Tecnologias para protecção do roubo de dados corporativos

17 de Fevereiro de 2009 às 15:48:18 por João Nóbrega

As tecnologias de protecção ao roubo de dados possuem vários nomes: prevenção ou protecção de roubo de dados, protecção de ameaças internas, gestão de conteúdos de comunicações para o exterior para apenas nomear alguns

Monitorizar, documentar e prevenir que informação confidencial saia das organizações sem autorização é o principal objectivo dos produtos de protecção do roubo de dados, ou Data Leak Protection (DLP).
A definição de “dados confidenciais” também é variável consoante as organizações. Alguns tipos de dados são confidenciais na sua natureza, como cartões de crédito, números da segurança social ou contas bancárias de clientes e empregados. Mas os dados confidenciais podem incluir propriedade intelectual, informação competitiva – tudo aquilo que uma organização não quer que seja acessível aos olhos errados.
Os produtos de protecção do roubo de dados identificam dados confidenciais através de termos semelhantes incluídos no dicionário ou auxiliando as empresas a definir quais os seus dados confidenciais. Estes produtos podem ser apenas aplicações ou equipamentos e alguns requerem a utilização de agentes clientes. Independentemente da sua forma, a maior parte destes produtos trabalham através do exame dos “dados em movimento”, isto é informação que está a sair da organização através de mensagens de correio electrónico ou de mensagens instantâneas ou a ser copiada para meios amovíveis (USB, discos, etc). Presentemente, alguns destes produtos também realizam o exame dos “dados em descanso”, isto é a informação que está armazenada através da rede corporativa. Esta abordagem auxilia as organizações a manipular a totalidade dos dados confidenciais de que são proprietários e não apenas a informação que está a abandonar a organização.
Uma vez identificada através destas ferramentas, os dados podem ser manipulados numa variedade de modos. Os administradores possuem a opção de simplesmente serem alertados de que determinado tipo de dados estão a abandonar a organização ou a acção pode ser bloqueada ou colocada de quarentena. Alguns produtos emitem uma notificação aos utilizadores de que estão a violar as politicas corporativas e obrigam os utilizadores a introduzir as razões para esta acção. Esta abordagem auxilia na educação dos utilizadores acerca das políticas de dados confidenciais para auxiliar a limitar a partilha de informação protegida.

Boas práticas para obter conformidade regulamentar
Escolheu uma ferramenta DLP e possui a resposta quando o conselho de administração perguntar o que é que a empresa está a fazer para proteger as brechas de dados. Para que estas ferramentas tenham uma elevada taxa de sucesso na prevenção da saída de dados confidenciais da sua rede de comunicações corporativa, requerem algum trabalho de optimização. A seguir disponibilizamos algumas boas práticas para o auxiliar a colocar em funcionamento as ferramentas DLP.
•    As suas políticas DLP devem ser baseadas nas suas necessidades de conformidade. Estas ferramentas apenas reforçam a política que definiu. Por exemplo, muitas regulamentações exigem a encriptação de dados pessoais. Se a ferramenta disponibiliza encriptação, deverá encriptar números que sejam identificados como Segurança Social e cartões de crédito.
•    A criação de politicas não uma prática isolada. As ferramentas DLP são compostas de tecnologia e de conhecimento do negócio. Para que as ferramentas sejam efectivas, o departamento de TI e as unidades de negócio devem colaborar no desenvolvimento de políticas que protejam a empresa, mas que sejam suficientemente flexíveis para permitir que os empregados consigam desempenhar as suas funções. Uma vez criadas, o departamento de TI deve comprometer as unidades de negócio na actualização das políticas com base no “feedback” dos utilizadores. Um modo de alcançar esta situação é a de permitir que os utilizadores expliquem as excepções às políticas definidas – muitas ferramentas disponibilizam uma caixa de diálogo para introduzir estas razões. Mas mesmo que a ferramenta não automatize o processo, disponibilize aos utilizadores um canal de comunicação para submeterem as suas razões. Estes contributos conduzem a políticas que reflectem adequadamente o modo como a empresa funciona.
•    Estas ferramentas irão capturar erros, mas poderão não capturar brechas intencionais. Contudo, a maioria dos incidentes de perda de dados estão relacionados com erros e não com actividades mal intencionadas. Segundo Nick Selby, analista do The 451 Group, uma empresa de práticas de segurança, 98% dos dados perdidos são o resultado de “acidentes” dos utilizadores. Se um empregado estiver determinado a enviar informação sobre a evolução dos produtos para a concorrência será difícil derrotá-lo. Mas os empregados que enviam dados financeiros corporativos através da Web para poderem trabalhar esses dados em casa, rapidamente vão aprender com estas ferramentas que este tipo de acções compromete a segurança dos dados corporativos.
•    Quando utilizar uma funcionalidade de bloqueamento tenha em consideração o risco de existência de falsos positivos. Esta questão não está necessariamente relacionada com a qualidade da ferramenta mas com a ausência de definições dos dados confidenciais. Muitas empresas optam por funcionar com estas ferramentas inicialmente no modo de monitorização, de modo a poderem visualizar o que está a ser enviado para o exterior e, em seguida, trabalharem nas políticas.
•    Em primeiro lugar classifique os seus dados. Se, após a criação, os dados puderem ser classificados como confidenciais ou não, irá poupar imenso trabalho. Uma etiqueta de classificação que possa seguir os dados irá actuar como uma bandeira necessária para assegurar que as ferramentas DLP descobrem as brechas de segurança.

Cinco perguntas a colocar aos fabricantes
Instalar um produto de protecção ao roubo de dados na sua rede de comunicações pode ser trabalhoso. Necessita de criar as todas as politicas necessárias, definir onde residem os dados confidenciais e decidir quais os canais de comunicação devem ser monitorizados para identificar violações. Mas antes de começar, deve escolher um fabricante adequado às suas necessidades. Aqui ficam algumas orientações:
1. Quais os tipos de dados que o produto identifica? Se está a tentar assegurar que os princípios básicos são contemplados – números da Segurança Social dos empregados, números de cartões de crédito dos clientes – poderá sentir-se satisfeito com um produto de entrada de gama. Estes produtos podem observar os números baseados nos seus formatos e bloqueá-los para evitar que saiam da rede de comunicações da sua empresa. Mas se pretende assegurar-se que a sua propriedade intelectual está protegida (nomes de projectos de I&D, previsões de vendas) poderá beneficiar da utilização de um produto de topo. Estes produtos utilizam algoritmos mais complexos para identificar este tipo de dados e bloquear a sua saída da organização sem autorização.
2.Onde é que a ferramenta protege os dados? Será que a ferramenta protege dados armazenados em computadores pessoais e equipamentos portáteis? Será que protege os dados armazenados na rede de comunicações (servidores, storage-area networks, e armazenamento nearline)? Os locais em que procura esses dados são tão importantes como o modo como o produto identifica dados confidenciais. Se escolhe um produto que bloqueia informação confidencial de canais de comunicação dirigidos ao exterior tais como correio electrónico e mensagens instantâneas mas não tem uma pista de quando um empregado copia os dados financeiros da empresa para uma drive, pode deixar a porta traseira aberta. Adicionalmente, esta categoria de produtos permite a visualização de dados em movimento, tais como mensagens de correio electrónico e mensagens instantâneas. No entanto, de um modo crescente, as ferramentas podem examinar dados em descanso. Se optar por esta funcionalidade, quais os “endpoints” que o produto deverá examinar? Um produto que apenas protege dados armazenados em “endpoints”, mas não consegue encontrar nos arquivos de mensagens de correio electrónico, não ajuda a obter uma visão global dos dados da empresa que se deslocam.
3. Quais as dificuldades para estabelecer as politicas? Verifique quais os procedimentos que estão adequados à sua organização antes de adquirir ferramentas DLP. Será que estas ferramentas podem ser utilizadas por pessoas exteriores ao departamento de tecnologias de informação para auxiliá-los a classificar os dados como confidenciais? Qual a facilidade para estabelecer e alterar politicas? Qual é o processo recomendado para testar as politicas antes do produto entrar em funcionamento?
4. Quando uma violação é descoberta, quais as opções de acção que o produto disponibiliza? A ferramenta apenas permite alertar os administradores da ocorrência de violações das políticas ou pode bloquear a transacção antes de acontecer? A ferramenta permite também alertar o utilizador e dar-lhe uma oportunidade de disponibilizar uma razão? A ferramenta cria ainda uma auditoria para fins forenses? 5. Com que produtos a ferramenta funciona? Pode partilhar politicas e trocar dados com outros produtos tais como segurança de correio electrónico, gestão de identidades ou gestão de acessos?

Controlar a informação confidencial
As ferramentas DLP tem como objectivo monitorizar e, frequentemente, impedir que dados confidenciais abandonem a rede de comunicações corporativa sem a autorização necessária. Ao realizarem esta tarefa, disponibilizam ainda aos administradores uma visão detalhada do tipo de dados que abandonam a empresa e de que modo.
Os componentes incluem software servidor que identifica os dados contidos numa transferência do utilizador – tal como enviar uma mensagem de correio electrónico ou uma mensagem instantânea, copiar um ficheiro para um meio amovível ou mesmo imprimir – com uma lista de termos pré-definidos que ditam o que são dados confidenciais. A maior parte das ferramentas não monitorizam apenas as brechas de segurança como podem bloqueá-las ou colocá-las de quarentena.
Para lá do software servidor, que na maior parte das vezes vem pré-configurado num equipamento, muitas empresas disponibilizam também agentes para os clientes. Estes agentes asseguram que ao nível dos computadores pessoais e dos equipamentos portáteis as politicas relacionadas com dados confidenciais são impostas. Os utilizadores não necessitam de estar ligados à rede de comunicações para que estes agentes sejam efectivos, na medida em que actuam sozinhos e são actualizadas as suas regras quando os utilizadores se voltam a ligar à rede de comunicações.
As ferramentas DLP capturam dados confidenciais de diferentes modos. Os métodos mais simples empregam um dicionário de termos pré-definidos – incluindo formatos de dados de números da Segurança Social e de cartões de crédito, assim como termos regulamentares relacionados dos dados confidenciais –  e em seguida examinar a actividade dos utilizadores segundo estes termos. Os sistemas mais complicados disponibilizam analítica de linguagem para determinar se os dados devem ser considerados confidenciais. Tal é concretizado através da captura dos dados que se movimentam pela empresa, através da sua indexação e recomendando o que deve ser protegido. Estas abordagens podem ser úteis para classificar informação que não é facilmente identificada como confidencial, tal como propriedade intelectual que pode estar num texto de uma mensagem de correio electrónico ou como parte de um slide PowerPoint.
Geralmente, estas ferramentas disponibilizam funcionalidades de criação de políticas para auxiliar a estabelecer regras relativas aos dados que podem e não podem abandonar a rede de comunicações corporativa. Muitas disponibilizam ainda algumas funcionalidades de auditoria permitindo aos administradores reverem o comportamento dos utilizadores e melhor compreenderem as condições subjacentes às violações das políticas estabelecidas.
Cada vez mais, os fabricantes de ferramentas DLP integram os seus produtos com outras tecnologias, como motores de encriptação, para automatizarem a encriptação de dados confidenciais que habitam na rede de comunicações corporativa. Estão ainda a estabelecer parcerias com fabricantes de gestão de direitos, fornecedores de correio electrónico e segurança Web e outros para integrar o conhecimento acerca de dados confidenciais nestes produtos.

Principais tendências
A ferramentas de Data-Leak Protection (DLP) adquirem funcionalidades avançadas e integração com outros produtos de segurança
As ferramentas DLP são um recente segmento do mercado de segurança que tem vindo a registar taxas de crescimento elevadas. O efeito conjugado da  rápida consolidação do mercado de segurança que ocorreu no decorrer do ano passado, em que os grandes fabricantes adquiriram empresas de menor dimensão, e a maturidade de muitos dos produtos DLP transformou aquilo que era uma colecção fragmentada de produtos em ferramentas de nível corporativo.
Designada através de muitos nomes, incluindo gestão de conteúdos e protecção de perda ou de roubo de dados, estas ferramentas auxiliam as organizações empresariais a identificar e proteger dados confidenciais. O Gartner estima que o mercado de filtragem de conteúdos e de DLP tenha ascendido a 50 milhões de dólares em 2006 e que tenha triplicado no ano passado (150 milhões de dólares). Entretanto, a IDC prevê que o mercado tenha sido mais elevado e tenha ultrapassado 194 milhões de dólares em 2007 e que vá ultrapassar 434,6 milhões de dólares em 2009, o que corresponde a uma taxa de crescimento anual média de 50%. Investir em ferramentas DLP tornou-se uma necessidade corporativa.
Aqui ficam algumas das principais tendências do mercado:
•    Onda de aquisições perde força. Desde os finais de 2006 e no decorrer de 2007, os grandes fabricantes de segurança gastaram mais de 1,6 mil milhões de dólares na aquisição de “start-ups” responsáveis pelo desenvolvimento de ferramentas DLP. E este número apenas inclui os valores tornados públicos. Grandes empresas como a Cisco Systems, a Symantec, a Trend Micro, a McAfee e a EMC procuraram através de uma dezena de start-ups e adiantaram o dinheiro necessário, culminando na aquisição da Vontu pela Symantec por 350 milhões de dólares.

•    A integração começou. Agora que a maioria dos fabricantes de segurança podem vangloriar-se acerca da adição de funcionalidades para protecção de roubo de dados aos seus produtos, estão a criar “roadmaps” detalhados de como estes produtos se vão integrar com as suas plataformas. E assim é que deve ser, refere Nick Selby, analista e director The 451 Group, que acredita que estas funções são mais adequadas para serem parte integrante de largos planos de segurança em vez de permanecerem como produtos isolados.

•    Os produtos DLP estão a ficar mais úteis. A maturidade das ferramentas disponibilizadas por estas “start-ups” foi uma das razões pelas quais os grandes fabricantes ficaram interessados nestas empresas. One reason bigger security vendors have been so interested in DLP start-ups is that the tools have matured. Já não olham para os dados confidenciais a saírem pela porta; auxiliam as empresas a descobrirem onde está armazenada. “Temos assistido ao movimento de protecção de informação em movimento para a informação em descanso e para a descoberta e esta é uma das razões pelas quais as aquisições foram tão rápidas”, refere Trent Henry, vice-presidente do Burton Group. “Muitas das soluções eram equipamentos ligados à rede que afirmavam que qualquer coisa de confidencial tinha abandonado a rede de comunicações”. Presentemente com os requisitos de e-discovery não necessita de saber para onde a informação vai, mas também onde está armazenada”.

•    Participação dos utilizadores está a tornar-se mais importante e fácil de utilizar. Os produtos DLP funcionam tão bem como as políticas que foram definidas para estes produtos. Para descobrir qual a informação que deve e não deve ser partilhada, o departamento de TI apenas pode confiar na participação dos gestores das unidades de negócio e outros empregados não técnicos. Estas ferramentas estão a tornar-se mais sensíveis a este facto. Muitas incluem componentes de instalação que não requerem um background técnico. Em simultâneo, as ferramentas estão a tornar-se mais flexíveis para os utilizadores. Por exemplo, quando um utilizador tenta enviar dados sem autorização, algumas ferramentas enviam um alerta mas dão uma oportunidade ao utilizador de explicar as suas acções. Esta funcionalidade auxilia na criação de politicas que de um modo mais efectivo descrevem como o trabalho é desempenhado numa determinada organização.

Pode acompanhar os comentários a este artigo via RSS 2.0.

Partilhar |

Notícias Relacionadas

Insira um comentário, ou crie um trackback no seu próprio site.

Deixe o seu Comentário

  • Pesquisa

  • Siga o Computerworld

  • Newsletter

  • Computerworld TV

  • InfoClipz

    Virtualização de Armazenamento em 3 minutos
    Saiba como a virtualização de ficheiros e blocos transcende a abordagem clássica de SAN ao armazenamento.

    Gestão de Risco em 3 minutos
    Uma estratégia de gestão de risco coerente fornece um quadro abrangente para a regulamentação, segurança de dados e continuidade do negócio.

    Virtualização de servidores em 3 minutos
    Três tipos de virtualização de servidores e os seus benefícios.

    Green IT em 3 minutos
    Custos energéticos elevados, espaço limitado do centro de dados e a pressão das questões ambientais, estão a fazer com que muitas empresas acelerem a implementação de iniciativas de Green IT.

    Comunicações unificadas em 3 minutos
    O conceito de presença e a proliferação de novas aplicações de dados e voz estão a mudar as comunicações empresariais.

    Protecção de Dados Empresariais em 3 minutos
    O essencial para proteger os dados, sistemas e comunicações do seu negócio.

    Cloud Computing em 3 minutos
    A Cloud Computing – ou computação na nuvem – tornou-se numa tecnologia indispensável. Promete menores custos para as empresas, maior flexibilidade na gestão das soluções informáticas, garante melhorias na eficiência e uma escalabilidade à medida.