Как офицер безопасности вычисляет инсайдера с помощью DLP-системы

Не знаете, можете ли доверять своим сотрудникам? Особенно тем, которые работают с конфиденциальными данными. Можете ли быть уверенным, что среди персонала нет инсайдеров, которые незаметно передают важные документы «не тем» лицам? Сегодня поговорим о том, кто такой офицер безопасности и как он может помочь в вычислении инсайдера.

Офицер безопасности – это специалист, который стоит на страже интересов бизнеса. Он защищает важную и ценную информацию компании. С помощью различного ПО он противодействует хакерским атакам и фишингу, а также выявляет инциденты информационной безопасности. На примере DLP-системы SecureTower рассмотрим, как офицер безопасности находит инсайдера внутри компании.

Для начала проясним значение термина «инсайдер». Обычно под ним подразумевается человек, который своими действиями или бездействием намеренно или ненамеренно наносит вред бизнесу.

Каждый сотрудник компании является потенциальным инсайдером. Некоторые действуют «из лучших побуждений». Например, они распечатывают конфиденциальные документы, чтобы поработать с ними дома, а потом теряют их или оставляют без присмотра в общественном месте. Некоторые излишне доверчивы по характеру – именно они чаще становятся жертвами злоумышленников, которые используют методы социальной инженерии. Конечно же, есть и те, кто намеренно крадет данные, передает их третьим лицам или использует в своих целях. Например, чтобы потом шантажировать компанию для получения денежного вознаграждения.

Как же в этом случае поможет DLP-система? SecureTower оснащена огромным количеством разнообразных инструментов для анализа активности сотрудников и обнаружения утечки данных. Вот как это происходит:

Шаг 1. Офицер безопасности создает политики безопасности, которые помогают отслеживать события, касающиеся информационной безопасности, например, перемещения важных документов, работу сотрудников с ними. Когда срабатывают политики безопасности, офицер безопасности получает уведомление. Теперь он может перейти от повседневного контроля общей активности к предметному рассмотрению инцидента.

Шаг 2. Офицер безопасности расследует инцидент. В его распоряжении есть инструменты, которые помогут:

• Провести ретроспективный анализ активности сотрудника. Эти инструменты помогают вычислить всех соучастников. С помощью SecureTower можно понять намерения сотрудника, действует ли он один, кто его сообщники, какова роль каждого в инциденте и т.д. Система показывает всю карту взаимодействий: переписку сотрудников между собой и с лицами вне корпоративной сети, пересылку важных документов, копирование этих документов на внешние носители или их печать.
• Наблюдать за текущей активностью сотрудника. В SecureTower можно настроить запись с веб-камеры, видеомониторинг и кейлоггер, чтобы отслеживать активность сотрудников, требующих повышенного внимания. Также система может делать скриншоты рабочего стола. Это дает возможность увидеть активность сотрудника в деталях и проанализировать его намерения и масштаб инцидента.

Шаг 3. Офицер безопасности создает дело внутри SecureTower, куда сохраняет все материалы, относящие к нему. Он также может оставлять в системе свои размышления по поводу происходящего.

Шаг 4. Все собранные материалы можно экспортировать из системы в электронном виде или распечатать, чтобы передать информацию руководству.

В итоге у руководства есть вся необходимая информация для принятия решения о необходимых действиях: где нужно усилить защиту и как поступить с инсайдером. В зависимости от последствий инцидента могут быть приняты различные меры: от назначения инструктажа по соблюдению информационной безопасности и коммерческой тайны до дисциплинарного взыскания или увольнения по статье. Собранные системой материалы также можно использовать в качестве доказательной базы в суде.