje que oferecem diferentes tipos de inspeção de conteúdo. Um ponto a ser considerado é que, embora muitos fornecedores de DLP tenham desenvolvido seus próprios mecanismos de conteúdo, alguns empregam tecnologia de terceiros que não foi projetada para DLP. Por exemplo, em vez de criar correspondência de padrões para números de cartão de crédito, um fornecedor de DLP pode licenciar a tecnologia de um fornecedor de mecanismo de pesquisa para corresponder padrões de números de cartão de crédito. Ao avaliar as soluções de DLP, preste muita atenção aos tipos de padrões detectados por cada solução em um corpus real de dados confidenciais para confirmar a precisão do mecanismo de conteúdo.

As práticas recomendadas de DLP reforçam a segurança dos dados

As práticas recomendadas de DLP combinam tecnologia, controles de processos, equipe especializada e conscientização dos funcionários. Veja abaixo as diretrizes recomendadas para desenvolver um programa de DLP eficaz:

1. Implementar um único programa de DLP centralizado: muitas organizações implementam práticas e tecnologias de DLP inconsistentes e ad hoc, que são implementadas por vários departamentos e unidades de negócios. Essa inconsistência leva à falta de visibilidade dos ativos de dados e à fraca segurança dos dados. Além disso, os funcionários tendem a ignorar os programas de DLP do departamento que não são compatíveis com o resto da organização.
2. Avaliar os recursos internos: para criar e executar um plano de DLP, as organizações precisam de pessoal com experiência em DLP, incluindo análise de risco de DLP, resposta e geração de relatórios de violações de dados, leis de proteção de dados e treinamento e conscientização sobre DLP. Algumas regulamentações governamentais exigem que as organizações empreguem funcionários internos ou mantenham consultores externos com conhecimento em proteção de dados. Por exemplo, o RGPD inclui disposições que afetam organizações que vendem produtos ou serviços para consumidores da União Europeia (UE) ou que monitoram o comportamento deles. O RGPD exige que um responsável pela proteção de dados (DPO) ou uma equipe possa assumir as responsabilidades do DPO, incluindo a realização de auditorias de conformidade, monitoramento do desempenho de DLP, treinamento dos funcionários sobre os requisitos de conformidade e atuação como elo de ligação entre a organização e as autoridades de conformidade.
3. Realizar um inventário e uma avaliação -  Uma avaliação dos tipos de dados e seu valor para a organização é uma etapa inicial importante na implementação de um programa de DLP. Isso envolve a identificação de dados relevantes, onde os dados estão armazenados e se são dados confidenciais: propriedade intelectual, informações confidenciais ou dados cobertos por regulamentações. Alguns produtos de DLP podem identificar rapidamente ativos de informação varrendo os metadados dos arquivos e catalogando o resultado ou, se necessário, abrir os arquivos para analisar o conteúdo. A próxima etapa é avaliar o risco associado a cada tipo de dado, se houver vazamento de dados. Outras considerações incluem pontos de saída de dados e o custo provável para a organização em caso de perda de dados. A perda de informações sobre programas de benefícios a funcionários apresenta um nível de risco diferente da perda de 1.000 prontuários médicos de pacientes ou 100.000 números de contas bancárias e senhas.
4. Implementar em fases -  O DLP é um processo de longo prazo que é melhor implementado em fases. A abordagem mais eficaz é priorizar tipos de dados e canais de comunicação. Da mesma forma, considere a implementação de módulos ou componentes de software de DLP conforme o necessário, com base nas prioridades da organização, em vez de tudo de uma vez. A análise de risco e o inventário de dados ajudam a estabelecer essas prioridades.
5. Criar um sistema de classificação -  Antes que uma organização possa criar e executar políticas de DLP, ela precisa de uma estrutura de classificação de dados ou taxonomia para dados não estruturados e estruturados. As categorias de segurança de dados podem incluir informações confidenciais, internas, públicas, de identificação pessoal (PII), dados financeiros, dados regulamentados, propriedade intelectual e outras. Os produtos de DLP podem varrer dados usando uma taxonomia pré-configurada, que a organização pode personalizar posteriormente para ajudar a identificar as principais categorias de dados. Enquanto o software de DLP automatiza e acelera a classificação, as pessoas selecionam e personalizam as categorias. Os proprietários de conteúdo também podem avaliar visualmente determinados tipos de conteúdo que não podem ser identificados usando palavras-chave ou frases simples.
6. Estabelecer políticas de tratamento e remediação de dados: depois de criar a estrutura de classificação, a próxima etapa é criar (ou atualizar) políticas para lidar com diferentes categorias de dados. Os requisitos governamentais especificam as políticas de DLP para o tratamento de dados confidenciais. As soluções de DLP normalmente aplicam regras ou políticas pré-configuradas com base em vários regulamentos, como a HIPAA ou o RGPD. A equipe de DLP pode personalizar as políticas de acordo com as necessidades da organização. Para administrar as políticas, os produtos de imposição de DLP impedem e monitoram os canais de saída (como e-mail e bate-papo na Web) e oferecem opções para lidar com possíveis violações de segurança. Por exemplo, um funcionário prestes a enviar um e-mail com um anexo confidencial pode receber um pop-up que sugere a criptografia da mensagem, ou o sistema pode bloqueá-la totalmente ou redirecioná-la para um gerente. A resposta é baseada em regras estabelecidas pela organização.
7. Capacitar os funcionários -  A conscientização e a aceitação das políticas e procedimentos de segurança pelos funcionários são essenciais para a DLP. Esforços de capacitação e treinamento, como aulas, treinamento on-line, e-mails periódicos, vídeos e artigos podem melhorar a compreensão dos funcionários sobre a importância da segurança dos dados e aprimorar a capacidade deles de seguir as práticas recomendadas de DLP. As penalidades por violação da segurança de dados também podem melhorar a conformidade, especialmente se forem claramente definidas. O SANS Institute oferece vários recursos de treinamento e conscientização sobre segurança de dados.