Prevenção de Perda de Dados Prevenção de Perda de Dados Cuidados no manuseio de dados e informações. Marketing Gantech Maio 2014
Sumário Introdução... 4 Conceito... 5 Custos e consequências... 6 A Prevenção de Perda de Dados... 7 Implantando o sistema... 8 Conclusão... 9 ESTE MATERIAL É APENAS PARA CONTEÚDO INFORMATIVO, PODENDO CONTER DADOS E VARIAÇÕES TÉCNICAS DE CARÁTER EXCLUSIVO AOS CENÁRIOS EM QUE FORAM IMPLANTADOS, SERVINDO APENAS COMO REFERÊNCIA PARA CONSULTA. 2014 Gantech Information Safety. Todos os direitos reservados. É vedada a reprodução do conteúdo deste material sem a prévia permissão de seus autores assim como de maneira inadequada e a distorcer seu conteúdo.
Prevenção de Perda de Dados 4 Introdução Vivemos em um mundo no qual a informação é fundamental. Atualmente por minuto são geradas milhares de novas publicações e dados para fundamentar desde processos educacionais até tomadas de decisões nos negócios. Relatórios, credenciais de acesso, bancos de dados e mais uma infinidade de informações fazem parte deste universo interdependente que se movimenta em uma velocidade absurdamente imperceptível aos nossos olhos e atenções. Entretanto só se dá conta de que elas realmente estão ali quando precisamos delas. Um exemplo claro desta interdependência onde as informações são fundamentais é o chamado BI (Business Intelligence), que consiste em manejar corretamente as informações de maneira estratégica, orientando os executivos a fundamentarem suas ações e planejamentos, sejam eles a curto, médio ou longo prazo. Mas e quando o uso destas informações não se faz necessário, é justo que as deixemos simplesmente ali desprotegidas? Se elas são tão necessárias nos momentos em que lembramos delas, tão logo deve-se pensar em cuidar delas também quando estão à nossa disposição prontas para ajudar.
5 Prevenção de Perda e Dados Conceito Inúmeros esforços vêm sendo feitos ao longo do tempo para proteger informações frente a um crescente número de violações e perdas de dados, somados aos altos custos decorrentes das ações tardias tomadas para evitar prejuízos após o fato ocorrido. Entretanto, nota-se que as boas práticas em segurança da informação na maioria das organizações não se fazem presente facilitando o tráfego e manuseio de informações sem qualquer tipo de controle. Na Segurança da Informação, preconizamos que prevenir não é somente melhor que remediar. Prevenir é coibir a ação de indivíduos mal-intencionados que podem fazer uso indevido de dados e informações que não possuem nenhum tipo de vigilância. Atuar na limitação ou controle do acesso dos funcionários ao conteúdo privativo e confidencial da empresa é cercar o patrimônio imaterial da organização. Uma vez que este conteúdo cai na mão de quem visa fazer o mal, é prejuízo para a empresa na certa! Mas somente a prevenção e controle de acesso já são suficientes? Não. Há muito mais a ser feito.
Prevenção de Perda de Dados 6 Custos e consequências O vazamento e perda de informações pode ser catastrófico para uma organização. Casos anteriores de vazamentos dão conta de prejuízos milionários. Estima-se que o custo médio individual por dado vazado chegue a US$ 199 1 e com base neste valor, calcula-se que só no ano de 2012 houve um custo médio de US$ 5,4mi se somados todos os vazamentos de dados registrados. Entretanto os prejuízos não se limitam somente às esferas materiais. A reputação da empresa sofre sérias consequências, perdendo valor de mercado e confiança entre clientes e fornecedores. Além de alguns casos, por estar sob legislação, a organização pode enfrentar punições em virtude desta perda e vazamento de dados. 1 *2013 Cost of Data Breach Study: Global Analysys, Ponemon Institute, May 2013.
7 Prevenção de Perda e Dados A Prevenção de Perda de Dados Manter os dados seguros e livre de roubos e usos indevidos, teoricamente parece ser a função principal da Prevenção de Perda de Dados. Mas como classificar essas informações de modo a limitar acesso customizado e garantir a vigilância permanente? Um sistema de Prevenção de Perda de Dados age como um guardião, aplicando controles customizados sobre diferentes informações dos mais variados tipos, relevância e grau de confidencialidade. Sua atuação é global e integral, disponível a partir de um dispositivo de UTM (Unified Threat Management). O DLP, como é usualmente conhecido o Sistema de Prevenção de Perda de Dados, previne o vazamento de informações atuando como um scanner permanente em tudo que está em movimento e previamente classificado. Seja o tráfego via e-mail, web ou FTP, por exemplo. A inspeção é automática e pode contar com centenas de regras, já prédefinidas ou não, para atender com eficiência as diversas necessidades de vigilância das informações da empresa. Já os tipos de arquivos que são cobertos pelo scanner podem chegar a mais de 30 extensões diferentes. Sempre que determinado dado é movimentado de maneira inadequada conforme estabelecida na diretriz de segurança, o sistema bloqueia a operação e registra as tentativas em um relatório que pode ser facilmente acessado pelo gestor de segurança. As definições de segurança contra o vazamento também podem ser classificadas de acordo com a usabilidade dos dados (ex: informações pessoais, financeiras, médicas e etc.). O sistema de Prevenção de Perda de Dados (DLP) pode ser também um parceiro essencial para organizações que seguem regras rígidas de compliance. Sensores embutidos podem detectar e determinar regras específicas em casos de PCI DSS e HIPAA. As diretrizes e regras podem ser atualizadas periodicamente visando manter a máxima estrutura de vigilância do sistema.
Prevenção de Perda de Dados 8 Implantando o sistema Para implantar um sistema de Prevenção de Perda de Dados (DLP), englobando monitoramento de conteúdo, criptografia e políticas de compliance, é necessário que haja preparação. Um planejamento cuidadoso garante o sucesso da estratégia e facilita a implantação otimizando tempo e resultados. Orientamos seguir as etapas: Passo 1: Entender quais regulamentações relativas ao segmento de atuação atuam diretamente na empresa. Há casos de legislações específicas para o segmento financeiro, por exemplo, em que há necessidade de seguir regulamentações como PCI DSS. Certifique-se das regulamentações que se aplicam e havendo dúvidas, consulte seu departamento jurídico para esclarecimentos. Passo 2: Dê o pontapé inicial internamente. O sucesso no início do processo garantirá a qualidade final do trabalho e a consistência do sistema de proteção. Defina prazos e objetivos, como por exemplo iniciar pelos dados pessoais, informações de propriedade intelectual da empresa e etc. Passo 3: Assegure a participação dos membros de alto escalão no processo. Como em todos os projetos de TI, será necessário que todos os membros do board deem suporte na definição das estratégias para prevenção de perda de dados. Passo 4: Determine representantes do projeto pela empresa. Aconselhamos incluir um colaborador de cada departamento para guiar a definição e categorização do que é relevante e importante como sensibilidade de dados. Recomendamos incluir também um executivo nível sênior para contribuir com sua expertise. Passo 5: Identifique os dados existentes. É extremamente importante determinar quais tipos de dados que serão cobertos, bem como sua localização para facilitar a identificação nos monitoramentos. Ter em mente como e por quem estes dados são utilizados ajuda a compreender a importância de cada um deles e a quais outros elementos eles podem estar expostos. Passo 6: É hora de avaliar os riscos e os impactos que cada dado pode ocasionar se ocorrer perda ou vazamento. Com estas informações é possível priorizar os riscos e elencar as prioridades. Passo 7: Desenhe as políticas para identificação da sensibilidade dos dados e ações de interceptação. Passo 8: Eduque os usuários. Mostre a importância do uso correto das informações, objetivos do plano e consequências das ações.
9 Prevenção de Perda e Dados Conclusão A perda ou vazamento de dados para uma organização pode ser letal. Além da implantação de sistemas de proteção eficientes, espera-se que haja um fortalecimento na cultura organizacional do uso correto das informações. Estabelecer regras e punições para quem as infringir é dar o suporte às estratégias técnicas de DLP implantadas. O plano de defesa e gerenciamento das informações não deve considerar o custo como seu fator decisório. Deve-se fazer os investimentos corretos, é claro, porém entender a necessidade de contar com uma proteção deste nível é essencial.
CONHEÇA NOSSOS SERVIÇOS Network Security Data Protection Risk & Compliance Serviços Gerenciados Security Manager Suporte Técnico
www.gantech.com.br Alameda Olga, 422 Conj. 112 Barra Funda São Paulo/SP sac@gantech.com.br 11 4062-0039