Como garantir a segurança interna com uma solução DLP
02.06.2023
VoltarComo garantir a segurança interna com uma solução DLP
A proteção contra vazamentos de dados e a prevenção de riscos gerados pelo fator humano estão entre as prioridades mais importantes da segurança da informação. Eles são atenuados com a ajuda de soluções da classe DLP. No entanto, nem todos os departamentos de segurança da informação têm recursos, tempo e especialistas suficientes para usar os sistemas de forma eficiente. Vamos descobrir se a terceirização pode realmente ajudar ou se é necessário lidar com os riscos por conta própria.
Garantir a segurança das informações da empresa não se trata apenas de lidar com os riscos cibernéticos em si. A proteção contra ameaças internas é cada vez mais importante, pois as ações dos funcionários, tanto as deliberadamente maliciosas quanto as ocasionais ou acidentais, causam aproximadamente 60% de todos os incidentes perigosos de InfoSec. Ao mesmo tempo, os especialistas de aproximadamente 50% das organizações que implementam soluções de proteção específicas relatam que suas organizações carecem de especialistas que possam trabalhar com sistemas DLP.
Em resposta ao problema da grande escassez de funcionários de segurança da informação, há a possibilidade de terceirização da segurança da informação - Managed Security Service Providers (MSSP). Isso significa que, em vez de especialistas próprios, auditores terceirizados gerenciam o sistema DLP e garantem a proteção de uma organização. Os auditores se conectam remotamente ao sistema, implantado na organização, garantem o monitoramento e relatam os incidentes. Alguns provedores do serviço também garantem a manutenção do sistema, incluindo a implantação da solução na nuvem.
No entanto, surge a pergunta: essa abordagem realmente garante a proteção contra ameaças? Existe a possibilidade de um auditor terceirizado deixar passar algo crucial por não ter uma visão completa do que realmente está acontecendo na empresa? Neste artigo, vamos:
- Demosntrar as vantagens e desvantagens da terceirização e das formas tradicionais de trabalho dos auditores internos de segurança da informação.
- Comparar as diferentes abordagens e tentar descobrir qual delas é a mais eficiente.
Segurança da informação em suas próprias mãos
Antes de mais nada, falaremos sobre as vantagens de ter um departamento próprio de InfoSec.
1. Integração na estrutura da empresa e compreensão clara de todos os processos internos.
Essa é a vantagem indiscutível de contratar auditores de SI e ter seu próprio departamento de InfoSec. Em primeiro lugar, eles entendem claramente as peculiaridades dos processos da organização e as levam em consideração ao desenvolver políticas de segurança. Eles entendem os riscos potenciais e configuram as políticas adequadamente. Assim, o sistema DLP, logo após sua implementação, torna-se a ferramenta de prevenção de incidentes de InfoSec, e não apenas de busca de incidentes. Em segundo lugar, eles conhecem os colegas, entendem como as responsabilidades são divididas entre os executivos e sentem o moral dos funcionários. Eles podem identificar os funcionários rapidamente, classificando-os por grupos de risco:
- Insatisfeitos
- Aqueles que podem sabotar o processo de trabalho
- Funcionários, que podem se vingar caso se sintam maltratados
- Membros da equipe que possam estar envolvidos em esquemas de fraude, etc.
2. Multifuncionalidade
Os auditores de InfoSec internos também podem contribuir para mitigar as ameaças econômicas, de RH e internas simultaneamente. Porém, há uma nuance: os auditores devem estar equipados com as ferramentas adequadas. Nesse caso, os sistemas DLP ajudam a atenuar os riscos que não se restringem apenas à proteção de dados em si, pois as soluções modernas lidam com essas tarefas graças a ferramentas analíticas avançadas.
Além disso, os auditores internos podem reunir evidências de outras fontes. Por exemplo, as evidências podem ser complementadas com os resultados de vigilância por vídeo e dados recuperados de sistemas de controle de acesso; pesquisas específicas realizadas etc.
3. Independência na tomada de decisões
Quando as informações sobre um incidente são recuperadas de um sistema DLP e os infratores são identificados, os auditores internos podem agir imediatamente: iniciar uma verificação, conduzir uma investigação. Além disso, com base nas informações coletadas sobre incidentes, os auditores responsáveis podem rapidamente tirar conclusões e instruir os demais funcionários sobre como evitar a ocorrência de tais incidentes no futuro. Se necessário, eles podem desenvolver um programa educacional e realizar treinamentos de segurança da informação em larga escala para toda a equipe.
Os auditores internos do departamento de InfoSec desenvolvem e implementam eles mesmos as regras de segurança, o que facilita o rastreamento das violações e a redução das consequências dos incidentes. Além disso, os auditores internos são responsáveis pela conformidade com os requisitos dos reguladores, portanto, os auditores internos de InfoSec podem responder rapidamente aos novos requisitos, preparar e fornecer relatórios exigidos e lidar com os erros rapidamente (caso sejam encontrados). Às vezes, os MSSPs também garantem a conformidade com os requisitos. Discutiremos essa questão com mais precisão um pouco mais adiante.
Mas, por outro lado, como o departamento de segurança da informação faz parte da estrutura corporativa, seus funcionários são totalmente dependentes de diferentes questões relacionadas à empresa onde trabalham, desde os orçamentos alocados até a tarefa em si. Vamos examinar os problemas mais significativos que podem ocorrer:
1. Sobrecarga e priorização incorreta
É muito comum, principalmente nas pequenas empresas, negligenciar questões relacionadas à segurança da informação ou não dar a devida atenção a elas, pois desenvolver os negócios e fazer a empresa crescer é prioridade. Logo, os especialistas da maioria das empresas acreditam que a proteção da segurança das informações de suas organizações não é suficiente. Além da falta de funcionários de segurança da informação e da negligência na implementação de software de proteção, há também outros problemas. Com base na pesquisa da SearchInform, os funcionários de SI de 78% das organizações disseram que nem mesmo a prática de treinamento de funcionários em questões relacionadas à segurança da informação é implementada em suas organizações. Os entrevistados de várias empresas em todo o mundo relatam que seus equipamentos e soluções não são atualizados. Quando uma empresa tem problemas tanto com equipamentos quanto com especialistas, ela enfrenta os problemas mais graves. Portanto, isso acaba em um impasse: os executivos não conseguem atender às solicitações dos funcionários de InfoSec, mas, ao mesmo tempo, exigem demais. Os auditores de InfoSec, por sua vez, não conseguem lidar com as tarefas definidas.
A mesma situação acontece quando os auditores estão sobrecarregados com diversas tarefas. A ideia de delegar o tratamento de todas as tarefas de segurança a um único departamento é razoável, mas somente se for implementada adequadamente. Se uma organização não tiver funcionários de InfoSec suficientes, o risco de nenhuma tarefa ser tratada com eficiência aumentará significativamente.
2. Segurança Formal
Indiscutivelmente, mesmo o sistema de proteção mais avançado não dará o melhor de si se a empresa não tiver regras de segurança desenvolvidas com precisão. Contudo, o processo de desenvolvimento dessas normas, bem como quaisquer ações posteriores dentro de sua estrutura (como investigações internas), são, antes de tudo, burocráticos. Essa estratégia faz sentido em muitos aspectos. O complicador é que a velocidade de investigação e resposta a incidentes pode diminuir se essa abordagem for implementada. Se os responsáveis pela segurança da informação estiverem permanentemente ocupados com trabalho burocrático, eles não poderão se esforçar e dedicar tempo suficiente para lidar com as investigações. Resultado? Há uma chance de que os auditores de segurança da informação percam alguns detalhes importantes ao lidar com procedimentos formais.
3. A rotina de relaxamento
Com base em minha experiência, posso dizer que incidentes ressonantes, que exigem resposta imediata, não acontecem todos os dias. Na maioria das vezes, o processo de trabalho do auditor de segurança da informação limita-se ao monitoramento de rotina. O problema é que a falta de incidentes de segurança da informação notificáveis pode criar a falsa impressão de que não há riscos para a organização. Há muitos casos em que os executivos de segurança da informação relaxam e confiam totalmente na solução de DLP, pois este tipo de sistema lida facilmente com a tarefa de procurar incidentes de acordo com as políticas de segurança definidas e coleta autonomamente dados sobre as atividades dos usuários nos PCs corporativos. Deve-se observar que o melhor cenário é quando a solução DLP é equipada com ferramentas analíticas avançadas. Nesse caso, ela revelará com sucesso até mesmo incidentes complicados. Entretanto, nem todas as soluções de DLP têm essa funcionalidade avançada. Além disso, não é suficiente simplesmente coletar notificações sobre violações. Se a solução não for usada adequadamente, alguns detalhes importantes, por exemplo, informações sobre circunstâncias ocasionais e participantes implícitos, poderão ser perdidos. Esses detalhes às vezes são necessários para lidar com tarefas cruciais, tais como:
- Prevenção da ocorrência de incidentes em um estágio inicial
- Exposição de esquemas de fraude
- Coleta de provas confiáveis contra os infratores
Ajuda qualificada
A segurança da informação terceirizada pode ser diferente. Por exemplo, consultoria, quando os auditores convidados examinam se há alguma vulnerabilidade na infraestrutura da organização, apontam os pontos fracos e compartilham recomendações úteis sobre como aumentar a proteção. Em alguns casos, os funcionários responsáveis pedem a especialistas forenses que façam uma investigação retrospectiva dos incidentes. Os processos de trabalho relacionados a cada tarefa (ou a todas elas de uma só vez, dependendo das solicitações) podem ser facilitados com a ajuda de soluções da classe DLP. É por isso que a terceirização da segurança da informação, que inclui o monitoramento de riscos com a ajuda de uma solução avançada de DLP com funcionalidade estendida, pode ser uma boa escolha.
Em quais casos a terceirização de InfoSec é especialmente benéfica e como uma organização pode se beneficiar de seu uso:
1. Economia de recursos
Os auditores do provedor de serviços trabalham com dados capturados pelo sistema DLP implantado na infraestrutura da empresa. Muitas vezes, os executivos adotam essa abordagem em vez de expandir o departamento de segurança. Isso é especialmente relevante para empresas que não têm auditores dedicados e nas quais, por exemplo, os especialistas do departamento de TI também são responsáveis por lidar com questões relacionadas à segurança da informação.
Mesmo que a empresa possua seu próprio departamento de SI, seus funcionários podem estar sobrecarregados com outras tarefas ou nunca tenham usado um sistema DLP antes, um auditor terceirizado pode trazer alguma experiência prática sobre como usar o sistema de forma eficiente. Além disso, esse é um investimento que ajuda a aumentar as qualificações dos funcionários da empresa contratante dos serviços de SI terceirizados.
Há também a opção de alugar uma solução de DLP, que, no curto prazo, é mais barata do que a compra da solução. Isso é vantajoso se os funcionários responsáveis não tiverem certeza de que realmente precisam implementar um sistema DLP ou se for necessário um diagnóstico urgente do estado atual da segurança das informações na organização.
Caso seja necessário controlar um número relativamente pequeno de estações de trabalho, não há necessidade de gastar com hardware. Existem modelos de fornecimento de software baseados em nuvem, Software as a Service (SaaS), que permitem a implantação de data centers em nuvens rapidamente.
2. Ser sincero
Auditores terceirizados não fazem parte da equipe, o que significa que eles são limitados em termos de ferramentas - eles têm uma solução de DLP que contém uma lista de nomes e dispositivos. Ao mesmo tempo, as questões relacionadas ao fator humano são totalmente mitigadas. Um auditor externo tira suas conclusões com base apenas nos fatos, sem envolver emoções e apreços no processo. Além disso, as tarefas de controle de usuários privilegiados, cujos dados normalmente ficam ocultos até mesmo para a equipe de InfoSec da empresa, podem ser delegadas ao auditor terceirizado. Isso é muito importante, pois os executivos e funcionários de alto escalão têm acesso a uma ampla gama de dados confidenciais acabam sendo responsáveis por aproximadamente 25% dos incidentes.
3. Garantia de controle no modo ininterrupto e total transparência
O auditor terceirizado trabalha com o sistema remotamente e envia relatórios de acordo com o plano, aprovado previamente com o cliente. O auditor de SI relata violações e notifica sobre o comportamento suspeito dos funcionários, mesmo que não tenha ocorrido um incidente. Em caso de emergência, o auditor de SI entra em contato imediatamente com o cliente. Além disso, um representante da empresa cliente (um executivo, um perito em SI ou qualquer outra pessoa responsável) pode rastrear todas as atividades do auditor terceirizado na solução DLP (on-line ou por meio de registros), gerenciar os direitos de acesso do auditor externo e até mesmo trabalhar simultaneamente com ele.
Além disso, o provedor de serviços terceirizados cumprirá com suas obrigações de qualquer maneira, sem levar em conta as circunstâncias. Se o auditor designado por ele estiver doente ou de férias, o provedor deverá alocar um substituto para esse auditor visando garantir que a proteção do cliente seja assegurada no nível adequado.
Deve-se observar, contudo, que a terceirização não é panaceia. Não é suficiente simplesmente implementar o serviço terceirizado e esquecer totalmente os problemas relacionados a SI. Vamos examinar agora por que.
1. O trabalho preparatório deve ser feito com cuidado
É importante entender que o auditor terceirizado não conhece todas as peculiaridades dos processos de negócios da empresa do cliente. Se o auditor terceirizado não estiver equipado com instruções precisas e bem desenvolvidas sobre o que deve ser controlado, há o risco de não rastrear adequadamente alguns processos críticos. Por isso, é muito importante explicar ao auditor terceirizado as peculiaridades dos processos produtivos da empresa antes que ele comece a trabalhar. É necessário explicar-lhe quais dados mantidos são confidenciais e quem deve ter acesso a eles. Os funcionários responsáveis da empresa devem conduzir o trabalho preparatório para poder fornecer rapidamente as informações e instruções necessárias ao auditor terceirizado.
O mesmo acontece quando se trata do processo de definir uma tarefa para o auditor terceirizado. No estágio preliminar, é necessário entender claramente quais resultados a empresa deseja obter e incluir essas informações no contrato com o máximo de detalhes possível. Por exemplo, para a empresa é fundamental descobrir quem são os atravessadores, mas o auditor está concentrado na tarefa de procurar vazamentos de dados. Nesse caso, apesar de o trabalho ter sido feito, o cliente não ficará satisfeito com os resultados, obviamente.
Além disso, é necessário descrever antecipadamente a ordem de interação, o nível de acesso do terceirizado aos processos internos e as configurações de DLP. Isso exige tempo e esforço.
2. Direitos limitados
Muitas vezes, a empresa terceirizada só fornece ao cliente dados capturados pelo sistema DLP, relatórios sobre violações e atividades suspeitas. O analista pode recomendar como lidar com os problemas existentes, mas a decisão cabe aos funcionários da empresa contratante. Além disso, muitas vezes, lidar com a documentação na esfera da segurança da informação, bem como manter contato com os órgãos reguladores, não são tarefas do terceirizado. Portanto, é muito importante que haja um funcionário da empresa responsável por acompanhar o trabalho do auditor terceirizado. Isso é especialmente crucial em casos de emergência. Mas há situações diferentes. Muitos MSSPs garantem proteção e monitoramento complexos. Isso significa que seus auditores monitoram os requisitos dos órgãos reguladores e garantem que a organização esteja em conformidade com eles. Além disso, muitos funcionários de SI terceirizados são especialistas experientes e, se isso for acordado de antemão, eles podem ajudar a empresa com a documentação relacionada a questões de InfoSec.
Por exemplo, a auditor em regime de tempo real descobre que um funcionário do cliente recebe de um concorrente de mercado as credenciais para um armazenamento de dados protegido por senha. Em seguida, este funcionário vaza o banco de dados do cliente para o armazenamento em nuvem. O melhor cenário, neste caso, é quando a empresa contratante tenha dado à empresa de SI terceirizada permissão para interferir em tais incidentes. Se não tiver dado, o auditor precisará entrar em contato com o cliente para coordenar as ações, o que, obviamente, resulta em um atraso na solução do incidente.
Desta forma, é fundamental que a empresa contratante designe um curador para acompanhar o auditor terceirizado que estará sempre em contato para tomar decisões que exigem rapidez.
3. Estágio de transição
Regra geral, a terceirização da segurança da informação é um estágio de transição no caminho para o desenvolvimento de seu próprio serviço de segurança da informação. A necessidade de garantir a segurança dos negócios é constante e não pode esperar até que se crie um departamento de SI. Logo, a contratação de um auditor terceirizado pode ser útil para proteger a empresa no curto prazo e ajuda a criar seu próprio sistema de proteção. Para se beneficiar o máximo possível da terceirização é necessário se aprofundar no trabalho do auditor e ganhar experiência. Esse é outro argumento a favor de ter um alguém da empresa contratante responsável pelo acompanhamento das atividades do auditor terceirizado.
Finalmentes
Basicamente, a escolha da estratégia e das ferramentas, especialmente quando se trata de segurança interna das informações, depende dos requisitos da empresa.
Nem todas as empresas realmente precisam de um serviço próprio de segurança da informação. Se a infraestrutura da empresa tiver de 50 a 100 PCs, não faz sentido contratar um funcionário de InfoSec e comprar um software de proteção caro. Claro, neste caso será difícil controlar tudo manualmente e a empresa poderá arcar com perdas. Terceirizar a auditoria de SI é a solução para casos assim: - ela ajuda a lidar com as tarefas definidas e se encaixa no orçamento da PMEs.
As grandes empresas não têm falta de recursos. Ter um departamento próprio de segurança da informação em alguns setores é até mesmo uma necessidade crucial. Mas elas têm muito mais tarefas a cumprir. É excelente quando a empresa conta com uma equipe que tem a quantidade necessária de especialistas, onde cada membro é altamente qualificado e há recursos suficientes disponíveis. No entanto, mesmo nesse caso, os especialistas podem não ter tempo para trabalhar com o DLP. E a terceirização pode ser uma solução para esse caso.
Em suma, se a pergunta "como proteger?" estiver na pauta, em vez de "por que proteger?", metade da batalha estará concluída.
Na verdade, não importa se você lida com as tarefas relacionadas à segurança das informações com a ajuda de auditores terceirizados ou se continua a confiar em si mesmo. O mais importante é o fato de que, quando os funcionários percebem a necessidade de garantir o nível adequado de segurança das informações, a eficácia de qualquer medida tomada aumenta. Na segurança das informações, as pessoas que a garantem são realmente importantes. E, sem a motivação delas, nenhum meio técnico de proteção dá resultado.