A filtragem de conteúdos DLP (Data Loss Prevention), normalmente disponibilizada com uma appliance de rede, continua a ser uma tecnologia demasiado cara.
Os prós e contras das ferramentas de prevenção de perda de dados foram recentemente expostos pelo analista do Gartner, Eric Ouellet, que recentemente fez uma apresentação sobre o tema no primeiro dia do Security & Risk Management Summit organizado pela consultora.
Diz o analista que a filtragem de conteúdos DLP (Data Loss Prevention), que normalmente é disponibilizada pelos fabricantes em conjunto com uma appliance de rede, bem como o software que a acompanha, continua a ser na generalidade dos casos uma tecnologia demasiado cara, que obriga as organizações a gastarem dinheiro em componentes que nunca chegam a utilizar ou mesmo a instalar.
E, muito embora a adopção de sistemas DLP por parte das empresas seja muitas vezes motivada pela análise de risco, o departamento de TI acaba por fazer a implementação sem envolver as divisões de negócio da organização.
Contudo, Eric Ouellet considera que a participação de outras divisões da empresa, como os recursos humanos e o departamento financeiro, é essencial para o estabelecimento eficaz de políticas e para a interacção com os funcionários cujos comportamentos de partilha de dados é monitorizado pelo hardware DLP ou pelo software em utilização. “A DLP é uma tecnologia, mas não está a gerir os dados de TI, apenas a conformidade”, afirma Ouellet.
A tecnologia DLP pode ser utilizada para proteger informações sensíveis de clientes, tais como detalhes dos seus cartões de pagamento e registos médicos, impedindo-as de serem transmitidas de forma não autorizada, como por exemplo sem recurso à encriptação, ou pode ser ainda utilizada para monitorizar a perda de propriedade intelectual importante.
“As organizações subestimam a necessidade do envolvimento das unidades não-TI das empresas”, insiste Ouellet. Em muitos casos, chega a não ser mesmo apropriado que sejam as TI responsáveis por determinar o que os sistemas DLP devem reportar em termos de conformidade, mas a verdade é que a utilização prática da monitorização DLP muitas vezes não passa pelas pessoas certas, segundo adianta o analista.
Embora os produtos disponibilizados pelos fabricantes tenham vindo a melhorar ao longo do tempo, em termos do número de falsos positivos que geram em comparação com o que acontecia há dois anos atrás, “o preço das soluções continua exagerado”, segundo Ouellet. E isto é especialmente relevante em relação às appliances de rede DLP e às ferramentas de detecção dos sistemas mais sofisticados, que o analista do Gartner categoriza como “Enterprise DLP”, em que os agentes de software DLP, ou seja, as ferramentas de rede e detecção, são usados transversalmente nas organizações.
A compra destas soluções por parte das empresas tem muitas vezes por base demasiados componentes de custos, confusos e excessivamente detalhados para as organizações, que rapidamente levam a factura final a atingir valores exagerados. De acordo com os exemplos dados por Ouellet, os serviços de consultoria profissionais podem variar entre os 10 e os 250 mil dólares e uma acção de formação de três dias pode chegar a custar entre 2500 e 3500 dólares por formando. Os custos de manutenção representam, tradicionalmente, entre 18 e 25% dos custos globais, pelo que não é difícil que a compra de uma solução completa de DLP atinja valores exorbitantes.
Eric Ouellet contou na sua apresentação que teve nas suas mãos uma proposta que um dos clientes da Gartner estava a considerar, em que os custos de manutenção eram de 28%.
A única boa notícia é que o preço dos sistemas DLP para terminais baixou consideravelmente nos últimos dois anos, tendo passado dos 110 a 140 dólares para os 30 a 40. No entanto, o preço das appliances de rede e das ferramentas de detecção não mudou. “O que percebemos ao longo dos últimos cinco ou seis anos é que as organizações parecem estar a comprar mais DLP do que realmente necessitam, acabando por não implementar em tempo útil todos os componentes que adquiriram”, sublinha o analista.
Contudo, o mercado tem vindo a evoluir ao longo do último ano, com o aparecimento daquilo que a Gartner denomina de “Single Channel DLP”, que se focaliza na única tarefa de monitorizar e-mails e anexos e assegurar que a encriptação de e-mail está a ser convenientemente usada. “Estes sistemas dão às empresas o suficiente para começarem”, diz o analista do Gartner, segundo o qual os custos destes sistemas “Single Channel DLP” podem ser bastante acessíveis: à volta de cinco dólares por monitorização de e-mail por empregado.
A verdade inconveniente acerca do DLP é que é quase sempre usado para monitorizar apenas os erros ou maus comportamentos dos empregados no que toca à transmissão de dados, e não para bloquear essas acções.”O custo de
suportar o bloqueio destas transmissões pode ser demasiado pesado para as empresas, bem como a utilização da rede”, diz Ouellet. Mas utilizar apenas a tecnologia DLP para tarefas de monitorização não é necessariamente algo negativo, já que muitas empresas consideram que os avisos automáticos que são gerados podem ajudar os seus funcionários a corrigir o seu comportamento. “Pode inclusivamente ser mais produtivo do que ter um sistema que simplesmente bloqueia a acção”, acrescenta o analista.
A tecnologia DLP conta com várias fraquezas, nomeadamente o facto de não conseguir filtrar conteúdos que estejam encriptados, uma vez que não é capaz de os decifrar, nem de filtrar conteúdos apresentados como diagramas CAD, gráficos, imagens ou outros formatos não-texto. Além disso, os fabricantes também resistem em dar suporte aos sistemas operativos Mac, Unix ou Linux.
A Gartner publica o seu “Magic Quadrant” para o mercado de DLP, mas alterou a forma como categoriza este ranking, apresentando a lista de líderes de mercado, fabricantes de nicho e “visionários”. Essas listas são ordenadas de acordo com os segmentos de mercado a que se dirigem: pequenas a médias empresas (PME), médias empresas, grandes empresas e companhias internacionais. Por exemplo, um estudo apresentado este mês pela Gartner apresenta a RSA, Symantec, Websense, McAfee, CA e Trustwave (que comprou a Vericept no final do ano passado) como opções ideais para as grandes empresas, enquanto a Code Green, Palisade Systems, Websense, Trend Micro e Fidelis foram apontadas como sendo indicadas para o segmento PME, mais preocupado com necessidades básicas, como a conformidade com as regras do standard Payment Card Industry (PCI).
A categoria “internacional” é aquela onde é preciso ainda fazer muito, segundo Ouellet, porque não existe grande suporte multi-linguagem e “a consola de gestão é quase sempre apenas em inglês”.
Os clientes de soluções DLP devem, ainda, ter em conta que as opções que tomam podem ligá-los durante muito tempo a um fornecedor. “Neste momento, as políticas DLP são individualizadas pelos fabricantes. Ou seja, não é possível pegar numa política e aplicá-la aos produtos de outro fabricante”, alerta o analista da Gartner.
No entanto, este cenário pode vir a mudar nos próximos anos se houver maior pressão no sentido de normalizar os formatos baseados em XML.