Implantação de DLP para proteção de informações
sensíveis
Uederclay Vilela Rocha, Edgar Zattar Dominoni Neto
Instituto de Informática – Centro Universitário do Triângulo (UNITRI) Caixa Postal 309 – 38.411-106 – Uberlândia – MG – Brasil
ueder.rocha@gmail.com, edgar.zattar@gmail.com
Resumo. As informações são cada vez mais importantes para as organizações. Logo, a sua segurança é grande motivo de preocupação. Uma informação importante que cai em mãos erradas pode revelar segredos de negócios, expor dados confidenciais da organização, fazendo-a perder competitividade. Neste trabalho serão abordadas as características da DLP, que apoiam no aumento da capacidade de gerenciamento da segurança de informações sensíveis, de forma que se evite a dissipação indevida destas. Será apresentado um estudo de caso que é baseado na realidade de empresas que lidam com informações sensíveis, além de resultados encontrados na aplicação do estudo de caso e conclusão sobre os resultados obtidos.
1. Introdução
A Informação é algo de grande valor, e sua proteção tornou-se um desafio para as organizações. No entanto, estas organizações possuem poucos mecanismos para diagnosticar perdas de informação que ocorrem de dentro para fora do ambiente organizacional [ISACA 2010].
Para se diagnosticar o vazamento de informações, são necessárias arquiteturas diferentes das proteções convencionais, como firewalls ou sistemas de detecção de intrusões. Requerem o tratamento com foco na importância da informação [ISACA 2010].
Em decorrência desta necessidade, surgiu a partir de 2006/2007, um conjunto de soluções que promovem a proteção, objetivando prevenir, detectar e responder ao vazamento de informações sensíveis. Este conjunto de soluções é chamado DLP - Data Loss Prevention [ISACA 2010].
As aplicações DLP podem detectar vazamento de informações sensíveis da organização a partir de políticas com regras estabelecidas, utilizando-se de varreduras e tecnologias de inspeções detalhadas de conteúdo.
Pesquisas indicam que o vazamento de informações se tornou motivo de grande preocupação para as organizações. Isto devido ao volume crescente de incidentes noticiados, principalmente dados que são enviados de dentro para fora das organizações [PWC 2014].
Este trabalho tem como objetivo apresentar o conceito deste conjunto de soluções que compõem a DLP, e aplicar um estudo de caso direcionado para necessidades baseadas nos desafios que as empresas enfrentam nos dias atuais, apontando os resultados extraídos deste estudo de caso.
2. Segurança da Informação
A informação é um ativo essencial para os negócios de uma organização, e deve ser adequadamente protegido, sobretudo em ambientes de negócios, onde a informação está exposta a um grande número de ameaças e vulnerabilidades [ABNT 2005].
A informação pode estar disponível em vários formatos: impressa, escrita em papel, armazenada em arquivos eletrônicos, enviada por meios eletrônicos ou falada [ABNT 2005].
A Segurança da Informação é a área da tecnologia relacionada à proteção das informações contra desastres, erros e manipulação não autorizada, de forma a reduzir impactos de incidentes de segurança [Coelho, Araújo 2014].
Ela tem por objetivo proteger a informação de ameaças garantindo a continuidade do negócio, redução de riscos e possibilita o retorno sobre os investimentos e oportunidades de negócio [ABNT 2005].
Os princípios básicos e fundamentais na segurança da informação são: confidencialidade, disponibilidade, integridade, autenticidade, auditoria, privacidade, legalidade e não-repúdio. Estes elementos asseguram integridade e confiabilidade das informações de um sistema [ABNT 2005].
Confidencialidade: A informação só estará disponível a pessoas autorizadas; Disponibilidade: A informação deve estar acessível;
Integridade: A informação deve estar íntegra, sem erros; Autenticidade: A informação é verdadeira, exata;
Auditoria: A informação tem rastreabilidade em seu processo de transformação, possibilitando identificar quando ela pode ter sido violada; Privacidade: A informação possui controle de quem tem acesso a ela; Não-repúdio: A informação não pode ter negada a autoria de uma
modificação. [ABNT 2005]
A informação possui um ciclo de vida, que é dividido em momentos, e estes colocam a informação em risco, pois acompanham os ativos físicos, humanos e tecnológicos, que fazem uso, alterações ou descarte, que mantêm a operação das organizações [Sêmola 2003].
Os momentos do ciclo de vida da informação podem ser definidos da seguinte forma [Sêmola 2003]:
Manuseio: Criação e manipulação da informação. A informação passa a existir ou é alterada;
Armazenamento: A informação é armazenada, seja em um banco de dados, uma anotação ou mídia;
Transporte: A informação é transportada seja por meios digitais como e-mail, ou se impressa, mudando de local;
Descarte: A informação é descartada, seja por um triturador de papel, exclusão de arquivo no computador, ou descarte de mídia.
Durante todo o ciclo de vida da informação, são necessárias políticas que as protejam, evitando que seu uso indevido, interceptação ou qualquer intenção que não seja o uso adequado dela pela organização.
Por este motivo, foram desenvolvidas normas para gestão da segurança da informação, a chamada família ISO/IEC 27000.
A normas da família ISO/IEC 27000 regularizam a metodologia de implementação de políticas de segurança da informação, sendo que as normas ISO 27001 e ISO 27002 as mais conhecidas, pelo fato da norma ISO 27002 ser direcionada aos profissionais, para certificação, e, a norma ISO 27001 direcionada para empresas poderem implementar suas bases e seu processo de certificação.
Um dos riscos que a informação corre durante seu ciclo de vida, é o de ir parar em mãos erradas, comprometendo politicas comerciais, podendo expor dados confidenciais e causando prejuízos irreparáveis, caso caia em mãos erradas.
Entre as características da informação, uma das mais atrativas e talvez a que é utilizada há mais tempo é a sua classificação. Em épocas antigas, muito antes da existência de computadores, exércitos, governos e corporações já se utilizavam do rótulo “confidencial” para classificação e dispositivos de proteção para aquela informação, garantindo sua confidencialidade [Kosutic 2014].
A ISO 27001 não descreve explicitamente os níveis de classificação, no entanto, há normalmente uma convenção seja por ramo de atividade onde a informação é utilizada, país ou até mesmo de acordo com algum processo estabelecido pela organização [Kosutic 2014].
Segundo Kosutic 2014, entre os mais utilizados, pode-se exemplificar: Confidencial;
Restrita; Uso interno; Pública.
Os níveis exemplificados variam a confidencialidade da informação do nível mais restrito para o nível público, onde todos possuem acesso à informação.
2.1. Vazamento de informações
O vazamento de informações ocorre quando não são tomadas as devidas providências para proteção da informação.
É um incidente de segurança em que os dados sensíveis, protegidos ou confidenciais são copiados, transmitidos, vistos, roubados ou utilizados por um indivíduo não autorizado a fazê-lo [Fathima 2013].
Diversos incidentes de vazamento de informações ocorrem todos os anos, expondo dados confidenciais de empresas, que podem expor dados de executivos, comprometer negociações ou até revelar práticas indevidas.
De acordo com o relatório “Relatório de Investigações de Violações de Dados (Relatório DBIR) de 2014 – Verizon”, empresas do ramo de finanças são as que possuem mais incidentes de perda de dados, com 34,02% dos incidentes, seguido por instituições públicas com 12,8% e empresas do segmento de varejo com 10,83%.
A preocupação com a perda de dados é algo que vem ganhando destaque entre os desafios das organizações. Isto se deve a um grande destaque de incidentes apresentados desde 2013 [PWC 2014].
Em pesquisa realizada em 2014 pela PWC – figura 1, observou que a preocupação com a prevenção contra o vazamento de informações passou de desconhecida em 2012 para uma dos cinco principais desafios para a área de segurança da informação [PWC 2014].
Figura 1. Principais desafios da segurança – PWC 2014
Vazamento de informações é um problema que preocupa as empresas, principalmente quando uma das fontes de vazamento são funcionários da própria empresa.
Segundo o “Relatório DBIR” [Verizon 2014], entre 2011 e 2013, o uso indevido de informações por pessoas dentro da empresa atingiu o percentual de 21% dos incidentes de segurança das empresas.
Diante dos riscos de vazamento das informações, surgiram soluções para prevenção de vazamento de dados. O conceito de DLP – Data Loss Prevention é algo que veio para apoiar as organizações na segurança de suas informações.
Como exemplo de incidentes de vazamentos de dados, podem-se destacar alguns casos de noticiário, que poderiam ser evitados em caso de uma política adequada de DLP:
Ex-funcionário da Microsoft é preso por vazar informações [Exame, 2014]: Um funcionário enviou através de site de compartilhamento, versões internas do Windows 8, arquivos do Windows 7 e até um kit de desenvolvimento do software de ativação da Microsoft.
Trabalhador deve indenizar rede de lojas por vazamento de informações sigilosas [TRT4 2014]: Um trabalhador foi condenado a indenizar uma empresa por ter enviado dados confidenciais de seu e-mail corporativo para o pessoal, três dias após ser demitido. Avaliou-se como conduta inadequada, obrigando o trabalhador a indenizar a empresa.
2.2. Data Loss Prevention
O termo DLP – Data Loss Prevention surgiu em 2006, mas só ganhou notoriedade em 2007 [SANS 2008].
É definido como um conjunto de soluções de prevenção de perda de dados, focalizando em perdas intencionais ou acidentais, sobretudo por fontes internas, a partir de políticas de segurança que visam detectar a evasão de dados confidenciais das organizações [ISACA 2010].
São utilizadas varreduras e tecnologias de inspeção detalhada de conteúdo, para identificar a sensitividade do conteúdo, podendo prevenir ou bloquear a saída dos dados da organização.
As soluções DLP atuam em três níveis: nível do cliente, nível de rede e nível de armazenamento [ISACA 2010].
Nível do cliente ou dados em uso: tem como objetivo, atuar nos endpoints (máquinas clientes), onde as atividades dos usuários são monitoradas ou bloqueadas pelo agente DLP, caso eles infrinjam alguma das políticas estabelecidas. É considerado o aspecto mais desafiador do DLP. Podem agir, por exemplo, em uma eventual cópia de dados para um pen drive, enviar informações para uma impressora ou até mesmo o ato de o usuário copiar e colar dados entre aplicativos diferentes. A implementação de um conjunto de regras em um endpoint, possui limitações, como por exemplo, o desafio de aplicar o conjunto de regras configuradas ao usuário final, e conforme a quantidade e complexidade das regras definidas, pode ser necessário aplicar as políticas parcialmente, deixando brechas na solução [ISACA 2010].
Nível rede ou dados em movimento: tem como objetivo o tráfego de rede, onde os dados são monitorados nas saídas de e-mail ou rede, de forma que pacotes sejam inspecionados, e caso necessário, são bloqueados pelo sistema. Neste caso, a solução deverá ser capaz de monitorar o fluxo de dados da rede, reconhecendo os dados corretos a serem capturados, efetuar a montagem de maneira a recompor os arquivos para assim efetuar a análise já com os dados interceptados em repouso, impondo as políticas configuradas na aplicação. O processo descrito é chamado inspeção aprofundada de pacotes (DPI). Esta tecnologia já evoluiu bastante, mas ainda não é perfeita, apesar do aumento da velocidade de processamento, e novas formas de análise de pacotes terem melhorado consideravelmente. Ela deve atuar com capacidade de descriptografar dados trafegados pela rede, desde que se disponham as chaves de criptografia necessárias, ou haja algum dispositivo que faça esta descriptografia antes dos dados chegarem à aplicação DLP [ISACA 2010]. Nível de armazenamento ou dados em repouso: o objetivo neste caso são os
dados armazenados em servidores. Os dados são varridos de acordo com determinadas regras, usando “crawlers” para localizar a informação e avaliar a sua sensibilidade de acordo com as políticas estabelecidas. Há uma varredura de descobrimento que classificam ou selecionam os arquivos para monitorar o acesso aos dados, estando eles em um servidor de arquivos, redes SANs -Storage Area Networks, ou até em sistemas remotos [ISACA 2010]. Considera-se uma solução completa, aquela que atende aos três estados de informações na organização, e possuir um gerenciamento centralizado. Isto pode variar entre produtos, porém, em sua maioria, as soluções DLP possuem as seguintes funções [ISACA 2010]:
Integração de serviços de diretórios; Gerenciamento de fluxo de trabalho; Backup e restauração;
Geração de relatórios.
A implementação da DLP em uma organização, assim como a maioria dos projetos de TI, requer atividades preparatórias, como por exemplo, criação de políticas, análise de processos comerciais, inventários, entre outras [ISACA 2010].
Pode-se identificar as principais considerações acerca da implantação de uma solução DLP em uma organização como sendo:
Classificação, localização e caminho de dados organizacionais: Consiste em identificar e classificar os tipos e fluxos de informações a serem examinados seguindo a sua sistemática. Pode-se incluir categorias de acordo com sua finalidade, facilitando a etapa de localizar o armazenamento destas informações. É importante ainda, compreender o ciclo de vida dos dados na organização, desde sua origem, passando por processamento, manutenção, armazenamento e descarte, auxiliará na descoberta do fluxo das informações, além de seus repositórios [ISACA 2010].
Estabelecimento e divulgação de políticas e processos de alto nível: Após a localização e classificação das informações, deve-se criar ou modificar as políticas para tratamento de cada categoria. Após as políticas entrarem em vigor, deve-se estabelecer um fluxo de trabalho de alto nível. Ele deve conter as categorias de dados a serem analisadas, ações e pessoas que abordarão as infringências à política, e processos de exceções [ISACA 2010].
Implementação: Indica-se adotar inicialmente uma implementação de monitoramento, apenas, para que as políticas possam ser modificadas conforme a necessidade, e não haja prejuízos com paradas nos processos da organização. Apesar de haver um processo de preparação, com a identificação dos dados a serem protegidos, podem existir fluxos não identificados, vistos apenas após a ativação da solução DLP [ISACA 2010].
Remediação de violações: A empresa deve estar preparada para abordagens baseadas no risco, para escalonar adequadamente a solução para os incidentes, baseando-se em prioridades para abordar cada caso envolvendo as partes interessadas para se possa filtrar o que tem maior urgência de ação, evitando que problemas com menor prioridade sejam tratados enquanto existem maiores a serem resolvidos. As tratativas devem estar documentadas para futuras auditorias ou investigações [ISACA 2010].
Programa de DLP contínua: O sucesso da implementação de uma solução de DLP em uma empresa depende da melhora contínua das políticas da organização. Devem ser disponibilizados periodicamente relatórios de risco, conformidade e privacidade. As regras devem ser revisadas e melhoradas continuamente. As áreas devem comunicar novos formatos ou tipos de dados que não foram previstos na politica de DLP. Deve existir na organização, um ambiente de testes para que as regras sejam validadas antes de entrar em produção [ISACA 2010].
Embora as soluções DLP estejam evoluindo, existem alguns pontos de vulnerabilidade. Então, são necessárias políticas que possam auxiliar na compensação destas brechas. Entre elas, pode-se citar:
Criptografia: As soluções DLP só podem monitorar dados descriptografados. Logo, aplicativos de criptografia e chaves utilizadas em máquinas de usuários, sem o controle da organização, não serão analisados [ISACA 2010];
Gráficos: As soluções DLP não conseguem interpretar gráficos com eficiência. Logo, informações confidenciais digitalizadas. Então devem ser estabelecidas políticas que identificam o fluxo destas informações, de maneira que se tenha o controle e se identifique movimentos incomuns destes dados [ISACA 2010];
Fornecedores de serviços de terceiros: Ao fornecer dados confidenciais a terceiros, espera-se que os níveis de controle sobre vazamento de informações estejam no mesmo nível da organização. No entanto, é rara a possibilidade de extensão da solução DLP até o ambiente do terceiro. Por este motivo, contratos eficazes aliados a gerenciamento de terceiros e um programa de auditoria de suporte pode reduzir os riscos de vazamento das informações [ISACA 2010]; Dispositivos móveis: Os dispositivos móveis como smartphones, trafegam
dados fora da rede da organização, seja por meio de SMS ou aplicações utilizando-se de uma rede móvel. Com isto, não é possível controlar o fluxo das informações. Desta maneira, fazem-se necessárias políticas de educação e prevenção de vazamentos de informações, com foco no uso adequado destes dispositivos [ISACA 2010];
Suporte em vários idiomas: São poucas as soluções que disponibilizam suporte a vários idiomas. Neste caso, poderá haver algum problema em tratar dentro das informações analisadas, caracteres que não são suportados entre os idiomas da solução [ISACA 2010].
3. Estudo de Caso
Nesta sessão serão feitos testes aplicados a um estudo de caso, para atestar a efetividade de uma ferramenta de DLP, e estabelecer a relação do nível de proteção com as bases da segurança da informação.
O critério para escolha da ferramenta se baseou primeiramente em relação à sua disponibilidade de versão trial, ou em último caso, uma ferramenta opensource.
A ferramenta eleita foi My Endpoint Protector, de propriedade da CoSoSys, a qual foi obtida de uma versão trial, disponibilizada pelo fabricante através de seu site.
Esta ferramenta foi escolhida também pelo fato de utilizar-se de uma forma de distribuição que se popularizou no mercado de aplicações – o Saas (Software as a Service). Desta forma, não se faz necessário instalar a aplicação em uma máquina servidora, uma vez que toda a administração é feita através da solução executada na nuvem. Para as máquinas clientes, foi necessário instalar o aplicativo cliente, disponibilizado no console de gerenciamento da ferramenta.
Neste estudo de caso, foram utilizadas máquinas virtuais como máquinas clientes. O ambiente possuía a seguinte configuração:
Máquina hospedeira: Processador: Intel Core i5-3337U 1.80GHz, 6 GB de memória
RAM, disco rígido de 1 TB. Sistema Operacional Microsoft Windows 10 Home Single Language. Aplicativo de virtualização: VMware® Workstation 12 Pro 12.0.0.
Máquina virtual cliente: Processador: Intel Core i5-3337U 1.80GHz, 512 MB de
memória, disco rígido de 20 GB. Sistema Operacional: Microsoft Windows XP Service Pack 3. Aplicativo DLP cliente: My Endpoint Protector versão 4.4.6.8
Foram instaladas quatro máquinas virtuais com a mesma configuração, para atender ao estudo de caso.
3.1. Instalação
Após o cadastro feito do fabricante da solução, é disponibilizado o acesso ao console de gerenciamento da aplicação.
Através deste é possível visualizar dados da conta, controle de dispositivos, de conteúdo, relatórios, entre outros.
Para instalação das máquinas clientes, foi necessário acessar “Downloads / Installation Files & Enrollment”. Foi mostrada uma tela com as versões de instaladores para diversos sistemas operacionais.
Feito o download, transferiu-se o arquivo para as máquinas clientes. Prosseguiu-se com a instalação conforme manual instalado pelo fabricante.
A aplicação foi iniciada, apresentando um ícone na bandeja da barra de tarefas do sistema operacional.
3.2. Metodologia
Para o estudo de caso, foi descrito um cenário, onde foi dada uma necessidade de uma empresa, baseando-se nas informações mais sensíveis e as mais normais formas de vazamento de informações. Ela é descrita a seguir:
Foi escolhida para o desenvolvimento do estudo de caso deste artigo, uma empresa de desenvolvimento de software que possui como foco principal clientes do ramo financeiro. A empresa possui o organograma ilustrado na figura 3.
Figura 2. Organograma da empresa do estudo de caso
Esta empresa, por muitas vezes necessita validar processos e regras do negócio destes clientes, e para essa validação e necessário hospedar em suas dependências cópias de suas bases de dados para testes. Estas possuem alguns dados "ofuscados" como nomes, saldos e movimentações. Porem, para os testes serem realizados de maneira válida, é necessário que não se ocultem informações como números de cartão de crédito e de CPF.
Os contratos com seus clientes exigem que existam regras de segurança da informação para que estes dados não sejam propagados para fora da empresa.
Somente a área de desenvolvimento possui acesso às bases de dados com os dados sigilosos. Os principais dados a serem protegidos nesta área são os números de cartão de crédito e de CPF, CNPJ e e-mail, já que constam nas bases de dados. Não é permitido aos usuários deste grupo utilizar a tecla Print Screen.
Já a área comercial não possui acesso às bases de dados de testes, mas tem acesso aos contratos dos clientes, negociações sigilosas que não devem ser distribuídas a qualquer pessoa. Todos os contratos passam por digitalização, e recebem uma marca com o termo “DOCUMENTO CONFIDENCIAL” ou “DOCUMENTO SECRETO”, indicando que este conteúdo é sigiloso. Estes arquivos não podem ser enviados por e-mail ou gravados em dispositivos removíveis. Os contratos são armazenados contendo o tipo PDF, então, este tipo de arquivo não pode ser enviados via e-mail, ftp ou compartilhadores de arquivos que a empresa permite uso (Google Drive, iCloud e OneDrive). Não é permitido Print Screen para este grupo.
A área administrativa acessa informações cadastrais destes clientes, e informações de CNPJ, e-mail e CPF devem ser protegidas. É proibido Print Screen.
A diretoria não terá nenhum tipo de bloqueio. Não é permitido a nenhum outro grupo além da diretoria a utilização de dispositivos de armazenamento removíveis.
3.3. Aplicação do estudo de caso
Para aplicação do estudo de caso, fez-se necessário realizar a configuração das regras de bloqueio da política de DLP. A aplicação já possui uma política principal, necessitando criar apenas suas regras.
Para um melhor controle de permissões, foram criados grupos, e estes estão relacionados aos grupos descritos no estudo de caso.
Em “Device Control / Groups" foram criados quatro grupos: Administrativo, Comercial, Desenvolvimento e Diretoria.
Em "Device Control / Global Rights", foram mantidos todos os "Devices Types" com "Deny Access". Desta maneira, todos os grupos de usuários terão por padrão acesso bloqueado a dispositivos, podendo ser liberados em "Device Control / Groups / Group Rights". Então, a regra que se refere à gravação em dispositivos removíveis é atendida.
Como o grupo Diretoria possui acesso irrestrito, foi concedida permissão a todos os "Devices Types".
A primeira regra configurada foi a de bloqueio de cartões de crédito. Por padrão, os números de cartão de crédito possuem um formato e números iniciais diferentes, de acordo com sua bandeira. Para validação deste número, pode ser criada uma expressão regular através da opção “Content Aware Protection / Content Aware Reguar Expressions”. Pelo fato de a aplicação possuir entre suas funcionalidades, possibilidade de filtragem de cartões de crédito, não foram utilizadas expressões regulares, uma vez que elas podem ser aplicadas em outras regras deste estudo de caso.
A regra foi configurada contendo os dados descritos na tabela 1.
Tabela 1. Configuração da regra “Bloqueio de número de Cartão de Crédito”
Configuração Valor
Policy Name Bloqueio de número de Cartão de Crédito Policy Action Block & Report
Policy Status Enabled
Threshold Não
Control Transfers to Controled Storage Devices Types, Clipboard eScan Network Share Applications / Online Services Sim
Web Browser, E-mail, Instant Messaging,
Cloud Services e Social Media Todos
Policy Content Predefined Content Filter
Credit Cards Todos
A regra foi aplicada ao grupo Desenvolvimento.
Para a regra de bloqueio de Print Screen, foi realizada a configuração descrita na tabela 2.
Tabela 2. Configuração da regra “Bloqueio de Print Screen”
Configuração Valor
Policy Name Bloqueio de Print Screen Policy Action Block & Report
Policy Status Enabled
Threshold Não
Control Transfers to Disable Print Screen Applications / Online Services Não
Web Browser, E-mail, Instant Messaging,
Cloud Services e Social Media Não
A regra foi aplicada aos grupos Administrativo, Comercial e Desenvolvimento. Para a regra de bloqueio de conteúdo confidencial, relacionada aos documentos que o departamento comercial não pode enviar, foi necessário criar um dicionário de conteúdo, onde são incluídos os termos a serem bloqueados. A opção utilizada é "Content Aware Protecton / Custom Content Dictionary Blacklist". Foi realizada a configuração descrita na tabela 3.
Tabela 3. Configuração do dicionário
Configuração Valor
Dictionary Name Dicionário - Conteúdo Confidencial Dictionary Content documento confidencialdocumento secreto
Em "Content Aware Protection / Content Aware Policies", foi configurada a política conforme tabela 4.
Tabela 4. Configuração da regra “Bloqueio de conteúdo - Confidencial”
Configuração Valor
Policy Name Bloqueio de conteúdo - Confidencial Policy Action Block & Report
Policy Status Enabled
Threshold Não
Control Transfers to Clipboard Applications / Online Services Sim Web Browser, E-mail, Instant Messaging,
Cloud Services e Social Media Todos
Policy Content Custom Content Filter Dicionário - Conteúdo Confidencial Sim
Esta regra foi aplicada ao grupo Comercial.
Para a regra de bloqueio de envio ou upload de arquivos PDF, a regra foi configurada como na tabela 5.
Tabela 5. Configuração da regra “Arquivos PDF – Upload e E-mail”
Configuração Valor
Policy Name Arquivos PDF - Upload e E-mail Policy Action Block & Report
Policy Status Enabled
Threshold Não
Control Transfers to Controlled Storage Device Types, ScanNetwork Shares e Printers Applications / Online Services Sim
Web Browser, E-mail, Instant Messaging,
Cloud Services e Social Media Todos Policy Content File Type Filter
Office Files PDF
Esta regra foi aplicada ao grupo Comercial.
Para configurar a regra para bloqueio de CNPJ, CPF e E-mail, foi configurada a regra a seguir:
Em "Content Aware Protection / Content Aware Regex Blacklists" foram configuradas três expressões regulares conforme a tabela 6.
Tabela 6. Configuração de Expressões Regulares
Regular Expression Name 1 CNPJ
Regular Expression Content 1 [0-9]{2}[\.]?[0-9]{3}[\.]?[0-9]{3}[\/]?[0-9]{4}[-]?[0-9]{2} Regular Expression Name 2 CPF
Regular Expression Content 2 [0-9]{3}[\.]?[0-9]{3}[\.]?[0-9]{3}[-]?[0-9]{2} Regular Expression Name 3 E-mail
Regular Expression Content 3 [-0-9a-zA-Z.+_]+@[-0-9a-zA-Z.+_]+\.[a-zA-Z]{2,4}
Em "Content Aware Protection / Content Aware Policies" foi criada a regra descrita na tabela 7.
Tabela 7. Configuração da regra “Bloqueio de Conteúdo – E-mail, CPF e CNPJ”
Configuração Valor
Policy Name Boqueio de conteúdo - E-mail, CPF e CNPJ Policy Action Block & Report
Policy Status Enabled
Threshold Não
Control Transfers to Controlled Storage Device Types, Clipboard Applications / Online Services Sim
Web Browser, E-mail, Instant Messaging,
Cloud Services e Social Media Todos
Policy Content Regular Expression Blacklist: CNPJ, CPF, E-mail
Esta regra foi aplicada aos grupos Administrativo e Desenvolvimento.
3.4. Demonstração dos resultados
Após a configuração ter sido realizada, foram efetuados testes para validação das regras. Para cada regra foram estabelecidos métodos de teste, descritos a seguir:
Bloqueio de Dispositivo de Mídia Removível: Utilizar um pendrive na máquina virtual;
Bloqueio de Número de Cartão de Crédito: Cópia do número para área de transferência, envio de documento contendo um número de cartão de crédito via e-mail;
Bloqueio de Print Screen: Capturar a tela da máquina virtualutilizando a tecla "Print Screen";
Bloqueio de Conteúdo Confidencial: Enviar um documento com o conteúdo confidencial por e-mail;
Arquivos PDF – Upload e E-mail: Efetuar upload do arquivo via ftp, envio de documento PDF via e-mail;
Bloqueio de conteúdo – E-mail, CPF e CNPJ: Enviar um documento com conteúdo bloqueado pela regra por e-mail.
Estão demonstrados na tabela 8, os resultados obtidos na validação das regras configuradas.
Tabela 8 – Demonstração de resultados do Estudo de Caso
Regras AdministrativoGrupo Grupo Comercial DesenvolvimentGrupo
o Grupo Diretoria Bloqueio de Dispositivo
de Mídia Removível Bloqueio de Número de
Bloqueio de Print Screen Bloqueio de conteúdo -Confidencial Arquivos PDF - Upload e E-mail Bloqueio de conteúdo -E-mail, CPF e CNPJ Legenda: - Bloqueado - Sem bloqueio
Todas as ações de bloqueio de conteúdo foram registrados nos relatórios da aplicação, em “Reports / Content Aware Report”. Em “Reports / Logs Report” foram visualizados os eventos de bloqueio de conteúdo e de dispositivos.
3.5. Conclusão
Neste trabalho foi evidenciado que a aplicação de uma solução DLP pode contribuir para prevenção do vazamento das informações em face às falhas técnicas e humanas, promovendo uma melhor gestão da segurança da informação.
No estudo de caso, evidenciou-se que a aplicação testada supriu as regras estabelecidas, permitindo ou não conforme definido, as tentativas de distribuição das informações.
Conclui-se que a DLP é um importante aliado para a manutenção da segurança da informação, desde que suas regras sejam bem definidas e implementadas.
O objetivo do trabalho foi cumprido, ficando evidenciada a importância e eficácia da DLP para uma organização, e pôde-se demonstrar os resultados da implantação dos conceitos DLP, atendendo às regras definidas no estudo de caso.
Como trabalho futuro, sugere-se a aplicação de um caso de uso utilizando a ação de uma aplicação de DLP no nível rede ou dados em repouso, exercendo ou não, o bloqueio de informações sensíveis trafegando para dentro ou para fora da organização.
4. Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação. Rio de Janeiro: 2006.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: 2005.
COELHO, Flávia Estélia Silva. ARAÚJO, Luiz Geraldo Segadas de. Gestão da Segurança da Informação - NBR 27001 e 27002 Rio de Janeiro: Escola Superior de Redes, RNP, 2014.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
SANS, Institute. Data Loss Prevention. 2008. Disponível em: <http://www.sans.org/reading_room/whitepapers/dlp/data-loss-prevention_32883>. Acessado em 23/03/2014.
PWC. Uma defesa ultrapassada: Principais resultados da Pesquisa Global de Segurança
da Informação - 2014. 2014. Disponível em
<https://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-negocios/pesq-seg-info-2014.pdf>. Acessado em 25/03/2015.
FATHIMA, Afrah. Making Data Breach Prevention a Matter of Policy in Corporate
Governance. 2013. Disponível em
<http://www.academia.edu/2562837/Making_Data_Breach_Prevention_a_Matter_of _Policy_in_Corporate_Governance>. Acessado em 25/03/2015.
ISACA Journal, Considerações essenciais para a proteção do vazamento de dados confidenciais através de ferramentas de prevenção de perda de dados. 2014. Disponível em <http://www.isaca.org/Journal/archives/2014/Volume-1/Pages/Key- Considerations-in-Protecting-Sensitive-Data-Leakage-Using-Data-Loss-Prevention-Tools-Portuguese.aspx>. Acessado em 29/03/2015.
KOSUTIC, Dejan. Classificação da Informação de acordo com a ISO 27001. 2014.
Disponível em
<http://advisera.com/27001academy/pt-br/blog/2014/05/14/classificacao-da-informacao-de-acordo-com-a-iso-27001/>. Acessado em 20/09/2015.
TRT - 4ª Região. Trabalhador deve indenizar rede de lojas por vazamento de
informações sigilosas. 2014. Disponível em
<http://www.trt4.jus.br/portal/portal/trt4/comunicacao/noticia/info/NoticiaWindow? cod=862313&action=2>. Acessado em 04/04/2015.
EXAME. Ex-funcionário da Microsoft é preso por vazar informações. 2014. Disponível em <http://exame.abril.com.br/tecnologia/noticias/ex-funcionario-da-microsoft-e-preso-por-vazar-informacoes>. Acessado em 05/04/2015.
COSOSYS. My Endpoint Protector - User Manual. 2014. Disponível em https://my2.endpointprotector.com/docs/UserManual.pdf. Acessado em 10/09/2015.
