Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
10 Melhores Práticas Essenciais para a Sua Política de Prevenção de Perda de Dados (DLP)

10 Melhores Práticas Essenciais para a Sua Política de Prevenção de Perda de Dados (DLP)

Jul 16, 2019

Uma política forte de Data Loss Prevention (DLP) protege dados sensíveis como PII, registros financeiros e propriedade intelectual contra vazamentos, uso indevido ou roubo. As melhores práticas incluem classificar e criptografar dados, reforçar sistemas, aplicar patches regularmente, automatizar controles e monitorar anomalias. Papéis claros, educação de funcionários e métricas mensuráveis fortalecem a aplicação. Ao minimizar os dados armazenados e impor o princípio do menor privilégio, as organizações reduzem riscos, garantem conformidade e protegem a continuidade dos negócios.

Toda organização, independentemente do tamanho ou setor, precisa de uma estratégia de prevenção de perda de dados (DLP) para evitar que os dados sejam acessados ou excluídos indevidamente. A estratégia deve focar na proteção de dados valiosos, sensíveis ou regulamentados, como prontuários médicos, dados financeiros e propriedade intelectual. DLP geralmente envolve tanto tecnologias quanto políticas. Por exemplo, técnicas comuns incluem configurar estações de trabalho dos usuários para bloquear o uso de dispositivos USB e ter políticas formais a respeito do compartilhamento de dados confidenciais por e-mail.

Conteúdo relacionado selecionado:

Para uma proteção mais abrangente, muitas organizações implementam um sistema de prevenção de perda de dados, que pode ajudá-las a:

  • Controle as permissões para acessar ativos de informação
  • Monitore atividades bem-sucedidas e falhas em estações de trabalho, servidores e redes, incluindo quem está lendo ou copiando quais arquivos ou tirando capturas de tela
  • Audite os fluxos de informação dentro e fora da organização, incluindo aqueles de locais remotos usando laptops e outros dispositivos móveis
  • Controle o número de canais de transferência de informações (como o uso de pen drives e aplicativos de mensagens instantâneas), incluindo a interceptação e bloqueio de fluxos de dados de saída

Criando uma política de prevenção de perda de dados

Para criar sua política de prevenção de perda de dados, você precisa determinar o nível de proteção necessário. Por exemplo, seu objetivo é detectar tentativas de acesso não autorizado ou monitorar todas as ações do usuário?

Conteúdo relacionado selecionado:

Parâmetros básicos

Aqui estão os parâmetros básicos que você deve definir:

  • Quais dados organizacionais precisam ser protegidos. Identifique exatamente o conteúdo que precisa de proteção. Exemplos incluem números de Seguro Social (SSNs), informações de cartão de crédito, segredos comerciais, plantas, dados financeiros e informações pessoais identificáveis (PII). Certifique-se de considerar se a sua organização está sujeita a alguma política de conformidade; se sim, você deve proteger todos os dados descritos no modelo de política.
  • Onde os dados estão armazenados. Para proteger os dados, você precisa identificar todos os locais onde eles podem estar, incluindo unidades de rede compartilhadas, bancos de dados, armazenamentos em nuvem, e-mails, aplicativos de mensagens instantâneas e discos rígidos. Se os funcionários podem usar seus próprios dispositivos para acessar o ambiente de TI, os dados nesses dispositivos também devem ser protegidos.
  • Condições para acessar diferentes tipos de dados. Diferentes tipos de dados requerem diferentes níveis de proteção. Por exemplo, organizações compartilham alguns dados livremente com o público, enquanto outros dados são ultrassecretos e devem estar disponíveis apenas para alguns indivíduos selecionados. Etiquetas digitais e marcas d'água ajudarão você a atribuir o acesso apropriado a cada pedaço de dado.
  • Ações a serem tomadas em caso de segurança da informação Especifique as etapas a serem seguidas quando uma atividade suspeita for detectada e quem é responsável por cada uma delas. Lembre-se de que as soluções de DLP muitas vezes podem responder automaticamente, como por exemplo bloqueando a operação ou enviando uma notificação para o serviço de segurança.
  • Que informações devem ser arquivadas e quando. Sua política de DLP deve detalhar regras para arquivamento de dados, como seu rastro de auditoria e informações sobre incidentes de segurança de TI. Lembre-se de que você precisa proteger seu sistema de arquivo contra atacantes externos e ameaças internas, como um administrador de sistema que pode alterar registros no arquivo.
  • Ameaça Sua política deve considerar possíveis cenários de vazamento e avaliar tanto a probabilidade de sua ocorrência quanto o dano que poderia resultar.

Estados dos dados

Ao moldar sua política, lembre-se de considerar os dados em todas as suas formas:

  • Dados em repouso — Informações armazenadas em bancos de dados, repositórios na nuvem, computadores, laptops, dispositivos móveis e assim por diante
  • Dados em movimento — Dados que estão sendo transmitidos entre partes (por exemplo, durante transações de pagamento)
  • Dados em uso — Dados com os quais os usuários estão trabalhando ativamente e possivelmente modificando

Aplique esse conhecimento para ajudar a definir os fluxos de dados na sua organização e os caminhos de transmissão permitidos para diferentes tipos de documentos. Crie regras que especifiquem as condições para o processamento, modificação, cópia, impressão e outro uso desses dados. Certifique-se de incluir processos de negócios realizados dentro de aplicações e programas que acessam dados confidenciais.

Preocupações legais e relacionadas

Certifique-se de avaliar as possíveis ramificações legais da sua política de DLP. Em particular, gravar as ações dos funcionários em vídeo pode ser visto como uma violação dos seus direitos constitucionais, e alertas falsos do seu sistema de DLP podem gerar conflitos com funcionários cujas ações legítimas são marcadas como suspeitas. Opções para abordar essas preocupações podem incluir a modificação de acordos de emprego e o treinamento dos funcionários sobre políticas de segurança.

Conteúdo relacionado selecionado:

Como funcionam as soluções DLP

Uma vez que você tenha criado uma política de DLP no papel, pode se concentrar em configurar políticas apropriadas no seu sistema de DLP. Tipicamente, um sistema de DLP possui um conjunto de regras específicas que são estritamente seguidas pelo programa. Cada regra consiste em uma condição e a ação a ser tomada quando essa condição for atendida. As regras são classificadas por prioridade, e o programa as processa nessa ordem. Algumas soluções incluem tecnologias de aprendizado de máquina que geram ou aprimoram regras.

Por exemplo, o processo pode ocorrer da seguinte forma:

  • Uma regra identifica um incidente (por exemplo, quando um usuário tenta enviar informações sensíveis por meio de um mensageiro instantâneo).
  • A solução impede que a mensagem seja enviada.
  • A solução gera um relatório com detalhes do incidente, incluindo o usuário envolvido, e o envia para um endereço de e-mail especificado (como para o oficial de segurança de TI) ou o armazena em um compartilhamento específico, conforme especificado em sua política de DLP.

Técnicas de detecção

A funcionalidade principal de um sistema DLP é detectar informações confidenciais em um fluxo de dados. Diferentes sistemas utilizam diferentes métodos, incluindo os seguintes:

  • Criando impressões digitais de informações protegidas
  • Afixando etiquetas às informações
  • Procurando por palavras-chave específicas e expressões regulares frequentemente encontradas em vários tipos de documentos sensíveis (como contratos ou demonstrativos financeiros)
  • Usando análise de texto

Naturalmente, a precisão é crítica. Falsos negativos — falha em identificar informações que são realmente sensíveis — podem levar a vazamentos não detectados. Falsos positivos — alertas sobre dados que não são realmente sensíveis — desperdiçam os recursos da equipe de segurança e levam a conflitos com usuários falsamente acusados de comportamento impróprio. Portanto, você deve procurar uma solução de DLP que minimize tanto falsos negativos quanto falsos positivos.

Melhores práticas de prevenção de perda de dados

Prevenção de perda de dados (DLP) e técnicas de auditoria devem ser usadas para aplicar continuamente as políticas de uso de dados. O objetivo é saber como os dados estão realmente sendo usados, para onde estão indo ou foram, e se isso atende aos padrões de políticas de conformidade como GDPR ou não. Quando um evento suspeito é detectado, notificações em tempo real devem ser enviadas aos administradores para que possam investigar. Os infratores devem enfrentar as consequências definidas na política de segurança de dados.

Conteúdo relacionado selecionado:

As seguintes melhores práticas de prevenção de perda de dados ajudarão você a proteger seus dados sensíveis contra ameaças internas e externas:

1. Identifique e classifique dados sensíveis.

Para proteger os dados de forma eficaz, você precisa saber exatamente quais tipos de dados possui. A tecnologia de descoberta de dados irá escanear seus repositórios de dados e relatar os achados, dando-lhe visibilidade sobre o conteúdo que precisa proteger. Os motores de descoberta de dados geralmente usam regular expressions para suas buscas; eles são muito flexíveis, mas bastante complicados de criar e ajustar.

Using data discovery and data classification technology helps you control user data access and avoid storing sensitive data in unsecure locations, thus reducing the risk of data leaks and data loss. All critical or sensitive data should be clearly labeled with a digital signature that denotes its classification, so you can protect it in accordance with its value to the organization. Third-party tools, such as Netwrix Data Classification, can make data discovery and classification easier and more accurate.

À medida que os dados são criados, modificados, armazenados ou transmitidos, a classificação pode ser atualizada. No entanto, devem existir controles para impedir que os usuários falsifiquem os níveis de classificação. Por exemplo, apenas usuários privilegiados devem poder rebaixar a classificação dos dados.

Siga estas diretrizes para criar uma política forte de data classification. E não se esqueça de realizar a descoberta e classificação de dados como parte do seu processo de IT risk assessment.

Conteúdo relacionado selecionado:

Listas de controle de acesso

Uma lista de controle de acesso (ACL) é uma lista de quem pode acessar qual recurso e em que nível. Pode ser uma parte interna de um sistema operacional ou aplicativo. Por exemplo, um aplicativo personalizado pode ter uma ACL que lista quais usuários têm quais permissões naquele sistema.

As ACLs podem ser baseadas em listas de permissão ou de proibição. Uma lista de permissão é uma lista de itens que são permitidos, como uma lista de sites que os usuários têm permissão para visitar usando computadores da empresa ou uma lista de soluções de software de terceiros autorizadas a serem instaladas nos computadores da empresa. Listas de proibição são listas de coisas que são proibidas, como sites específicos que os funcionários não têm permissão para visitar ou softwares que são proibidos de ser instalados nos computadores dos clientes.

Listas de permissões são mais comumente utilizadas e são configuradas no nível do sistema de arquivos. Por exemplo, no Microsoft Windows, você pode configure NTFS permissions e criar listas de controle de acesso NTFS a partir delas. Você pode encontrar mais informações sobre como configurar adequadamente permissões NTFS nesta lista de NTFS permissions management best practices. Lembre-se de que os controles de acesso devem ser implementados em cada aplicativo que possui controle de acesso baseado em funções (RBAC); exemplos incluem Active Directory groups e delegação.

2. Utilize criptografia de dados.

Todos os dados críticos de negócios devem ser criptografados, tanto em repouso quanto em trânsito. Dispositivos portáteis devem usar soluções de disco criptografado se forem armazenar quaisquer dados importantes.

Criptografar os discos rígidos de computadores e laptops ajudará a evitar a perda de informações críticas mesmo que ataques obtenham acesso ao dispositivo. A maneira mais básica de criptografar dados em seus sistemas Windows é a tecnologia Encrypting File System (EFS). Quando um usuário autorizado abre um arquivo criptografado, o EFS descriptografa o arquivo em segundo plano e fornece uma cópia não criptografada para o aplicativo. Usuários autorizados podem visualizar ou modificar o arquivo, e o EFS salva as alterações de forma transparente como dados criptografados. Mas usuários não autorizados não podem ver o conteúdo de um arquivo mesmo que tenham acesso total ao dispositivo; eles receberão um erro de “Acesso negado”, prevenindo uma violação de dados.

Outra tecnologia de criptografia da Microsoft é o BitLocker. O BitLocker complementa o EFS ao fornecer uma camada adicional de proteção para dados armazenados em dispositivos Windows. O BitLocker protege dispositivos endpoint que são perdidos ou roubados contra roubo ou exposição de dados e oferece eliminação segura de dados quando você desativa um dispositivo.

Criptografia baseada em hardware

Além da criptografia baseada em software, a criptografia baseada em hardware pode ser aplicada. Dentro das configurações avançadas de alguns menus de configuração da BIOS, você pode escolher habilitar ou desabilitar um módulo de plataforma confiável (TPM), que é um chip capaz de armazenar chaves criptográficas, senhas ou certificados. Um TPM pode auxiliar na geração de chaves de hash e pode proteger dispositivos além de PCs, como smartphones. Ele pode gerar valores usados com criptografia de disco inteiro, como BitLocker. Um chip TPM pode ser instalado na placa-mãe.

3. Reforce seus sistemas.

Qualquer lugar onde dados sensíveis possam residir, mesmo que temporariamente, deve ser protegido com base nos tipos de informações às quais esse sistema poderia potencialmente ter acesso. Isso inclui todos os sistemas externos que poderiam obter acesso à rede interna via conexão remota com privilégios significativos, pois uma rede é apenas tão segura quanto seu elo mais fraco. No entanto, a usabilidade ainda deve ser considerada, e um equilíbrio adequado entre funcionalidade e segurança deve ser determinado.

Criação de linha de base do sistema operacional

O primeiro passo para proteger seus sistemas é garantir que a configuração do sistema operacional seja a mais segura possível. Por padrão, a maioria dos sistemas operacionais vem com serviços desnecessários que oferecem aos atacantes vias adicionais de comprometimento. Os únicos programas e serviços em escuta que devem estar habilitados são aqueles essenciais para que seus funcionários realizem suas tarefas. Se algo não tem um propósito comercial, deve ser desativado. Também pode ser benéfico criar uma imagem de sistema operacional de linha de base segura que seja usada para o funcionário típico. Se alguém precisar de funcionalidades adicionais, habilite esses serviços ou programas em uma base caso a caso. Os sistemas operacionais Windows e Linux terão cada um suas configurações de linha de base únicas.

4. Implemente uma estratégia rigorosa de gestão de patches.

Garantir que todos os sistemas operacionais e aplicações no seu ambiente de TI estejam atualizados é essencial para a proteção de dados e a cibersegurança. Embora algumas coisas, como atualizações das assinaturas para ferramentas antivírus, possam ser automatizadas, patches para infraestrutura crítica precisam ser cuidadosamente testados para assegurar que nenhuma funcionalidade seja comprometida e nenhuma vulnerabilidade seja introduzida no sistema.

5. Atribua papéis.

Defina claramente o papel de cada indivíduo envolvido na estratégia de prevenção de perda de dados. Especifique quem é o proprietário de quais dados, quais oficiais de segurança de TI são responsáveis por quais aspectos das investigações de incidentes de segurança e assim por diante.

6. Automatize o máximo possível.

Quanto mais processos de DLP forem automatizados, mais amplamente você poderá implementá-los em toda a organização. Processos manuais de DLP são intrinsecamente limitados em escopo e não podem escalar para atender às necessidades de ambientes de TI, exceto os menores.

7. Utilize a detecção de anomalias.

Para identificar comportamentos anormais de usuários, algumas soluções modernas de DLP complementam a análise estatística simples e regras de correlação com aprendizado de máquina e análise comportamental. Gerar um modelo do comportamento normal de cada usuário e grupo de usuários permite uma detecção mais precisa de atividades suspeitas que podem resultar em vazamento de dados.

8. Eduque os stakeholders.

A implementação de uma política de DLP não é suficiente. Invista em conscientizar as partes interessadas e os usuários dos dados sobre a política, sua importância e o que eles precisam fazer para proteger os dados da organização.

9. Estabeleça métricas.

Meça a eficácia da sua estratégia de DLP usando métricas como a porcentagem de falsos positivos, o número de incidentes e o tempo médio para resposta a incidentes.

10. Não salve dados desnecessários.

Uma organização deve armazenar apenas informações essenciais. Dados que você não possui não podem desaparecer.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jeff Melnick

Diretor de Engenharia de Sistemas

Jeff é um ex-Diretor de Engenharia de Soluções Globais na Netwrix. Ele é um blogueiro, palestrante e apresentador da Netwrix há muito tempo. No blog da Netwrix, Jeff compartilha lifehacks, dicas e truques que podem melhorar drasticamente sua experiência em administração de sistemas.

Saiba mais sobre este assunto

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança