A chegada do tema da prevenção da perda ou vazamento de dados – data loss prevention, DLP –trouxe consigo a inevitável discussão sobre produtos e tecnologias. Como já comentado em outros artigos, o principal fundamento do DLP é que o dado necessita ser protegido ao longo do seu ciclo de vida, o que exige medidas de proteção enquanto o dado está armazenado, em uso, em transmissão, arquivado ou no processo de descarte.
É um fato que a implementação eficiente do DLP não pode ser baseada unicamente em produtos, porém dificilmente se chegará a resultados eficientes sem eles. Dessa forma, considero importante comentar sobre como o mercado e fornecedores estão se organizando em torno do tema. Infelizmente, como sempre há gente tentando se aproveitar, uma quantidade enorme de produtos começou a ser classificada como “produtos para DLP”, além do produto mágico que “resolve todos os problemas”, mesmo que a empresa não faça nada mais além do que comprar e instalar tal produto.
Um principio que não deve ser quebrado é que o projeto da empresa não pode, em hipótese alguma, começar com a aquisição de produtos. A primeira etapa é identificar quais são os tipos de dados considerados críticos e mapeá-los, e só depois selecionar produtos de acordo com a necessidade de proteção em cada fase do ciclo de vida. Os principais produtos serão os de detecção e/ou prevenção de mal uso, havendo também uma divisão entre as ferramentas para rede (network DLP) e para estações (endpoint DLP).
Os primeiros são baseados na captura e análise de tráfego para detectar a transmissão de dados importantes, não muito diferente dos sistemas de detecção de intrusos (IDS). Alguns possuem a capacidade de bloquear o tráfego, o que exige sua instalação em linha e traz vantagens, porém adiciona à rede mais um ponto de falha, exigindo medidas de alta disponibilidade. A empresa deverá averiguar quais são os protocolos suportados, já que normalmente os dados podem ser enviados por meios distintos como correio eletrônico, webmail, instant messenger e FTP. Outro elemento de diferenciação é a capacidade de resistir a evasão, já que pessoas capacitadas tentarão enganar os sistemas IDS/IPS, utilizando-se de técnicas já bem difundidas de fragmentação, mascaramento de tráfego e outros. A semelhança com esses sistemas é tão grande que alguns deles estão incorporando funcionalidades DLP. O mesmo está acontecendo com produtos anti-spam, também começando a checar a transmissão de dados. Aqui também temos vantagens e desvantagens. A vantagem principal é a simplificação e a redução de custos, e a desvantagem é o peso das novas funcionalidades no seu desempenho, além do fato de que talvez a cobertura não seja tão ampla quanto o de um produto especializado.
Já o endpoint DLP se concentra em monitorar o uso dos dados nas estações de trabalho. Esse cuidado se justifica. É nos computadores pessoais que ocorrem muitas das violações e vazamentos, além de ser onde documentos confidenciais são criados e alterados. O cuidado se intensifica quando se leva em consideração a capacidade crescente de armazenamento de dispositivos USB e bluetooth, incluindo tocadores de música e smartphones. As funcionalidades podem variar, mas em geral o software deve ser leve para não carregar ainda mais o já sobrecarregado computador, deve suportar diferentes formatos de arquivos de dados, possuir algum tratamento para bloquear arquivos criptografados e ser capaz de analisar clientes de correio eletrônico e webmail.
Os principais produtos trazem integrados a funcionalidade de varredura, a fim de identificar dados críticos armazenados em bancos de dados e servdores de arquivos. O suporte a múltiplos formatos de arquivos é mais uma vez requerido, além do suporte a diferentes sistemas de bancos de dados. As varreduras ajudam a equacionar uma das maiores dores de cabeça que é a falta de controle sobre o armazenamento de dados nas empresas, sobretudo os não estruturados.
As duas funcionalidades podem ser encontradas em produtos separados ou em suítes. Estas trazem a vantagem da integração e da console unificada, mas é necessário prestar atenção nas funcionalidades disponíveis antes de se deixar levar pelo apelo natural desses produtos. Uma característica que não deve deixar de ser levada em conta na hora da seleção é a capacidade e facilidade de customização para o Brasil, afinal ninguém aqui precisa de detecção de números da seguridade social americana, identificação que corresponde ao CPF brasileiro. Outro recurso interessante e desejável é a integração com sistemas de diretório, como o Active Directory, permitindo que rapidamente o autor de uma violação seja identificado, e o perfil de violações de pessoas e departamentos possa ser mapeado.
Apesar desses produtos constituirem a espinha dorsal do DLP, ele não se restringe a eles. Uma estratégia bem desenhada não pode prescindir do gerenciamento de identidade e do controle de acesso, essenciais para garantir a confidencialidade e integridade dos dados. A esses sistemas se juntam as ferramentas de auditoria de acesso, sempre englobando tanto os dados estruturados como os não estruturados. Outra tecnologia que também deve estar sempre presente é a criptografia. Criptografar significa esconder os dados de olhos indesejados, e deve ser considerada principalmente na transmissão de dados via Internet ou outras redes compartilhadas. Para laptops deveria ser uma exigência em todas as empresas, visto a quantidade de computadores portáteis roubados ou furtados.Por fim, não custa repetir que antes de adquirir um produto é preciso saber exatamente do que se precisa e analisar bem as opções. A aquisição deve vir acompanhada de um bom projeto de implementação e administração, que aliás deve ser continua, com equipe permanente, treinada e dedicada à função.
