Uma das coisas que mais gosto no mundo de segurança é a troca de experiências com profissionais da área – podemos compartilhar desafios e soluções para os problemas que estamos enfrentando, visto que muitas vezes a minha dificuldade é a mesma do meu colega.
Fiz este artigo com o objetivo de explorar um pouco mais o tema da LGPD, porém com uma abordagem um pouco mais técnica, focada no aspecto de proteção de dados.
Quando falamos em proteção de dados, a primeira coisa que escutamos é sobre a solução de DLP (data loss prevention). Mas será que realmente esta solução é a silver bullet para resolver todos os problemas de uma empresa?
Na realidade o DLP é somente uma das camadas de segurança, o que significa que ele não é capaz de realizar todo o trabalho sozinho. O intuito deste artigo é justamente percorrer cada uma dessas camadas e compartilhar a visão sobre como elas podem ser aplicadas a fim de aumentar o nível de proteção de dados desde a criação, no momento de transporte e no estado de repouso dos dados.
Então vamos ao que interessa! Primeiramente, entendo que podemos começar pelo Endpoint (camada dos usuários). Nesta camada é possível explorar diversos controles, tais como:
Bloqueio de USB: esta é uma medida muito simples tecnicamente (hardening) e tem um impacto superpositivo no ambiente, pois respalda um grande vetor de vazamento de dados e infecção;
Criptografia de Disco: com esta medida é possível mitigar o risco de quando há uma perda/roubo de equipamento como notebook, e evitar que os atacantes possam retirar os dados (em muitas empresas os funcionários possuem em seu notebook uma massa de dados significativas) e vazar as informações assim adquiridas;
Filtro de conteúdo local (proxy): esta solução visa garantir que todo tráfego dos usuários passe por uma solução de filtro de conteúdo corporativa. Mesmo fora da empresa (ex: quando os funcionários estão de home office) todos os acessos obrigatoriamente passarão pela solução centralizada, garantindo assim visibilidade dos dados que estão entrando e saindo dos equipamentos;
AV / EDR: são soluções que protegem os equipamentos de diversos malwares. Ultimamente, muito se fala de ransomware – malwares muito comuns que criptografam os dados dos funcionários, através dos quais os atacantes solicitam “resgates” para a entrega da chave que liberará as supostas informações. Ultimamente, empresas contratam seguros de cyber incidentes para que possam ser acionados quando ocorrer um problema desta magnitude, mas, como estes casos são tratados por ladrões, não há garantia de sucesso após o pagamento do resgate. Alguns malwares ainda podem abrir portas para acessos remotos (callback) onde o atacante poderá realizar evasão de informações, sejam elas pessoais ou corporativas, em notebooks ou servidores;
Classificação de informações: solução extremamente útil para anteceder soluções como CASB e DLP, pois os usuários poderão classificar todas as informações (conforme as políticas corporativas). De acordo com o tipo de informação no conteúdo, é possível “forçar/obrigar” um tipo de classificação. Esta função é muito importante para que as soluções posteriores possam ler os metadados que são inseridos para possíveis tomadas de ação. Por exemplo: não imprimir, não adicionar na nuvem, não compartilhar e outros casos de uso;
DLP: enfim, o tão aguardado DLP. Com esta solução é possível monitorar e bloquear o compartilhamento de arquivos, realizar o controle de impressão e ter total rastreabilidade dos arquivos, desde que o DPL esteja bem configurado para ler os metadados inseridos pela solução de classificação de informações;
MDM: levando em conta que um smartphone possui dados corporativos, vale destacar as soluções de gestão de dispositivos móveis, que permitem a criação de um contêiner onde as informações corporativas ficarão segregadas dos dados pessoas, tendo a possibilidade de criptografá-lo e ainda realizar o wipe (apagar remotamente caso aconteça uma perda/roubo do dispositivo).
Veja que para uma efetiva proteção de dados na camada de Endpoint, não basta ter uma única solução (bala de prata). Somente com um conjunto de ferramentas é possível minimizar o risco corporativo para uma efetiva proteção dos dados.
Espero que este primeiro artigo da série de quatro possa ajudar na longa jornada do LGPD, e que traga argumentos suficientes para mostrar ao BACEN (Bancos e Instituições financeiras) através da 4.658 que as ações estão sendo realizadas cada vez mais no caminho correto – pois não existe empresa 100% segura, mas sim diversos esforços que podem ser colocados em prática para aumentar a proteção dos dados.
Sucesso e ótimo 2019!!!
Alex Amorim é Superintendente de Cyber Security na Conductor