Prevenção de perda de dados em fintech: riscos, regulamentos e boas práticas
Uma cibersegurança eficaz exige uma abordagem abrangente e holística. Tal abordagem combina vários controlos em diferentes superfícies de ataque,...
A Prevenção de Perda de Dados (DLP) existe desde o início dos anos 2000, tendo sido pioneira em várias startups que se concentravam principalmente em controlos baseados na rede para bloquear fugas no perímetro.
Muitos dos primeiros adotantes implementaram o DLP como elemento fundamental da sua postura de cibersegurança, frequentemente em paralelo com firewalls e sistemas de deteção de intrusões, para aplicar políticas a dados em movimento.
A atitude perante o DLP, infelizmente, mudou desde esses primeiros tempos. Regulamentos como o GDPR em 2018 e a CCPA em 2020 impuseram um tratamento de dados mais rigoroso, levando as organizações a usar o DLP para trilhas de auditoria e relatórios em vez da pura prevenção de ameaças. As coimas eram pesadas e implacáveis em caso de incumprimento.
Contudo, quando a conformidade se torna mais importante do que a gestão de risco, as prioridades ficam desalinhadas. Este panorama fez com que o DLP se tornasse, sobretudo, um exercício de checklist por motivos de conformidade.
A acrescentar ao problema está o facto de as primeiras formas de DLP, que se baseavam fortemente em regras estáticas e em dados em repouso, simplesmente não serem adequadas para lidar com as novas realidades de negócio. Os profissionais de segurança ficaram presos num beco sem saída, implementando as melhores soluções existentes na altura, mas ainda assim sendo penalizados com coimas por violações de dados porque a tecnologia DLP ainda não era boa o suficiente.
Nos nossos tempos modernos, é possível gerir o risco e manter a conformidade quando se utiliza o sistema certo. O DLP mudou significativamente ao longo dos anos, e as organizações devem reavaliar as suas necessidades de DLP, bem como o aspeto que uma solução DLP moderna pode ter. O truque está em usar um sistema construído de raiz tendo em mente ambas as necessidades.
O DLP moderno incorpora análise comportamental para detetar anomalias, diferindo dos sistemas legados baseados em regras que muitas vezes geram um elevado número de falsos positivos.
Os volumes globais de dados atingiram níveis impressionantes e só continuarão a crescer à medida que o mundo se torna mais dependente de dados digitais. Tudo, desde contratos a documentação, está a passar para online, aumentando significativamente o potencial risco de perda de dados.
Os líderes de segurança têm de avaliar as implementações atuais face a estas evoluções para fechar lacunas na proteção. Isto incluiria mapear os seus ecossistemas de dados, identificar pontos de exposição, realizar avaliações de risco que priorizem ativos de elevado valor, incorporar o comportamento do utilizador na aplicação de políticas e integrar tudo num único sistema que monitorize constantemente os dados em repouso e em movimento.
Se isto soa a muita coisa, é. Mas também é possível com uma solução DLP moderna e abrangente.
Preparar-se para esta nova realidade exige compreender como é o novo panorama de risco, que ferramentas e processos uma organização deve considerar e como abordar os fornecedores.
Considere o facto de que 70 % da perda de dados ocorre no endpoint, o que dá uma pista sobre onde deve estar a maior concentração de medidas de proteção. No entanto, a resposta simplista de «focar nos endpoints» não considera a natureza complexa do armazenamento e da transferência de dados. Embora os dados sejam mais frequentemente perdidos nos endpoints, o comprometimento que conduz à perda de dados não começa nem termina aí; muitas vezes tem origem noutro local.
O exemplo deve tornar claro por que razão os profissionais de segurança têm de reavaliar as suas atuais práticas de DLP, ao mesmo tempo que selecionam ferramentas que oferecem informação contextual.
A proteção sensível ao contexto exige visibilidade na rede, em aplicações na cloud e no comportamento dos utilizadores, e não apenas no endpoint. Este guia abordará o novo panorama de DLP, o que é um DLP eficaz e como tornar-se um comprador mais informado quando se trata de fornecedores de DLP.
A mudança no panorama do DLP
O alcance dos locais onde residem os dados de uma organização aumentou drasticamente. Uma utilização mais alargada do que nunca de ferramentas SaaS e de terceiros faz com que os dados gravitem naturalmente para a cloud. Isto conduziu à dispersão de dados e a ROT (dados redundantes, obsoletos ou triviais), resultando frequentemente em organizações com demasiados dados em demasiados sítios.
Este problema é exacerbado em ambientes híbridos, especialmente se os ativos estiverem continuamente a passar de on-prem para a cloud. Esta migração expõe os dados a novos riscos e, embora os fornecedores de cloud cuidem do armazenamento, as organizações mantêm a responsabilidade pelas configurações de segurança, o que significa que fornecedores de armazenamento na cloud inseguros transferem grande parte do risco para a organização.
Fornecedores, SaaS e o vasto ecossistema de terceiros
As organizações aumentaram a sua dependência de fornecedores terceiros, com a empresa média a usar 106 aplicações SaaS em 2024. As empresas de grande dimensão usam, em média, 131 ferramentas SaaS. E isto são apenas ferramentas SaaS, sem incluir outros fornecedores.
Os fornecedores podem muitas vezes aceder a dados sensíveis, criando potenciais pontos de fuga se não tiverem controlos rigorosos. Embora as equipas tipicamente auditem o acesso dos fornecedores, padrões inconsistentes entre parceiros podem complicar a aplicação, ao mesmo tempo que a adoção generalizada de SaaS e a implementação simplificada podem significar que fornecedores SaaS são integrados em poucos dias sem que uma equipa de segurança sequer saiba ou consiga avaliá-los adequadamente.
Código open-source e IDE
Os ambientes de desenvolvimento open-source são outra área de risco. Os componentes open-source podem conter vulnerabilidades conhecidas e desconhecidas. Quando esses componentes são usados em sistemas de desenvolvimento ou de produção, os atacantes podem explorá-los para obter acesso não autorizado, potencialmente exfiltrando dados.
Um estudo extensivo das extensões do VS Code descobriu que mais de 2.000 extensões (cerca de 8,5 % de todas as extensões testadas) estão sujeitas a fugas de dados. Estes componentes open-source são especialmente arriscados, uma vez que, devido à sua natureza, os atores de ameaça podem desenvolver facilmente kits de exploração ou ataques que os tenham como alvo. Ao identificar um componente amplamente utilizado, os atacantes podem visar milhares de empresas através de uma única vulnerabilidade.
Políticas de trabalho remoto e híbrido
As políticas de trabalho remoto e híbrido descentralizaram o acesso aos dados. Os colaboradores acedem aos sistemas a partir de várias localizações e dispositivos, aumentando o risco no endpoint. Múltiplas localizações e equipas globais podem também fragmentar a gestão de dados, levando ainda mais à dispersão de dados.
Uma força de trabalho amplamente distribuída pode também ser um pesadelo para a conformidade. Diferentes países têm diferentes leis sobre onde os dados podem ser armazenados ou processados, levando a complicações quando os dados são acedidos por alguém fora dessas jurisdições.
Diferentes equipas podem ter preferências específicas por ferramentas de colaboração, como uma preferência por WhatsApp na LATAM em vez de Slack ou Teams nos EUA, o que complica um processo DLP padronizado e a visibilidade global dos dados.
Os elementos acima tornam o DLP ainda mais difícil do que já era, resultando num panorama em que mais de 50 % das empresas sofreram disrupção de negócio devido à perda de dados, enquanto apenas 35 % consideram ter um programa de DLP «maduro» em vigor.
Por que razão um DLP eficaz exige visibilidade total
88 % de todos os eventos de perda de dados foram causados por 1 % dos utilizadores em 2024, sublinhando como é imperativo proteger cada dispositivo e cada ponto potencial de perda. Tudo o que um infiltrador precisa é de um único ponto fraco para obter acesso suficiente para causar danos significativos.
A visibilidade é difícil num ambiente de dados disperso
Considerando o novo panorama de dados, é uma subestimação dizer que a visibilidade é um desafio difícil e complexo. Os dados vivem agora em endpoints, aplicações SaaS, plataformas IaaS, ferramentas de terceiros, plataformas de colaboração, dispositivos pessoais, múltiplos dispositivos pertencentes aos colaboradores, dispositivos IoT e armazenamento na cloud.
As ferramentas tradicionais de visibilidade baseadas em perímetro não conseguem acompanhar nem aplicar políticas de forma consistente em todas estas camadas, e os colaboradores podem usar serviços não autorizados para partilhar ficheiros ou facilitar o seu trabalho, frequentemente sem o conhecimento da TI.
As estatísticas relacionadas com a falta de visibilidade de uma organização são reveladoras.
Os departamentos de segurança não foram originalmente concebidos para acompanhar dados nos tipos de ambientes em que agora operam e têm tido dificuldade em adaptar-se nesta nova normalidade. A visibilidade falha porque as ferramentas não estão integradas, os dados não têm fronteiras e a maior parte da classificação é superficial. O que passa por «classificação» é muitas vezes apenas correspondência de palavras-chave ou marcar um ficheiro como «confidencial» uma vez e assumir que assim permanece, mesmo quando é copiado ou partilhado.
Mesmo com uma classificação excelente, aplicar uma boa higiene de dados pode ser um desafio. Em muitas organizações, a própria camada de dados está fragmentada e desligada dos sistemas que a deveriam observar. Até que os profissionais de segurança repensem onde e como instrumentam a utilização dos seus dados, a visibilidade abrangente continuará a falhar.
A consolidação da segurança de dados é, por si só, um desafio
O DLP só é eficaz se cobrir todos os dados de uma organização, o que pode ser um desafio em caso de armazenamento fragmentado, levando a uma proteção incompleta.
As empresas modernas sofrem de dispersão de dados devido às questões já descritas, com os ativos de dados cada vez mais espalhados por inúmeros sistemas e locais de armazenamento. As soluções DLP tradicionais foram concebidas para infraestruturas mais antigas e simples, como servidores no local, endpoints geridos e redes corporativas. À medida que o trabalho passou para aplicações SaaS, armazenamento na cloud, ferramentas baseadas no browser, clouds híbridas e trabalho remoto, esses pressupostos legados deixaram de se aplicar.
Devido a essa mudança, grande parte dos dados sensíveis de uma empresa reside ou se desloca em canais que o DLP tradicional não consegue monitorizar. Por exemplo, os colaboradores podem usar aplicações SaaS ou ferramentas Web para editar, carregar ou partilhar ficheiros sensíveis. As soluções DLP legadas localizadas exclusivamente nos limites do endpoint muitas vezes não cobrem esses canais.
Esta fragmentação cria pontos cegos onde podem ocorrer fugas de dados fora do âmbito da cobertura DLP tradicional, resultando numa implementação parcial de DLP, como apenas em endpoints ou em sistemas on-prem. Não é surpresa que isto resulte apenas em proteção parcial, exigindo que os líderes de segurança procurem soluções mais abrangentes, se conseguirem identificar estas limitações em primeiro lugar.
Gestão de risco interno
A gestão de risco interno (IRM) é uma extensão crítica de qualquer estratégia DLP abrangente. Ao contrário das ameaças externas, os riscos internos têm origem em indivíduos que já têm acesso a sistemas internos ou a credenciais. Isto inclui colaboradores, prestadores de serviços e parceiros, sejam as suas ações intencionais ou por negligência.
Os fatores humanos dominam os eventos de perda de dados. Segundo o Data Breach Investigations Report 2024 da Verizon, 68 % das violações de dados envolvem um elemento humano não malicioso, como cair num esquema de engenharia social.
O IRM é uma extensão necessária do âmbito do DLP. O DLP sem consciência do risco interno não tem em conta as causas mais comuns de exposição de dados. Estratégias DLP abrangentes têm de incluir ferramentas e processos capazes de identificar e responder ao risco interno rapidamente.
O que priorizar quando se trata de DLP eficaz:
um guia de processo
O DLP eficaz começa com a priorização, caso contrário os esforços serão demasiado amplos e diluídos.
«As organizações imaginam frequentemente que proteger dados através de soluções DLP é apenas uma questão de configurar uma ferramenta e tudo ficará bem», diz Ján Lakatoš, Director of Product na Safetica. «Na realidade, implica integrar todo um novo processo de segurança no seu ambiente de trabalho e encontrar um equilíbrio entre segurança rigorosa e capacitação do negócio. E alcançar um equilíbrio que é quase impossível, porque há tantas variáveis em jogo.
Ján Lakatoš, Director of Product na Safetica
Comece pela visibilidade
A visibilidade é a base de qualquer estratégia DLP eficaz. Sem ela, as organizações não conseguem descobrir onde residem os dados sensíveis, como se movem ou quem está a interagir com eles.
A visibilidade eficaz exige descoberta contínua de dados em todos os ambientes. Tem também de ter consciência de identidade, ligando o acesso aos dados a utilizadores e dispositivos específicos. Isto é essencial tanto para a aplicação de políticas em tempo real como para a investigação pós-incidente.
Nenhum sistema DLP pode aplicar controlos ou detetar utilização indevida sem primeiro saber que dados existem e como estão armazenados.
Implemente uma monitorização eficaz
Uma vez estabelecida a visibilidade, a monitorização permite à organização acompanhar o acesso aos dados e o seu movimento em tempo real. Sem monitorização, a visibilidade permanece passiva, o que pode ser útil para auditorias, mas não é útil para a prevenção ou deteção de incidentes.
A monitorização eficaz capta tanto onde os dados estão como o seu comportamento. Determina quem lhes acedeu, que ações realizou e se essas ações se alinham com a política da empresa. Idealmente, a monitorização estender-se-ia a ferramentas autorizadas e não autorizadas, incluindo ferramentas baseadas no browser e plataformas SaaS.
A monitorização deve ser contextual, porque registar que um ficheiro foi acedido não é suficiente. O sistema deve captar quem lhe acedeu, de onde, em que dispositivo e se foi partilhado ou exfiltrado. Este contexto é crítico para a deteção de risco, uma vez que é a única forma de alimentar ferramentas DLP mais sofisticadas que conseguem detetar indicadores de comprometimento ou ataques de risco interno através de padrões de comportamento anómalo, em vez de regras ou assinaturas baseadas em utilizador.
Sem uma monitorização contínua e em várias camadas, os controlos DLP não conseguem responder a ameaças do mundo real nem aplicar políticas dinamicamente.
Priorize a consolidação e uma arquitetura de dados simplificada
Ambientes fragmentados criam pontos cegos e abrandam os tempos de reação, tornando a consolidação necessária. Uma arquitetura de dados unificada oferece visibilidade clara sobre toda a interação com os dados. Esta clareza reforça a precisão da deteção e reduz o número de potenciais pontos de falha.
Ter múltiplas regras entre plataformas relativas à classificação de dados ou políticas de retenção, ou uma política díspar baseada em bases de dados ou ambientes díspares, pode levar a conflitos. A consolidação e padronização garantem que estas regras são aplicadas de forma uniforme e eliminam lacunas de configuração.
Isto resulta numa resposta a incidentes mais rápida porque há apenas um único local para verificar logs e ajustar controlos. A consolidação deve também incluir uma auditoria que garanta que os seus dados não estão armazenados em bases de dados expostas ao público ou não seguras e que não falhou áreas onde os seus dados possam residir. Faça da consolidação uma prioridade, reduzindo as fontes de dados dispersas a um único ponto autoritativo de informação, para que decisões e ações possam ser tomadas com rapidez e clareza sobre a situação.
Não sobrecarregue a sua equipa
A complexidade dos fornecedores e o excesso de ferramentas pode aumentar significativamente as hipóteses de perda de dados. As ferramentas legadas dificultam a implementação de DLP eficaz, razão pela qual 78 % das organizações tiveram dificuldades com ferramentas DLP em 2024.
Isto não é apenas verdade para a sua organização, mas também para a sua equipa. A falta de pessoal e as lacunas de competências são generalizadas. Quase todos os CISO reportam que as suas equipas estão sub-dimensionadas, e 90 % dos profissionais de cibersegurança reportam lacunas de competências nas suas equipas. No entanto, demasiados líderes de segurança veem essa lacuna e pensam que mais ferramentas são a resposta.
Isto pode resultar em burnout para a sua equipa e em demasiada complexidade, o que afetaria a eficácia da sua equipa. Foque-se na automação para tratar tarefas rotineiras. Limite a proliferação de ferramentas a integrações essenciais. Isto aumenta a capacidade ao mesmo tempo que evita a sobrecarga.
Não acrescente à sobrecarga de uma equipa já sob pressão a complexidade adicional de mais ferramentas.
Introdução às ferramentas de DLP
Existem muitas ferramentas DLP, e é função do líder de cibersegurança ser um consumidor informado, caso contrário pode estar a comprar uma ferramenta que se ajusta mal à sua empresa, à sua equipa de segurança e ao seu perfil de risco.
Nem todas as ferramentas são iguais e não servem todas as empresas da mesma forma. Os líderes de segurança devem procurar ferramentas que facilitem a proatividade e estejam alinhadas com as prioridades que identificaram como parte da sua estratégia de segurança DLP.
Abaixo, fornecemos uma lista dos tipos de ferramentas que ajudarão a construir uma stack tecnológica DLP eficaz.
Ferramentas de descoberta e classificação
As ferramentas de descoberta e classificação analisam os dados de uma organização, encontram onde a informação está armazenada e organizam-na em categorias significativas. O seu propósito central é tornar visíveis os dados ocultos em todas as localizações (cloud, on-prem, terceiros) e etiquetá-los corretamente para que possa ser aplicada a proteção adequada.
Estas ferramentas analisam computadores, servidores, armazenamento na cloud, sistemas de e-mail, pastas partilhadas e, por vezes, até arquivos antigos. Identificam coisas como registos de clientes, detalhes de pagamento, identidades pessoais, documentos internos e propriedade intelectual.
Uma vez identificados, aplicam etiquetas claras aos dados que permitem que as regras de segurança sejam aplicadas automaticamente, como bloquear descarregamentos ou impedir a partilha externa.
MDM (gestão de dispositivos móveis)
As ferramentas de Mobile Device Management (MDM) criam um ambiente controlado para qualquer telemóvel, tablet ou mesmo portátil que toque na informação do negócio.
Estas ferramentas dão a uma organização o poder de definir regras sobre como os dispositivos se comportam, independentemente do local onde se encontrem. Isto é central para a prevenção de perda de dados, porque o maior risco com dispositivos móveis é que se movem e ligam a múltiplas redes diariamente. Saem de escritórios, ligam-se a redes inseguras, são extraviados e armazenam ficheiros sensíveis que facilmente podem cair nas mãos erradas se o dispositivo for roubado.
Uma solução MDM resolve vários problemas em simultâneo, tais como:
- Garantir que cada dispositivo tem proteção forte no ecrã de bloqueio.
- Separar conteúdo pessoal do conteúdo de trabalho para que os colaboradores possam usar os seus dispositivos sem expor ficheiros do negócio.
- Controlar quais as aplicações que podem abrir ou copiar documentos de trabalho.
- Acompanhar dispositivos para que possam ser recuperados ou apagados.
- Permitir a remoção remota dos dados de trabalho.
- Fornecer uma visão central da atividade do dispositivo e dar aviso atempado se um dispositivo (ou os dados nele) estiverem em risco.
Gestão de Risco Interno (IRM)
As ferramentas de IRM concentram-se em prevenir a perda de dados que vem de pessoas dentro da organização. Isto inclui colaboradores, prestadores de serviços e qualquer outra pessoa com acesso legítimo aos sistemas.
Estas ferramentas vigiam ações que possam levar a que os dados sejam levados ou utilizados indevidamente. Procuram padrões de comportamento que sugiram um risco crescente, como descarregamentos invulgarmente grandes, tentativas de contornar restrições, cópia de grandes quantidades de ficheiros, acesso a dados em horas estranhas ou movimentação de informação para locais que não pertencem ao empregador.
O comportamento anómalo nem sempre significa má intenção, mas o risco continua presente. No pior dos cenários, uma conta de utilizador pode ter sido comprometida; no melhor, os dados do empregador estão a sair do âmbito de visibilidade de uma organização. O resultado não muda. O risco de perda de dados e de uma violação de dados continua presente.
As ameaças internas nem sempre têm de ser maliciosas, e muitas vezes não o são. No entanto, a negligência inocente ou a má higiene de segurança não reduzem a necessidade de abordar o IR.
A gestão de risco interno é frequentemente tratada como separada das ferramentas de perda de dados, porque se concentra no comportamento humano em vez de movimentos de ficheiros ou regras de dispositivos. Contudo, deve ser considerada a par da prevenção de perda de dados, porque muitos incidentes acontecem mesmo quando estão em vigor controlos tradicionais. Ao complementar os dois, pode alcançar um ambiente e uma organização mais seguros.
Onde os fornecedores podem ajudar com o DLP
Estes passos devem proporcionar-lhe um ponto de partida sólido para implementar uma estratégia DLP moderna e eficaz.
«É importante compreender quais são os objetivos e/ou expectativas», diz Miloš Blata, Director of Sales Engineering na Safetica. «Trata-se de classificação de dados, proteção de dados, verificações seguras de perímetro, descoberta de onde residem os Data-in-Rest, cumprimento de uma conformidade ou padrão regulamentar, saber o que se passa em geral, registar e gerir eficazmente (idealmente usando IA), uma combinação de algumas destas opções, ou tudo combinado? Uma vez clarificado este passo zero, gerir uma configuração DLP torna-se muito mais simples.
Miloš Blata, Director of Sales Engineering na Safetica
À medida que aborda os seus fornecedores, considere o acima e faça-se as seguintes perguntas.
- O fornecedor responde a uma prioridade-chave aqui delineada?
- Está a aumentar a gestão ou a complexidade? Ou está a aumentar a eficiência e a baixar os encargos operacionais?
- Ao considerar todo o âmbito da sua estratégia DLP, em que medida este fornecedor a impacta? Se for demasiado pequeno, provavelmente terá de encontrar fornecedores adicionais.
- O fornecedor entrega DLP e IRM integrados numa única plataforma, ou terá de gerir múltiplas ferramentas e integrações?
Estas perguntas ajudá-lo-ão a avaliar quais os fornecedores que terão maior impacto na sua organização.
À medida que continua a desenvolver a sua estratégia DLP, lembre-se de considerar os fundamentos. Uma estratégia sólida é aquela que cobre todos os aspetos da proteção de dados, mas também incorpora os novos riscos colocados por uma pegada digital generalizada e os riscos internos em constante evolução. Ainda assim, uma base forte é suficiente para garantir que a sua estratégia DLP se pode adaptar a estas novas ameaças e riscos. Reserve tempo para construir essa base e estará pronto para encontrar as ferramentas e o fornecedor certos.