Data Loss|Leak Prevention - DLP
Data Loss/Leak Prevention (Prevenção de Perda ou Vazamento de Dados) é uma estratégia de segurança voltada para evitar que dados sensíveis saiam do ambiente corporativo de forma não autorizada. O objetivo principal é proteger informações confidenciais — como dados pessoais, financeiros, propriedade intelectual — contra vazamentos acidentais ou maliciosos.
Na prática, o DLP existe para proteger a empresa não só de atacantes externos, mas também do risco interno: os próprios funcionários. Vazamentos podem acontecer de forma não intencional (erro humano), mas, na realidade, muitas exposições são intencionais — especialmente quando colaboradores saem da empresa e tentam levar consigo informações privilegiadas como vantagem competitiva para o mercado ou concorrentes.
Entre os dados mais visados estão:
- Dados de fornecedores
- Dados de clientes
- Contratos
- Código-fonte
- Estratégias de mercado
- Informações financeiras
Muitas soluções de segurança (antivírus, firewalls) protegem o tráfego "de fora para dentro". Já o DLP atua de dentro para fora, monitorando, bloqueando ou alertando sobre tentativas de movimentação de dados que violem as políticas de segurança da empresa.
O DLP atua exatamente nesse ponto: monitorando, bloqueando ou alertando sobre tentativas de movimentação de dados que desrespeitam as políticas da empresa
Como os dados podem vazar?
- Impressão de documentos
- Envio para e-mails pessoais
- Upload em clouds pessoais
- Compartilhamento da cloud corporativa com terceiros
- Upload para sites como WeTransfer
- Envio via apps de mensagem (WhatsApp, Telegram)
- Transferência via Bluetooth
- Cópia para outras pastas de rede
- Gravação em pendrives ou HDs externos
- Printscreen da tela
E claro... o DLP não faz milagre: nada impede o colaborador de tirar foto da tela ou anotar dados manualmente. Criatividade de insider sempre existirá.
Onde o DLP atua?
Na grande maioria dos casos a empresa fornece o equipamento para o colaborador trabalhar e um agente do DLP já virá configuradopela equipe de suporte técnico, mas de alguma maneira ele precisa ser instalado. A configuração central define:
- Quais dados são considerados sensíveis
- O que bloquear
- Quem bloquear
- Quando alertar
O agente no endpoint analisa o conteúdo dos arquivos localmente, aplica as regras e envia alertas ou logs para a central (backend).
TIPOS de DLP
DLP de Endpoint (Agent local) controla
É o básico e necessário, aquele que tem o maior perímetro de proteção. Controla a origem real dos dados: o dispositivo do usuário.
Antes de o arquivo sair para a internet, e-mail, cloud, USB, etc., ele passa pelo agent no endpoint, independentemente de onde o usuário esteja.
Hoje, está sendo aplicado muito Machine Learning nesse tipo de DLP para expandir as regras e analisar o comportamento do usuário.
Claro que não é perfeito, pois a criatividade dos insiders sempre evolui e se torna mais eficaz.
O cenário de BYOD (Bring Your Own Device) complica, já que não dá para forçar o agent no celular pessoal do colaborador. Por isso, outros tipos de DLP podem ajudar a complementar o perímetro de análise.
DLP de Rede (Gateway/Firewall/Proxy)
O DLP de rede isolado, hoje, é limitado e considerado meio "ultrapassado". Ele não vê o tráfego direto do usuário para a internet se esse tráfego não passar pela rede corporativa. Ainda assim, não chega a ser inútil, servindo mais como complemento.
-
Tráfego criptografado (TLS/SSL): mais de 90% do tráfego web hoje é HTTPS. Se o DLP não tiver uma inspeção SSL/TLS bem configurada (e ninguém gosta de quebrar SSL porque dá dor de cabeça), ele não vê nada.
-
Usuários em Home Office / 5G / VPN split tunnel: o DLP de rede não vê o tráfego direto do usuário para a internet se ele não passar pela rede corporativa. A cultura Cloud-first e o trabalho remoto acabaram com o perímetro tradicional.
-
Aplicações Cloud SaaS (ex: Google Drive, OneDrive): muitas vezes, o DLP de rede não entende a API dessas apps — por isso nasceu o DLP de Cloud.
Vazamento físico ou alternativo: pendrive, celular, foto da tela... a rede não vê.
DLP Cloud (CASB / SaaS)
O mundo virou SaaS & Cloud-first (Google Drive, OneDrive, Slack, Teams, Salesforce, M365...) e tudo isso acontece fora da rede corporativa. O DLP de rede não vê nada lá.
Trabalho remoto é a regra, não exceção. O usuário em casa, no café, no 5G, usa diretamente os serviços SaaS sem nunca passar pelo firewall corporativo. Só o CASB (Cloud Access Security Broker) consegue ver e controlar esses acessos. O CASB atua onde o DLP de rede não alcança:
- Bloqueia download/upload sensível em SaaS.
- Impede compartilhamento externo de arquivos no Google Drive, por exemplo.
- Faz discovery de apps Shadow IT (coisas que o usuário usa sem autorização).
- Permite aplicar política por identidade do usuário (não pelo IP da rede).
As Big Techs estão investindo pesado nisso:
- Microsoft Purview DLP + Defender for Cloud Apps (ex-CASB);
- Netskope;
- Zscaler;
- McAfee/Trellix MVISION Cloud;
- Palo Alto Prisma Cloud.
Apps SaaS não suportados ficam fora do radar e, mesmo assim, se o usuário baixar o arquivo para a máquina pessoal... já era.
DLP no E-mail
O e-mail continua sendo um dos maiores vetores de vazamento.
- Gente mandando planilha de cliente sem querer pra fora;
- Copiando documento sensível pra um parceiro sem permissão;
- Usando Gmail pessoal pra "adiantar trabalho em casa".
Integra bem com M365 e Google Workspace. Microsoft Purview e Google DLP nativo já fazem:
- Bloquear envio de dado sensível (ex: CPF, RG, cartão, dados médicos);
- Criptografar ou colocar watermark automático;
- Alertar quando alguém manda informações restritas para fora da organização;
- Forçar aprovação de um superior antes do envio.
É invisível para o usuário final. Não depende de agent. Não impacta o endpoint. Todo o fluxo é controlado no servidor de e-mail.
É superimportante para compliance com LGPD/GDPR e facilita a prova de que a empresa tentou impedir vazamento de dados pessoais sensíveis.
É muito limitado ao e-mail, mas hoje boas soluções de DLP no endpoint monitoram também outros meios físicos e mensagens fora do envio de e-mail. Por exemplo, uma pessoa enviando dados via mensagem instantânea, esse DLP de e-mail não consegue enxergar.
DLP com Machine Learning (os “Next-Gen”)
O que promete ser "a nova era" do DLP.
- Detecta comportamento estranho de usuários (User Behavior Analytics).
- Aprende padrões: “Por que o João nunca mandou 500 arquivos antes?” ou “Agora ele passou a acessar esses arquivos fora do seu perímetro?”;
- Detecta dados disfarçados (ex: base64, compressão).
ML gera falso positivo se não for bem treinado.
Não evita 100% de vazamentos criativos (foto da tela, gravação por celular...). Não substitui um DLP de endpoint com regras fixas, mas serve como um complemento.
| DLP Endpoint (Clássico) | DLP com ML (Next-Gen) | |
|---|---|---|
| Controle direto do usuário | Sim | Não |
| Prevenção de regra explícita (ex: bloquear USB) | Forte | Fraco (não é o foco) |
| Detectar comportamento estranho | Não faz | Faz (ex: pico de atividade) |
| Detectar bypass criativo (ex: base64 picotado) | Difícil | Possível |
| Precisa de regra manual detalhada | Sim | Aprendizagem automática |
| Risco de falso positivo | Alto (se mal configurado) | Médio (ML tenta reduzir) |
| Resposta proativa a insiders | Fraco | Forte (se bem treinado) |
O ML roda no endpoint (para reação local) e no backend (para inteligência global). A combinação dos dois torna o DLP Next-Gen.
Soluções
Muitas existem, mas aqui vai uma lista do que temos no mercado. A escolha depende do tamanho da empresa.
| Produto / Vendor | Categoria | Destaques |
|---|---|---|
| Cyberhaven | Endpoint + Cloud | Detecção em tempo real de eventos; visibilidade de browser/cloud |
| Forcepoint DLP | Endpoint + Rede + Cloud | UEBA forte, engine de análise poderosa |
| Symantec (Broadcom) DLP | Endpoint + Rede + Cloud | Solução madura, ideal para grandes corporações |
| Trellix DLP (ex-McAfee) | Endpoint + Rede + Cloud | Fingerprinting, integração ePO |
| Proofpoint Enterprise DLP | Endpoint + Cloud + Email | Foco em email/canal múltiplo SaaS |
| Digital Guardian by Fortra | Endpoint-centric | Monitoramento profundo de IP e insider |
| Safetica | Endpoint + Insider Risk | Classificação, alerta em tempo real |
| Endpoint Protector (CoSoSys/Netwrix) | Endpoint | Controle USB, cross‑OS |
| Microsoft Purview DLP + Defender | Endpoint + Cloud + Email | Excelente custo-benefício em ambiente MS |
| Netskope DLP (CASB) | Cloud/SaaS | Líder em CASB e visibilidade SaaS |
| Zscaler DLP (CASB) | Cloud/SaaS | Proteção no edge e proxy |
| Code42 Incydr | Endpoint + Insider Risk | Rastreamento de arquivos em SaaS |
| Nightfall AI | Cloud-native DLP com AI | Classificação automática e lineage |
| Palo Alto Prisma Cloud / Enterprise DLP | Cloud + Rede | Proteção multi-cloud |
| Check Point DLP | Rede + CASB | Inspeção TLS/SSL via gateway |
| Trend Micro IDLP / Cloud App Security | Cloud + Endpoint | Integração com M365, G Suite, Box |
| Sophos DLP | Endpoint | Parte da suíte de segurança completa |
| Fidelis | Rede + Endpoint | Parte de plataforma XDR |
| Varonis | File-system DLP | Auditoria de acesso e logs |
| NinjaOne | Endpoint (Admin) | Solução IT com visibilidade de endpoint |
| iboss | Rede e Web DLP | Foco em web security |
| Lookout | Mobile/cloud DLP | Proteção para dispositivos móveis |
Privacidade
A implementação de soluções de Prevenção contra Perda de Dados (DLP), especialmente em endpoints (computadores dos funcionários), é uma ferramenta poderosa para o monitoramento de informações corporativas em tempo real. No entanto, por analisar o conteúdo dos dados, essa tecnologia frequentemente gera preocupações sobre a privacidade dos colaboradores.
É natural que as empresas temam possíveis ações judiciais por invasão de privacidade, mas é fundamental analisar os fatos. Na grande maioria dos casos, o funcionário utiliza um ativo (como um notebook ou celular) que pertence à empresa, e pressupõe-se que seu uso seja destinado a atividades profissionais.
Além disso, as empresas estão sujeitas a rigorosos processos de auditoria e a leis como a Lei Geral de Proteção de Dados (LGPD). Essa legislação obriga a organização a ter um controle estrito sobre o fluxo de dados, sendo sua responsabilidade saber se uma informação vazou e para onde. O DLP é uma das principais ferramentas para garantir essa conformidade.
É crucial esclarecer que o objetivo de um sistema DLP não é monitorar conversas pessoais, mas sim identificar e proteger dados classificados como confidenciais pela empresa, como propriedade intelectual, dados de clientes ou informações financeiras.
Para mitigar riscos e fortalecer a transparência, muitos clientes optam por formalizar essa prática em um contrato de confidencialidade ou em políticas de uso. Informar e obter o consentimento do funcionário, embora possa não ser estritamente exigido por lei em todos os cenários, é uma excelente prática que alinha as expectativas e previne futuros litígios.
Produtividade
Tradicionalmente, DLP não foi feito pra medir produtividade, mas muitos DLPs modernos (principalmente de Endpoint) já entregam visibilidade de comportamento, que pode SIM ser usado pra monitorar:
- Aplicações usadas (ex: tempo gasto no Chrome, Excel, Teams)
- Relatórios de acesso a sites "não corporativos" (YouTube, Facebook, etc)
- Alerta se o usuário usa cloud storage pessoal (ex: Google Drive pessoal)
- Detecção de uso de apps não autorizados (Shadow IT)
- Tempo ocioso ou atividades estranhas (ex: 2h no Spotify web)