o caminho mais curto para prevenção e redução de risco

Transcrição

1 esaks PROTEÇÃO DE DADOS PARA PROPRIEDADE INTELECTUAL CONTRA PERDA E FURTO DE INFORMAÇÕES: o caminho mais curto para prevenção e redução de risco

2 Resumo Executivo A prevenção contra perda de dados (DLP, Data Loss Prevention) tem reputação ruim entre os profissionais de segurança da informação. As implementações de DLP são consideradas complexas e caras, e muitas são desaceleradas nas fases de descoberta de dados, classificação e monitoramento, incapazes de produzir os benefícios esperados de políticas de prevenção contra perda de dados ativa. Com frequência as altas taxas de consultoria conspiram para reduzir o retorno do investimento (ROI) para projetos de DLP, e esforços excessivamente exaustivos para descobrir todos os itens de informação armazenada potencialmente valiosas em diversos processos de que negócios contribuem para o impasse. Não é surpresa que muitas das pessoas que acabaram de adotar o DLP tenham receios. Apesar dessas desvantagens percebidas, espera-se que as implementações de DLP aumentem muito no próximo ano. O furto de propriedade intelectual (PI) está impulsionando a necessidade, mais do que os requisitos de conformidade, à medida que as organizações começam a perceber que o DLP pode proteger as vantagens competitivas e evitar a espionagem, com segurança para planos de negócios, roadmaps de produtos e outras informações confidenciais. Portanto, embora a maioria das organizações não estejam entusiasmadas com a implementação de DLP, reconhecem que é necessário. As organizações com determinação para chegar à conclusão de uma implementação de DLP obtêm valor significativo. Uma análise consistente demonstra que os projetos de DLP que chegam à fase de prevenção apresentam resultados positivos, incluindo menos incidentes de perda de dados, risco mais baixo e ROI definível. A pesquisa também mostra que passar de monitoramento para prevenção reduz muito os incidentes de perda de dados, à medida que os usuários aprendem a diferença entre uso aceitável e inaceitável de dados confidenciais. Por exemplo, uma organização conseguiu reduzir os incidentes em dois terços depois que suas políticas de prevenção estavam vigentes por 60 dias. 1 Neste documento, descrevemos o caminho mais curto para alcançar o estágio de prevenção de incidentes de perda e furto de dados sem que ocorra uma parada radical nos fluxos de dados. Começamos apresentando uma visão expandida da PI, incluindo o conceito de que vai além da organização e abrange a PI de parceiros e fornecedores. Em seguida, reconhecendo que o processo, e não a tecnologia, impulsiona a implementação bem-sucedida de DLP, descrevemos seis passos que uma organização pode adotar para implementar controles de segurança de dados. Por fim, apresentamos o conceito da Websense de DLP como defesa, e demonstramos como a nossa tecnologia de DLP oferece recursos robustos e exclusivos, mas é fácil de implementar e administrar. O que você deve proteger e por quê. As empresas proativas estão protegendo sua PI e outras informações confidenciais com uma combinação de serviços de criptografia, administração de direitos digitais e controles de DLP. Contudo, podem não estar protegendo o suficiente ao definir a PI de forma restrita como patentes, marcas registradas e informações que uma equipe jurídica protegeria. A PI também pode incluir informações operacionais, planos, previsões e propostas de trabalho para negócios futuros. Na verdade, qualquer informação que forneça vantagem competitiva pode ser considerada PI. Os seguintes cenários de DLP do mundo real podem ajudar a ilustrar este fato: Uma empresa de gás no Egito que deseja proteger seus mapas de exploração do leito marinho. Uma fabricante de aspiradores no Reino Unido que deseja proteger projetos de produtos. Uma agência de serviços de saúde nos Estados Unidos que deseja proteger dados de pesquisa e saúde. Um varejista em Israel que deseja proteger promoções com descontos antes que sejam lançadas. 1 six-steps-for-deploying-data-security-controls-part-ii.aspx. Página 2

3 Um desenvolvedor de software na Hungria que deseja proteger seu código-fonte. Um banco na Arábia Saudita que deseja cumprir os requisitos de conformidade de PCI. Uma companhia aérea na Itália que deseja investigar fraudes com compras falsas. A PI também pode incluir informações de parceiros e outros terceiros usadas na criação das mercadorias e serviços de sua empresa. Como a sua organização habilita o uso de sua PI por organizações externas, e como você protege a PI de seus parceiros, é uma via de mão dupla. Os custos de proteger sua PI de forma insuficiente são potencialmente altos e, depois que uma violação ocorre, em geral é tarde demais para interromper os danos: 69% das violações são identificadas inicialmente por uma parte externa, e apenas 9% são detectadas pela primeira vez pelas organizações que foram invadidas. 2 Esta exposição externa pode resultar em ruína financeira, reputações devastadas e outros danos. aqui é clara. O furto de PI pode anular a vantagem competitiva da empresa da qual foi furtada, e reduzir o tempo de chegada ao mercado da empresa que se beneficia das informações furtadas. 3. Vingança contra um empregador. A ameaça interna não existe. Embora 86% dos ataques não envolvam um funcionário ou pessoa com acesso a informações privilegiadas, os 14% que envolvem com frequência são atribuídos a controles de segurança permissivos, e mais de 70% desses ataques ocorreram no prazo de 30 dias depois que uma pessoa anunciou seu afastamento da organização. 4 De forma geral, o ganho financeiro impulsiona a maior parte dos furtos de PI, e mais de 90% dos incidentes de furto de dados são atribuídos a personagens externos, com frequência usando ferramentas de hacking ou malware para extrair os dados. 5 O resultado é um crime sem rosto, cometido por comunicações da web que fluem por nossas redes e passam pelas defesas tradicionais que têm foco em proteger a infraestrutura e não os dados. Motivações para furto de PI Existem três motivações primárias por trás do furto de PI: 1. Obter credenciais de segurança para ataques futuros. Infelizmente, as credenciais de segurança usadas com frequência para proteger uma organização como seeds de token de senha única ou certificados de assinatura em aplicativos aprovados também são um vetor de ataque, cujo furto habilita ataques futuros para o roubo de PI de uma organização. Assim, as dependências principais e os relacionamentos de confiança dessas credenciais de segurança não devem ser pressupostas como seguras. 2. Procurar segredos comerciais para obter vantagem competitiva. Quase dois terços dos ataques de furto de PI são contra os setores de fabricação, serviços profissionais e transportes. 3 A motivação Seis passos para implementar controles de segurança de dados A melhor abordagem para implementar DLP é começar pequeno e progredir metodicamente por todas as etapas para entender integralmente o projeto e os resultados. A PI é um bom local para começar, antes de passar para conjuntos de dados maiores, com mais proprietários e processos de negócios. É útil obter orientação de um colega ou especialista que tenha passado pelo processo do início ao fim, para saber o que esperar. Os seis passos abaixo para implementar controles de segurança de dados são fornecidos por Neil Thacker, diretor de segurança e estratégia da informação do Escritório Websense CSO (Diretor de Segurança) ex-líder de operações de segurança da Camelot (Loteria Nacional do Reino Unido) e do Deutsche Bank. 6 2 Verizon 2013 Data Breach Investigations Report. 3 Ibid. 4 Ibid. 5 Ibid. 6 Adaptado de Página 3

4 1. Calcular o valor de seus dados. Sem um plano, esta pode ser a parte mais difícil do processo. Os valores de dados podem subir e cair tão rápido como os mercados financeiros. A chave para solucionar este problema é trabalhar com os seus executivos e proprietários de informações. Determine uma fórmula simples para estimar o valor de seus dados. Um dos melhores exemplos que já vimos vem do grupo de pesquisa Securosis. O valor, a frequência e a audiência dos dados são quantificados em uma tabela e recebem uma pontuação. Exemplos de tipos de dados incluem dados de cartões, informações de identificação pessoal (PII), propriedade intelectual, dados de vendas e quaisquer outros dados específicos que você deve proteger. Em seguida, uma pontuação geral é definida com base nos tipos de dados. Abaixo está um exemplo de como isso pode funcionar: Definindo pontuações para os tipos de dados, você pode priorizar a importância dos dados. Incluir frequência e audiência também ajuda a determinar a probabilidade de perda de dados, e novamente ajuda ao priorizar onde e quando aplicar uma ação. 2. Elaborar seu caso de ROI. Para aumentar os gastos com segurança e implementar novos controles de segurança de dados, você precisa demonstrar o ROI. Isso significa quantificar claramente o valor imenso obtido quando você sabe onde os seus dados estão, quem está acessando e como estão sendo usados. É crítico analisar, comunicar e compartilhar o impacto financeiro e organizacional de dados furtados e perdidos. 3. Monitorar e registrar seus dados. Em seguida, comece a monitorar quem tem acesso aos dados e observe como os dados percorrem a sua rede. Muitas organizações adotam uma solução de DLP para isso. As melhores soluções de DLP têm capacidade para monitorar os pontos de entrada/saída de perímetro para informações em trânsito, e monitorar amplamente os pontos extremos para informações em uso. A fase de monitoramento inicial não deve durar mais do que algumas semanas após a implementação, mesmo depois de ajustar suas políticas para remover os falsos positivos. Uma boa solução deve fornecer rapidamente clareza para tendências comuns de movimentação de dados. Lembre-se de monitorar todos os locais onde os seus dados fluem, incluindo os que costumam ser esquecidos, como impressoras, scanners, dispositivos móveis e serviços em nuvem. 4. Aplicar controles de segurança de dados. Com frequência falamos com organizações que estacionaram no passo 3, a fase de monitoramento e registro. Identificam incidentes quando ocorrem, mas não têm confiança para aplicar controles para impedir que os dados saiam da organização. Isso é um erro. A Gartner Inc. demonstrou há algum tempo que os controles de segurança passivos estão superados. O mesmo ocorre com o DLP usado exclusivamente em implementação de monitoramento. Não demonstra o ROI para a maioria das empresas, especialmente se uma perda ou violação significativa ocorre enquanto você está monitorando. Nós precisamos aplicar controles. Primeiro, revise os seus dados mais valiosos. Comece a alterar as regras e políticas para iniciar a proteção ativa dessas joias da coroa. Não recomendamos habilitar todas as regras de bloqueio imediatamente. Nossa experiência indica que uma abordagem em fases é a forma mais eficiente de aplicar controles de segurança de dados. Página 4

5 5. Localizar seus dados. Depois que você tiver uma pontuação associada com cada tipo de dados e as verbas para prosseguir, o estágio seguinte é localizar os dados sensíveis em sua rede. Com base no exercício de pontuação explicado acima, é recomendado começar este processo com os dados mais valiosos. Concentrar-se nas informações preciosas minimiza o impacto negativo em sua rede. Infelizmente os serviços autônomos de descoberta e mineração de dados em geral são caros e sua execução requer um tempo considerável. Outra opção é adotar as soluções de DLP. A maioria das soluções de DLP líderes no setor oferecem um mecanismo para descobrir, identificar e gerar impressões digitais de dados em varreduras periódicas. Essas varreduras podem ter periodicidade diária, semanal ou mensal. O processo fornece um aumento notável em visibilidade e melhoria da eficiência, identificando os dados duplicados e marcandoos. (Muitas organizações desperdiçam grandes quantidades de dinheiro fazendo backup e armazenamento de dados duplicados; para um diretor de segurança, reduzir o custo desse processo é uma justificativa adicional excelente para a compra de uma solução de DLP.) 6. Implementar proteção proativa e aprimorar o treinamento dos funcionários. À medida que a conscientização dos usuários aumentar, o número de incidentes bloqueados vai se estabilizar e o número de incidentes monitorados vai diminuir. Por quê? Um usuário típico estará muito mais ciente antes de clicar em um link ou enviar um se entender que essas ações resultarão em bloqueio e notificação. Como resultado, os proprietários de informações e as equipes de segurança obtêm um valor imenso com proteção proativa, e também redução benéfica na carga de trabalho da equipe de TI. Abaixo está um gráfico mostrando a proteção proativa em ação. O número de incidentes diminuiu progressivamente quando uma empresa com usuários ativou o bloqueio de ações em outubro de Nós provavelmente fizemos as etapas anteriores parecerem fáceis de implementar, e devem ser fáceis. Uma estratégia de controle de segurança de dados pode adicionar mais valor do que qualquer solução técnica implementada em uma organização. DLP como uma defesa O conceito de DLP como defesa tem dois lados. O primeiro é bloquear fatores externos, para que não usem ferramentas de hacking e malware para furtar PI e dados confidenciais, e o segundo é usar o DLP para reduzir a taxa de ocorrência de incidentes de perda de dados com políticas de prevenção. O primeiro lado do DLP como defesa exige tecnologia tão avançada como as ameaças que as organizações enfrentam atualmente. Um gateway da web com defesas tradicionais (ou seja, desatualizadas) como antivírus e filtragem de URLs é ineficaz contra ataques direcionados e malware moderno. Ter essa tecnologia derrotaria qualquer projeto de DLP. E se considerarmos que 95% da espionagem vinculada a estados-nação baseia-se em alguma forma de phishing por , fica claro que os gateways de web e são caminhos para furto de dados, e poucos atualmente têm defesas de contenção ou controles de segurança de dados. 7 A arquitetura Websense TRITON unificada muda o campo de jogo da proteção de dados de muitas formas. Ao incorporar o DLP diretamente nos gateways de web e , não requer etapas de integração ou protocolos de conexão personalizados. 7 Verizon 2013 Data Breach Investigations Report. Página 5

6 Além disso, como a arquitetura Triton unifica os controles de segurança de dados para gateways de web e , o mesmo console pode ser usado para administrar toda a solução de segurança. Fornece proteção contínua contra ameaças, com tecnologias essenciais da Websense: Websense ThreatSeeker Intelligence Cloud, que consulta avaliações de segurança antes de permitir a passagem de uma solicitação; Websense ACE (Advanced Classification Engine), com defesas em linha em tempo real e controles de DLP implementados durante um processo de solicitação; caixa sandboxing de análise de malware Websense ThreatScope, que pode ser usada após uma solicitação para revelar ameaças e comunicações desconhecidas ocultas. Existem formas adicionais como a arquitetura unificada TRITON habilita o DLP como uma defesa que outras soluções não podem fornecer. Pode detectar furto de arquivos de senhas ou uso de criptografia personalizada, e fornecer reconhecimento de destino com geolocalização. Mais específica para os controles de DLP é a capacidade para detectar vazamentos de dados lentos (por exemplo, um registro por hora); a capacidade para usar reconhecimento óptico de caracteres (OCR) de texto dentro de imagens para detectar furto ou perda de dados; e, quando possível, captura forense de dados sobre incidentes de segurança. Os painéis de controle de ameaças e os detalhes de relatórios forenses também são exportáveis para soluções SIEM. A arquitetura TRITON é a fundação do Websense Data Security Suite, que pode ajudar a administrar o risco de furto de dados por insiders maliciosos ou ameaças avançadas, o uso inadequado acidental de dados, e fornecer conformidade regulatória enquanto protege a sua organização contra uma grande variedade de cenários de furto e perda de dados. O Data Security Suite contém três módulos de DLP Data Security Gateway, Data Discover e Data Endpoint que podem ser licenciados separadamente se você planeja começar com uma capacidade e depois expandir. É importante destacar que o Data Security Suite está em uma categoria própria quando se trata de reduzir o custo e a complexidade comumente associados com a implementação de uma solução de DLP. (Além disso, depois de avaliar o Data Security Suite, a Gartner Inc. posicionou a Websense como líder em seu Quadrante Mágico para Prevenção contra Perda de Dados pelo 6º ano consecutivo. 8 ) O Websense Data Security Suite fornece: Integração fácil com a infraestrutura de rede local. Console único para administrar centralmente as políticas de segurança de DLP para web, , móveis e pontos extremos. Agente ActiveSync para aplicar políticas de DLP de móvel para todos os dispositivos móveis compatíveis. Proteção fora da rede para dispositivos remotos, incluindo sistemas MAC OS X e Windows. Mais de políticas e modelos predefinidos, facilmente selecionados por região e setor. Classificadores de dados avançados e processamento de linguagem natural para proteger a PI. OCR de texto em imagens para informação em trânsito e informação armazenada (o primeiro e único do setor). Habilitação de autocorreção por usuários finais com auditoria do administrador para manter a informação em trânsito. Notificações por para acelerar os fluxos de processos de administração de incidentes. Descriptografia portátil para dispositivos USBs e mídias. Reduza a dificuldade das implementações de DLP Para passar do estágio de monitoramento para o estágio de prevenção com impacto mínimo sobre os fluxos de dados, o Data Security Suite habilita os usuários a fornecer insumos de remediação com auditoria do administrador. Esta capacidade mantém 8 Os relatórios de 2007 e 2008 foram intitulados Quadrante Mágico para Monitoramento de Conteúdo e Filtragem e Prevenção contra Perda de Dados. O Gartner não endossa qualquer fornecedor, produto ou serviço incluído em suas publicações de pesquisas, e não recomenda que usuários de tecnologia selecionem apenas os fornecedores com as classificações mais altas. As publicações de pesquisas do Gartner consistem nas opiniões da organização de pesquisa do Gartner e não devem ser interpretadas como declarações de fatos. O Gartner nega todas as garantias, expressas ou implícitas, com relação a esta pesquisa, incluindo todas as garantias de comerciabilidade ou adequação a uma finalidade específica. Página 6

7 os dados fluindo e informa os usuários sobre quais ações devem ser evitadas ou permitidas, fornecendo um motivo válido para os auditores. Além disso, as notificações por habilitam fluxos de trabalho de processos de remediação mais rápidos, em um esforço para manter as informações em trânsito e os processos de negócios fluindo enquanto a organização se adapta aos novos controles de segurança de dados. Novidade para controles regulatórios, a solução Data Security Suite inclui mais de políticas e modelos que são selecionados facilmente por região e tipo de setor em um assistente para inicialização. Os pesquisadores de segurança de dados da Websense mantêm o banco de dados atualizado com as novidades em políticas e modelos mais recentes, exigidos no mundo inteiro. O mesmo mecanismo de política de DLP é usado em todos os locais da arquitetura TRITON, combinando classificadores avançados com reconhecimento contextual em tempo real de usuário, dados e destino, para fornecer alta precisão e prevenção consistente contra perda de dados. Isso também habilita alertas com reconhecimento de contexto, que fornecem identificação de usuários, administração dentro de estruturas AD e a categoria da web do destino, tornando mais fáceis e rápidas as etapas de remediação para os administradores de suporte técnico. Uma única estrutura de políticas habilita a aplicação de uma política de DLP para um ou vários canais, e fornece opções de respostas granulares com base na severidade do incidente. Para começar, é necessário selecionar um método de identificação, canais para monitorar, programar uma tarefa de descoberta, e definir severidade e respostas, seguidas por investigação de incidentes. Para pontos extremos, o módulo Data Endpoint do Data Security Suite é o único que fornece proteção fora da rede para dados registrados (ou com impressões digitais) que têm probabilidade de incluir PI, enquanto as soluções concorrentes com frequência requerem uma conexão de rede com um banco de dados central. O Data Endpoint também inclui criptografia portátil para mídias móveis e dispositivos USB sem cobrança adicional. Para controles mais rigorosos, o Data Endpoint suporta criptografia de agentes para agentes, em que outro sistema habilitado com Data Endpoint é necessário para abrir o arquivo criptografado. Resumo 2013 é o ano em que o DLP torna-se mais do que um meio para cumprir os regulamentos. O furto de PI por empresas e estados-nação por espiões, criminosos e ativistas está mudando o futuro de setores, economias e países inteiros. Como resultado, o DLP é cada vez mais necessário para proteção contra perda ou furto de PI que pertence não apenas a uma organização, mas também a sua cadeia de suprimentos e a seus parceiros. O DLP como tecnologia agora está em um estado avançado na arquitetura TRITON. Essa arquitetura unificada habilita a segurança contextual com reconhecimento em tempo real de usuário, destino e dados, que não é possível com soluções autônomas e integração básica. Isso fortalece os controles de políticas, aumenta a precisão e a consistência, e reduz o custo geral das operações. O DLP não precisa ser difícil e caro, ou se arrastar por anos. Comece pequeno, com foco em um conjunto de dados, e percorra as seis etapas descritas acima. Adotar as políticas de prevenção com DLP mostra o melhor retorno e reduz o risco. Você só precisa começar entender que a sua organização foi atacada, está sendo atacada ou vai ser atacada em breve. É só uma questão de tempo. Saiba mais em pt.websense.com Brasil@websense.com TRITON BLOQUEIA MAIS AMEAÇAS. NÓS PODEMOS COMPROVAR Websense, Inc. Todos os direitos reservados. Websense, TRITON e o logotipo da Websense são marcas registradas da Websense, Inc. nos Estados Unidos e em diversos países. Todas as outras marcas registradas pertencem às respectivas empresas. DLP-IP PT Página 7