ИТ-портал компании «Инфосистемы Джет»

DLP в деле безопасности бизнеса

DLP в деле безопасности бизнеса

О DLP-системе как инструменте экономической безопасности

DLP на службе экономической безопасности

Еще совсем недавно решения класса DLP (Data Leak Prevention) использовались в точном соответствии с их названием – для предотвращения утечки данных. Современная практика использования DLP-систем показывает, что они являются инструментом не столько предотвращения утечек конфиденциальной информации, сколько контроля корпоративных коммуникаций. Выявление лиц, потенциально способных «слить» закрытую информацию внешним контрагентам, обнаружение фактов подозрительных переговоров (ведущихся «не по рангу», чересчур интенсивно и т. п.) – это те функции, которые реально могут выполнять и все чаще выполняют системы DLP. Если эту информацию правильно использовать, то получается инструмент скорее экономической, нежели информационной безопасности.

Примеры применения DLP в качестве инструмента экономической безопасности в нашей стране уже есть. Алгоритм обычно таков: служба экономической безопасности подает запрос в службу информационной безопасности, чтобы та подняла архивную переписку определенных сотрудников – по конкретной теме, с конкретными контрагентами и пр. Полученная подборка анализируется вручную. Этот процесс может занимать довольно много времени и не гарантирует своевременности реакции на подозрительную коммуникацию.

Для ускорения процесса его можно автоматизировать. Нужна интеграция систем DLP с другими автоматизированными системами, которые используются службами безопасности, –это дает более ощутимый результат.

SOC и DLP

Интеграция DLP с системами класса SIEM – уже устоявшаяся практика. Это дает возможность контролировать события в сети в режиме реального времени, видеть корреляции между разными типами событий и выявлять уязвимые точки. Поскольку SIEM-система содержит архив записей о событиях (логов), совместная работа DLP и SIEM позволит при необходимости восстановить историю событий, что бывает необходимо, например, в случае служебного расследования.

Набирает популярность интеграция DLP с аналитическими (BI) системами, в частности, системами, которые все чаще называют Security Intelligence или Security BI. Эти относительно недавно появившиеся аналитические системы адаптированы конкретно под задачи безопасности. В отличие от SIEM-систем, которые работают только с логами, системы Security Intelligence работают с любыми видами информации, они не ориентированы на выдачу алертов в режиме реального времени, но позволяют выявлять тенденции и строить прогнозы.

DLP для задач HR

Получая информацию от DLP, система Security Intelligence позволяет, например, делать выводы о настроениях в коллективе. Предположим, руководство компании задумало провести организационные изменения. Мониторинг коммуникаций сотрудников в сочетании с аналитическими функциями даст возможность выяснить отношение разных групп сотрудников к грядущим изменениям, увидеть каналы и источники распространения «негатива» (или, наоборот, «позитива») в коллективе. Результаты анализа позволят, например, определить, с кем из сотрудников стоит провести индивидуальную работу, какие можно предложить компенсационные меры и т. д. Лояльность сотрудников – один из важнейших факторов экономической безопасности, поэтому пренебрегать информацией о настроениях в коллективе не стоит.

DLP и контроль контрагентов

Перспективное направление – интеграция DLP с автоматизированными системами проверки и контроля контрагентов. Реализованных проектов в этой области пока нет, но многие компании рассматривают такую возможность. Автоматизированные системы проверки контрагентов используются крупными организациями, работающими с большим количеством поставщиков и подрядчиков. Привлекая и анализируя данные из реестра юридических лиц, учредительных документов, различную коммерчески доступную информацию о компаниях, такая система позволяет сделать выводы о надежности подрядчика, его законопослушности, компетенциях и пр.

Что может привнести в проверку контрагентов система DLP? Рассмотрим пример из жизни.

Строительная компания закупила противоморозную присадку для бетона у поставщика, победившего в тендере. После возведения нескольких этажей здания выяснилось, что качество бетона не соответствует стандартам, хотя все документы на продукцию были в порядке. На каком этапе и каким образом произошел обман? Что было упущено? Строительная компания смогла это выяснить задним числом, проанализировав учредительные документы поставщика – владелец бизнеса оказался родственником топ-менеджера строительной компании, он заранее знал о тендере и успел «подготовиться».

Понятно, что факт родственных связей автоматизированная система далеко не всегда может установить – доступных реестров с такой информацией нет. Однако если бы система проверки контрагентов была интегрирована с системой DLP, компания смогла бы, как минимум, зафиксировать факт коммуникаций топ-менеджера с одним из потенциальных участников тендера и поинтересоваться их содержанием. Напомним, что DLP-система может контролировать не только почтовую переписку, но и мессенджеры, активность в соцсетях и даже некоторые виды голосовых коммуникаций – все каналы обмена информацией, какими сотрудник пользуется с корпоративного терминала. Интенсивность коммуникаций, период их ведения, статус и полномочия участников коммуникаций – автоматизированное сопоставление этих факторов позволит службе экономической безопасности своевременно обнаруживать ситуации, потенциально способные нанести компании вред.

DLP против «левых» доходов

Более сложные сценарии анализа можно задавать при подключении к комплексу HR-системы. В этом случае можно задать круг сотрудников, чьи коммуникации с контрагентами подлежат контролю в том или ином случае – исходя из должности, круга обязанностей, занятости в конкретном проекте и т. д. На конференции, посвященной корпоративной безопасности, руководитель службы экономической безопасности одной из компаний-участниц рассказал, как он проверяет менеджеров на предмет получения «нечестных доходов» – он следит за их тратами. Делается это от случая к случаю, да и пока менеджер среднего звена не приедет на работу на новеньком «порше», факт открытия офшора «сватом или братом» отследить сложновато. Хорошим подспорьем в такой работе может быть анализ коммуникаций людей, находящихся на определенных должностях (эти данные извлекаются из HR-системы) с потенциальными или уже состоявшимися контрагентами.

Резюме: DLP в новом качестве

Противодействие утечкам – не единственная функция DLP и даже не всегда основная: сегодня при использовании этих систем функция Data Leak Prevention зачастую отходит на второй план. Система DLP все чаще рассматривается как инструмент работы не столько с информацией, сколько с людьми. Для этого эффективно ее использовать с связке не только с SIEM (это уже классика жанра), но и Security BI, системами проверки контрагентов, HR-системами, а в дальнейшем и с антифрод-системами. Можно ожидать, что это даст DLP-решениям «второе дыхание» и позволит обеспечивать безопасность бизнеса на уровне, до сей поры недостижимом.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su