Защита от утечек и контроль человеческого фактора — важные задачи информационной безопасности, их решают DLP-системы. Но не у каждой ИБ-службы достаточно ресурсов, свободных «рук» и времени, чтобы качественно их использовать. Разберемся, спасет ли здесь аутсорсинг или стоит решать вопрос своими силами.
Информационная безопасность бизнеса — это не только про киберриски. Растет приоритет защиты от внутренних угроз, ведь сотрудники провоцируют до 60% опасных ИБ-инцидентов. При этом только треть компаний использует специальные защитные решения — например, DLP-системы, которые защищают от утечек информации и других инцидентов по вине человеческого фактора. Да и те, кто использует, в 49% случаев жалуются на отсутствие свободных «рук» для полноценной работы с ПО.
В качестве решения проблемы на рынке появился аутсорсинг внутренней безопасности, когда с DLP работают приглашенные специалисты вне штата. Аналитики удаленно подключаются к системе, установленной в компании, мониторят происходящее в коллективе и сообщают об инцидентах. Некоторые провайдеры вдобавок предлагают полное техобслуживание систем, вплоть до развертывания на облачном ресурсе.
Но можно ли таким образом действительно защититься от угроз, и какова вероятность, что аутсорсер не упустит важного из-за незнания внутренней кухни компании? Рассмотрим плюсы и минусы работы аутсорсеров и традиционных служб ИБ в бизнесе, сравним подходы и постараемся решить, что работает лучше.
ИБ своими руками
Сначала поговорим о плюсах штатной ИБ-службы.
Интеграция в структуру компании и ясное понимание внутреннего климата
Неоспоримое преимущество штатных специалистов по информационной безопасности. Во-первых, это дает возможность легко ориентироваться в бизнес-процессах и учитывать корпоративные особенности при построении политик безопасности. Им видны тонкие места, где необходимо усилить контроль — и DLP с первого включения станет инструментом упреждения существующих проблем, а не только средством их поиска. Во-вторых, они знают коллег, в курсе расстановки сил в топ-менеджменте и среди линейных руководителей, чувствуют настроения в коллективе. Это помогает составить представление о группах риска — например, способных на саботаж, недовольных, готовых мстить за обиды, потенциально нечистых на руку сотрудников.
Мультифункциональность
Постоянная включенность в жизнь компании позволяет одновременно решать несколько задач. Отдел ИБ может совместить функции служб собственной, экономической, кадровой безопасности, но только если хорошо укомплектован и оснащен технически. DLP-системы в этом случае помогут контролировать риски, не связанные напрямую с защитой данных: современные решения это умеют благодаря инструментам глубокой аналитики.
Кроме того, у штатных специалистов есть возможность привлекать дополнительные источники информации. Например, собирать доказательства из систем видеонаблюдения и СКУД, подключать очные методы расследования вроде опросных бесед, находить зацепки в разговорах «в курилке».
Самостоятельность в принятии решений
Получив из DLP фактуру об инциденте и установив нарушителей, внутренние специалисты могут сразу действовать: инициировать служебную проверку, провести расследование и наказать виновников. Особенно это заметно в компаниях, где руководство оставляет за службой безопасности последнее слово в кадровых вопросах. Кроме того, на основе собранной фактуры можно тут же сделать выводы и провести ИБ-ликбез или полноценные ИБ-учения в коллективе.
Штатный отдел сам разрабатывает и внедряет правила безопасности в компании, так проще отслеживать нарушения и разбираться с последствиями. А еще «свои» спецы напрямую взаимодействуют с регуляторами: благодаря этому компания оперативнее отреагирует на новые требования, предоставит необходимые отчеты, а найдись огрехи — устранит по горячим следам.
Но у всего есть обратная сторона. Будучи частью корпоративной среды, внутренние службы рискуют стать «заложниками» собственной компании — в разных аспектах, начиная от размера бюджетов и заканчивая постановкой задач. Рассмотрим основные проблемы, которые могут встать на пути.
Перегрузка и неверные приоритеты
Это в идеале безопасность — один из ключевых приоритетов бизнеса. Но порой, особенно в небольших компаниях, вопросы продвижения на рынке стоят острее и руководство не готово отвлекать оттуда ресурсы в пользу усиления защиты. В результате 75% ИБ-специалистов считают, что их компании недостаточно защищены. Как показал опрос «СёрчИнформ», почти половина недоукомплектованы кадрами, 22% нуждаются в обновлении технического арсенала, 14,5% испытывают проблемы и с тем, и с другим. Но когда обеспечивать безопасность некому или нечем, бизнес сталкивается с проблемами. Ситуация патовая: руководство не может удовлетворить запросы специалистов по безопасности, но требует по полной — а те не могут выдать результат.
То же произойдет, если специалисты перегружены разноплановыми задачами. Идея совместить в одном отделе все направления безопасности — здравая, но в меру. Если людей не хватает, есть риск, что ни одна из задач не будет выполняться достаточно качественно.
«Бумажная» безопасность
Конечно, без проработанных и грамотно оформленных правил безопасности в компании даже продвинутая защитная система не отработает на максимум. Но разработка такого регламента, да и любые действия в его рамках в дальнейшем (и служебные расследования, и назначение наказаний) — большая бумажная работа. Иногда такой подход — прямое требование руководства, он имеет право на жизнь. Но обратная сторона в том, что в итоге могут упасть скорости расследования и реакции на инциденты. Если ИБ-специалисты постоянно заняты бумагами, то не смогут выделить достаточно сил собственно на расследование и рискуют за формальными процедурами упустить важные детали.
«Расслабляющая» рутина
Опыт показывает, что громкие инциденты, требующие незамедлительной реакции, происходят не каждый день. Чаще работа ИБ-специалиста — это рутинный мониторинг. И отсутствие остросюжетных детективов может создать ложное впечатление, будто опасностей нет. Немало случаев, когда в такой ситуации СБ «расслаблялась» и полностью полагалась на DLP: машина легко справляется с поиском нарушений по настроенным политикам безопасности, фактуру об активности пользователей собирает автономно. И хорошо, если система оснащена мощными аналитическими инструментами — выявит даже сложные инциденты. Но не все DLP на это способны. К тому же мало собрать оповещения о нарушениях. Если не работать с системой прицельно, можно упустить важные детали: обстоятельства, сопутствующие события, неявных участников. А знания об этом порой необходимы, чтобы предотвратить инцидент на ранней стадии, раскрыть мошенническую схему или собрать «железные» доказательства против виновников.
Квалифицированная помощь
ИБ-аутсорсинг бывает разный. Отнести к нему можно, например, консалтинг, когда приглашенные специалисты исследуют компанию на уязвимости, указывают на слабые места и рекомендуют, как усилить защиту. Или «пробивы», когда внештатникам ставят задачу проверить конкурента или потенциального партнера. Даже задачи вроде профилирования сотрудников и привлечения детективов для ретроспективного расследования инцидентов. Работу по каждому из этих направлений — а то и по всем вместе, в зависимости от запросов — облегчают DLP-системы. Поэтому аутсорсинг ИБ, который предполагает мониторинг рисков с помощью DLP, может стать универсальным решением.
Разберем, когда он особенно полезен и чем хорош:
Экономия ресурсов
Провайдеры предлагают услуги аналитиков, которые будут работать с данными из DLP, установленной в компании. Нередко бизнес охотнее решается на такой вариант, чем соглашается расширить СБ. Особенно это заметно в компаниях, где выделенных специалистов нет и вопросами информационной безопасности в довесок к основным обязанностям занимается, скажем, IT-отдел.
Даже если ИБ-отдел в компании есть, но загружен другими задачами, или сотрудники не работали раньше с DLP, работа аутсорсера может стать «наглядным пособием», как эффективно пользоваться системой. Таким образом, это еще и вложение в повышение квалификации штатных специалистов.
Во-вторых, услуга позволяет на время арендовать DLP-систему, в краткосрочной перспективе это дешевле, чем покупать ПО. Это выгодно, если нет уверенности в необходимости внедрения DLP или нужно «провести быструю диагностику» информационной безопасности в компании. Если контролировать нужно сравнительно небольшой парк рабочих станций, можно не тратиться даже на железо — на рынке есть SAAS-решения, когда дата-центр системы разворачивают в облаке.
Беспристрастный взгляд
Аутсорсеры работают в отрыве от штата, и это ограничивает их в средствах — есть только DLP, а в ней безликий перечень имен и устройств. В то же время это сводит на нет человеческий фактор. Приглашенный аналитик не будет опираться на личные суждения, симпатии и антипатии, а только на голые факты. Даже там, где важно иметь в виду особенности характера или взаимоотношений сотрудников, хватит данных из DLP: анализ связей пользователей или автоматизированное профилирование помогут аутсорсеру сориентироваться. Дополнительный плюс — внештатникам можно доверить контроль за привилегированными пользователями, чьи данные обычно предпочитают закрывать даже от собственной службы безопасности. Это актуально, ведь руководители и сотрудники с широким доступом к конфиденциальной информации провоцируют более четверти инцидентов.
Контроль нон-стоп и полная прозрачность
Аутсорсер будет удаленно работать с системой, по заранее оговоренному графику слать отчеты: сообщать о нарушениях или указывать на подозрительное поведение сотрудников, даже если инцидента не произошло. В экстренных случаях свяжется с заказчиком незамедлительно. Но кроме этого представитель компании — руководитель, ИБ-специалист или просто ответственный куратор — сможет наблюдать за всеми действиями аналитика в DLP (онлайн или через логи), управлять его доступом и даже работать параллельно.
К тому же свою работу аутсорсер будет выполнять вне зависимости от обстоятельств. Даже если персональный аналитик заболел или ушел в отпуск, провайдер обязан будет найти ему замену, чтобы контроль в компании, с которой заключен договор, не проседал.
При этом аутсорсинг — не лекарство от всех болезней. Взять услугу аналитика и забыть о вопросах ИБ не получится, и на то есть причины. Но обо всем подробнее.
Требовательный старт
Компания заказчика для аутсорсера чужая. Без четких директив на старте, как все работает и что контролировать, есть риск не уследить за критичными процессами. Поэтому перед началом работы придется провести для аутсорсера экскурс в структуру, бизнес-процессы, особенности компании. Предоставить всю информацию, какие данные — конфиденциальные, кто вправе ими распоряжаться, а кто нет. Компании придется подготовиться, чтобы быстро ввести аналитика в курс дела.
То же касается постановки задач. На предварительном этапе нужно четко продумать, что компания хочет получить, и прописать это в договоре как можно подробнее. Возможно, для компании критично отслеживать грядущие увольнения или искать откатчиков — а аналитик сосредоточится на поиске утечек. Результат заказчика не удовлетворит, хотя работа будет выполнена.
Кроме того, нужно заранее описать порядок взаимодействия, уровень доступа аутсорсера к внутренним процессам и настройкам DLP. Все это большая работа, которая потребует времени и сил.
Ограниченные полномочия
Аутсорсер только предоставляет заказчику данные из DLP, отчеты о нарушениях и подозрительных событиях. Он может рекомендовать компании, как «прикрыть» тонкие места, но решение принимают в штате. Также в его задачи не входит «бумажная» безопасность и общение с регуляторами. Если на стороне компании нет ответственного, кто работает с полученной фактурой дальше, труд аналитика пройдет впустую. Особенно это важно в экстренных случаях.
Например, аналитик в режиме онлайн видит сотрудника, который получает от конкурента доступы в закрытое облако и тут же сливает туда клиентскую базу. Хорошо, если клиент заранее разрешил прямо вмешиваться в такие ситуации, чтобы предотвратить инцидент. В противном случае аналитику придется сначала связаться с заказчиком, чтобы согласовать действия — и упустить время.
Поэтому важно назначить куратора на стороне компании, который будет всегда на связи и вправе принимать оперативные решения.
Переходный этап
Как правило, ИБ-аутсорсинг — переходный этап на пути к развитию собственной ИБ-службы. При этом потребность в безопасности бизнеса — постоянная. Опыт взаимодействия с аутсорсером может быть полезен, чтобы затем выстроить защиту своими силами. Но чтобы в промежутке уровень безопасности не просел, нужно вникать в его работу и перенимать опыт. Это еще один довод в пользу того, чтобы не пускать работу приглашенных спецов на самотек.
Что в итоге?
В целом выбор стратегии и инструментов, особенно в делах внутренней безопасности, зависит от потребностей компании.
Выделенная служба безопасности нужна не всем. Когда в компании
Крупный бизнес не жалуется на недостаток ресурсов, наличие собственного ИБ-отдела в некоторых отраслях — прямая необходимость. Но и задач здесь больше. Хорошо, когда штат укомплектован специалистами, всем хватает и квалификации, и ресурсов. Но даже в этом случае дело может стать за свободным временем для работы с DLP. И больше трети ИБ-специалистов в российских компаниях видят в аутсорсинге способ решения проблемы.
А вообще, если вопрос «как защищать» встал на повестке вместо «зачем это делать», то полдела сделано. По сути неважно, выберете вы аутсорсинг или продолжите полагаться на себя, ведь когда в компании осознают необходимость, растет эффективность любой принимаемой меры. В информационной безопасности главное люди, которые ее обеспечивают, с DLP или без нее. А без их мотивации не даст результат ни одно техническое средство защиты.