Data Loss Prevention Uma abordagem estratégica Vladimir Amarante, CISSP Manager, Systems Engineering @VladAmarante
Agenda Conceitos e propósito Capacidades básicas Considerações para um projeto de sucesso 2
As faces do DLP As pessoas Usuários internos bem-intencionados Usuários internos mal-intencionados Usuários externos maliciosos 3
Uma solução de DLP deve responder a 3 perguntas Onde estão os seus dados confidenciais? Como ele está sendo usado? Qual a melhor forma para evitar a sua perda? DESCUBRA MONITORE PROTEJA 4
A importância em entender a informação e o contexto POLÍTICA CONTRA PERDA DE DADOS DETECÇÃO RESPOSTA Conteúdo Contexto Ação Notificação Cartões de Crédito CPFs Propriedade Intelectual etc... Quem? O que? Onde? Notificar Justificar Cifrar Prevenir Usuário Gerente Segurança Escalar Encontrar Corrigir 5
Symantec DLP Principais Tecnologias de Detecção Described Content Matching Exact Data Matching Indexed Document Matching Vector Learning Machine DADOS DESCRITOS DADOS ESTRUTURADOS DADOS NÃO ESTRUTURADOS DADOS NÃO ESTRUTURADOS Regras Máscaras, fórmulas, Palavras, termos, Data identifiers Indexa bases de dados Dados de clientes, Alta precisão Indexa arquivos Propriedade Intelectual, Projetos, Código Fonte, Designs, Contratos, Similaridade e Amostragem Desenhos / Códigos / Dados de finança Alta precisão 6
Symantec DLP Arquitetura STORAGE Dados em Repouso MTA ouproxy GERENCIAMENTO REDE Dados em Movimento ENDPOINT Dados em Repouso e Movimento SPAN Port outap Rede Corporativa DMZ 7
Objetivo principal: Redução do risco contínuo Incidentes por semana 1000 800 600 400 200 0 Visibilidade Reparação Redução do Risco ao longo do tempo (trimestres) Competitive Trap Notificação Prevenção 8
Etapas de um projeto de DLP Análisede Risco Análise Funcional Implementação Produção e Operação Planejamento Manutenção e Atualização 9
AnáliseFuncional Análise de Riscos Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Participação ativa das Unidades de Negócio, através de workshoppara definição de quais informações serão monitoradas Monitoramentodo fluxo de informações (saída para a Internet) por 2-3 semanas Apresentação executiva de resultados com os principais incidentes identificados 10
AnáliseFuncional Planejamento Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Definição da estratégia de implementação, com base nos requisitos de negócio Recomendável seguir em um modelo escalonável e gradual, para ganho de confiança e absorção de conhecimento Identificação dos pontos de monitoramento Integração com os elementos de infraestrutura (gateways de email, proxies web, IAM, etc) Integração com outras soluções de segurança 11
AnáliseFuncional Análise Funcional Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Identificação das informações críticas para o negócio Participação ativa das Unidades de Negócio, através de entrevistas / workshops Identificação da existência de indicadores concretos sobre vazamento de informações Mapear processos e fluxos de informação, para identificação de anomalias ou não conformidades Definição conceitual das políticas de DLP e tecnologias de detecção (DCM, IDM, EDM, VML) 12
AnáliseFuncional Implementação Técnica Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Implementação da solução, de acordo com os requisitos definidos durante o planejamento e análise funcional Controles de monitoramento por camada de detecção / bloqueio: Network (data in motion) Storage (data at rest) Endpoints Integração da ferramenta com os processos de negócio Ajustes nas políticas visando aumentar a acuracidade 13
AnáliseFuncional Produção e Operação Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Definição do workflow para tratamento de incidentes Importante identificar falso-positivos x desvios em processos de negócio Importante a participação das áreas de negócio na gestão dos incidentes Uso de regras de respostas que eduquem o usuário e seus gestores sobre os riscos envolvidos na ação tomada 14
AnáliseFuncional Manutenção e Atualização Análisede Risco Planeja-mento Implemen-tação Produçãoe Operação Manuten-ção e Atualização Identificação de novas necessidades de negócio e implementação de novos controles Atualização dos componentes/módulos da solução Análise das métricas definidas 15
Conclusões Engajaras áreas de negócio Educar os usuários Não focar só no ladrão Bloqueio precipitado pode aumentar o problema Tipos de informação e uso requerem diferentes abordagens Abordagem modular e gradual é mais eficiente Colaboração contínua para aperfeiçoar os processos de negócio Visibilidade e relevância para a organização Framework de Governança da Informação
Obrigado! Vladimir Amarante, CISSP Manager, Systems Engineering @VladAmarante Copyright 2014 Symantec Corporation. All rights reserved.symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.