DLP решения и риски при выборе системы

Попробуем разобраться, что приносят с собой в компанию DLP решения при внедрении, и как не ошибиться руководителям перед установкой собственной системы контроля сотрудников и принять контроль благоразумно.

Цель DLP решений – работать на опережение и прогнозировать возможные внутренние угрозы и риски. Эта система контролирует локальную инфраструктуру. То есть их ключевая задача – это прежде всего предотвращение возможных проблем, утечки данных.

Предупреждение угроз, а не анализ работы сотрудников.
Современные DLP системы анализируют трафик между компьютерами локальной сети и исходящий интернет трафик. Анализируемые данные сохраняются какое-то время, если вдруг возникнет необходимость разбора возможных неприятностей службой безопасности. То есть первичная задача таких систем – предотвращение возможных утечек информации.

Больше возможностей – больше рисков

Стандартные модули DLP агрегируют данные и ограничивают действия сотрудников на компьютере, если это требуется в компании. Они умеют собирать подробную информацию о работе персонала: прослушивать микрофон, подключаться к видеокамере, видеть мониторы и управлять мышкой, учитывать нажатия всех клавиш (кейлогер), считывать или копировать информацию с флешек или других накопителей и многое другое. Дополнительный функционал DLP — это вторичная задача контроля.

При стремлении использовать больше модулей для контроля — «на всякий случай», «аби було» (укр.) — вы приобретаете глобальную систему сбора персональных данных, которую требуется сохранять и защищать от вмешательств или утечки.

Получается, что покупая DLP решения для защиты от утечек корпоративной информации, вы обязаны защититься от утечек собранных персональных данных сотрудников и накопленной конфиденциальной информации. Данные необходимо будет защищать от собственных сотрудников и от влияния извне.

Нужно понимать, что в DLP есть ответы на все вопросы в работе сотрудников за компьютером: Кто? Что? Когда? Куда? Как? Таким образом, приобретая DLP систему, мы также приобретаем больше рисков, чем не пользуясь ею вовсе.

dlp риски

Выбор DLP решения – это ответственность руководителя

Принимая решение о внедрении такого рода системы в компании, руководителям сперва стоит задуматься и проанализировать собственные потребности контроля, цели, и самое главное — возможные риски.

В компаниях подбором таких систем занимается техническая служба: руководитель дает задачу контроля, а сотрудники подбирают варианты систем, предложения, цены, возможности. Но! Айтишники оценивают будущую систему со стороны функционала (чем больше, тем лучше), но никак не со стороны будущих рисков для руководителей и компании в целом. Вся ответственность все равно ложится на руководителя компании.

В свою очередь, руководителю будет полезно осознать свои потребности контроля и решить их более легким, простым путем, без сбора конфиденциальной информации и вмешательств со стороны сотрудников.

Мы уже говорили об альтернативных вариантах DLP систем для руководителей, и сделали вывод, что выполнять контроль более простым путем может оказаться более выгодным решением.

Осознанность при выборе DLP решения

Напомним ключевые моменты, на которые стоит обратить внимание руководителям перед реализацией подобных систем.

Обязательная сертификация DLP решения
Программное обеспечение такого типа требует обязательной сертификации регуляторами (например, ФСТЄК в России или Укрэкспертиза в Украине).

Долгое внедрение
Начать контроль сразу после покупки не получится. Реализация может занимать от 21 дня до двух месяцев, в зависимости от масштаба компании.

Контроль со стороны госорганов
Согласно законодательным требованиям относительно надлежащего хранения накопленной конфиденциальной информации, для государственных учреждений использование не сертифицированных DLP-систем вовсе недопустимо.

Большая стоимость
Это дорогое удовольствие. Срок окупаемости такой системы после внедрения очень большой.

Неудобство для руководителей
Ключевая информация для руководителя часто спрятана в разнообразных отчетах системы. Эти отчеты довольно сложные и их тяжело анализировать.

Затраты на администрирование системы
Добавляется большая часть работы для вашей технической IT-службы компании.

Обучение работы с системой
Возникает потребность в обучении и наличии квалификации при работе с системой.

Собственная служба безопасности
Быстрое реагирование на срабатывание или предупреждения системы обеспечивается отдельной службой безопасности.

Квалификация наблюдателей
Надежный, но не имеющий квалификации или технических навыков сотрудник не сможет работать с системой без обучения или желания обучаться.

Доверие к персоналу IT службы
В любом случае доступ к накопленным данным в DLP имеет место. Потребуется тщательный подбор и проверка такого персонала.

Опыт западных компаний

Работает принцип: где есть работа с важными данными, там нет доступных коммуникаций. Отключен интернет, телефон, нет мессенджеров, нет возможности подключить USB устройства.

В компаниях организуется изолированная рабочая среда, где человек ограничен в возможностях копирования или передачи данных. Отсутствуют и его личные возможности в коммуникациях во время рабочего дня, он не может принять звонок на собственный мобильный или осуществить звонок. Телефоны в начале рабочего дня складываются в ячейку сотрудника вместе с другими устройствами. Даже часы, ведь они уже умеют звонить, фотографировать, записывать звук и много другое.

Работа в такой среде требует от человека немалой дисциплины и цельности. Не каждый сможет работать в такой обстановке, учитывая частое желание отвлечься на социальные сети и мессенджеры в нынешнюю эпоху коммуникаций.

Такой подход к защите корпоративных данных от утечек заставляет задуматься.

Поэтому лучшим подходом руководителя к DLP системам будет трезвая оценка собственных потребностей контроля и тех рисков, которые могут принести различные функции наблюдения. Посмотрите на предложенные возможности системы, чтобы это не стало просто желанием и очередной дыркой в безопасности и бюджете вашей компании.

Leave a Reply

Вход в личный кабинет

Авторизуйтесь для просмотра статистики работы

©InspectSystem 2020

 

Создание аккаунта

Для установки программы и начала сбора статистики

©InspectSystem 2020