Construindo um Programa Efetivo de Prevenção de Perda de Dados

Os dados são o elemento vital de qualquer organização hoje em dia, e por isso a perda de dados é uma preocupação urgente tanto para as equipes de TI quanto para o C-suite. A perda de dados tem uma ampla gama de causas, desde falhas de disco rígido até vazamentos de dados por insiders mal-intencionados ou hackers externos. As consequências da perda de dados também variam amplamente. Processos de negócios cruciais podem ser facilmente interrompidos, e ter um documento crítico nas mãos de um concorrente pode ser devastador. A organização também pode enfrentar multas de conformidade e perda de confiança do cliente. Todos esses fatores podem prejudicar a receita, até mesmo ao ponto de levar a empresa à falência.

Para minimizar esses riscos, toda organização precisa ter um plano de data loss prevention (DLP) que proteja dados críticos.

Projetando um programa eficaz de prevenção de perda de dados

Uma abordagem ampla é necessária para a prevenção eficaz de perda de dados. É importante não ceder à tentação de selecionar um único programa de software e pensar que já fez o suficiente. Os dados que você está protegendo são muito importantes e as consequências potenciais de sua perda são muito graves. Aqui estão os passos envolvidos na criação de um programa de DLP verdadeiramente eficaz.

Passo 1: Obtenha a aprovação executiva.

Primeiro, garanta a aprovação da liderança, incluindo os chefes de todos os departamentos e divisões que possam ser impactados. O apoio deles é necessário para o sucesso do programa.

Passo 2: Identifique e classifique seus dados críticos.

Distinguir dados críticos de dados não críticos é talvez o passo mais importante na criação de um programa de prevenção de perda de dados. Aqui estão alguns dos tipos de dados que você pode precisar identificar:

• Propriedade intelectual (IP)
• Documentos legais
• Documentos de planejamento estratégico
• Dados de vendas
• Informações do cliente
• Informações pessoais identificáveis (PII)
• Dados de marketing e previsões
• Documentação de operações
• Registros financeiros
• Dados de recursos humanos
• Dados governamentais
• Senhas e outros dados de TI
• Dados sujeitos a quaisquer regulamentos de conformidade

Marque cada pedaço de dado crítico com uma assinatura digital que indica suas classificações, para que suas diversas soluções de software possam tratá-lo de maneira apropriada.

Etapa 3: Identificar ameaças e riscos.

Modele a atividade em torno de cada tipo de dado crítico, incluindo quem o acessa e o que fazem com ele. Identifique quaisquer ameaças à segurança de cada pedaço de dado. Quais vulnerabilidades estão presentes em cada ponto do ciclo de vida dos dados? Quem é responsável pelo uso seguro dos dados? Eles têm as ferramentas necessárias para protegê-los?

Descreva o que pode acontecer se os dados forem perdidos. Certifique-se de considerar tanto os impactos diretos nos negócios quanto as penalidades de conformidade.

Passo 4: Defina seus objetivos.

Especifique quais objetivos você deseja que o programa DLP alcance, como por exemplo:

• Identificando riscos e maneiras de abordá-los
• Protegendo dados em movimento, em uso e em repouso
• Mantendo os dados disponíveis para uso sem aumentar o risco
• Padronizando procedimentos para segurança, privacidade e conformidade

Passo 5: Crie procedimentos passo a passo.

Estabeleça processos e políticas para armazenar e manusear dados críticos, bem como planos de resposta detalhados para vazamentos de dados e outros incidentes de segurança. O gráfico a seguir oferece algumas melhores práticas comprovadas para o manuseio seguro de dados críticos e sensíveis; certifique-se de criar procedimentos para implementar cada uma delas.

Fonte: https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/data-loss-prevention-next-steps.aspx

Etapa 6: Avalie os sistemas atuais e disponíveis.

Considere se o seu hardware e software existentes podem atender aos seus objetivos de DLP. Lembre-se de que a maioria dos sistemas de proteção de dados não consegue classificar os dados de maneira precisa e consistente. Se seus sistemas atuais são insuficientes, avalie outras soluções, mantendo em mente tanto seus objetivos quanto sua análise de risco/custo. Quais funcionalidades você precisa e quanto elas valem para você?

Passo 7: Eduque a todos.

Construa a conscientização dentro da organização sobre a importância do programa de DLP. Inclua informações sobre:

• O que constitui dados críticos
• Como dados críticos devem ser tratados em determinadas situações, incluindo o uso de e-mail e internet
• Quais leis a empresa deve cumprir

Adapte o treinamento às necessidades dos diferentes grupos de funcionários e repita-o regularmente. Certifique-se de testar periodicamente seus usuários e fazer acompanhamento com os indivíduos que não seguem os procedimentos adequados.

Benefícios de um forte programa de prevenção de perda de dados

Quanto melhor for o seu programa de prevenção de perda de dados, mais seguros estarão os seus dados. Além disso, você estará melhor preparado para auditorias de conformidade, incluindo aquelas relacionadas às diretrizes de prevenção de perda de dados do National Institute of Standards and Technology (NIST) para entidades federais. Os programas de DLP do NIST incluem a Estrutura de Cibersegurança, que contém recomendações que apoiam a conformidade com outros sistemas regulatórios, como FISMA e HIPAA.

A pedra angular do DLP: classificação automatizada de dados

A parte mais importante de qualquer programa de prevenção de perda de dados é a Netwrix Data Classification. A menos que você saiba quais tipos de dados possui, não poderá proteger esses dados adequadamente.

Netwrix Data Classification oferece a classificação de dados precisa, consistente e flexível de que você precisa em seu ambiente de TI local, na nuvem ou híbrido.