Рубрикатор |
Статьи | ИКС № 06-07 2014 |
Алексей РАЕВСКИЙ   | 16 июня 2014 |
Азы круговой обороны
Роль каждого звена в иерархической системе предприятия, от топ-менеджмента до рядовых пользователей, чрезвычайно важна для эффективной борьбы с утечками, поскольку, как известно, рвется там, где тонко. Как обеспечить прочность каждого звена?
Прежде всего топ-менеджмент, а иногда и владельцы бизнеса обязаны проявить политическую и управленческую волю и принять решение о том, что организация должна защищать данные, выделить на это средства и ресурсы. Без этого соответствующие процессы даже не будут запущены.
Службе информационной безопасности следует определить, какая информация в компании является конфиденциальной и в чем состоят риски инфобезопасности, разработать политику безопасности, концепцию защиты от утечек. В дальнейшем, как правило, именно эта служба обеспечивает выполнение политики информационной безопасности и поддерживает функционирование средств ИБ.
ИТ-департамент отвечает за интеграцию политик и средств инфобезопасности в бизнес-процессы и информационные потоки организации. На этой почве традиционно происходят конфликты ИТ- и ИБ-служб, поскольку для ИТ-департамента любые средства защиты информации усложняют инфраструктуру и затрудняют работу. Часто именно саботирование проектов внедрения средств инфобезопасности со стороны ИТ-отделов ставит на них крест, и чтобы преодолеть это сопротивление, требуется вмешательство топ-менеджмента.
Известно, что существенный процент утечек происходит по вине нелояльных и немотивированных пользователей. Выявление таких сотрудников и повышение их лояльности – задача HR-службы. Кроме того, HR-отделы играют важную роль в обучении пользователей правилам и политикам информационной безопасности, которое проводится, как правило, общими усилиями HR- и ИБ-служб.
Рядовые пользователи – это самое важное звено любой системы безопасности, поскольку именно их действия или бездействие обычно приводят к утечкам. Если бы все пользователи все делали в соответствии с правилами и политиками инфобезопасности, никаких утечек не было бы, поэтому задача руководства любой компании – сделать так, чтобы пользователи были бдительны, их действия были осознанными и не нарушали политики информационной безопасности.
Надо признать, часто ИБ-отделы компании неохотно вовлекают персонал в борьбу с утечками. В некоторых компаниях даже могут скрывать от сотрудников наличие DLP-системы и просят вендоров доработать ее функционал таким образом, чтобы она стала еще более незаметной. На мой взгляд, это связано со спецификой оценки эффективности подразделений инфобезопасности в таких организациях. Там, видимо, считается, что служба безопасности хорошо работает, если ловит много инсайдеров. А если всем рассказать, что в компании стоит система, которая за всеми следит, то 99% сотрудников будут воздерживаться от попыток переслать что-либо запрещенное за пределы компании. Таким образом, пойманных нарушителей станет меньше и, следовательно, польза от безопасников окажется как бы тоже невелика. Но такой подход в принципе неправилен и может привести к большим проблемам.
Как известно, ни одна система защиты от утечек не обладает 100%-ной эффективностью, и на 10 обнаруженных попыток слива информации остается одна необнаруженная. В такой ситуации служба безопасности вроде бы отлично работает и ловит много инсайдеров, но утечки все равно случаются. А если сделать сотрудников союзниками ИБ-службы, регулярно рассказывать им про то, как опасны утечки, какую информацию нельзя посылать за пределы компании и что если все-таки кто-то ошибся, то есть специальная система, которая эту ошибку обнаружит и исправит, то они станут чаще задумываться над своими действиями, и число инцидентов снизится. Соответственно, снизится риск утечки и потенциальный ущерб для компании.
К слову, «человеческий фактор» самой службы безопасности во многих организациях нуждается в укреплении. Сегодняшние выпускники могут знать математические основы алгоритмов шифрования и содержание руководящих документов ФСТЭК, однако это никак не поможет им в будущей работе. Когда дело доходит до практических задач, даже базовых, таких, как, например, настройка межсетевого экрана, многие из них оказываются бессильны. Кроме этого, существующие программы обучения не учитывают потребностей современных предприятий, не учат смотреть на проблемы информационной безопасности с точки зрения бизнеса. На наш взгляд, специалистам по инфобезопасности требуется непрерывное дополнительное обучение. Если такой специалист не расширяет постоянно свой кругозор, не следит за развитием технологий, за состоянием отрасли и появлением новых угроз, то ценность его невелика. Для поддержания своей «актуальности» не нужны какие-то спецкурсы, каждый специалист вполне может сам этим заниматься, нужно лишь желание. Дополнительное обучение часто требуется по конкретным продуктам, используемым в организации. Но эта проблема легко решается с помощью курсов и систем сертификации, организованных соответствующими вендорами.