0
0
Quando um CISO adota a abordagem errada para a prevenção de perda de dados (DLP), ele pode rapidamente se transformar em uma perda tripla. Primeiro, eles perdem o dinheiro de sua organização investindo em uma solução ineficaz que atende aos regulamentos exigidos, mas faz pouco mais. Em segundo lugar, eles perdem consideravelmente mais dinheiro quando seus dados são violados. Terceiro, eles podem perder seus empregos.
Essa previsível cadeia de eventos provavelmente não é novidade para meus colegas CISOs. Outros profissionais podem se surpreender ao saber que o DLP geralmente é adquirido simplesmente para atender aos requisitos do governo. Isso pode ser devido às prioridades das pessoas que assinam os cheques. Os membros do conselho se preocupam com a segurança cibernética, mas veem a conformidade regulatória como o risco comercial número um. Essa priorização compreensivelmente muda as conversas de nível C no DLP de “Funciona?” para “Isso nos ajudará a alcançar a conformidade regulatória?”
Infelizmente, quando ocorre uma violação de dados porque o DLP não funciona, as empresas perdem em média US$ 4,35 milhões . Como um relógio, um número significativo de CISOs deixa a organização comprometida.
As muitas desvantagens da proteção de dados
Antes de se aprofundar nos detalhes do DLP, considere o marketing enganoso por trás da prevenção de perda de dados “como um serviço”. O nome indica que o DLP é apenas um aspecto da manutenção de uma postura de segurança, quando, na verdade, prevenir a perda de dados abrange quase toda a segurança cibernética. A autenticação e o gerenciamento de acesso à identidade existem para impedir que os dados sejam acessados (perdidos) por usuários não autorizados. A criptografia existe para impedir que os dados sejam acessados (perdidos) por qualquer pessoa além do público-alvo. Quando ocorrem ataques DDoS, os dados são perdidos para aqueles que buscam acesso confiável e assim por diante.
O que as soluções DLP abordam é uma gama estreita de problemas de segurança cibernética. Tradicionalmente, eles se concentram na proteção de dados em repouso, em uso e em movimento. Ao se concentrar nessas três funções, o DLP se estabeleceu como uma solução ideal para proteger dados confidenciais. Infelizmente, a eficácia das soluções DLP costuma ser secundária em relação ao seu papel performativo de demonstrar que as empresas têm algopara resolver as questões de privacidade.
Por que as soluções DLP funcionam tão mal?
O DLP, como qualquer ferramenta, deve ser manuseado por profissionais qualificados. Governar todos os dados em uma empresa não é uma tarefa fácil. A implantação de soluções DLP costuma ser árdua e operá-las pode ser desgastante. Uma organização deve garantir que tenha as pessoas certas, com a experiência certa e um número suficiente delas para implementar o DLP adequadamente. As plataformas e ferramentas variam muito, portanto, simplesmente ter uma equipe familiarizada com o DLP pode não ser suficiente. As organizações precisam de profissionais cuja experiência anterior em DLP esteja alinhada com os casos de uso que estão tentando abordar atualmente.
O DLP não é uma solução plug-and-play. Há um trabalho de preparação considerável que deve ocorrer antes que qualquer coisa seja implantada. Devem existir processos confiáveis para identificar dados, realizar inspeções contínuas e verificar resultados. Deve haver uma estrutura clara que identifique como os dados são classificados, o que é bloqueado e quem é o responsável por definir as políticas.
Historicamente, muitos DLPs contam com o reconhecimento de padrão de acesso a dados (REGEX) , que oferece insights medíocres sobre como os dados são usados. Em outras palavras, mesmo com as pessoas certas no comando, as ferramentas podem ser medíocres. Os recursos intermediários do DLP, muitas vezes administrados por departamentos de TI não treinados, deram a ele uma reputação de prometer demais e entregar de menos. Sem uma forte capacidade de aplicar contexto aos dados, muitos DLPs são ferramentas de correspondência de strings que sobrecarregam os analistas com falsos positivos.
Já trabalhei com soluções DLP que enviaram dezenas de alertas por dia, nenhum deles válido. Mexer com heurística e alterar as configurações para ajustar os gatilhos de alerta não ajudou em nada a resolver o problema. Esses falsos positivos inevitavelmente resultam em organizações desperdiçando recursos em busca de pistas sem saída e violações de dados reais se perdendo no ruído ou totalmente ignoradas.
Os DLPs podem resolver esse problema adotando recursos de reconhecimento contextual, como os usados por provedores de e-mail promissores. Essas empresas inovadoras consideram comportamentos atuais e anteriores ao tomar decisões relacionadas à entrega de e-mail. Eles analisam os relacionamentos entre os comunicantes, os tipos esperados de e-mails válidos (por exemplo, faturas) e as funções da conta do usuário antes de tomar decisões de entrega. A mesma consideração contextual aplicada aos dados pode ajudar as soluções DLP a obter resultados mais fortes.
Por último, o ambiente de negócios é um lugar de evolução dinâmica. Mencionei anteriormente a importância de ter as pessoas e os processos certos ao implantar o DLP. Da mesma forma, esses mesmos especialistas devem ajudar a solução DLP a se adaptar à medida que o ambiente de negócios muda para novas tecnologias e procedimentos. Caso contrário, o esforço de configuração inicial se torna um custo irrecuperável quando a organização cresce de maneiras que o DLP não aborda.
O DLP pode ser feito corretamente?
Grande parte das deficiências do DLP são atribuídas a funcionários não treinados ou implementações inadequadas. Alguns DLPs são construídos sobre estruturas com limitações funcionais que podem afetar negativamente sua eficácia. No entanto, as pessoas certas munidas de ferramentas robustas que consideram o contexto amplo, acomodam facilmente as mudanças e limitam amplamente os falsos positivos podem alcançar grandes resultados. Certas tecnologias, como ler tráfego criptografado e garantir que ele flua apenas para partes autorizadas, também são importantes.
As organizações se deparam com duas escolhas simples quando se trata de decidir sobre o DLP. Eles farão o investimento considerável necessário para cumprir regulamentos como o GDPR da UE e o PCI-DSS da indústria de cartões de pagamento ? Ou eles simplesmente querem dizer aos órgãos governamentais que “tinham algo que atendeu aos regulamentos” após uma violação de dados? Ambas as opções são caras, mas gosto de acreditar que a escolha certa é óbvia.
FONTE: HELPNET SECURITY