DLP: Dicas de implantação

Há alguns anos atrás o noticiário The Economist afirmou que os dados são o novo Petróleo e cada dia mais este argumento tem ganhado força com a pandemia.

Dados tem alto valor nas mãos corretas ou erradas (dependendo do ponto de vista). Dados são vendidos por altos valores no mercado negro e os vazamentos são notícia todos os dias.

Além disso, a maioria das empresas coleta dados, que são importantes para sua própria sobrevivência e essenciais para sua vantagem competitiva. A perda desses dados tem implicações abrangentes, que vão desde a perda da confiança dos clientes, impacto financeiro para a empresa ou penalidades severas por órgãos reguladores.

DLP (Data Loss Prevention) e a realidade em muitas empresas

Uma solução de DLP (Data Loss Prevention) nos ajuda a reduzir este tipo de incidente e já existem produtos disponíveis no mercado há vários anos.

Entretanto, em minha experiência de 20 anos de Segurança da Informação, observo que muitas empresas não usam este tipo de ferramenta por terem se assustado com o preço de alguns fabricantes. Outras, se viram barradas na complexidade de implantação e de gerenciamento e só usam os módulos de auditoria.

Assim como ter um firewall e deixá-lo com sua política aberta nos leva a ter problemas com ameaças, um DLP sem políticas definidas não ajudará em nada na segurança e será uma ferramenta apenas para a demonstrar compliance e “para inglês ver”.

Sendo assim, gostaria de reforçar que é necessária uma implantação adequada para que o investimento realmente traga um retorno e vá além de ações reativas. Uma boa gestão no projeto de implantação faz total diferença.

Dicas para a implantação adequada

Para se implantar adequadamente uma ferramenta de DLP precisamos responder à algumas perguntas básicas. Separei 10 perguntas que podem te ajudar:

      1. Que tipos de dados nós temos? Ex: Dados de clientes, fornecedores, colaboradores, etc.

      2. Quais são os dados? Ex: Nome, Endereço, CPF, RG, Dados Bancários, Dados de saúde, etc.

      3. Qual a classificação destes dados? Ex: Públicos, Internos, Confidenciais, Restritos.

      4. Onde estão estes dados? Ex: Em um compartilhamento da rede, no banco de dados, Storage, etc.

      5. Quais os formatos destes dados? Ex: Arquivos texto, Planilhas, Documentos Office, etc.

      6. Quem tem acesso a estes dados? Ex: Todos os colaboradores? Apenas alguns?

      7. Quais os perfis de acesso? Ex: Por departamento, por setor, por nível de hierarquia, etc.

      8. Quais os canais autorizados pela empresa para a transferência? Ex: Sistemas, FTP/SFTP, E-mail, WhatsApp, Skype, Teams, Impressora, Dispositivos USB, etc.

      9. Quem são as pessoas autorizadas a receberem estes dados? Ex: Parceiros? Fornecedores? Qualquer pessoa?

     10. Qual será o critério para liberação de transferência? Ex: Definido por política de segurança, autorizado pela liderança, etc.

Isso faz parte de um Mapeamento de Dados. É preciso analisar a característica de negócio e configurar a ferramenta de maneira que não “engesse” as operações.

Respondendo estas perguntas, você conseguirá definir um plano de ação e já terá um caminho mais claro, podendo obter o melhor da ferramenta. Assim poderá configurar as regras de transferência de dados e consequentemente garantir mais proteção para sua empresa.

Texto desenvolvido por André Luiz Rodrigues Ferreira (Diretor da NETDEEP)

Links úteis:

1. Saiba mais sobre DLP: https://www.netdeep.com.br/secure/dlp/
2. Conte conosco para seus projetos de Segurança da Informação: https://www.netdeep.com.br/
3. Fonte da imagem em destaque : https://www.freepik.es/

Este artigo foi lido 2173 vezes!