Data Loss Prevention e Conformidade com a LGPD

Data Loss Prevention e Conformidade com a LGPD, NIST 800-171, GDPR e HIPAA e padrões como PCI-DSS.

Em um mundo cada vez mais conectado onde a privacidade tem sido discutida em diversos níveis. Já publicamos artigos aqui no blog sobre as difuldades de proteção e privacidade, visto as constantes notícias de vazamentos de ados.

No artigo “A Privacidade está Morta ? Quem não teve dados violados que atire a primeira pedra.” discutimos que as pessoas valorizam sua privacidade e o controle da coleta de informações sobre eles, mas ainda assim, parece que muito pouco controle, ou nenhum, é possível e demonstramos a partir de relatos de diversas violações de dados o quanto isto é discutível.  

Em “Proteger a privacidade é um jogo perdido hoje, como mudar o jogo?” falamos sobre as discussões de ataques governamentais e privados que levaram a violações de dados fizeram muitos legisladores e líderes empresariais no mundo todo a dizerem que chegou a hora de uma ampla legislação federal de privacidade. 

Hoje trazemos aqui um pouco mais deste assunto baseado no NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations, que foi publicado pela primeira vez em junho de 2015 e se concentra em informações compartilhadas por agências federais com entidades não federais e pode ser aplicado como guia e referência para proteção de dados confidenciais, incluindo dados pessoais definidos pela LGPD.

O NIST 800-171 sofreu pequenas revisões em fevereiro de 2020 após o lançamento da Certificação do Modelo de Maturidade de Segurança Cibernética (CMMC).

O que é NIST 800-171?

As Controlled unclassified information (CUI) – informações não classificadas controladas – abrangem informações como dados relacionados a impostos, informações confidenciais de inteligência e propriedade intelectual. Emitido pelo Instituto Nacional de Padrões e Tecnologia (NIST), a publicação funciona como um guia para os órgãos federais garantirem que as Informações Não Classificadas Controladas (CUI) sejam protegidas quando processadas, armazenadas e usadas em sistemas de informação não federais. O governo federal muitas vezes compartilha esse tipo de dados com instituições e organizações que realizam o trabalho de agências federais.

A Ordem Executiva 13.556, emitida pela Casa Branca em 2010, deu ao CUI, que anteriormente tinha várias interpretações, uma definição única para todos os órgãos federais. Foi criado pelo Arquivo Nacional e reunido no Registro de Informações Não Classificadas Controladas. O CUI geralmente pode ser descrito como informação que não está na categoria classificada. O termo surgiu da necessidade de as agências federais abordarem a grande quantidade de informações não classificadas processadas por fornecedores e prestadores de serviços, conforme exigido pela Lei Federal de Modernização da Segurança da Informação (Federal Information Security Modernization Act – FISMA).

Os 109 controles estabelecidos no NIST 800-171 são adaptados na Publicação Especial NIST 800-53, Security and Privacy Controls for Federal Information Systems and Organizations (Controles de Segurança e Privacidade para Sistemas e Organizações Federais de Informação), e visam proteger CUI em sistemas de informação não federais contra divulgação não autorizada. Eles são separados em 14 famílias de requisitos de segurança, desde controle de acesso e avaliação de risco até segurança de pessoal e proteção de sistemas e comunicações.

A quem o NIST 800-171 se aplica?

A partir de 31 de dezembro de 2017, as entidades não federais devem fornecer documentação e evidências ao governo federal sobre como estão protegendo o CUI. Em muitos casos, outras leis ou regulamentos federais, como o FISMA, podem abordar como os dados devem ser protegidos. Nos casos em que nenhuma lei específica aborda como o CUI recebido do governo federal deve ser protegido, o NIST 800-171 será aplicado.

Com a introdução do CMMC, em janeiro de 2020, todas as empresas que fazem negócios na cadeia de suprimentos da Base Industrial de Defesa (Defense Industrial Base – DIB) não podem mais se autocertificar sob o NIST 800-171, mas precisam se submeter a uma conformidade CMMC por avaliação de terceiros. No entanto, embora a conformidade com o CMMC cubra todos os controles NIST 800-171 CUI, ela não inclui os 63 controles de organizações não federais (NFO) também incluídos no NIST 800-171, o que significa que as empresas precisarão abordá-los separadamente.

Como o DLP pode ajudar?

As soluções Data Loss Prevention (DLP) podem ajudar as empresas com vários requisitos de conformidade NIST 800-171 e legislações com a LGPD. Elas permitem que as empresas definam o que os dados confidenciais significam para elas no contexto de seus negócios. Eles também oferecem perfis predefinidos para tipos de dados, como informações de identificação pessoal (PII) e propriedade intelectual, mas também para conformidade com legislação como LGPD, GDPR e HIPAA e padrões como PCI-DSS e NIST 800-171.

Usando poderosas ferramentas de verificação contextual e inspeção de conteúdo, as soluções DLP identificam dados confidenciais em centenas de tipos de arquivos e aplicam políticas de segurança que monitoram e controlam seu uso e transferência. Dessa forma, as empresas podem evitar violações de dados decorrentes de ameaças internas, como funcionários mal-intencionados ou negligentes.

Os recursos de controle de segurança do dispositivo DLP também permitem que os administradores bloqueiem, controlem e monitorem dispositivos removíveis conectados a computadores via USB e portas periféricas, bem como conexões Bluetooth. Eles podem implementar políticas fortes de uso de dispositivos que verificarão as transferências de dados para dispositivos de armazenamento portáteis ou bloquearão seu uso para proteger informações confidenciais contra vazamento de dados.

Algumas soluções DLP, como o Endpoint Protector, também oferecem recursos de criptografia USB obrigatórios que garantem que todos os dados transferidos para USBs sejam criptografados automaticamente e não possam ser acessados ​​em caso de perda ou roubo de um dispositivo. Dessa forma, os usuários podem transferir dados confidenciais com segurança e acessá-los apenas em computadores autorizados por meio de uma senha segura. Os administradores também podem enviar mensagens remotamente aos usuários e alterar as senhas caso sejam esquecidas ou extraviadas.

Também é possível verificar dados confidenciais em repouso, armazenados nos computadores dos funcionários, com base em tipos de arquivo específicos, conteúdo predefinido, nome de arquivo, expressões regulares ou perfis de conformidade, como NIST 800-171. Com base nos resultados da verificação, ações de correção, como criptografar ou excluir dados remotamente, para evitar violações de conformidade.

A segurança de dados não é uma preocupação nova no mundo digital, mas com novas regulamentações em todo o mundo, fica claro que o que antes era uma escolha cautelosa agora é obrigatório. Soluções como DLP, antivírus e classificação de dados tornaram-se ferramentas essenciais para empresas que buscam atualizar suas estratégias de proteção de dados e alinhá-las às novas leis e padrões.

FALE COM A MINDSEC E SAIBA MAIS SOBRE O USO DA SOLUÇÃO DE DLP

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Endpoint Protector by CoSoSys Ranked #1 | Minuto da Segurança da Informação
  2. Existe uma desconexão entre os líderes empresariais e as equipes de segurança? | Minuto da Segurança da Informação

Deixe sua opinião!