DLP – зачем нам это нужно

Хотя если хорошенько разобраться, ничего сложного с подсчетом коэффициентов, которые эти термины обозначают, нет. Считаются по вполне определенным формулам, бери значения да подставляй. Когда речь идет о проектах по внедрению средств защиты информации, с первым термином, опять же, сложностей никаких – всегда можно с достаточно высокой точностью подсчитать, в какую копеечку влетит внедрение. В некоторых случаях даже напрягаться не придется – системные интеграторы, набившие руку на таких проектах, предоставят одну из заготовленных моделей TCO. Однако после того, как мы готовы во всех красках описать владельцам бизнеса, в какой момент и на сколько опустеют их карманы при ввязывании в «это», наступает самое время прибегнуть ко второму коэффициенту и обозначить оптимистичную финансовую отдачу или хотя бы обозримый срок окупаемости. Вот здесь и начинаются проблемы. Если это не проект по противодействию мошенничеству, то с какой-либо вменяемой уверенностью заявить о коэффициенте ROI либо трудно, либо вообще невозможно. Особенно в период финансовой нестабильности и политики тотальной экономии, когда трату каждого рубля нужно уверенно обосновывать. Антифрод-проектам повезло – еще на этапе тестирования можно выяснить, сколько денег поможет сохранить такая система.

Что же до проектов по защите от утечек информации, крайне сложно подсчитать «ненаступивший ущерб» в результате того, что файлу или письму не дали покинуть периметр компании. Конечно, можно говорить о № 98-ФЗ и коммерческой тайне, о соответствии требованиям регуляторов, которые, кстати говоря, в части защиты от утечек носят лишь рекомендательный характер. Можно пытаться оценить стоимость утечки через рисковую модель и т.д. Любой более-менее разбирающийся в теме держатель бюджета после выслушивания этих доводов в лучшем случае задаст уточняющий вопрос «Ну и что?».

Опыт многочисленных проектов позволил нам вывести определенную методологию обоснования DLP-проектов для бизнеса. Ниже мы рассмотрим несколько ее «составляющих».

Тебя посодют, а ты не воруй

Совершенно очевидно, что основным назначением систем DLP является пресечение воровства – воровства информации (намеренного или случайного) и воровства финансового (откаты, взятки, мошеннические схемы и т.д.).

С первым современные системы научились довольно хорошо справляться: есть достаточное количество автоматизированных средств анализа, которые выявляют среди легитимного потока информации подозрительную передачу конфиденциальных данных. Такой бенефит особенно хорошо превращается в аргумент к приобретению системы для руководства тех компаний, в которых есть место инновационным разработкам, ноу-хау и другим сведениям, представляющим коммерческую тайну, т.е. являющимся основополагающими для бизнеса. Это могут быть планы развития сети банка, разведданные нефтедобывающих компаний, маркетинговые идеи ритейл-корпораций, базы клиентов страховщиков и др. Потеря таких сведений, тем более их предумышленный вынос ставят под угрозу, как минимум, прибыль и репутацию компании.

Даже если в вашей компании такой информации нет, или же она за пределами организации теряет смысл, почти наверняка у вас присутствуют процедуры продажи/закупки. Ими занимаются люди, коммуникации которых стоит контролировать. Нередко результатом контроля беседы между «коллегами по цеху» являются всплывающие случаи мошенничества, сговоры и другие действия, наносящие прямой ущерб компании. Контролируя переписку с внешними людьми, можно обнаружить намеки на взятки/откаты. Все это тоже воровство, которое хоть и проявляется не так часто, как утечка информации, но тоже заслуживает отдельного внимания и может быть выявлено DLP-системой. Скорее всего, владельцы бизнеса знают о подобных возможных схемах, и в этом месте чрезмерно убеждать их не придется – необходимость контроля очевидна.

Бизнес – это не только деньги

Если нельзя выразить пользу от системы в прямых доходах (точнее, в сохранении потерь), нужно обратить внимание на другие составляющие бизнеса, не менее важные, чем финансы. Близко к ним лежит тема эффективности – использования человеческих ресурсов, исполнения прописанных бизнес-процессов. И то, и другое можно контролировать системой DLP. Контролируя одну лишь корпоративную электронную почту, DLP покажет, насколько хорошо персонал справляется со своими обязанностями – четко ли исполняются предписанные регламенты, как в целом работает бизнес-процесс, на что сотрудники тратят рабочее время, собираются ли они менять работу и т.д. Из некоторых перечисленных пунктов можно вывести экономическую составляющую. Например, набирающий популярность кейс контроля рабочего времени: все то время, что нанятый сотрудник проводит в соцсетях или тратит на просмотр видеороликов, можно умножать на его заработную плату и смело минусовать из бюджета компании. В момент экономического кризиса владельцы бизнеса как никогда заинтересованы в том, чтобы все имеющиеся ресурсы, в том числе людские, работали с максимальной эффективностью, поэтому им будет интересен подобный инструмент.

По причине того же кризиса важно не упасть в грязь лицом перед конкурентами на рынке и сохранить клиентов. Репутация компании и бренда сейчас ценятся очень высоко. Клиенты сегодня хотят знать, кому отдают свои деньги. Помимо фиксирования утечек информации, наносящих репутационный ущерб, DLP позволяет выявлять высказывания нелояльных сотрудников в отношении компании или её руководства. Разумеется, если сообщения с этими высказываниями отправляются из компании. Хотя для мониторинга упоминаний компании с неподконтрольных устройств тоже есть специальный продукт.

Ну и наконец, помимо поиска и разбора инцидентов, важен показательно-воспитательный процесс. С одной стороны, DLP позволяет обучать пользователей культуре ИБ. Либо сотрудники просто знают о мониторинге и дважды подумают перед отправкой письма с конфиденциальной информацией, либо DLP выдаст предупреждение о подозрительных действиях пользователя и запросит подтверждение. С другой стороны, при проведении периодической показательной работы с персоналом (дисциплинарные взыскания, увольнения, обнародование выговоров с занесением) желание совершать проступки у сотрудников резко убавляется. Любое руководство заинтересовано в соблюдении рабочего порядка и всеобщей дисциплине.

Исключительно во благо

Еще одним важным аспектом в подготовке к обоснованию и выполнению проекта по DLP является этап, схожий с этапом продажи товара или услуги, – работа с возражениями. Как и практически любой проект по информационной безопасности, внедрение системы защиты от утечек может вызвать множество вопросов и недоверия: «Не будет ли это мешать?», «Не встанет ли из-за этого наш бизнес?», «Будет ли пользователям так же удобно работать, как раньше?».

Одна часть ответов на эти вопросы напрямую зависит от схемы и области применения обсуждаемого решения. Важно показать всем заинтересованным лицам, что DLP не оказывает существенного влияния на текущую информационную среду и контролирует только то, что действительно нужно. Для этого лучше всего начинать с DLP, работающей в пассивном режиме. Можно сказать, в режиме «обучения». Система перехватывает весь положенный ей трафик, обрабатывает его и предупреждает о найденных событиях, но никаких активных действий не предпринимает. В таком режиме стоит поработать год, а лучше два. После этого приходит тот самый «аппетит во вредя еды», и владельцы бизнеса сами видят необходимость активных действий. Ведь пока система не будет установлена и не начнет работу, трудно будет показать, что именно теряет компания без неё.

Другая часть ответов на обозначенные вопросы относится к технической части и возможностям предполагаемой DLP: чтобы особенности технической реализации системы не мешали работе и не оказывали воздействия на инфраструктуру.

Допустим, нужна…, а какая?

После того, как в пользу DLP-системы набралось достаточно аргументов и были сняты все вопросы, важно обосновать выбор конкретного средства. Чем увереннее в системе будете вы сами, тем быстрее руководство поймет, что вами проведена серьезная предварительная работа по анализу рынка и выбору системы. Важно дать понять держателям бюджета, что это не просто очередная трата их средств, а обоснованный выбор решения, удовлетворяющего оптимальному соотношению цена/качество. Здесь можно порекомендовать активнее прислушиваться к мнениям интеграторов, которым вы доверяете. У некоторых из них за плечами опыт нескольких сотен DLP-проектов, и они готовы привести аргументированные «за» и «против» рассматриваемых систем именно в вашем случае. Помимо этого, необходимо тестирование системы. Как правило, когда компания-интегратор достаточно хорошо понимает бизнес и потребности ИБ вашей компании, она проводит успешное тестирование одного или нескольких решений. Результаты обычно значительно упрощают процесс обоснования.

Уверенное «итого»

Для успешного обоснования проекта по DLP нужно ответить на 2 основных вопроса – «Зачем нам это нужно?» и «Почему это столько стоит?». Ответ на первый вопрос кроется в понимании узких мест в части информационного обмена: воруют изобретения, уводят клиентов и т.д. Ответ на второй вопрос позволяют получить анализ рынка, выбор решения и интегратора, который будет его внедрять.

По нашему опыту, если есть хотя бы зародыш ответа на первый вопрос (уже случившиеся инциденты, подозрения), можно смело приступать к ответу на второй – подключать опытного интегратора, который поможет с обоснованием проекта перед бизнесом, выбором решения и последующим внедрением, прописыванием регламентов использования и сопровождением системы.