Подписаться
Читать в телеграм
Однако на практике компании очень часто сталкиваются с серьезными трудностями при эксплуатации таких систем. Связано это в первую очередь с тем, что их эффективная работа возможна только при постоянной поддержке и выстроенном бизнес-процессе защиты от внутренних угроз. В связи с этим на рынке стали появляться предложения сервисов по решению всех проблем с эксплуатацией DLP. Называются подобные сервисы по-разному: DLP по схеме MSSP, DLP как сервис, аутсорсинг DLP, расширенная техническая поддержка DLP и т.д. Общая суть подобных предложений сводится к одному: штат удаленных квалифицированных специалистов будет эффективно поддерживать вашу DLP в постоянном боевом режиме. Звучит неплохо.
Однако, когда речь заходит о передаче «на сторону» любых данных, относящихся к внутренней, конфиденциальной информации, у заказчиков возникает много обоснованных, а отчасти даже философских вопросов. Например:
- К DLP получают доступ эксперты подрядной организации. Не станет ли утечкой сам по себе доступ посторонних специалистов к DLP?
- Специалисты заказчика могут даже не знать в лицо тех, кто аутсорсит их DLP-систему. Свой ли среди чужих?
- Возникает вопрос контроля действий сторонних специалистов при работе с системой. Кто сторожит сторожей?
Опасения обоснованны? Вполне. Но так ли неразрешимы эти вопросы? Могут ли они стать непреодолимым препятствием для перехода на сервисную модель работы с DLP? Разберем по пунктам, что же нужно для эффективной работы DLP, и попытаемся ответить на заданные вопросы.
Одно из главных заблуждений при внедрении DLP-системы: она сама по себе обеспечивает безопасность от внутренних угроз. DLP — хорошее, но всего лишь техническое средство, для эффективной работы которого необходимо выстраивать комплексный бизнес-процесс по защите от утечек информации.
Аутсорсинг
За сервисами — будущее. Такой маркетинговый лозунг можно услышать часто. Заканчивается эпоха «боксмувинга», и все интеграторы превратятся в сервис-провайдеров. Откуда пошли такие разговоры?
На самом деле тенденция подписочной модели и сервисов является закономерным шагом в развитии рынка ИТ. В конце прошлого века «сисадмином» или «программистом» называли любого, кто умел «починять принтер» и устанавливать «виндовс», так как использование высоких технологий часто сводилось к замене печатной машинки. На сегодняшний день огромное количество ИТ-решений для различных бизнес-задач породило целые новые отрасли в сфере технологий. Содержание многочисленного штата узконаправленных специалистов, покупка собственных громоздких вычислительных комплексов, а также необходимость периодического обращения к производителю влекут за собой не только финансово затратные внедрения, но и высокую последующую стоимость владения серьезными информационными системами.
Как следствие, на рынке стала зарождаться идея сервисного подхода. Сервисы не только помогают сэкономить. Порой они дают конечному клиенту значительно более широкие возможности по сравнению с использованием локальных ресурсов. Например, сервис аренды вычислительных мощностей в облаке позволяет в любой момент расширить вычислительную платформу в соответствии с возросшей нагрузкой. Или, например, сервис Threat Intelligence может моментально предоставить доступ к мощнейшей аналитике ведущих экспертов по защите от внутренних угроз.
Из вышесказанного можно сделать вывод: сервисы развиваются и будут развиваться.
Люди
Квалифицированных специалистов на рынке труда днем с огнем не найти. Профессионалов, способных выполнять ключевые задачи для бизнеса, необходимо либо переманивать более выгодными условиями, либо «выращивать» внутри организации. И тот и другой варианты не всегда приносят желаемый результат: предложение выгодных финансовых условий эксперту может в итоге не окупиться, а обученный в стенах компании специалист вполне может начать искать более интересную работу до того, как вложенные в его обучение средства принесут отдачу.
Эксперты по информационной безопасности редко выходят на рынок труда. Специалисты по DLP трудятся в основном в компаниях-интеграторах и производителях DLP-систем. Предложить что-то такому человеку сложно, а самостоятельное «выращивание» специалиста чревато перспективой его ухода к конкуренту на позицию с более интересными финансовыми условиями.
Данный вопрос решается проще, если за системой контроля утечек на аутсорсинге следит команда специалистов по DLP. Не нужно беспокоиться о текучести кадров, заниматься обучением сотрудников, обеспечивать конкурентную заработную плату, выплачивать социальные пособия… При этом важно, чтобы специалисты компании, предоставляющей услуги аутсорсинга, имели достаточно обширную и разностороннюю экспертизу в защите от внутренних угроз, которая не ограничивается одним сектором бизнеса.
Кроме того, специалисты аутсорсера не предвзяты. Между человеком на стороне и вашим сотрудником, «сливающим» важную информацию, не существует никаких личных связей, которые вполне могут стать препятствием при формировании инцидента.
Задачи
В компаниях не всегда учитывают особенности DLP-системы, а именно то, что для эффективной работы она требует постоянного внимания и тюнинга. Необходимо всегда держать информацию о пользователях и активах в актуальном состоянии, создавать и менять политики в соответствии с течением бизнес-процессов и изменениями в них, а порой и вовсе вести настоящие расследования. DLP не коммутатор, это решение не из разряда «поставил и забыл». Система может справляться с поставленными задачами только при их четком формулировании и постоянном внимании к ней.
И здесь кроется еще один аргумент в пользу аутсорсинга — гарантированное качество услуг, или SLA. Например, в SLA могут быть включены пункты как по обеспечению технической работоспособности системы, так и по администрированию политик, мониторингу событий, доработке функционала и т.п. Кроме того, возможны варианты по выбору временных интервалов предоставления услуг. Вы можете заказать услугу по отслеживанию вашей DLP-системы в режиме 24/7. Сложно будет добиться чего-то подобного без использования сервиса. Комплекс услуг можно подобрать для выполнения любой задачи, решаемой в рамках DLP, и получить гарантию того, что система будет работать в соответствии с заявленными возможностями.
Таким образом, сервис решает кадровый вопрос и помогает справиться с поставленными перед DLP задачами.
Риски
И все равно использование таких сервисов не лишено рисков. Разберем некоторые из них.
- Можно ли контролировать сторонних специалистов? Смотря что подразумевается под контролем. Есть юридические способы — прописывать в соглашении ответственность подрядчика на должном уровне. Есть технические средства, которые позволяют отслеживать действия, производимые с вашими системами. Но нельзя запретить администратору на аутсорсинге, как в классической шутке, сфотографировать и унести ваши конфиденциальные данные. Такой риск существует. Впрочем, то же самое могут сделать и штатные сотрудники.
- Не будет ли утечкой наличие у аутсорсинговой фирмы конфиденциальной информации? Гарантий сохранности конфиденциальной информации больших, чем юридические, дать никто не сможет. Если этого мало — риск остается. Однако стоит обратить внимание на то, что компании, предлагающие аутсорсинг DLP, работают в сфере, как правило, далекой от бизнеса, которым занимаются их клиенты. Аналитики DLP, безусловно, понимают ценность той или иной информации, но не ориентируются в специфике рынка. Так что извлечь пользу из данных о новой технологии выпекания булочек специалисту по аутсорсингу DLP будет крайне затруднительно.
- Слишком много информации не только о компании в целом, но и об уязвимостях ИТ-инфраструктуры. Эти данные могут быть использованы во вред компании? Конечно, могут. Более того, организация, которой можно доверить аутсорсинг DLP, как правило, уже обслуживает по сервисной модели и другие системы информационной безопасности. Даже взламывать ничего не придется: данных предостаточно для полной остановки организации. Риск есть, да еще какой! Вопрос: а нужно ли это аутсорсинговой фирме? Малейший намек на «слив» — и информация об этом тут же разлетится эхом по всему рынку. А на репутации горе-специалистов будет поставлен жирный крест. Фирма, обеспечивающая аутсорсинг, если и останется на плаву после такого провала, вряд ли уже когда-то сможет предоставлять подобные сервисы.
Можно резюмировать: использование сервиса упрощает решение кадрового вопроса и помогает выполнить поставленные перед DLP задачи, но при этом не лишено некоторых рисков.
Комплексный подход
Одним из главных заблуждений при внедрении DLP-системы является следующее: она сама по себе обеспечивает безопасность от внутренних угроз. DLP — хорошее, прекрасно работающее, но всего лишь техническое средство, для эффективной работы которого необходимо выстраивать комплексный бизнес-процесс по защите от утечек информации. Причем процесс этот должен включать в себя планирование, сбалансированное использование административных инструментов, технических возможностей и средств менеджмента. Лишь в случае формирования индивидуального плана по защите от внутренних угроз возможно выстроить эффективную систему управления внутренними рисками, где решение DLP выступит уже в роли управляющего средства. Поэтому без глубокого понимания процесса защиты от внутренних угроз услуги по аутсорсингу DLP будут неэффективными. Любой стандартизированный пакет без серьезного аудита и доработки контроля утечек не только не принесет желаемых результатов компании, но и может грозить ей потерей инвестиций и времени.
Вывод
Аутсорсинг DLP — это сервис, который позволяет решить кадровый вопрос и вопрос внутренних компетенций, помогая при этом выполнять поставленные перед DLP задачи. Использование данного сервиса не лишено определенных рисков (актуальных, впрочем, и для инсорсинга), но их необходимо адекватно оценивать. Кроме того, такой сервис может быть эффективен в организации только как часть комплексного подхода к защите от внутренних угроз.
Станет ли использование подобного сервиса трендом на рынке информационной безопасности? Время покажет. Мы уже взяли на аутсорсинг DLP несколько компаний. Однозначно можно сказать, что DLP как сервис, предоставляемый ведущими экспертами, вполне может стать для крупных российских компаний одним из эффективных инструментов защиты от утечек конфиденциальной информации.
