O que é data loss prevention (DLP)?

Atualizado em: 12 Agosto 2024
Colaboradores: Jim Holdsworth, Matthew Kosinski

O que é DLP?

Data loss prevention (DLP) é a parte que protege dados confidenciais contra roubo, perda e uso indevido usando estratégias, processos e tecnologias de cibersegurança.

Os dados são um diferencial competitivo para muitas empresas. Uma rede corporativa tradicional contém uma variedade de segredos comerciais, registros de vendas, dados pessoais dos clientes e outras informações confidenciais. Os hackers visam esses dados, e as organizações estão sempre lutando para mantê-los seguros.

Enquanto isso, centenas, se não milhares, de usuários autorizados acessam dados corporativos armazenados em nuvem e repositórios locais todos os dias. Evitar a perda de dados e, ao mesmo tempo, facilitar o acesso autorizado é uma prioridade para a maioria das organizações.

A data loss prevention (DLP) ajuda as organizações a impedir vazamentos e perdas de dados, rastreando-os em toda a rede e aplicando políticas de segurança sobre eles. As equipes de segurança tentam garantir que apenas as pessoas certas possam acessar os dados certos pelos motivos certos.

Uma solução DLP inspeciona pacotes de dados à medida que eles migram pela rede, detectando o uso de informações confidenciais, como números de cartão de crédito, dados de saúde, registros de clientes e propriedade intelectual. Dessa forma, as organizações podem aplicar os controles de acesso e políticas de uso corretos a cada tipo de dados.

Custo de uma violação de dados

Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório do custo das violações de dados mais recente.

Conteúdo relacionado

Cadastre-se no X-Force Threat Intelligence Index

Por que a DLP é importante

Os dados estão em risco, independentemente de onde estejam armazenados, o que torna a proteção das informações uma prioridade para uma organização. O custo da falha pode ser alto. O mais recente relatório do custo das violações de dados da IBM constatou que o custo médio global de uma violação de dados aumentou 10% em relação ao ano anterior, atingindo US$ 4,88 milhões, o maior salto desde a pandemia.

A informação de identificação pessoal (PII), em particular, é extremamente valiosa para os ladrões e muito visada. O relatório do custo das violações de dados também constatou que quase metade de todas as violações envolveu informações de identificação pessoal do cliente, que podem incluir números de identificação (ID), e-mails, números de telefone e endereços residenciais. Os registros de propriedade intelectual (PI) ficaram em segundo lugar, com 43% das violações.

Proteger os dados está se tornando cada vez mais difícil, pois os dados de uma organização podem ser usados ou armazenados em vários formatos, em vários locais e por vários stakeholders. Além disso, conjuntos de dados podem precisar seguir regras diferentes com base em níveis de confidencialidade ou regulamentações relevantes de privacidade de dados.

As políticas e ferramentas de DLP ajudam as organizações a se protegerem, monitorando cada parte dos dados em toda a rede e nos três estados: em uso, em movimento e em repouso.

Dados em uso: quando os dados são acessados, processados, atualizados ou excluídos. Por exemplo, dados de uma organização usados para análise, cálculos ou um documento de texto editado por um usuário final.

Dados em movimento: também conhecidos como dados em trânsito, envolvem dados que se movem por uma rede, como os transmitidos por um servidor de fluxo de eventos ou um aplicativo de mensagens, ou transferidos entre redes. Dos três estados, os dados em movimento são os menos seguros e requerem atenção especial.

Dados em repouso: são dados armazenados, como em uma unidade de nuvem, unidade de disco rígido local ou arquivo. Geralmente, os dados em repouso são mais fáceis de proteger, mas ainda assim, é necessário implementar medidas de segurança. Dados em repouso podem ser comprometidos por meio de um ato tão simples quanto alguém pegar um pen drive de uma mesa desocupada.

O ideal é que a solução de prevenção contra perda de dados de uma organização seja capaz de monitorar todos os dados em uso, em movimento e em repouso para todos os softwares em uso. Por exemplo, adicionar proteção DLP para arquivamento, aplicações de business intelligence (BI), e-mail, equipes e sistemas operacionais como macOS e Microsoft Windows.

Tipos de perda de dados

Os eventos de perda de dados são frequentemente descritos como violações de dados, vazamento de dados ou exfiltração de dados. Os termos podem ser usados de forma intercambiável, mas possuem significados distintos.

Violação de dados: uma violação de dados é qualquer incidente de segurança que resulte em acesso não autorizado a informações confidenciais ou sigilosas. Isso inclui qualquer ataque cibernético ou outro incidente de segurança em que partes não autorizadas obtêm acesso a dados sigilosos ou informações confidenciais.

Vazamento de dados: é a exposição acidental de dados ou informações confidenciais ao público. O vazamento de dados pode resultar de uma vulnerabilidade técnica de segurança ou de um erro de procedimento de segurança, incluindo transferências eletrônicas e físicas.

Exfiltração de dados: a exfiltração refere-se ao roubo de dados. Ou seja, qualquer roubo quando um invasor migra ou copia dados de outra pessoa para um dispositivo que está sob seu controle. Toda exfiltração de dados requer um vazamento ou violação de dados, mas nem todo vazamento ou violação de dados leva à exfiltração de dados.

Causas de perda de dados

Algumas perdas surgem de erros simples, enquanto outras são causadas por ataques cibernéticos, como ataques de distributed denial-of-service (DDoS) e phishing. Quase toda perda de dados pode causar interrupções consideráveis nos negócios.

Algumas das causas mais comuns de perda de dados são:

Erro humano e engenharia social
Ameaças internas
Malware
Ameaças físicas
Vulnerabilidades de segurança
Roubo de smartphone ou computador pessoal
Credenciais fracas ou roubadas

Erro humano e engenharia social

Os criminosos de dados usam táticas para enganar as pessoas de forma que elas compartilhem dados que não deveriam compartilhar. A engenharia social pode ser tão engenhosa quanto um ataque de phishing que convence um funcionário a enviar dados confidenciais por e-mail, ou tão maliciosa quanto deixar uma unidade flash USB infectada por malware onde um funcionário possa encontrá-la e conectá-la a um dispositivo fornecido pela organização.

Por outro lado, o erro humano pode ser tão simples quanto deixar um smartphone em um caixa de pagamento ou excluir arquivos por engano.

Ameaças internas

Usuários autorizados, incluindo funcionários, contratados, stakeholders e provedores, podem colocar os dados em risco por descuido ou intenção maliciosa.

Os agentes internos maliciosos geralmente são motivados por ganhos pessoais ou por um ressentimento contra a empresa. As ameaças internas podem ser não intencionais e tão simples quanto a negligência de não atualizar senhas, ou tão perigosas quanto expor dados confidenciais da empresa ao usar a IA generativa (IA gen) disponível publicamente.

Agentes internos maliciosos são comuns e custosos. O último relatório do custo das violações de dados da IBM constatou que, em comparação com outros vetores, os ataques de agentes internos maliciosos resultaram em maiores custos, uma média de US$ 4,99 milhões.

Malware

Este é um software criado especificamente para prejudicar um sistema de computador ou seus usuários. A forma mais conhecida de malware que ameaça dados é o ransomware, que criptografa os dados para que não possam ser acessados e exige um pagamento de resgate pela chave de descriptografia. Às vezes, um segundo pagamento é solicitado para evitar que os dados sejam exfiltrados ou compartilhados com outros cibercriminosos.

Ameaças físicas

Dependendo do nível de backup dos dados de uma organização, o mau funcionamento da unidade de disco rígido pode ser catastrófico. A causa pode ser uma falha no cabeçote ou um dano ao software. Derramar uma bebida no escritório, como café, chá, refrigerante ou água, pode causar um curto-circuito na placa-mãe de um computador, o que não é uma boa ideia. Uma interrupção no fornecimento de energia pode desligar sistemas no momento errado ou no pior momento, impedindo que o trabalho seja salvo ou interrompendo transmissões.

Vulnerabilidades de segurança

Vulnerabilidades são pontos fracos ou falhas na estrutura, código ou implementação de uma aplicação, dispositivo, rede ou outro ativo de TI que os hackers podem explorar. Isso inclui erros de codificação, configurações incorretas, vulnerabilidades de dia zero (pontos fracos desconhecidos ou ainda não corrigidos) ou software desatualizado, como uma versão antiga do MS Windows.

Roubo de smartphone ou computador pessoal

Qualquer dispositivo digital deixado sem supervisão (em uma mesa, carro ou assento de ônibus) pode ser um alvo tentador e conceder ao ladrão acesso a uma rede e permissão para acessar dados. Mesmo que o ladrão só queira vender o equipamento por dinheiro, a organização ainda enfrenta o transtorno de tirar o acesso do dispositivo e substituí-lo.

Credenciais fracas ou roubadas

Isso inclui senhas que os hackers podem facilmente adivinhar, ou outras credenciais e senhas (por exemplo, cartões de identificação) que os hackers ou cibercriminosos podem roubar.

Estratégias e políticas de prevenção contra perda de dados

As políticas de DLP podem abranger uma variedade de tópicos, incluindo classificação de dados, controles de acesso, padrões de criptografia, práticas de retenção e descarte de dados, protocolos de resposta a incidentes e controles técnicos, como firewalls, sistemas de detecção de intrusão e software antivírus.

Um grande benefício das políticas de proteção de dados é que elas estabelecem padrões claros. Os funcionários sabem quais são suas responsabilidades para proteger informações confidenciais e geralmente recebem treinamento sobre práticas de segurança de dados, como identificar tentativas de phishing, manusear informações confidenciais com segurança e relatar prontamente incidentes de segurança.

Além disso, as políticas de proteção de dados podem aumentar a eficiência operacional, oferecendo processos claros para atividades relacionadas a dados, como solicitações de acesso, provisionamento de usuários, relatórios de incidentes e auditorias de segurança.

Em vez de elaborar uma única política para todos os dados, as equipes de segurança da informação costumam criar políticas diferentes para os diferentes tipos de dados em suas redes. Isso ocorre porque os tipos de dados muitas vezes precisam ser tratados de maneira distinta para diferentes casos de uso, a fim de atender às exigências de conformidade e evitar interferir no comportamento aprovado de usuários finais autorizados.

Por exemplo, informação de identificação pessoal (PII), como números de cartão de crédito, números do seguro social, endereços residenciais e de e-mail, estão sujeitas a regulamentações de segurança de dados que vão determinar qual o tratamento adequado.

No entanto, a empresa pode fazer o que quiser com a própria propriedade intelectual (PI). Além disso, as pessoas que precisam de acesso a PII podem não ser as mesmas que precisam de acesso a PI da empresa.

Os dois tipos de dados precisam ser protegidos, mas de maneiras diferentes, portanto, são necessárias políticas de DLP distintas e adaptadas a cada tipo de dado.

Tipos de soluções DLP

As organizações usam soluções DLP para monitorar atividades de rede, identificar e marcar dados, além de aplicar políticas de DLP a fim de evitar o uso indevido ou o roubo.

Existem três tipos principais de soluções DLP:  

DLP de rede
DLP de endpoint
DLP na nuvem

DLP de rede

As soluções DLP de rede se concentram em como os dados migram, entram e saem de uma rede. Muitas vezes, eles usam a inteligência artificial (IA) e o aprendizado de máquina (ML) para detectar fluxos anômalos de tráfego que podem sinalizar um vazamento ou perda de dados. Embora as ferramentas de DLP de rede sejam projetadas para monitorar dados em movimento, muitas delas também proporcionam visibilidade aos dados em uso e em repouso na rede.

DLP de endpoint

As ferramentas de DLP de endpoint monitoram a atividade em notebooks, servidores, dispositivos móveis e outros dispositivos que acessam a rede. Essas soluções são instaladas diretamente nos dispositivos monitorados e podem impedir que os usuários cometam ações proibidas nesses dispositivos. Algumas ferramentas de DLP de endpoint também bloqueiam transferências de dados não aprovadas entre dispositivos. 

DLP na nuvem

As soluções de segurança na nuvem se concentram nos dados armazenados e acessados pelos serviços de nuvem. Elas podem escanear, classificar, monitorar e criptografar dados em repositórios na nuvem. Essas ferramentas também podem ajudar na aplicação de políticas de controle de acesso a usuários finais individuais e a quaisquer serviços de nuvem que possam acessar os dados da empresa.

As organizações podem optar por utilizar um tipo de solução ou uma combinação de várias soluções, dependendo de suas necessidades e de como os dados são armazenados. O objetivo é o mesmo para todos: proteger os dados confidenciais.

Como o DLP funciona

As equipes de segurança geralmente seguem um processo de quatro etapas ao longo do ciclo de vida dos dados para colocar as políticas de DLP em prática com a ajuda das ferramentas de DLP:

Identificação e classificação de dados
Monitoramento de dados
Aplicando proteções de dados
Documentação e geração de relatórios sobre as iniciativas de DLP

Identificação e classificação de dados

Inicialmente, a organização cataloga todos os seus dados estruturados e não estruturados.

Dados estruturados são dados com um formulário padronizado, como um número de cartão de crédito. Geralmente, são rotulados e armazenados em um banco de dados.
Dados não estruturados são informações com formato livre, como documentos de texto ou imagens, que podem não estar bem organizadas em um banco de dados central.

As equipes de segurança normalmente usam ferramentas de DLP para escanear toda a rede em busca de dados, independentemente de onde estejam armazenados, na nuvem, em dispositivos de endpoint físicos, em dispositivos pessoais de funcionários e em outros locais.  

Em seguida, a organização classifica esses dados, separando-os em grupos com base no nível de confidencialidade e nas características compartilhadas. A classificação de dados permite que a organização aplique as políticas corretas de DLP aos tipos certos de dados.

Por exemplo, algumas organizações podem agrupar dados com base no tipo, como dados financeiros, dados de marketing ou propriedade intelectual. Outras organizações podem agrupar dados com base em regulamentações relevantes, como o Regulamento geral de proteção de dados (RGPD) ou o California Consumer Privacy Act (CCPA).

Muitas soluções de DLP podem automatizar a classificação de dados. Essas ferramentas usam IA, aprendizado de máquina e correspondência de padrões para analisar dados estruturados e não estruturados e determinar o tipo de dados, se são sensíveis e quais políticas devem ser aplicadas.

Monitoramento de dados

Depois que os dados são classificados, a equipe de segurança monitora como eles são tratados. As ferramentas de DLP podem usar várias técnicas para identificar e rastrear dados confidenciais em uso. Essas técnicas incluem: 

Análise de conteúdo, como o uso de IA e aprendizado de máquina para analisar uma mensagem de e-mail em busca de informações confidenciais. 
Correspondência de dados, como comparar o conteúdo do arquivo com dados confidenciais conhecidos. 
Detecção de rótulos, tags e outros metadados que identifiquem, de forma explícita, um arquivo como sensível. Às vezes é chamada de "impressão digital dos dados". 
Correspondência de arquivos, quando uma ferramenta de DLP compara os hashes (identidades de arquivos) dos arquivos protegidos.
Correspondência de palavras-chave, quando o DLP procura palavras-chave que são encontradas com frequência em dados confidenciais.
Correspondência de padrões, como procurar dados que seguem um determinado formato. Por exemplo, um cartão American Express sempre terá 15 dígitos e começará com “3”. Mas nem todos esses números são da AmEx, então uma solução DLP também pode procurar o nome corporativo, sua abreviação ou uma data de validade próxima.

Quando uma ferramenta de DLP detecta dados sensíveis, ela procura por violações de políticas, comportamento anormal do usuário, vulnerabilidades do sistema e outros indícios de possíveis perdas de dados, incluindo:   

Vazamentos de dados, como um usuário tentando compartilhar um arquivo confidencial com alguém de fora da organização. 
Usuários não autorizados que tentam acessar dados críticos ou realizar ações não autorizadas, como editar, apagar ou copiar um arquivo confidencial. 
Assinaturas de malware, tráfego de dispositivos desconhecidos ou outros indicadores de atividade maliciosa.

Aplicando proteções de dados

Quando as soluções DLP detectam violações de políticas, elas podem responder com esforços de remediação em tempo real. Aqui estão alguns exemplos:  

Criptografar dados à medida que eles migram pela rede. 
Interromper o acesso não autorizado aos dados.
Bloquear transferências não autorizadas e tráfego malicioso. 
Alertar os usuários de que eles estão violando as políticas. 
Sinalizar comportamento suspeito para que seja avaliado pela equipe de segurança. 
Acionar mais desafios de autenticação antes que os usuários possam ter acesso aos dados críticos.
Aplicar o princípio do privilégio mínimo aos recursos, como em um ambiente zero trust.

Algumas ferramentas de DLP também ajudam com a recuperação de dados, fazendo backup automático de informações para que possam ser restauradas posteriormente.  

As organizações também podem tomar medidas mais proativas para aplicar as políticas de DLP. O gerenciamento de acesso e identidade (IAM) eficaz, incluindo políticas de controle de acesso baseadas em funções, pode restringir o acesso a dados às pessoas certas. O treinamento dos funcionários sobre os requisitos e as melhores práticas de segurança pode ajudar na prevenção de perdas e vazamentos acidentais de dados. 

Documentação e geração de relatórios sobre as iniciativas de DLP

As ferramentas de DLP normalmente contam com dashboards e funções de relatório que as equipes de segurança utilizam para monitorar dados sensíveis em toda a rede. Essa documentação permite que a equipe de segurança acompanhe o desempenho do programa de DLP ao longo do tempo, para que políticas e estratégias possam ser ajustadas de acordo com as necessidades. 

As ferramentas de DLP também podem auxiliar as organizações no cumprimento das regulamentações pertinentes, registrando seus esforços em segurança de dados. Se houver um ataque cibernético ou uma auditoria, a organização poderá usar esses registros para provar que seguiu os procedimentos adequados de tratamento de dados. 

Conformidade regulatória e DLP

As estratégias de DLP costumam estar alinhadas com os esforços de conformidade. Muitas organizações elaboram suas políticas de DLP especificamente para cumprir regulamentos como o Regulamento geral sobre a proteção de dados (RGPD), a California Consumer Privacy Act (CCPA), a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) e o Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS).

Diferentes regulamentações impõem padrões diferentes para tipos de dados distintos. Por exemplo, a HIPAA estabelece regras para informações pessoais de saúde, enquanto o PCI DSS determina como as organizações lidam com os dados dos cartões de pagamento. Uma empresa que coleta os dois tipos de dados, provavelmente precisaria de uma política de DLP separada para cada tipo, a fim de atender aos requisitos de conformidade.   

Muitas soluções DLP incluem políticas de DLP pré-escritas alinhadas aos vários padrões de segurança e privacidade de dados que as empresas precisam atender. 

Tendências na prevenção de perda de dados

Desde o surgimento da IA generativa até as regulamentações emergentes, diversos fatores estão mudando o cenário de dados. Por sua vez, as políticas e ferramentas de DLP precisarão evoluir para atender a essas mudanças. Algumas das tendências mais significativas em DLP são:

Ambientes híbridos e multinuvem
IA generativa
Aumento da regulamentação
Força de trabalho móvel e trabalho remoto
TI invisível e dados ocultos

Ambientes híbridos e multinuvem

Muitas organizações agora armazenam dados localmente e em várias nuvens, possivelmente até em vários países. Essas medidas podem adicionar flexibilidade e economia de custos, mas também aumentam a complexidade da proteção desses dados.

Por exemplo, o relatório do custo das violações de dados constatou que 40% das violações ocorrem em organizações que armazenam seus dados em vários ambientes.

IA generativa

Os grandes modelos de linguagem (LLMs) são, por definição, grandes e consomem enormes quantidades de dados que as organizações devem armazenar, rastrear e proteger contra ameaças, como injeções de prompt. A Gartner previu que “até 2027, 17% do total de ataques cibernéticos/vazamentos de dados envolverão a IA generativa”.¹

Aumento da regulamentação

Com grandes violações de dados e abusos nas redes sociais, aumentam os pedidos por regulamentações governamentais e dos segmentos, o que pode aumentar a complexidade dos sistemas e das verificações de conformidade. Regulamentações recentes, como a EU AI Act e o CCPA draft rules on AI, estão impondo algumas das regras de privacidade e proteção de dados mais rígidas até agora.

Força de trabalho móvel e trabalho remoto

Gerenciar dados em um prédio ou rede é mais simples do que fornecer acesso ao sistema a uma força de trabalho móvel ou a trabalhadores remotos, em que os problemas de comunicação e acesso multiplicam os esforços exigidos da equipe de TI.

Além disso, os trabalhadores remotos às vezes têm vários empregadores ou contratos, de modo que “fios cruzados” podem gerar mais vazamentos de dados. A Gartner prevê que, “até o final de 2026, a democratização da tecnologia, a digitalização e a automação do trabalho aumentarão o mercado disponível de trabalhadores totalmente remotos e híbridos para 64% do total de funcionários, contra 52% em 2021”.¹

TI invisível e dados ocultos

Com os funcionários usando cada vez mais hardware e software pessoais no trabalho, essa TI invisível não gerenciada cria um grande risco para as organizações.

Os funcionários podem estar compartilhando arquivos de trabalho em uma conta pessoal de armazenamento em nuvem, fazendo videoconferências em plataformas não autorizadas ou criando grupos de bate-papo não oficiais, sem a aprovação da TI. Versões pessoais do Dropbox, Google Drive e Microsoft OneDrive podem criar problemas de segurança para a equipe de TI.

As organizações também estão tendo que lidar com um aumento nos dados ocultos, ou seja, dados na rede corporativa que o departamento de TI desconhece e não gerencia. A proliferação de dados ocultos é um dos principais fatores que contribuem para a violação de dados. De acordo com o relatório do custo das violações de dados, 35% das violações envolvem dados ocultos.

Soluções relacionadas

Soluções de segurança e proteção de dados

Implementado localmente ou em uma nuvem híbrida, as soluções de segurança de dados da IBM ajudam a obter maior visibilidade e insights para investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.

Explore as soluções de proteção e segurança de dados

IBM Guardium Discover and Classify

Descoberta e classificação precisas, escaláveis e integradas de dados estruturados e não estruturados em todos os ambientes.

Explore o IBM Guardium Discover and Classify

Soluções de segurança para dispositivos móveis

Proteja qualquer dispositivo contra ameaças à segurança móvel. Gerencie endpoints e segurança de forma centralizada, criando experiências sem atritos para os usuários, reduzindo ameaças cibernéticas e mantendo um baixo custo total de propriedade (TCO).

Explore as soluções de mobile security

Recursos

O diferenciador dos dados

Um guia do líder de dados para criar uma organização baseada em dados e impulsionar a vantagem comercial.

O que é ransomware?

Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a não ser que um resgate seja pago ao invasor.

Dados não estruturados e estruturados

Dados não estruturados e estruturados são obtidos, coletados e dimensionados de maneiras diferentes, e cada um deles reside em um tipo distinto de banco de dados.

Dê o próximo passo

Saiba como a família de produtos IBM Guardium pode ajudar sua organização a enfrentar a evolução das ameaças com análises avançadas, alertas em tempo real, conformidade simplificada, classificação automatizada de descoberta de dados, além de gerenciamento de postura.

Explore o Guardium

Agende uma demonstração em tempo real

Nota de rodapé

¹ Forecast Analysis: Information Security and Risk Management, Worldwide. Gartner. 29 de fevereiro de 2024. (Link externo ao site ibm.com).