Emenda 13 de Israel: o que a nova lei de proteção de dados significa para o seu negócio
Israel lançou a sua maior reforma de privacidade em 40 anos. A Emenda 13 à Lei de Proteção da Privacidade, que entrou em vigor a 14 de agosto de 2025, define ...
Uma cibersegurança eficaz exige uma abordagem abrangente e holística. Tal abordagem combina vários controlos em diferentes superfícies de ataque, como defesas perimetrais (firewalls e VPN), proteção de endpoints, gestão de identidades e segurança de dados. Cada camada responde a vetores de ameaça específicos, oferecendo uma proteção que é a soma das suas partes.
Isto exige uma intenção específica de pensar nestas camadas e de as implementar estrategicamente de formas complementares para maximizar a eficácia de ambas. Caso contrário, embora juntar soluções pontuais díspares possa responder a ameaças específicas, pode inevitavelmente criar lacunas pelas quais as ameaças se podem infiltrar.
Em vez de comprar e gerir várias ferramentas e esperar que funcionem em conjunto, os profissionais de segurança devem considerar como essas ferramentas podem trabalhar em conjunto desde o início do desenvolvimento da sua estratégia. Dessa forma, podem ser encontradas eficiências e descoberto um melhor fornecedor.
Uma dessas combinações é ligar as soluções de IRM (Insider Risk Management) e DLP (Data Loss Prevention).
Tanto o IRM como o DLP se concentram em proteger os dados organizacionais, mas a partir de ângulos diferentes. O IRM avalia e monitoriza as pessoas que têm acesso aos dados, enquanto o DLP controla o que acontece aos próprios dados. Eis como os dois podem funcionar bem em conjunto.
O que é o IRM (Insider Risk Management)?
A Gestão de Risco Interno (IRM) é uma estrutura e um conjunto de práticas para identificar, avaliar e mitigar riscos colocados por pessoas com acesso legítimo aos recursos de uma organização, como colaboradores, prestadores de serviços e parceiros de negócio.
No lado das ameaças e do risco, o IRM abrange insiders maliciosos, negligência e credenciais comprometidas, que constituem uma grande parte dos incidentes de segurança. Em 2024, 83 % das organizações reportaram um ataque interno, enquanto em 2025, as ameaças internas custaram às organizações uma média de 17,4 milhões de dólares por ano.
A gestão de risco tradicional aborda ameaças que se situam fora da operação de uma organização, enquanto o IRM se foca especificamente em ameaças internas, intencionais ou não, devido ao seu acesso a sistemas, ativos, dados e outras informações sensíveis da organização.
Como parte de uma estratégia de IRM, as organizações devem determinar coisas como:
- Que colaboradores tratam dados sensíveis?
- Que funções têm privilégios elevados no sistema?
- Que processos de negócio criam oportunidades de utilização indevida de dados?
Um colaborador em saída com acesso a bases de dados de clientes representa um risco diferente do de um administrador de sistemas com acesso root a servidores de produção. Compreender estas distinções permite às organizações mapear potenciais cenários de incidentes.
Embora o IRM exija ferramentas e processos, a avaliação de risco vem em primeiro lugar. Antes de investirem em software de monitorização ou de estabelecerem protocolos de resposta, as organizações devem primeiro compreender a sua atual postura de risco. Isto significa inventariar os ativos de dados e documentar quem tem acesso a quê, o que ajuda a identificar lacunas nos controlos existentes.
Um IRM eficaz começa com a identificação do risco e a avaliação do âmbito. Depois disso, as organizações podem começar a investir em ferramentas e em mudanças de processo.
É aí que o DLP pode desempenhar um papel. Quando as organizações compreendem o seu panorama de risco interno, podem configurar controlos de dados que respondem aos cenários específicos que identificaram.
O que é o DLP (Data Loss Prevention)?
A Prevenção de Perda de Dados (DLP) refere-se às tecnologias e processos utilizados para impedir que dados sensíveis saiam do controlo organizacional. O DLP abrange todas as formas de perda de dados, quer ocorra por exfiltração maliciosa, exposição acidental ou proteção inadequada.
O DLP faz parte da segurança de dados global, que cobre encriptação, controlos de acesso, cópia de segurança e recuperação, infraestrutura de armazenamento seguro e protocolos de transmissão segura. O DLP funciona como a camada de aplicação dentro deste enquadramento mais amplo. Garante que os dados são protegidos e armazenados de formas que minimizam fugas e exposições.
Quanto às ferramentas DLP, estas estão especificamente orientadas para monitorizar dados em três estados:
- Em repouso (como quando estão armazenados num servidor)
- Em trânsito (como quando estão a viajar pela rede)
- Em uso (como quando estão a ser utilizados numa aplicação)
A visibilidade é uma componente essencial de um DLP eficaz. Sem a visibilidade adequada, um DLP eficaz é impossível. As organizações têm de saber onde residem os dados sensíveis, quem lhes acede, como se movem pelos sistemas e por onde saem da organização. Por exemplo, um sistema DLP pode bloquear carregamentos não autorizados de ficheiros para o armazenamento na cloud, mas apenas se conseguir identificar quais os ficheiros que contêm informação sensível e reconhecer quando ocorrem tentativas de carregamento. Isto exige uma análise contínua dos repositórios de ficheiros e a classificação dos dados.
As organizações podem ter os melhores processos e ferramentas, mas os pontos cegos podem ainda assim conduzir a fugas e violações de dados, porque os humanos são propensos a cometer erros. É provavelmente por isso que 95 % das violações de dados em 2024 foram atribuídas a erro humano.
É aqui que o IRM pode desempenhar um papel importante. O IRM responde à lacuna de visibilidade ao concentrar-se no comportamento dos utilizadores e nos padrões de acesso. Quando as organizações avaliam o risco interno, mapeiam quem tem acesso a que dados e identificam padrões de acesso que sugerem utilização indevida ou comprometimento. Esta visibilidade comportamental complementa os controlos técnicos do DLP.
Três formas como DLP e IRM funcionam em conjunto
Ao saber como estes elementos funcionam, os líderes de segurança podem agora começar a pensar nas sobreposições entre os dois e a garantir que trabalham estrategicamente em conjunto. Eis sobreposições-chave a considerar
#1 Visibilidade e avaliação de risco
Ao adotar um IRM eficaz, as organizações melhoram a visibilidade, o que conduz a um melhor DLP. Um DLP eficaz assenta em grande parte na visibilidade. Sem saber que ficheiros contêm números de cartão de crédito de clientes ou que bases de dados armazenam segredos comerciais, o DLP não consegue distinguir entre atividade rotineira de negócio e violações de política.
Ao mesmo tempo, os passos iniciais da gestão de risco interno, especificamente a avaliação e a identificação de onde reside o risco, incluem a visibilidade e o mapeamento do acesso aos dados em toda a organização. Isto serve uma função essencial para um DLP otimizado.
O seu próximo passo: Reserve tempo para priorizar a identificação e avaliação do seu risco em todas as áreas — on-prem, cloud e terceiros. Depois pode implementar de forma mais eficaz a visibilidade e (eventualmente) os processos de segurança, todos os quais resultam num IRM e DLP mais fortes.
#2 Sinalização de indicadores de comprometimento
O IRM pode identificar utilizadores de alto risco, mas faltar-lhe os controlos técnicos para monitorizar as suas atividades com dados. O DLP, por outro lado, pode sinalizar transferências de ficheiros suspeitas sem perceber se o utilizador envolvido tem razões legítimas de negócio ou representa um risco elevado. Contudo, se ambos estiverem a trabalhar em conjunto, podem comunicar entre si e detetar potenciais riscos muito mais cedo, antes que se tornem um problema.
As organizações podem identificar indicadores de comprometimento ao compreender os padrões normais de acesso para cada função, e depois sinalizar desvios como o pessoal financeiro a aceder a documentos de engenharia ou representantes de vendas a exfiltrar conjuntos de dados invulgarmente grandes. Isto consegue-se melhor se o IRM e o DLP estiverem a trabalhar a todo o vapor.
O seu próximo passo: Através de ferramentas e políticas documentadas, identificar os seus indicadores de comprometimento, especificamente os baseados em comportamento, devem ser referenciados e revistos em ambas as estratégias DLP e IRM. Ao garantir que estão cobertos em ambas as estratégias, as ações resultantes (remover acesso do utilizador, colocar um utilizador em quarentena ou alertar o seu SOC) mitigam o risco de forma mais eficaz em ambas as áreas.
#3 Aplicação de acesso mínimo a dados
O DLP garante que o risco interno é mitigado porque existem práticas de dados seguras em vigor. Por exemplo, o princípio do menor privilégio restringe o acesso a dados apenas ao que os indivíduos precisam para as suas funções específicas, minimizando o risco de um ataque interno.
Por outro lado, falhas no IRM levam tipicamente à perda de dados porque uma ameaça conseguiu aceder a dados a que não devia ter tido acesso ou tirou partido de permissões desnecessárias. Ao ter uma solução ou processo em vigor que limita e impede o acesso desnecessário a dados ou permissões elevadas, pode mitigar o risco associado ao IRM e ao DLP. Isto inclui a segurança zero trust e exige verificação contínua da identidade do utilizador e do estado do dispositivo antes de conceder acesso aos dados. Os sistemas de identidade e controlo de acesso aplicam requisitos de autenticação e fronteiras de permissão. Estas práticas apoiam o DLP ao reduzir a superfície de ataque, o que significa por sua vez que menos pessoas têm acesso, mitigando o risco interno.
O seu próximo passo: Priorize tirar partido de algumas das estratégias acima através de ferramentas, processos e políticas. Minimizar o acesso global por função, papel e utilizadores apoia tanto o IRM como o DLP e é uma das melhores formas de minimizar o risco sem abrandar as coisas.
Como aconselha o Chief Technology Officer Zbyněk Sopuch, «os líderes de segurança devem ver o IRM e o DLP como duas camadas da mesma estratégia: segurança centrada nos dados enriquecida pela inteligência comportamental. Alinhar ambos garante a proteção contra ações internas acidentais e maliciosas, mantendo a produtividade do negócio.»
IRM e DLP são duas faces de uma moeda segura
A cibersegurança funciona melhor como uma abordagem em várias camadas. Garantir que a sua equipa tem consciência destas prioridades e estratégias ajuda uma organização a alcançar a defesa por camadas. Os líderes de cibersegurança devem trabalhar com a sua equipa para compreender como diferentes controlos interagem e se reforçam mutuamente. Quando os respondedores a incidentes sabem que o DLP pode fornecer contexto sobre os dados a que um insider acedeu, podem priorizar as investigações de forma mais eficaz.
Quando os administradores de DLP compreendem que utilizadores foram sinalizados pelo IRM como de risco elevado, podem aplicar a monitorização adequada sem criar falsos positivos excessivos para toda a organização. Isto cria eficiências significativas em várias prioridades estratégicas.
Ao tirar partido do IRM no DLP e vice-versa, as organizações alcançam uma postura de cibersegurança mais forte sem investir mais recursos ou tempo.
A Safetica oferece capacidades de IRM e DLP numa única plataforma. Com a Safetica, as organizações implementam um sistema, em vez de coordenarem entre fornecedores separados de IRM e DLP, o que reduz a complexidade de integração que pode levar a lacunas de segurança.