Embora as tecnologias de DLP (Data Loss Prevention) estejam cada vez mais avançadas, algumas organizações ainda enfrentam dificuldades em prevenir a perda de dados.

A perda de informações internas continua a ser uma das principais ameaças para as organizações, principalmente nos últimos tempos, com o aumento na preocupação decorrente de violações de dados registradas na primeira metade da segunda década do século XXI. Os executivos atualmente não só buscam mais recursos para evitar a perda de dados e combater o risco das ameaças internas, mas também estão mais interessados em aprimorar o gerenciamento de dados corporativos de modo a obter um melhor controle sobre todos os dados da sua empresa.

Muitas organizações estão implantando tecnologias de prevenção de perda de dados (DLP) para combater o risco de vazamento de informações tanto deliberadas quanto acidentais. Embora essa tecnologia seja essencial para a proteção contra ameaças internas, existirá sempre a possibilidade de que a proteção de alguns dados esteja além de seu controle. Algumas organizações esquecem que esses elementos tecnológicos estão envolvidos com a ação humana, o que sempre tornará a implantação de tais tecnologias suscetível a vulnerabilidades.

Ao considerar esses fatores, as organizações podem estabelecer uma base sólida para o sucesso da gestão de dados empresariais e da implementação do DLP.

Para limitar as ameaças internas e evitar a perda de dados, é essencial ser capaz de controlar onde cada dado está armazenado e quem tem acesso. Essa pode ser uma tarefa difícil para dados não estruturados armazenados em uma variedade de dispositivos (por exemplo, servidores, desktops, laptops, smartphones ou cartões de memória USB) com poucos controles de acesso ou nenhum. A fim de conquistar o controle sobre esses dados não estruturados, siga os seguintes passos:

  • Classifique os dados com base em sua confidencialidade e determine quais que devem ser protegidos.

Essa atividade requer o envolvimento de diferentes setores da empresa para entender as características dos tipos de dados e por quanto tempo eles devem ser protegidos. As regras de controle de acesso para esses dados também devem ser estabelecidas, de modo que você possa definir quem deve ter acesso a que tipos de informação.

  • Para cada tipo de informação, determinar qual a relevância de cada uma para a organização.

As questões-chave para perguntar são: Qual seria o impacto se as informações fossem divulgadas? Qual seria o impacto se as informações fossem perdidas ou ficassem indisponíveis?

  • Realizar uma avaliação de risco para determinar quais controles de segurança são necessários para proteger os dados mais sensíveis.

Esta avaliação deve avaliar a probabilidade de ameaças possíveis e, portanto, o risco para a organização. Frequentemente será necessário ter diferentes controles de segurança para diferentes tipos de informação ou para limitar onde as informações são processadas de tal modo que não sejam mantidas em dispositivos vulneráveis.

  • Implementar sistemas para armazenar e proteger os dados que atendem aos requisitos de segurança estabelecidos pela avaliação de risco.

Essa etapa pode ser realizada utilizando uma variedade de medidas que estejam de acordo com as necessidades da organização e da natureza dos sistemas de informação existentes, Sua implementação, contudo, pode variar de uma nova arquitetura de sistema, para a implantação de tecnologias de DLP específicas para atender às necessidades específicas de segurança.

Com Computer Weekly