Построение и развитие центра мониторинга и реагирования на инциденты изначально задумано как непрерывный процесс, который позволяет обеспечить всестороннюю защиту информации. При этом нередко SOC пытаются презентовать как некое «коробочное» решение, которое обеспечит полную защиту от взломов нажатием одной кнопки.
Такая же ситуация наблюдается и с системами DLP, от которых ждут, как правило, такой же «коробочности» и решения всех проблем, которые не смогли решить другие системы обеспечения информационной безопасности. Но как в случае с SOC, так и в случае с DLP такие подходы заведомо проигрышны.
DLP как сервис
Горький опыт нынешнего года показал, что терять прибыль из-за нерадивых (или злонамеренных) сотрудников владельцы компаний не хотят. Поэтому выявлять случаи утечек конфиденциальной информации интересно стало даже тем компаниям, которые раньше не хотели задумываться об этом. Как говорилось в одном известном фильме, хорошо бы нашим желаниям всегда совпадать с нашими возможностями, но в 2020 году в работу бизнеса вмешался кризис. Это дало новый импульс развитию темы аутсорсинга информационной безопасности, в том числе сопровождению систем DLP силами сторонней компании.
При этом все осознают, что затраты на приобретение DLP-систем могут быть не по карману даже крупной организации, готовой выделять бюджет на информационную безопасность. Тенденцией этого года стала подписочная модель покупки сервисов сопровождения DLP-систем, позволяющая сэкономить сразу по нескольким параметрам: первоначальные затраты на покупку системы, расходы на приобретение оборудования, необходимого для её инсталляции, и, конечно, экономия на человеческих ресурсах для работы с системой.
По своей сути такой сервис будет работать в режиме сходном с форматом работы SOC, поскольку компания, берущая на себя полноформатную техническую поддержку не только самой системы, но и инфраструктуры, призвана обеспечивать всю жизнедеятельность DLP-системы, а заказчик будет получать только результаты уже обработанных событий и принимать решение о проведении внутреннего расследования относительно конкретного сотрудника, допустившего нарушение.
С чем нужно работать
Перед запуском системы DLP в промышленную эксплуатацию мы обязаны определить, какая информация в компании является конфиденциальной, и зафиксировать это во внутренних нормативных документах, если этого не было сделано ранее.
Затем необходимо сформировать пакет документов, связанных с так называемой легализацией системы в компании, поскольку мы все понимаем, что без принятия обязывающих документов нам будет сложно привлечь сотрудников к ответственности в случае выявления инцидента.
Более того, консалтинговое (или, скорее, юридическое) сопровождение требуется не только в начале пути, но и на всех его этапах. Если мы всё же решим пойти до конца и подать на сотрудника в суд или обратиться в правоохранительные органы, нам также понадобится грамотно составить документы и впоследствии представлять интересы компании в этих органах.
Итак, фактически сопровождение нам требуется сразу по нескольким направлениям: техническое, аналитическое, юридическое. Без какого-либо из этих направлений система либо вовсе не будет работать, либо окажется для нас неэффективной. Получается, что аутсорсинговая компания, предоставляющая услуги по поддержке систем DLP, должна быть готова обеспечить работу по всем указанным направлениям.
Модели потребления DLP
Пока не все руководители бизнеса в России готовы перейти на аутсорсинг DLP: это тяжело психологически. Тем не менее спрос на подобные сервисы будет расти, поскольку экономия в этом случае очевидна.
Хочется отдельно отметить, что российские производители DLP сегодня предоставляют своим заказчикам возможность приобретения систем с использованием гибких финансовых моделей — вплоть до рассрочки. Вероятно, это будет неким прорывом на вполне устоявшемся рынке систем DLP.
Не все производители готовы поменять отработанную годами схему продаж, но интерес несомненен и есть те, кто готов работать с аутсорсинговыми компаниями или сервис-провайдерами по новой схеме. Указанный подход поможет совместными усилиями вендоров и аутсорсинговых компаний предлагать полноценные сервисы, в том числе работающие по формату SOC. Со временем это избавит от негатива, проявляемого многими компаниями к системам DLP в связи со сложностью их инсталляции и дальнейшей эксплуатации.
Такая тенденция позволит также изменить в целом отношение к информационной безопасности, которую до сих пор пытаются воспринимать не как постоянный процесс с комплексным подходом, а как разрозненные действия, которые обычно начинают предприниматься только в случае серьёзного инцидента, уже имеющего определённые последствия.
Риски разглашения информации сервис-провайдером
В работе со своими заказчиками экспертам Softline нередко приходится отвечать на вопрос о том, насколько велики риски утечки информации через сервисного провайдера. Передать сопровождение DLP на аутсорсинг действительно бывает психологически непросто, и многие предпочитают отдать эту функциональность сотрудникам внутри штата.
Юридически это даёт очень слабую защиту, так как даже прописанные в трудовом договоре обязательства работника не дадут стопроцентной гарантии, что он не допустит разглашения доверенной ему информации. Более того, трудовой договор призван защищать работника — а для гражданского-правового договора, который вы подписываете с сервис-провайдером, обе стороны равны в своих правах и могут фиксировать выгодные для всех условия (штрафы, пени и прочее).
Если сопровождением DLP занимается штатный сотрудник, важно, чтобы в компании присутствовал полный пакет нормативных документов, которые регулируют вопросы конфиденциальности информации. Суд отвергнет любые претензии в адрес работника, если окажется, что он нарушил правило, о существовании которого знал только на словах.
Компания-аутсорсер априори не заинтересована в допущении подобных нарушений в силу того, что услуги, оказываемые заказчику, — суть её бизнеса; серьёзная организация очень заботится о своей репутации на рынке. Крупные провайдеры прилагают массу усилий для проверки благонадёжности сотрудников, принимаемых на работу, и их последующего контроля. Эти меры, как правило, гораздо серьёзнее, чем те, которые бизнес предпринимает на своём уровне.
Всегда нужно обращать внимание на репутацию компании-аутсорсера, историю её взаимоотношений с заказчиками, их длительность. В конечном итоге это будет определять надёжность компании, предлагающей вам услуги — тем более что рынок информационной безопасности в России остаётся весьма узким с точки зрения количества профильных компаний и людей, в них работающих, а значит, всегда можно навести справки и получить максимальную выгоду с минимальными рисками.
Выводы
Нынешний год показал, что нужно быть готовыми ко всему, а забывать о безопасности обычно получается всегда дороже, чем потратить деньги и время на её обеспечение. В течение ближайшего года мы наверняка будем наблюдать тенденцию к изменению характера предлагаемых услуг и схем их продаж для того, чтобы сформировать для заказчиков выгодные и полезные предложения. Практика показывает, что зачастую именно сервисное потребление ИБ позволяет добиться наиболее высоких результатов, особенно в случае работы над развитием и сопровождением таких сложных систем, как SOC и DLP. У крупных сервисных провайдеров накоплен достаточный опыт, позволяющий глубоко понять бизнес-процессы заказчика и подойти к защите от внутренних и внешних рисков максимально эффективно и деликатно.
Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/DLP-as-a-core-of-SOC