Se você participou de uma conferência ou leu um artigo sobre práticas recomendadas de DLP, provavelmente está familiarizado com a metáfora “não tente abraçar o mundo de uma vez só”.

Isso significa que você não pode executar um programa de DLP completo de uma só vez. Essa não é uma prática recomendada, porque não ajuda você a descobrir o que fazer e quando fazer. Em alguns aspectos, “não abraçar o mundo” soa mais como uma advertência do que uma prática recomendada.

Infelizmente, muitas práticas recomendadas publicadas nem sempre são práticas. A falta de recursos, financeiros ou não, e outras questões organizacionais muitas vezes deixam as melhores práticas de lado e, portanto, são efetivamente inúteis. Há muito mais valor nas posições que levam em consideração o custo, os benefícios e o esforço de segui-las e podem ser medidas para determinar se você e sua organização podem e devem adotá-las.

Para que os seus controles de DLP sejam mensuráveis e práticos no gerenciamento e mitigação dos riscos de perda de dados, é necessário conhecer e entender duas informações importantes:

1. Para ser mensurável, é preciso conhecer e aplicar a fórmula de risco para perda de dados. Embora semelhante a outros modelos de risco, a fórmula de risco para perda de dados tem uma diferença substancial, que explicaremos abaixo.

2. Para ser prático, é necessário entender onde é mais provável que você tenha uma violação de dados de alto impacto e use a regra 80/20 para focar sua atenção e seus recursos.

A fórmula de risco para perda de dados

A fórmula básica de risco com a qual a maioria de nós está familiarizada é:

Risco = Impacto x Probabilidade

O desafio da maioria dos modelos de risco é determinar a possibilidade ou probabilidade de que uma ameaça aconteça. Essa probabilidade é crucial para determinar se é preciso investir recursos em uma solução de prevenção contra ameaças ou se deve evitar esse investimento e aceitar o risco.

A diferença entre esta fórmula e a fórmula de risco para perda de dados é não ter que lidar com o desconhecido. Essa última reconhece o fato de que a perda de dados é inevitável e geralmente não intencional. Mais importante ainda, a fórmula de risco permite que o risco seja medido e reduzido a um nível em que sua organização fique confortável.

Portanto, a métrica usada para rastrear a redução no risco de dados e o ROI dos controles de DLP é a taxa de ocorrência (TO).

Risco = Impacto x Taxa de Ocorrência (TO)

A TO indica com que frequência, durante um determinado período de tempo, os dados estão sendo usados ou transmitidos de uma maneira que os coloca em risco de serem perdidos, roubados ou comprometidos. A TO é medida antes e depois da execução dos controles de DLP para demonstrar quanto do risco foi reduzido.

Por exemplo, se você começar com uma TO de 100 incidentes em um período de duas semanas e for capaz de reduzir esse valor para 50 incidentes em um período de duas semanas após a implementação dos controles de DLP, você reduziu a probabilidade de um incidente de perda (violação de dados) em 50%.

Uma consideração importante é que, se uma das soluções de DLP que você está comparando tiver uma tecnologia adaptativa ao risco, é provável que ela mostre uma TO menor. Isso ocorre porque a DLP adaptativa ao risco é muito mais precisa na identificação de interações arriscadas de usuários com os dados, produzindo, portanto, menos falsos positivos e uma TO menor. Isso apresenta uma vantagem sobre as soluções tradicionais de DLP. No entanto, isso também torna a identificação da redução de risco um pouco mais complicada.

Para ajustar isso, recomenda-se que cada incidente produzido pela tecnologia não adaptativa ao risco seja revisado e verificado que não é um falso positivo. Considere que, apenas porque os dados identificados correspondem à regra de DLP criada, isso não significa necessariamente que os dados sejam uma violação da política.

A intenção e o contexto em torno do incidente de perda de dados também devem ser investigados, para garantir que o incidente seja, de fato, um verdadeiro positivo.

A regra 80/20 do DLP

O famoso Princípio de Pareto, conhecido por todos, também se aplica à proteção de dados. Além de identificar a Taxa de Ocorrência, é importante descobrir onde sua organização provavelmente terá uma violação de dados de alto impacto. Para fazer isso, você precisa estudar as últimas tendências de violação e, em seguida, usar a regra 80/20 para determinar onde iniciar seus esforços de DLP. Um estudo recente tornou essa informação disponível rapidamente.

De acordo com um estudo de 2018 do Ponemon Institute, 77% das violações de dados ocorrem por funcionários internos, na forma de exposição acidental e credenciais de usuário comprometidas.

Para realmente ter um programa eficaz de proteção contra perda de dados, você precisa se sentir confiante em relação à sua capacidade de detectar e responder à movimentação de dados por meio da Web, e-mail, nuvem e mídia removível.

É aqui que uma solução de DLP adaptável ao risco pode fornecer uma vantagem. As soluções tradicionais de DLP geralmente se esforçam para identificar itens como processos de negócios mal desenhados ou atividades irregulares, que podem levar a uma perda significativa de dados. A DLP adaptativa ao risco compreende o comportamento de usuários individuais e compara-os a seus grupos de pares, para reforçar de forma rápida e autônoma os controles de DLP quando a atividade não está alinhada com a função de trabalho do usuário final. Essa abordagem proativa pode reduzir o risco de perda e exposição acidental de dados.

Uma vez que sua equipe de segurança entenda e aplique a fórmula de risco para perda de dados, ela pode colaborar com os proprietários dos dados para identificar e priorizar os ativos de dados. Além disso, toda atividade de mitigação de risco deve ser projetada com o único propósito de reduzir a taxa de ocorrência (TO) de perda de dados. A TO é a medida adequada para rastrear a redução de riscos e mostrar o ROI dos controles de DLP.

Lembre-se: dedique especial atenção ao comparar as soluções de DLP tradicionais com um DLP com tecnologia adaptativa ao risco, para garantir que você não esteja comparando os falsos positivos com os positivos reais.