6 minute read
Анна Попова
from InfoSec_03_2020
by jozef24
Анна Попова,
Advertisement
Казалось бы, тема защиты от утечек информации довольно избита и вряд ли в ней можно сказать что-то новое. Но я попробую… Со временем это позволило сущеРеальный кейс ственно повысить уровень осведомленПриведу в качестве примера один из ности сотрудников о правилах и принсвоих самых любимых кейсов. ципах информационной безопасности Сотрудница отдела внутреннего аудив корпорации, благодаря регулярному та записала на флеш-носитель громадобучению сотрудников, и, как следствие, ное количество конфиденциальной уровень зрелости самой ИБ. информации компании, полученной Но важно было то, что применяемые в рамках ее работы. Надо сказать, что меры ответственности для сотрудников такие сотрудники, как правило, имеют были взвешенны и определялись индинекоторые привилегии и право записы
Моя история взаимодействия с этим видуально, в связи с чем в процесс развать данные аудита на съемные носитевопросом началась восемь лет назад. бирательства всегда были вовлечены ли. Но что-то в этом случае насторожило В том же году наша компания –непосредственные и вышестоящие рукои нас, и службу безопасности ее компаInfose curity (тогда еще без приписки водители нарушителей. нии. Вероятно, массовость данных, запиa Softline Company) начала выстраивать Таким образом, решение принималось санных единовременно. процесс мониторинга и реагирования коллегиально и исключало превращение В результате расследования для минина инциденты, связанные с подозрениправильного процесса мониторинга мизации последствий инцидента рукоем на утечку конфиденциальной инфори реагирования на инциденты в борьбу водитель службы безопасности обнарумации, в одной из самых крупных за увеличение количества выявленных жил на компьютере, куда были перенефинансовых корпораций России. инцидентов с отсутствием смысла сены данные, информацию и другой
Ядром этой корпорации являлись и пользы для бизнеса. Но сам по себе организации, а точнее – весьма крупного банки. Их было немало и с каждым мониторинг – это только одна часть коммерческого банка, где работал муж годом присоединялось еще больше, так процесса. сотрудницы. Таким образом было устачто процесс интеграции никогда не новлено, что семейная пара коллекциозаканчивался. Утечка не появляется сама по себе нировала конфиденциальную информа
Когда в 2012 г. я пришла в компанию, Со временем большое значение стало цию двух весьма значимых финансовых то сразу столкнулась с огромным колипридаваться ретроспективным расслеструктур нашей страны на общем ПК. чеством инцидентов и потребовалось дованиям инцидентов. Вернее, даже не немало времени, чтобы "разгрести" этот инцидентов или не только инцидентов, Смотреть шире и дальше утечки массив и впоследствии уменьшить число а всех возможных действий, которые Работа со службами безопасности инцидентов. Однако первые годы моей нанесли или потенциально могут нанести корпорации научила меня исключить из работы были посвящены процессу монивред или ущерб компании. сознания такие варианты, как "отправил торинга инцидентов, количество которых Здесь мы, конечно, говорим о заранее по ошибке", "скопировал (распечатал) из-за постоянных интеграций никак не спланированных мошеннических дейдля себя", "не собирался воспользоватьхотело снижаться. ствиях, сговорах, лоббированиях, конся этими данными" и т.д. фликтах и актах проявления нелояльноМы должны понимать и всегда помКлассический подход сти сотрудников. нить, что сотрудник не будет ничего к выявлению инцидентов Такие действия в своей основе могут "выносить" или "сливать", если сейчас
Отношение к безопасности в целом в быть связаны с фактами утечки инфорили в будущем не допускает использокорпорации было всегда очень серьезмации и фактически благодаря им вания украденных данных. А значит, ным, и мне довелось работать с высои выявляются. в каждом случае мы имеем дело с осокопрофессиональными безопасниками, Однако утечка информации – это не знанными нарушителями, которые не которые стремились доводить процесс оторванный от прочих обстоятельств исключают для себя возможности приреагирования на инциденты до неотвраи событий факт, а, как правило, причинения ущерба своему нынешнему тимого наказания нарушителя. чина либо следствие какого-то негаработодателю тем или иным образом.
Наша работа строилась по такому тивного процесса. Мы также должны Это знание позволило нам смотреть принципу: мы выявляли инцидент, осознавать, что даже если сотрудник шире и дальше самого факта утечки. сообщали в службы безопасности кордопустил утечку по ошибке (статистика Мы научились исследовать и анализипорации, где начинался процесс реагикаждого года говорит о том, что таких ровать причины инцидента, его последрования, проводились внутренние расслучаев большинство), то мы не можем ствия и влияние на других сотрудников следования обстоятельств и принимабыть уверены в том, что он не воскомпании. Так, неизбежно появляются лось решение о применении мер ответпользуется этими данными в будущем группы риска или группы особого контственности. (если, конечно, не предприняты дейроля. Как известно, сотрудники попадают
По сути, это классический подход ствия по нейтрализации последствий в них по разным причинам: конфликты с к выявлению инцидентов. инцидента). коллегами или руководством, недоволь26
ство работой и поиск новой, участие в каком-то инциденте, происшествии. Значение имеют даже несущественные, на первый взгляд, детали и факты.
Само собой, без психологии не обойтись. Но вряд ли дипломированные психологи когда-нибудь захотят работать за компьютером, да еще и с непрерывным потоком информации. Таким образом, в сфере информационной безопасности приходится становиться не только аналитиками, но и психологами. Конечно, это делает специалистов ИБ довольно редкими и узконаправленными, а значит более ценными для рынка.
Это была первая часть истории, связанная с так называемым классическим подходом к выявлению и особенно реагированию на утечки информации.
Бизнес-ориентированная стратегия
Около 2,5 лет назад наша компания вошла в состав крупной корпорации Softline, появилась вторая часть нынешнего названия – a Softline Company.
Тогда перед нами встал вопрос: будет ли востребован в рамках услуг по информационной безопасности такой сервис, как защита от утечек информации? Как правило, компании самостоятельно делают это внутри, но есть и те, кто может встроить систему защиты, оптимальным образом комбинируя внутренние и внешние ресурсы.
В то время мы и познакомились со своим будущим (а сейчас уже постоянным) клиентом – Группой "М.Видео –Эльдорадо". Начался интереснейший процесс работы, а главное – эволюции нашего сервиса.
Клиент никогда не ставил во главу угла наказание нарушителя и применение санкций. Важной была и остается защита информационных активов компании. Поэтому история нашего взаимодействия началась именно (и логично) с аудита информационных активов. А как можно их выявить и распознать? Конечно, только с помощью бизнес-подразделений и их руководителей, а зачастую –топ-менеджеров компании.
По классике принято считать, что надо минимально вовлекать бизнес в историю с инцидентами и расследованиями, только с позиции нарушителя и его руководителей. С этим мы и работали долгие годы.
Но опыт проектов "М.Видео – Эльдорадо" опроверг такую позицию: при коммуникации с бизнесом каждый день по принципу открытости и двустороннего взаимодействия результат получается лучше. Безопасность понимает потребности бизнеса и реалии его работы, бизнес в ответ осознает ценность информации компании и прилагает все усилия для формирования принципов и мер ее защиты.
Например, все инциденты, фиксируемые крупной компанией в течение года, можно разделить на несколько десятков типов, объединенных единым контекстом с соответствующим сценарием реагирования. Это позволяет существенно снизить объем работ по реагированию, на порядок эффективнее будет результат.
Безусловно, есть доля кейсов, связанных с нежелательными, но безусловно неизбежными действиями. Сотрудник выполнял свои обязанности, запретить ему подобные действия можно, но потенциальный ущерб от разглашения мы заменим совершенно очевидным ущербом от остановки бизнеса. В этом случае целесообразно инциденты и меры обсуждать вместе с бизнесом, демонстрировать статистику, искать не менее эффективные, но безопасные форматы и процедуры работы.
Другие действия – другие результаты
Между собой мы называем описанный подход наиболее продвинутым и зрелым. Для давно придуманного и уже сформировавшегося процесса защиты от утечек по шаблону это большая редкость. Раньше перед нами никогда не ставилась задача оценивать и анализировать статистику и динамику инцидентов с точки зрения влияния на бизнес, и особенно показатели компании. Много кто говорит об оценке предотвращенного ущерба от утечек, но мало тех, кто в реальности занимается этим вопросом. Потому ценность и пользу от, например, закупленной системы защиты от утечек (DLP-системы) или сотрудников, ее администрирующих или эксплуатирующих, сложно определить и, главное, посчитать.
Для нас как сервисной компании это было кардинальное изменение подхода к классификации инцидентов, их критичности и мерам, которые принимаются после их выявления, в частности к внесению изменений в какой-либо бизнес-процесс для исключения инцидентов в будущем.
Конечно, защита от утечек – далеко не единственная услуга, которую мы оказываем клиентам, благодаря чему анализ эффективности мер, принимаемых компанией, становится более широким и разносторонним. Осознавая это, мы понимаем, что поступили абсолютно правильно, предложив широкому кругу клиентов Softline нашу услугу по защите от утечек.
Но более ценно то, что любая, даже самая рутинная, работа (какой была и наша) может превратиться в интересный и познавательный процесс, который позволяет идти дальше и совершенствоваться с каждым днем.
Своим рассказом я хочу призвать все компании любого масштаба, из любой отрасли и их руководителей более широко посмотреть на свой подход к безопасности. Вы удивитесь, как много вы узнаете и как много сможете сделать для своей компании и ее благополучного развития. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
Реклама
