O que é data loss prevention (DLP)?
Assine a newsletter da IBM Conheça o IBM Security QRadar
Desenho isométrico mostrando diferentes funcionários do escritório, tudo usando a IBM Security

Data loss prevention (DLP) refere-se às estratégias, processos e tecnologias que as equipes de segurança cibernética usam para proteger dados confidenciais contra roubo, perda e uso indevido.  

Os dados são um diferencial competitivo para muitas empresas, e a rede corporativa média abriga uma variedade de segredos comerciais, dados pessoais dos clientes e outras informações confidenciais. Os hackers buscam por esses dados para seu próprio benefício, mas as organizações muitas vezes lutam para impedir esses invasores. Pode ser desafiador manter os dados críticos seguros quando centenas, se não milhares, de usuários autorizados acessam-nos diariamente em armazenamento na nuvem e repositórios locais. 

As estratégias e ferramentas de DLP ajudam as organizações a evitar vazamentos e perdas de dados, monitorando os dados em toda a rede e aplicando políticas de segurança granular. Dessa forma, as equipes de segurança podem garantir que apenas as pessoas certas possam acessar os dados certos pelos motivos certos.

Tipos de perda de dados

Os eventos de perda de dados são frequentemente descritos como violações de dados, vazamento de dados ou exfiltração de dados. Os termos são ocasionalmente usados de forma intercambiável, mas possuem significados distintos.

Uma violação de dados é qualquer ataque cibernético ou outro incidente de segurança em que partes não autorizadas obtêm acesso a dados sensíveis ou informações confidenciais, incluindo dados pessoais (por exemplo, números de Seguro Social, números de contas bancárias, dados de assistência médica) ou dados corporativos (por exemplo, dados de saúde). registros de clientes, propriedade intelectual, dados financeiros). De acordo com o relatório Cost of a Data Breach 2023 da IBM , a média de custo em cada violação é de US$ 4,45 milhões, um aumento de 15% nos últimos três anos.

O vazamento de dados é a exposição acidental de dados confidenciais ou informações confidenciais ao público. A exfiltração de dados é o verdadeiro roubo de dados, quando um invasor move ou copia os dados de outra pessoa para um dispositivo que está sob o controle do invasor.

O que causa perda de dados?

A perda de dados ocorre por muitas razões, mas as causas mais comuns incluem:

  • Vulnerabilidades de segurança —fraquezas ou falhas na estrutura, código ou implementação de um aplicativo, dispositivo, rede ou outro ativo de TI que os hackers podem explorar. Isso inclui erros de codificação, configurações incorretas e vulnerabilidades de dia zero (desconhecidas ou como fraquezas ainda não corrigidas).

  • Credenciais fracas ou roubadas— senhas que hackers podem facilmente adivinhar, senhas ou outras credenciais (por exemplo, cartões de identificação) que hackers ou criminosos cibernéticos roubam.
     

  • Ameaças internas -usuários autorizadosque colocam os dados em risco por descuido ou intenção maliciosa. Os agentes internos maliciosos geralmente são motivados por ganhos pessoais ou por uma queixa contra a empresa.
     

  • Malware— software criado especificamente para prejudicar um sistema de computador ou seus usuários. A forma mais conhecida de malware com risco de dados é o ransomware, que criptografa os dados para que eles não possam ser acessados e exige um pagamento de resgate para a chave de descriptografia (e às vezes um segundo pagamento para evitar que os dados sejam exfiltrados ou compartilhados com outros criminosos cibernéticos).
     

  • Engenharia social—táticas que enganam as pessoas no compartilhamento de dados que elas não deveriam compartilhar. Isso pode ser tão engenhoso quanto um ataque de phishing que convence um funcionário a enviar por e-mail os dados confidenciais dos funcionários, ou tão inútil quanto deixar um pen drive infectado por malware onde alguém o encontrará e o usará.
     

  • Roubode dispositivo físico — roubo de um laptop, smartphone ou outro dispositivo que concede ao ladrão acesso à rede e permissão para acessar dados.

Estratégias e políticas de prevenção contra perda de dados

As organizações criam estratégias formais de DLP para proteger contra todos os tipos de perda de dados. No fundamento de uma estratégia de DLP está um conjunto de políticas de DLP que definem como os usuários devem lidar com os dados corporativos. As políticas de DLP abrangem as principais práticas de segurança de dados, como onde armazenar dados, quem pode acessá-los, como usá-los e como estabelecer os controles de segurança ao seu redor. 

Em vez de elaborar uma única política para todos os dados, as equipes de segurança da informação normalmente criam políticas diferentes para os diferentes tipos de dados em suas redes. Isso ocorre porque diferentes tipos de dados geralmente precisam ser tratados de maneira diferente. 

Por exemplo, informações pessoais identificáveis (PII), como números de cartão de crédito e endereços residenciais, geralmente estão sujeitas a regulamentações de segurança de dados que determinam o que uma empresa pode fazer com ela. Por outro lado, a empresa tem moeda livre sobre o que faz com sua propriedade intelectual (IP). Além disso, as pessoas que precisam de acesso a PII podem não ser as mesmas pessoas que precisam de acesso a IP da empresa. Ambos os tipos de dados precisam ser protegidos, mas de maneiras diferentes.  

As equipes de segurança criam várias políticas de Prevenção contra Perda de Dados (DLP) detalhadas, para que possam aplicar os padrões de segurança adequados a cada tipo de dado sem interferir no comportamento autorizado dos usuários finais.As organizações revisam essas políticas regularmente para acompanhar as mudanças nos regulamentos relevantes, na rede corporativa e nas operações comerciais.

Por que as soluções DLP são importantes

A aplicação manual das políticas de DLP pode ser desafiadora, se não impossível. Além de diferentes conjuntos de dados estarem sujeitos a regras diferentes, as organizações também devem monitorar cada parte dos dados em toda a rede, incluindo 

  • Dados em uso— dados sendo acessados ou processados, por exemplo, dados que são usados para análise ou cálculos, ou um documento de texto sendo editado por um usuário final.
     

  • Dados em movimento—dados se movendo através de uma rede, como dados sendo transmitidos por um servidor de transmissão de eventos ou um aplicativo de mensagens.

  • Dados em repouso— dados armazenados, como dados armazenados em um drive na nuvem.

Como a aplicação de políticas DLP exige uma visibilidade contínua dos dados em toda a organização, as equipes de segurança da informação geralmente dependem de ferramentas de software DLP especializadas para garantir que os usuários sigam as políticas de segurança de dados.Essas ferramentas DLP podem automatizar funções importantes como identificar dados confidenciais, rastrear seu uso e bloquear acesso ilícito.   

As soluções de DLP geralmente funcionam em conjunto com outros controles de segurança para proteger os dados. Por exemplo, firewalls podem ajudar a impedir que o tráfego malicioso entre e saia das redes. Os sistemas de gerenciamento de eventos e informações de segurança (SIEM) podem ajudar a detectar comportamentos anômalos que podem apontar para vazamentos de dados. As soluções de detecção e resposta estendidas (XDR) permitem que as organizações iniciem respostas robustas e automatizadas a violações de dados.

Tipos de soluções DLP

Existem três tipos principais de soluções de DLP: rede, endpoint e DLP na nuvem. As organizações podem optar por utilizar um tipo de solução ou uma combinação de várias soluções, dependendo de suas necessidades e de como seus dados são armazenados.

DLP de rede

As soluções de DLP de rede se concentram em como os dados se movimentam, entram e saem de uma rede. Muitas vezes, eles usam inteligência artificial (IA) e machine learning para detectar fluxos de tráfego anômalos que podem sinalizar um vazamento ou perda de dados. Embora as ferramentas de DLP de rede sejam projetadas para monitorar dados em movimento, muitas delas também podem proporcionar visibilidade aos dados em uso e em repouso na rede.

DLP de endpoint

As ferramentas de DLP de endpoints monitoram a atividade em laptops, servidores, dispositivos móveis e outros dispositivos que acessam a rede. Essas soluções são instaladas diretamente nos dispositivos que monitoram e podem impedir que os usuários realizem ações proibidas nesses dispositivos.Algumas ferramentas de DLP de endpoints também podem bloquear transferências de dados não aprovadas entre dispositivos. 

DLP na nuvem

As soluções de DLP na nuvem concentram-se nos dados armazenados e acessados pelos serviços de nuvem. Eles podem verificar, classificar, monitorar e criptografar dados em repositórios na nuvem. Essas ferramentas também podem ajudar a aplicar políticas de controle de acesso a usuários finais individuais e a quaisquer serviços de nuvem que possam acessar os dados da empresa.

Como as soluções de DLP ajudam a aplicar a política de DLP

As equipes de segurança seguem um processo de quatro etapas para colocar as políticas de DLP em prática, e as ferramentas de DLP desempenham um papel importante em cada etapa.

Identificação e classificação de dados

Primeiro, a organização cataloga todos os seus dados estruturados e não estruturados. Dados estruturados são dados com um formulário padronizado. Geralmente é claramente rotulado e armazenado em um banco de dados. Os números de cartão de crédito são um exemplo de dados estruturados: eles têm sempre 16 dígitos. Dados não estruturados são informações de formato livre, como documentos de texto ou imagens. 

As equipes de segurança normalmente usam ferramentas DLP para realizar esta etapa. Muitas vezes, essas ferramentas podem realizar varreduras em toda a rede para localizar dados onde quer que estejam armazenados, na nuvem, em dispositivos físicos, nos dispositivos pessoais dos funcionários e em outros locais.  

Em seguida, a organização classifica esses dados, classificando-os em grupos com base no nível de sensibilidade e nas características compartilhadas. A classificação dos dados permite que a organização aplique as políticas corretas de DLP aos tipos certos de dados. Por exemplo, algumas organizações podem agrupar dados com base no tipo: dados financeiros, dados de marketing, propriedade intelectual, etc. Outras organizações podem categorizar dados com base em regulamentações relevantes, como o Regulamento Geral de Proteção de Dados (RGPD), a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), etc.

Muitas soluções de DLP podem automatizar a classificação de dados. Essas ferramentas podem empregar inteligência artificial, aprendizado de máquina e correspondência de padrões para analisar dados estruturados e não estruturados e determinar que tipo de dados são, se são sensíveis e quais políticas de DLP devem ser aplicadas.

Monitoramento de dados

Depois que os dados são classificados, a equipe de segurança monitora como eles são tratados. As ferramentas de DLP podem usar várias técnicas para identificar e rastrear dados confidenciais em uso. Essas técnicas incluem: 

  • Correspondência de dados, como comparar o conteúdo do arquivo com os dados confidenciais conhecidos.
     

  • Correspondência de padrões, como procurar dados que sigam um determinado formato — por exemplo, um número de nove dígitos formatado XXX-XX-XXXX pode ser um número de previdência social.
     

  • Análise de conteúdo, como o uso de IA e machine learning para analisar uma mensagem de e-mail para obter informações confidenciais.
     

  • Detectando rótulos, tags e outros metadados que identificam explicitamente um arquivo como sensível.  

Quando uma ferramenta DLP detecta o manuseio de dados sensíveis, ela procura por violações de políticas, comportamento anormal, vulnerabilidades do sistema e outros indícios de possíveis perdas de dados, incluindo:   

  • Vazamentos de dados, como um usuário tentando compartilhar um arquivo confidencial com alguém de fora da organização. 

  • Usuários não autorizados que tentam acessar dados críticos ou realizar ações não aprovadas, como editar, apagar ou copiar um arquivo confidencial. 

  • Assinaturas de malware, tráfego de dispositivos desconhecidos ou outros indicadores de atividade maliciosa.

Aplicando proteções de dados

Quando as soluções de DLP detectam violações de políticas, elas podem responder com esforços de correção em tempo real. Os exemplos incluem:  

  • Criptografando dados à medida que eles se movem pela rede
     

  • Rescisão de transferências de dados não autorizadas e bloqueio de tráfego malicioso
     

  • Aviso aos usuários de que eles estão violando políticas
     

  • Sinalização de comportamento suspeito para análise pela equipe de segurança
     

  • Acionando desafios de autenticação adicionais antes que os usuários possam interagir com dados críticos

Algumas ferramentas de DLP também ajudam na recuperação de dados, fazendo backup automático de informações para que possam ser restauradas após uma perda.  

As organizações também podem tomar medidas mais proativas para aplicar as políticas de DLP. O gerenciamento eficaz de identidade e acesso (IAM), incluindo políticas de controle de acesso baseadas em funções, pode restringir o acesso aos dados às pessoas certas. O treinamento dos funcionários sobre os requisitos e as práticas recomendadas de segurança de dados pode ajudar a evitar mais perdas e vazamentos acidentais de dados antes que eles aconteçam. 

Documentação e geração de relatórios sobre os esforços de DLP

Normalmente, as ferramentas de DLP apresentam painéis e funções de relatório que as equipes de segurança podem utilizar para monitorar dados sensíveis em toda a rede.Essa documentação permite à equipe de segurança acompanhar o desempenho do programa de DLP ao longo do tempo, para que políticas e estratégias possam ser ajustadas conforme necessário.

As ferramentas de DLP também podem auxiliar as organizações a cumprir regulamentações pertinentes, registrando seus esforços em segurança de dados.No caso de um ataque cibernético ou auditoria, a organização pode usar esses registros para provar que seguiu os procedimentos apropriados de tratamento de dados. 

Conformidade regulatória e DLP

As estratégias de DLP costumam estar estreitamente alinhadas com os esforços de conformidade. Muitas organizações elaboram suas políticas de DLP de forma específica para estar em conformidade com regras como o Regulamento Geral sobre a Proteção de Dados (GDPR), a Lei de Portabilidade e Lei de portabilidade e responsabilidade de seguros de saúde (HIPAA) e o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI-DSS).   

Diferentes regulamentações impõem diferentes padrões para diferentes tipos de dados. Por exemplo, a HIPAA estabelece regras para informações pessoais de saúde, enquanto a PCI-DSS determina como as organizações lidam com dados de cartões de pagamento. Uma empresa que coleta ambos os tipos de dados provavelmente precisaria de uma política de DLP separada para cada tipo para atender aos requisitos de conformidade.   

Muitas soluções de DLP incluem políticas de DLP pré-escritas alinhadas aos vários padrões de segurança de dados que as empresas podem precisar atender. 

Soluções relacionadas
Conjunto IBM security® QRadar®

Supere ataques com um conjunto de segurança conectado e modernizado. O portfólio QRadar incorpora inteligência artificial de alto nível e disponibiliza produtos integrados para segurança de endpoints, gerenciamento de logs, SIEM e SOAR, todos com uma interface de usuário padronizada, insights compartilhados e fluxos de trabalho interligados.

Explorar a suíte QRadar
IBM security guardium®

Proteja dados confidenciais no local e na nuvem. O IBM Security Guardium é uma solução de segurança de dados que se adapta à medida que o ambiente de ameaças muda, fornecendo visibilidade, conformidade e proteção completas em todo o ciclo de vida da segurança dos dados.

Explore o IBM Security Guardium

Soluções de segurança e proteção de dados

Implementado no local ou em uma nuvem híbrida, as soluções de segurança de dados da IBM ajudam você a obter mais visibilidade e insights para investigar e remediar ameaças cibernéticas, aplicar controles em tempo real e gerenciar a conformidade regulatória.

Explore as soluções de proteção e segurança de dados
Recursos Custo das violações de dados 2023

Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.

O que é ransomware?

Ransomware é uma forma de malware que ameaça destruir ou reter os dados ou arquivos da vítima, a menos que um resgate seja pago ao invasor para descriptografar e restaurar o acesso aos dados.

O que é SIEM?

O SIEM (gerenciamento de eventos e informações de segurança) é um software que ajuda as organizações a reconhecer e lidar com possíveis ameaças e vulnerabilidades de segurança antes que elas possam interromper as operações de negócios.

Take the next step

Cybersecurity threats are becoming more advanced, more persistent and are demanding more effort by security analysts to sift through countless alerts and incidents. IBM Security QRadar SIEM helps you remediate threats faster while maintaining your bottom line. QRadar SIEM prioritizes high-fidelity alerts to help you catch threats that others miss.

Explore QRadar SIEM Book a live demo