Контакты
Подписка 2024

"Открытый контроль" как профилактика утечек информации. Что предлагают DLP?

Алексей Дрозд, 04/09/24

Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.

Автор: Алексей Дрозд, начальник отдела ИБ “СёрчИнформ”

Осведомленность персонала об угрозах и правилах ИБ снижает количество случайных инцидентов, а тренинги и учения – это хорошая мера ИБ-ликбеза, хотя и ресурсозатратная. Повышать киберграмотность можно и в "фоновом" режиме, и эту задачу решают привычные автоматизированные средства защиты данных, такие как DLP-система. Какие инструменты для этого пригодятся?

Почему DLP

Основная задача DLP-систем – предотвращать утечки информации. С этой целью они мониторят каналы передачи информации и все действия сотрудников за ПК. Собирают много разнообразных данных: фиксируют все передаваемые сообщения, отправляемые письма, запускаемые программы и сайты и пр., данные о нажатиях клавиатуры, фото экрана или с веб-камеры и т.д. Часть действий сотрудников система может блокировать. Информация о реакциях DLP может быть полезна сотрудникам, чтобы на реальных примерах обучить их правилам ИБ.

За уведомления о работе DLP отвечает пользовательский интерфейс системы на ПК сотрудников, или, как его называют разработчики, GUI – Graphic User Interface. Это не самый распространенный в DLP инструмент: в России традиционно системы использовали в "закрытом" режиме, ограничиваясь документальным уведомлением коллектива о применении средств защиты. Использование же GUI в рамках "открытого контроля" означает, что сотрудники воочию увидят, что о них знает отдел ИБ, какие процессы под контролем, а главное – что можно и нельзя.

Таким образом, "открытый" подход решает сразу несколько задач для укрепления ИБ в компании. Во-первых, это постоянно напоминает пользователям, что контроль есть. Во-вторых, предупреждает об опасностях и потенциальных нарушениях. В-третьих, позволяет вовлекать их в процесс защиты информации: например, самостоятельно оценивать, насколько оправдан риск отправки конфиденциального документа за пределы компании, правда ли для выполнения задачи нужно подключить сомнительную флешку и т.д.

На примере DLP "СёрчИнформ КИБ" покажу, как это работает.

Что видит сотрудник

"СёрчИнформ КИБ" в открытом режиме выводит на ПК пользователя окно, в котором отображается список доступных устройств и сетевых папок с документами, а также уведомления о блокировках доступа. Эти уведомления можно кастомизировать, от стандартного "доступ запрещен" до подробного объяснения, почему. Например, стандартную "ошибку" при невозможности открыть документ можно заменить попапом с пояснением, что действия пользователя нарушают корпоративные политики безопасности. Это понятное и регулярное напоминание о правилах информационной безопасности.

GUI_1
Рис. 1. Пример уведомления о блокировке доступа к файлу

Еще в GUI "СёрчИнформ КИБ" можно включить визуализацию трекинга рабочего времени. На графической шкале видно, когда пользователь активно работал за ПК, а когда система зафиксировала простои (таковыми по умолчанию считается отсутствие действий с клавиатурой и мышью дольше двух минут, можно настроить исключения, например на время видеосозвонов). Это дисциплинирует. Так как напоминание перед глазами постоянно, пользователи будут объективно видеть, если с продуктивностью есть проблемы, и подтягивать "хромающие" показатели.

GUI_2
Рис. 2. Пример пользовательского запроса доступа к устройству

Большую часть времени GUI проводит в "спящем" режиме в строке состояния, вызывается по клику, но срочные оповещения всплывают в виде поп-апов. Впрочем, отображение гибко настраивается. Таким образом, при всей наглядности DLP не мешает обычной работе сотрудников.

Что получает ИБ-отдел

Известен так называемый хотторнский эффект, когда сотрудники, узнав о том, что их контролируют, начинали работать интенсивнее и продуктивнее. Таким же образом люди будут серьезней относиться к правилам ИБ, зная, что их постоянно проверяют.

Еще один плюс открытого контроля – возможность "подружить" бизнес с безопасностью. Сотрудники заняты в массе разных операционных процессов – создать универсальные политики ИБ, чтобы учесть их все, так же сложно, как настраивать бесконечные исключения в каждом спорном случае. GUI позволяет найти баланс и управлять защитой проще и гибче.

В "СёрчИнформ КИБ" достаточно один раз настроить "широкие" запреты, а исключения создавать в реальном времени по ситуации. Через GUI сотрудник может сформировать запрос временного доступа, например, к нужной директории или флешке, добавив обоснование: скажем, "нужно скинуть файлы в рамках срочной задачи". Причину и необходимое время доступа нужно будет указать для каждого случая. Это стимулирует пользователей внимательнее оценивать свои действия за ПК или, по крайней мере, обращаться за такой оценкой к компетентным специалистам – в ИБ-отдел.

Возможность сотрудников объяснить свои действия и оперативно "поспорить" с блокировкой уберегает от нежелательных задержек бизнес-процессов. А служба ИБ всегда в курсе потенциально опасных ситуаций и может вмешаться, если что-то идет не так. За действиями сотрудника, когда доступ предоставлен, можно настроить дополнительный контроль и отозвать разрешение, как только он совершит что-то нелегитимное. Это хорошая подстраховка.

Получается прямой "канал связи" между службой ИБ и коллективом. Сотрудники вовлечены в процессы защиты данных, что закрепляет их ИБ-навыки и ответственное отношение к информации. Снижается число инцидентов "по незнанию", а если пользователь проигнорировал предупреждения системы, стал настойчиво искать пути обхода – это служит подтверждением того, что нарушение было намеренным. В перспективе открытый контроль разгрузит службу ИБ, поэтому в дальнейшем придется реже разбираться со случайными ошибками пользователей.

Выводы

ИБ-ликбез, по крайней мере, дает понять сотрудникам: защита данных – это серьезно. Информация – такой же актив компании, как производимый продукт, реализуемый товар или оказываемая услуга, если не дороже. Автоматизация встраивает обучение правилам ИБ в ежедневную рутину, превращает теоретические знания в практический навык. Ведь людям придется вникать, а не действовать "на автопилоте": система требует от пользователей осознанного принятия решений.

Конечно, теоретическая база, те самые лекции и тренинги по ИБ нужны, как и знакомство сотрудников с действующими в компании регламентами. Но инструменты открытого контроля в DLP облегчают работу ИБ-специалистам, закрепляя у сотрудников "пройденный материал" по киберграмотности.

Попробуйте преимущества открытого контроля с "СёрчИнформ КИБ" – бесплатно на 30 дней.

Темы:DLPКИБСерчинформЖурнал "Информационная безопасность" №3, 2024Security Awareness

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...