O que é data loss prevention (DLP)?

Os dados são um diferencial competitivo para muitas empresas. Uma rede corporativa tradicional contém uma variedade de segredos comerciais, registros de vendas, dados pessoais dos clientes e outras informações confidenciais. Os hackers visam esses dados, e as organizações estão sempre lutando para mantê-los seguros.

Enquanto isso, centenas, se não milhares, de usuários autorizados acessam dados corporativos armazenados em nuvem e repositórios locais todos os dias. Evitar a perda de dados e, ao mesmo tempo, facilitar o acesso autorizado é uma prioridade para a maioria das organizações.

A data loss prevention (DLP) ajuda as organizações a impedir vazamentos e perdas de dados, rastreando-os em toda a rede e aplicando políticas de segurança sobre eles. As equipes de segurança tentam garantir que apenas as pessoas certas possam acessar os dados certos pelos motivos certos.

Uma solução DLP inspeciona pacotes de dados à medida que eles migram pela rede, detectando o uso de informações confidenciais, como números de cartão de crédito, dados de saúde, registros de clientes e propriedade intelectual. Dessa forma, as organizações podem aplicar os controles de acesso e políticas de uso corretos a cada tipo de dados.

Os dados estão em risco, independentemente de onde estejam armazenados, tornando a proteção das informações uma prioridade significativa para uma organização. O custo de uma falha pode ser alto. O mais recente relatório do custo das violações de dados da IBM constatou que o custo médio global de uma violação de dados aumentou 10% em relação ao ano anterior, atingindo R$ 4,88 milhões, o maior aumento desde a pandemia.

A informação de identificação pessoal (PII), em particular, é extremamente valiosa para os ladrões e muito visada. O relatório do custo das violações de dados também constatou que quase metade de todas as violações envolveu informações de identificação pessoal do cliente, que podem incluir números de identificação (ID), e-mails, números de telefone e endereços residenciais. Os registros de propriedade intelectual (PI) ficaram em segundo lugar com 43% das violações.

Proteger os dados está se tornando cada vez mais difícil, pois os dados de uma organização podem ser usados ou armazenados em vários formatos, em vários locais e por vários stakeholders. Além disso, diferentes conjuntos de dados podem precisar seguir regras diferentes com base em níveis de confidencialidade ou regulamentações relevantes de privacidade de dados.

As políticas e ferramentas de DLP ajudam as organizações a se protegerem, monitorando cada parte dos dados em toda a rede e nos três estados: em uso, em movimento e em repouso.

• Dados em uso: quando os dados são acessados, processados, atualizados ou excluídos. Por exemplo, os dados de uma organização usados para análise, cálculos ou um documento de texto editado por um usuário final.

• Dados em movimento: também conhecidos como dados em trânsito, envolvem dados que se movem por uma rede, como os transmitidos por um servidor de fluxo de eventos ou um aplicativo de mensagens, ou transferidos entre redes. Dos três estados, os dados em movimento são os menos seguros e requerem atenção especial.

• Dados em repouso: são dados armazenados, como em uma unidade de nuvem, unidade de disco rígido local ou arquivo. Geralmente, os dados em repouso são mais fáceis de proteger, mas ainda assim, é necessário implementar medidas de segurança. Dados em repouso podem ser comprometidos por meio de um ato tão simples quanto alguém pegar um pen drive de uma mesa desocupada.

O ideal é que a solução de prevenção contra perda de dados de uma organização seja capaz de monitorar todos os dados em uso, em movimento e em repouso para todos os softwares em uso. Por exemplo, adicionar proteção DLP para arquivamento, aplicações de business intelligence (BI), e-mail, equipes e sistemas operacionais como macOS e Microsoft Windows.

Os eventos de perda de dados são frequentemente descritos como violações de dados, vazamento de dados ou exfiltração de dados. Os termos podem ser usados de forma intercambiável, mas possuem significados distintos.

• Violação de dados: Uma violação de dados é qualquer incidente de segurança que resulte em acesso não autorizado a informações confidenciais ou sensíveis. Isso inclui qualquer ataque cibernético ou outro incidente de segurança no qual partes não autorizadas obtêm acesso a dados sensíveis ou informações confidenciais.

• Vazamento de dados: é a exposição acidental de dados ou informações confidenciais ao público. O vazamento de dados pode resultar de uma vulnerabilidade técnica de segurança ou de um erro de segurança processual, incluindo transferências eletrônicas e físicas.

• Exfiltração de dados: a exfiltração refere-se ao roubo de dados. Ou seja, qualquer roubo quando um invasor migra ou copia dados de outra pessoa para um dispositivo que está sob seu controle. Toda exfiltração de dados requer um vazamento ou violação de dados, mas nem todo vazamento ou violação de dados leva à exfiltração de dados.

Algumas perdas decorrem de erros simples, enquanto outras são causadas por ataques cibernéticos, como ataques de distributed denial-of-service (DDoS) e phishing. Quase qualquer perda de dados pode causar interrupções significativas nos negócios.

Algumas das causas mais comuns de perda de dados são:

• Erro humano e engenharia social
  
• Ameaças internas
• Malware
• Ameaças físicas
• Vulnerabilidades de segurança
• Roubo de smartphone ou computador pessoal
• Credenciais fracas ou roubadas

Os criminosos de dados usam táticas que enganam as pessoas para que elas compartilhem dados que não deveriam compartilhar. A engenharia social pode ser tão engenhosa quanto um ataque de phishing que convence um funcionário a enviar dados confidenciais por e-mail, ou tão maliciosa quanto deixar um pen drive infectado por malware onde um funcionário possa encontrá-lo e conectá-lo a um dispositivo fornecido pela organização.

Por outro lado, o erro humano pode ser tão simples quanto deixar um smartphone em um caixa de pagamento ou excluir arquivos por engano.

Usuários autorizados, incluindo funcionários, contratados, stakeholders e provedores, podem colocar os dados em risco por descuido ou intenção maliciosa.

Agentes internos maliciosos geralmente são motivados por ganhos pessoais ou por uma queixa contra a empresa. Ameaças internas podem ser não intencionais e tão simples quanto o descuido de não atualizar as senhas, ou tão perigosas quanto expor dados corporativos confidenciais ao usar a IA generativa (IA gen) disponível ao público.
 
Os ataques de agentes internos mal-intencionados são comuns e caras. O último relatório do custo das violações de dados da IBM constatou que, em comparação com outros vetores, os ataques de agentes internos maliciosos resultaram em maiores custos, uma média de US$ 4,99 milhões.

Este é um software criado especificamente para prejudicar um sistema de computador ou seus usuários. A forma mais conhecida de malware que ameaça os dados é o ransomware, que criptografa os dados para que não possam ser acessados e exige o pagamento de um resgate pela chave de descriptografia. Às vezes, os invasores até pedem um segundo pagamento para evitar que os dados sejam exfiltrados ou compartilhados com outros cibercriminosos.

Dependendo do nível de backup dos dados de uma organização, o mau funcionamento da unidade de disco rígido pode ser catastrófico. A causa pode ser uma falha no cabeçote ou um dano ao software. Derramar uma bebida no escritório, como café, chá, refrigerante ou água, pode causar um curto-circuito na placa-mãe de um computador, o que não é uma boa ideia. Uma interrupção no fornecimento de energia pode desligar sistemas no momento errado ou no pior momento, impedindo que o trabalho seja salvo ou interrompendo transmissões.

Vulnerabilidades são pontos fracos ou falhas na estrutura, código ou implementação de uma aplicação, dispositivo, rede ou outro ativo de TI que os hackers podem explorar. Isso inclui erros de codificação, configurações incorretas, vulnerabilidades de dia zero (pontos fracos desconhecidos ou ainda não corrigidos) ou software desatualizado, como uma versão antiga do MS Windows.

Qualquer dispositivo digital deixado sem supervisão (em uma mesa, carro ou assento de ônibus) pode ser um alvo tentador e conceder ao ladrão acesso a uma rede e permissão para acessar dados. Mesmo que o ladrão só queira vender o equipamento por dinheiro, a organização ainda enfrenta o transtorno de tirar o acesso do dispositivo e substituí-lo.

Isso inclui senhas que os hackers podem facilmente adivinhar, ou outras credenciais e senhas (por exemplo, cartões de identificação) que os hackers ou cibercriminosos podem roubar.

As políticas de DLP podem abranger uma variedade de tópicos, incluindo classificação de dados, controles de acesso, padrões de criptografia, práticas de retenção e descarte de dados, protocolos de resposta a incidentes e controles técnicos como firewalls, sistemas de detecção de intrusão e software antivírus.

Um grande benefício das políticas de proteção de dados é que elas estabelecem padrões claros. Os funcionários sabem quais são suas responsabilidades para proteger informações confidenciais e geralmente recebem treinamento sobre práticas de segurança de dados, como identificar tentativas de phishing, manusear informações confidenciais com segurança e relatar prontamente incidentes de segurança.

Além disso, as políticas de proteção de dados podem aumentar a eficiência operacional, oferecendo processos claros para atividades relacionadas a dados, como solicitações de acesso, provisionamento de usuários, relatórios de incidentes e auditorias de segurança.

Em vez de elaborar uma única política para todos os dados, as equipes de segurança da informação costumam criar políticas diferentes para os diferentes tipos de dados em suas redes. Isso ocorre porque os tipos de dados muitas vezes precisam ser tratados de maneira distinta para diferentes casos de uso, a fim de atender às exigências de conformidade e evitar interferir no comportamento aprovado de usuários finais autorizados.

Por exemplo, informações de identificação pessoal (PII), como números de cartão de crédito, números da previdência social, endereços residenciais e de e-mail, estão sujeitas a regulamentações de segurança de dados que vão determinar qual o tratamento adequado.

No entanto, a empresa pode fazer o que quiser com a própria propriedade intelectual (PI). Além disso, as pessoas que precisam de acesso a PII podem não ser as mesmas que precisam de acesso a PI da empresa.

Os dois tipos de dados precisam ser protegidos, mas de maneiras diferentes, portanto, são necessárias políticas de DLP distintas e adaptadas a cada tipo de dado.

As organizações usam soluções DLP para monitorar atividades de rede, identificar e marcar dados e aplicar políticas de DLP para prevenir o uso indevido ou o roubo.

Existem três tipos principais de soluções DLP:

• DLP de rede
• DLP de endpoint
• DLP na nuvem

As soluções de DLP de rede se concentram em como os dados migram através, para dentro e para fora de uma rede. Eles costumam usar inteligência artificial (IA) e aprendizado de máquina (ML) para detectar fluxos de tráfego anômalos que podem sinalizar um vazamento ou perda de dados. Embora as ferramentas DLP de rede sejam projetadas para monitorar dados em movimento, muitas também oferecem visibilidade dos dados em uso e em repouso na rede.

As ferramentas de DLP de endpoints monitoram a atividade em notebooks, servidores, dispositivos móveis e outros dispositivos que acessam a rede. Essas soluções são instaladas diretamente nos dispositivos que monitoram e podem impedir que os usuários realizem ações proibidas nesses dispositivos. Algumas ferramentas de DLP de endpoints também podem bloquear transferências de dados não aprovadas entre dispositivos.

As soluções de segurança na nuvem se concentram nos dados armazenados e acessados pelos serviços de nuvem. Elas podem escanear, classificar, monitorar e criptografar dados em repositórios na nuvem. Essas ferramentas também podem ajudar na aplicação de políticas de controle de acesso a usuários finais individuais e a quaisquer serviços de nuvem que possam acessar os dados da empresa.

As organizações podem optar por utilizar um tipo de solução ou uma combinação de várias soluções, dependendo de suas necessidades e de como os dados são armazenados. O objetivo é o mesmo para todos: proteger os dados confidenciais.

As equipes de segurança geralmente seguem um processo de quatro etapas ao longo do ciclo de vida dos dados para colocar as políticas de DLP em prática com a ajuda das ferramentas de DLP:

• Identificação e classificação de dados
  
• Monitoramento de dados
• Aplicação de proteções de dados
• Documentação e geração de relatórios sobre as iniciativas de DLP

Inicialmente, a organização cataloga todos os seus dados estruturados e não estruturados.

• Dados estruturados são dados com um formulário padronizado, como um número de cartão de crédito. Eles geralmente são claramente rotulados e armazenados em um banco de dados.
  
  
• Dados não estruturados são informações com formato livre, como documentos de texto ou imagens, que podem não estar bem organizadas em um banco de dados central. 

As equipes de segurança normalmente usam ferramentas DLP para escanear toda a rede em busca de dados, independentemente de onde estejam armazenados, na nuvem, em dispositivos de endpoint físicos, em dispositivos pessoais de funcionários e em outros locais.

Em seguida, a organização classifica esses dados, separando-os em grupos com base no nível de confidencialidade e nas características compartilhadas. A classificação de dados permite que a organização aplique as políticas corretas de DLP aos tipos certos de dados.

Por exemplo, algumas organizações podem agrupar dados com base no tipo, como dados financeiros, dados de marketing ou propriedade intelectual. Outras organizações podem agrupar dados com base em regulamentos relevantes, como o Regulamento Geral de Proteção de Dados (RGPD) ou a California Consumer Privacy Act (CCPA).

Muitas soluções de DLP podem automatizar a classificação de dados. Essas ferramentas usam IA, aprendizado de máquina e correspondência de padrões para analisar dados estruturados e não estruturados e determinar o tipo de dados, se são sensíveis e quais políticas devem ser aplicadas.

Depois que os dados são classificados, a equipe de segurança monitora como eles são tratados. As ferramentas de DLP podem usar várias técnicas para identificar e rastrear dados confidenciais em uso. Essas técnicas incluem: 

• Análise de conteúdo, como o uso de IA e aprendizado de máquina para analisar uma mensagem de e-mail para obter informações confidenciais.
  
  
• Correspondência de dados, como comparar o conteúdo do arquivo com os dados confidenciais conhecidos.
  
  
• Detectando rótulos, tags e outros metadados que identificam explicitamente um arquivo como sensível. Às vezes chamada de "impressão digital dos dados". 
  
  
• Correspondência de arquivos, quando uma ferramenta de DLP compara os hashes (identidades de arquivos) dos arquivos protegidos.
  
  
• Correspondência de palavras-chave, quando o DLP procura palavras-chave que são encontradas com frequência em dados confidenciais.
  
  
• Correspondência de padrões, como procurar dados que seguem um determinado formato. Por exemplo, um cartão American Express sempre terá 15 dígitos e começará com "3". Mas nem todos esses números são da AmEx, então uma solução DLP também pode procurar o nome corporativo, sua abreviação ou uma data de validade próxima.

Quando uma ferramenta de DLP detecta dados sensíveis, ela procura por violações de políticas, comportamento anormal do usuário, vulnerabilidades do sistema e outros indícios de possíveis perdas de dados, incluindo: 

• Vazamentos de dados, como um usuário tentando compartilhar um arquivo confidencial com alguém de fora da organização.
  
  
• Usuários não autorizados que tentam acessar dados críticos ou realizar ações não autorizadas, como editar, apagar ou copiar um arquivo confidencial.
  
  
• Assinaturas de malware, tráfego de dispositivos desconhecidos ou outros indicadores de atividade maliciosa.

Quando as soluções DLP detectam violações de políticas, elas podem responder com esforços de remediação em tempo real. Exemplos incluem: 

• Criptografar dados à medida que eles migram pela rede.
  
  
• Interromper o acesso não autorizado aos dados.
  
  
• Bloquear transferências não autorizadas e tráfego malicioso.
  
  
• Aviso aos usuários de que eles estão violando políticas.
  
  
• Sinalização de comportamento suspeito para análise pela equipe de segurança.
  
  
• Acionar mais desafios de autenticação antes que os usuários possam interagir com dados críticos.
  
  
• Aplicar o princípio do privilégio mínimo aos recursos, como em um ambiente zero trust.

Algumas ferramentas de DLP também ajudam com a recuperação de dados, fazendo backup automático de informações para que possam ser restauradas após uma perda.

As organizações também podem tomar medidas mais proativas para aplicar as políticas de DLP. O gerenciamento eficaz de acesso e identidade (IAM), incluindo políticas de controle de acesso baseadas em funções, pode restringir o acesso aos dados às pessoas certas. O treinamento dos funcionários sobre os requisitos e as melhores práticas de segurança de dados pode ajudar a evitar mais perdas e vazamentos acidentais de dados antes que eles aconteçam. 

As ferramentas de DLP normalmente contam com dashboards e funções de relatório que as equipes de segurança utilizam para monitorar dados sensíveis em toda a rede. Essa documentação permite que a equipe de segurança acompanhe o desempenho do programa de DLP ao longo do tempo, para que políticas e estratégias possam ser ajustadas de acordo com as necessidades. 

As ferramentas de DLP também podem ajudar as organizações a cumprir com as regulamentações pertinentes, registrando seus esforços em segurança de dados. Se houver um ataque cibernético ou uma auditoria, a organização pode usar esses registros para provar que seguiu os procedimentos adequados de tratamento de dados.

As estratégias de DLP costumam estar alinhadas com os esforços de conformidade. Muitas organizações elaboram suas políticas de DLP especificamente para cumprir regulamentos como o Regulamento geral sobre a proteção de dados (RGPD), a California Consumer Privacy Act (CCPA), a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) e o Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS).

Diferentes regulamentações impõem padrões diferentes para tipos de dados distintos. Por exemplo, a HIPAA estabelece regras para informações pessoais de saúde, enquanto o PCI DSS determina como as organizações lidam com dados de cartões de pagamento. Uma empresa que coleta ambos os tipos de dados provavelmente precisaria de uma política de DLP separada para cada tipo para atender aos requisitos de conformidade.

Muitas soluções DLP incluem políticas de DLP pré-escritas alinhadas aos vários padrões de segurança e privacidade de dados que as empresas precisam atender.

Desde o surgimento da IA generativa até as regulamentações emergentes, diversos fatores estão mudando o cenário de dados. Por sua vez, as políticas e ferramentas de DLP precisarão evoluir para atender a essas mudanças. Algumas das tendências mais significativas em DLP são:

• Ambientes híbridos e multinuvem
• IA generativa
• Aumento da regulamentação
• Força de trabalho móvel e trabalho remoto
• TI invisível e dados ocultos

Muitas organizações agora armazenam dados localmente e em várias nuvens, possivelmente até em vários países. Essas medidas podem adicionar flexibilidade e economia de custos, mas também aumentam a complexidade da proteção desses dados.

Por exemplo, o relatório do custo das violações de dados constatou que 40% das violações ocorrem em organizações que armazenam seus dados em vários ambientes.

grandes modelos de linguagem (LLMs) são, por definição, grandes e consomem grandes quantidades de dados que as organizações devem armazenar, rastrear e proteger contra ameaças, como injeções de prompt. A Gartner previu que “Até 2027, 17% do total de ataques cibernéticos/vazamentos de dados envolverão IA generativa”.¹

Com grandes violações de dados e abusos nas mídias sociais, aumentam os pedidos de regulamentação do Governo e dos setores, o que pode aumentar a complexidade dos sistemas e das verificações de conformidade. Desenvolvimentos recentes, como a Lei de IA da UE e o projeto de regras da CCPA sobre a IA, estão impondo algumas das regras mais rígidas de privacidade de dados e proteção de dados até o momento.

Gerenciar dados em um prédio ou rede é mais simples do que fornecer acesso ao sistema a uma força de trabalho móvel ou a trabalhadores remotos, em que os problemas de comunicação e acesso multiplicam os esforços exigidos da equipe de TI.

Além disso, os trabalhadores remotos às vezes têm vários empregadores ou contratos, de modo que “fios cruzados” podem gerar mais vazamentos de dados. A Gartner prevê que, “até o final de 2026, a democratização da tecnologia, a digitalização e a automação do trabalho aumentarão o mercado disponível de trabalhadores totalmente remotos e híbridos para 64% do total de funcionários, contra 52% em 2021”.¹

Com os funcionários usando cada vez mais hardware e software pessoais no trabalho, essa TI invisível não gerenciada cria um grande risco para as organizações.

Os funcionários podem estar compartilhando arquivos de trabalho em uma conta pessoal de armazenamento em nuvem, fazendo videoconferências em plataformas não autorizadas ou criando grupos de bate-papo não oficiais, sem a aprovação da TI. Versões pessoais do Dropbox, Google Drive e Microsoft OneDrive podem criar problemas de segurança para a equipe de TI.

As organizações também estão tendo que lidar com um aumento nos dados ocultos, ou seja, dados na rede corporativa que o departamento de TI desconhece e não gerencia. A proliferação de dados ocultos é um dos principais fatores que contribuem para a violação de dados. De acordo com o relatório do custo das violações de dados, 35% das violações envolvem dados ocultos.