Как купить DLP-систему?

Безопасность предприятия, в том числе информационная, особая тема для изучения. Для многих руководителей это больной вопрос, так как конечный выбор стратегии, инструментов исполнения и составление всей программы политики ИБ в компании отнимает много ресурсов как трудовых, так и финансовых. Однако не стоит недооценивать эту задачу. Нередки случаи, когда предприятие несло огромные убытки из-за того, что не обеспечило элементарную структуру информационной безопасности. Сегодня в статье аналитиков Falcongaze исследуем одно из популярных решений для бизнеса: DLP-систему и разбираемся, как ее купить.

Что такое DLP-система

DLP-система – это специальный программный инструмент, который входит в комплекс мер по обеспечению ИБ компании, обеспечивает безопасность внутреннему трафику информации и занимает одно из ведущих мест в общем контуре безопасности бизнеса.

Эта тема достаточно актуальна для всех организаций, независимо от их размера и специфики работы. Везде есть доля конфиденциальных данных, которые требуют защиты от внешнего воздействия, везде есть угрозы безопасности этим данным, исходящие как извне, так и изнутри компании, везде есть процент халатности в обращении с информацией, что может привести к осязаемым материальным и репутационным убыткам. Современные DLP-системы решают много конкретных, актуальных задач бизнеса, поэтому считаем эту тему полезной.

Какими бы красочными бы ни были описания в презентации продукта, конечного пользователя, а в данном случае компанию интересует практическая часть: какие проблемы и критические моменты сможет решить DLP-система.

1. Защита информации

Конечно, это одна из основных функций системы. Вся ее работа направлена на предотвращение утечек конфиденциальной информации за пределы контура информационной безопасности компании по любой из причин.

2. Борьба с инсайдерами

Система отслеживает в потоке информации триггерные действия и информирует специалиста отдела безопасности о них. Это может быть намеренное копирование конфиденциальных файлов, перемещение документов с метками конфиденциальности, отправка фотодокументов в соцсети или другое. DLP-системы исследуют самые травматичные ситуации и заранее предусматривают схему реагирования при их наступлении: информирование ответственных сотрудников или блокировку действия. 

3. Создание архива бизнес-коммуникаций

DLP-системы обеспечивают создание актуального, точного, простого в использовании архива бизнес-коммуникаций, в котором сохраняется вся информация и возможности ее использования в аналитике.

4. Автоматизация и цифровизация работы сотрудников отдела информационной безопасности

DLP-системы предлагают множество вариантов ведения отчетности и мониторинга событий внутри контура безопасности. Это в значительной степени повышает эффективность работы отдела ИБ и его сотрудников, минимизирует человеческий фактор и повышает объективность оценки.

5. Поддержание репутации и стандартов надежного партнерства

Внедрение системы DLP повышает общий уровень безопасности данных на предприятии, что расценивается партнерами как положительный знак и показатель надежности. Ведь в таком случае снижаются и риски негативного воздействия на данные самого партнера, вероятность утечки и давления со стороны третьих лиц.

6. Мониторинг эффективности и лояльности сотрудников

Исследование безопасности конфиденциальных данных предприятия в функционале DLP-системы тесно связано с исследованием эффективности использования рабочего времени сотрудника. Ведь весь информационный поток персонифицирован, всегда можно определить кто, что, куда, отправил и когда. Поэтому разработчики используют эту информацию для мониторинга сотрудников. DLP-системы могут выгрузить данные про эффективность труда, рабочее время, сетевую активность, запомнить и проанализировать всю информацию с личных аккаунтов, которыми пользуются во время работы сотрудники и многое другое. Также применив контекстный тип поиска можно определить лояльность или нелояльность сотрудников к руководству и компании в целом. 

Это только часть задач, которые решает DLP-система. Программное обеспечение такое востребованное лишь потому, что обеспечивает качественный анализ и отчетность при полной свободе обращения данных.

Почему купить DLP-систему — проблема?

Почему задача купить DLP-систему для многих оказывается неподъемной? Давайте рассмотрим проблему подробнее. 

Во-первых, не все компании видят проблему в незащищенности данных. 

Как ни странно, даже в XXI веке, во время цифровизации бизнеса и максимальной привязки всех процессов к интернет-обеспечению, не все реально оценивают необходимость ИБ и внедрения современных решений в бизнес. Это же касается компаний, которые уверены в уникальности своих услуг и, не имея прямых конкурентов, считаю, что конкуренты косвенные или интернет-мошенники не будут уделять пристального внимания их бизнесу.

Во-вторых, не всегда специалисты компании готовы объективно оценить предложения программного обеспечения на рынке. 

Согласно мнению некоторых ответственных управленцев, этот процесс требует определенных затрат (времени, финансовых), кадровых решений даже на этапе выбора. Однако это не совсем так. Компании-вендоры достаточно подробно представляют свой продукт, проводят презентации, отвечают на вопросы и работают с возражениями. Нагрузка по обучению персонала работе с ПО ложится на плечи поставщика. А самое главное: многие разработчики предлагают тестовый период, во время которого компании смогут оценить на практике полезность продукта и предложения.

В-третьих, у компаний могут возникать возражения по поводу правового обеспечения процесса. 

Первое неосознанное возражение со стороны покупателей – насколько это законно? И не будет дли правовых последствий для компании? На самом деле последствия введения DLP-системы наоборот положительны. Согласно Трудовому кодексу РФ, работодатель имеет право оценивать продуктивность сотрудника, мониторить выполнение трудовых обязанностей и соблюдение графика. При этом DLP-системы обеспечивают выполнение постановлений регуляторов в сфере обеспечения безопасности персональных данных при их обработке и хранении в информационных системах. Подробнее этот вопрос можно изучить в статье «DLP-системы – что это такое и как это работает».

В-четвертых, компании могут рассматривать только защиту от внешних угроз информационной безопасности, считая, что этого достаточно.

Также распространенная проблема в процессе решения глобальной задачи обеспечения безопасности информации на предприятиях. Как правило, более разрекламированными и популярными решениями являются программные продукты по защите от внешнего воздействия (внедрения вредоносного ПО), притом что внутренние угрозы утечки данных, инсайдерские риски также возможны в общем контуре безопасности.

Критерии выбора DLP-системы

Критерии выбора DLP-системы в общем можно разделить на три группы:

• по репутации;
• по функциональности;
• по послепродажному обслуживанию.

По репутации

Первым этапом изучения поставщика программного обеспечения является исследование его репутации. Необходимо проверить наличие лицензий на предоставление услуг вендора и сертификатов соответствия стандартам качества, принятым для этой области в стране.

Второй шаг — изучите историю поставщика ПО: как давно осуществляется разработка, какие цели и корпоративные ценности поддерживает компания, какая команда сотрудников задействована в проекте. Это поможет понять, какой опыт стоит за плечами поставщика и реализует ли он его в рамках продукта.

Третий шаг — просмотрите социальную активность компании. Соцсети сегодня — это лицо предприятия, его голос. Можно узнать о планах компании, возможных обновлениях ПО и релизах, на сколько продукт представлен в международном рынке и в сообществе разработчиков.

Четвертый шаг — отзывы в интернете, обзор функционала от сторонних пользователей и экспертов, исследование рейтинга ПО. Конечно, сейчас широко распространена практика покупки отзывов, как положительных для своего продукта, так и негативных для конкурента.. Однако есть и достаточно информативные, которые по делу подчеркивают недостатки или достоинства продукта.

По функциональности

Функциональность — ключ каждой программы, особенно, если она используется в такой чувствительной теме как информационная безопасность. Что важно исследовать при выборе DLP-системы?

1. Какие каналы перехвата информации предложены в версии?

Очевидно, что чем больше источников, тем полезнее будет внедрение. Оптимальным будет решение, в котором сочетаются источники web-трафика, социальные сети, мессенджеры, почтовые сервисы и другое (при этом как web-версии, так и десктопные). Также DLP-системы могут учитывать использование внешних носителей информации, локальных и сетевых принтеров, облачных хранилищ. Кроме источников, важны и форматы, которые система может анализировать. Так, например, малоэффективным будет анализ только web-трафика на протоколе HTTP/HTTPS, при этом будет игнорироваться SSL-трафик, передаваемый по шифрованным протоколам. Или отказ от анализа копирования документов на носители информации при оценке общего сетевого обмена файлами.

2. Какой тип анализа применяется в DLP-системе?

DLP-системы должны обеспечивать максимальный уровень анализа перехватываемой информации, независимо от формата передачи, обстоятельств внешнего и внутреннего характера, происходящих событий, подключения устройств и других факторов. Поэтому разработчики стремятся использовать различные подходы к анализу. Чаще всего используется контентный анализ информации (по словам, фразам в передаваемых данных) и событийный (по факту наступления определенного действия, которое запрещено или отслеживается). Популярными видами анализа информации в DLP-системах также является статистический (по числовым показателям) и атрибутивный (по определению атрибутов файла, документов, информации, которая передается). Это достаточно обширная тема, которая исследуется каждым вендором отдельно, и чем обширнее она представлена в системе — тем лучше.

С точки зрения покупателя необходимо оценивать реальные потребности, которые существуют в компании и их реализацию у конкретного производителя.  Допустим, классический тип DLP-систем достаточно хорошо справляется с контентным анализом и при этом учитывает множество источников. Однако в поиске используются только «правильные» формы написания текста, и технологии лингвистического анализа не учитывают особенность человека делать ошибки, спешить, сокращать, особенно в неформальном общении. Некоторые разработчики понимают эту особенность и предлагают анализ с учетом поправки на грамматические ошибки и словоформы в тексте.

Также важна возможность распознавать сложные документы, где совмещен анализ по тексту и по передаче изображения (с печатью, фото). Например, поинтересуйтесь у вендора, сможет ли его система распознать передачу фото лицензии на осуществление деятельности. Например, компания по web-дизайну будет готова приобрести DLP-систему только в том случае, если система определяет передачу векторной графики через каналы связи.

3. Есть ли в DLP-системе средства быстрого реагирования на факт передачи информации?

Для DLP-систем недостаточно только обнаружить факт нарушения безопасности информации, необходимо также предложить действенный инструмент пресечения данного действия, блокировки передачи. Так, например, в системе SecureTower реализованы возможности блокировки передачи данных по различным условиям:

• контентная блокировка (по тексту, словоформам и т.д.);
• блокировка по дате, времени (передача данных в заданную дату/несколько дат, указанное время);
• блокировка по статусу документа (присваивается в самой системе);
• блокировка по IP-адресу (выборочно для указанных IP);
• блокировка по параметру файла (на основании избранных атрибутов файлов);
• блокировка по категории сайтов (по заранее определенному кругу сайтов) и другие типы блокировок. 

Как работают блокировки? Достаточно просто: все перехватываемые данные сверяются с заранее определенными правилами блокировки, и при соответствии блокируется передача информации далее. Заранее также можно настроить уведомления ответственным пользователям на случай срабатывания политик безопасности.

4. Цена и стоимость владения системой.

Очевидно, что это один из важных аргументов. Современные DLP-системы реализуют актуальное решение модульности системы. То есть программное обеспечение продается пакетами функционала, что позволяет, во-первых, купить именно то, что надо для решения задач по обеспечению инфобезопасности компании, и во-вторых, снизить стоимость внедрения DLP. О самой цене программы необходимо узнавать у разработчика.

5. Расширение функционала.

Поскольку DLP-системы фактически обладают большим количеством аналитических данных, вендоры могут предлагать дополнительные функции и расширенные возможности аналитики. Одним из распространенных решений является мониторинг персонала и его эффективности на основе данных о сетевой активности. Покупателям DLP-системы даже может быть достаточно тех инструментов мониторинга (табель рабочего времени, отчеты о временных затратах на решение задач и неэффективном времени и многое другое), которые предлагает DLP, и дополнительное ПО не потребуется. При выборе DLP-системы исследуйте весь функционал, возможно, одной покупкой будут решены несколько стратегических задач.

По пред- и послепродажному обслуживанию

Кроме цены покупки есть еще такая статья расходов, как затраты на продление лицензии использования ПО и техподдержку. 

DLP-системы могут требовать дополнительное внимание со стороны покупателя, и, чтобы использование и решение оперативных проблем осуществлялось своевременно, необходимо учесть эту статью расходов.

Предприятия каких сфер обязаны устанавливать системы DLP

Пока что регуляторы ни на международном, ни на внутригосударственном уровне не обязывают установку DLP-систем. Это решение абсолютно самостоятельное, к тому же полностью ложится на плечи предприятия, дополнительных субсидий и налоговых льгот не предусмотрено. Однако применение DLP можно смело рекомендовать для сфер, где используется большое количество чувствительной и конфиденциальной информации. К таким сферам можно отнести:

• банковские и страховые учреждения, торговые биржи и так далее (имеют большой объем чувствительных данных, которые постоянно меняются и влияют на эффективность работы организации);
• организации госсектора (участвуют в ведущих процессах общества и государства, обладают большим объемом конфиденциальной персональной информации о гражданах);
• промышленные предприятия критического назначения, предприятия с высоким уровнем секретности производства, применяющее опасные и вредные вещества в производстве; процессы работы которых напрямую влияют на общество и его функционирование;
• предприятия информационного обеспечения общества (телекоммуникации, СМИ, социальные сети и платформы);
• разработчики программного обеспечения;
• транспорт, логистика и сопутствующая инфраструктура;
• компании с высоким уровнем конкуренции на рынке;
• компании, работающие с высокоинтеллектуальными технологиями, ноу-хау, патентами и так далее.

Как видим, список достаточно объемный. Однако это не значит, что другим компаниям и организациям не стоит задумываться об установке DLP-систем. В современном цифровом мире почти любое предприятие имеет потребность в защите информации внутри компании, независимо от своего размера и производственного назначения. 

Практические проблемы, которые решает DLP-система

DLP-системы реализуют осознанную практическую помощь компаниям и решают конкретные задачи в контуре безопасности информации. На примере кейсов компании Falcongaze рассмотрим решенные задачи.

1. Выявление неэффективных сотрудников;
2. Выявление финансовых махинаций;
3. Выявление мошенничества в частной школе;
4. Выявление и предотвращение утечки информации о промо-акциях компании;
5. Предотвращение слива данных о клиентах компании;
6. Мошенничество с ремонтом оборудования;
7. Слив входящих лидов конкуренту;
8. Выявление сотрудников-фрилансеров;
9. Выявление нарушения рабочего распорядка на удаленке и другие примеры.

Подробнее о кейсах можно прочитать на сайте.

Вредные советы при выборе DLP

Кроме полезных советов, предлагаем несколько вредных советов в выборе DLP-системы, которыми лучше не руководствоваться. 

1. Выбирайте решение вендора DLP-системы, который предлагает покупку ПО без бесплатного тестового периода, дает возможность поюзать продукт вашим сотрудникам только после оплаты и настаивает на крайне сложном процессе имплементации и настройках. 
2. Правильная  DLP-система обязательно требует покупки дополнительного оборудования и мощностей, требует большого периода на установку и отладку, поддерживается в работоспособном состоянии большим штатом сотрудников ИБ.
3. Современная  DLP-система обязывает сотрудников приходить в офис и работать только на своем компьютере, где установлено ПО для мониторинга. Никакой удаленки, это небезопасно и исключает использование DLP.
4. Грамотный разработчик позаботится о своем продукте. Он слишком ценен, чтобы оставаться в руках пользователя после окончания лицензии. Ни секунды больше, все сразу необходимо удалить.