Эксперты единодушны во мнении о благоприятных перспективах развития систем предотвращения утечек информации (Data Loss Prevention, DLP). О западном опыте использования DLP-решений рассказывает Жанлука Д?Антонио, ведущий офицер информационной безопасности
Что движет компанией, которая внедряет у себя DLP-решения? Насколько глубоко ее руководители должны проникнуться идеей защиты корпоративной информации?
Наша компания сейчас находится на четвертом уровне зрелости ИТ в соответствии с моделью Gartner. Это значит, что организацией достигнут определенный уровень понимания важности анализа и оценки технологических рисков. Например, мы инвестировали средства в создание двух ЦОД, в которых сосредоточена большая часть приложений для поддержки бизнес-процессов, раньше рассредоточенных по различным странам, где присутствует наша компания. Это отражает новый уровень понимания рисков и угроз. Иными словами, наш уровень зрелости характеризуется пониманием важности защиты информации от угроз в рамках не только департамента информационной безопасности, но и компании в целом.
Осознать важность проблемы утечки данных мы смогли благодаря действиям собственных сотрудников. За четыре года существования нашего подразделения мы разработали новую политику обеспечения безопасности и управления данными, новую архитектуру мониторинга и реестр событий. На сегодняшний день у нас в Испании 800 серверов с установленными в них программными агентами мониторинга. Мы собираем данные обо всех событиях, имеющих отношение к информационной безопасности компании, и анализируем их на предмет возможных вторжений, атак и любых других действий, которые могут представлять угрозу для корпоративной системы. После того как были разработаны политики и регламенты информационной безопасности, наступило понимание, что пришло время внедрять систему DLP. Ее развертывание — это следующий после защиты периметра шаг в управлении рисками.
Как удалось преодолеть сопротивление персонала, ведь DLP-агенты, очевидно, будут следить за их действиями?
Действительно, все было не так просто. Связанные с человеческим фактором проблемы возникли с самого начала. Когда мы стали устанавливать DLP-агенты у руководителей профильных подразделений, их реакция была крайне негативной — они противились тому, чтобы за их действиями кто-то следил. Но на нашей стороне был совет директоров, который принял решение о внедрении DLP-систем во всей компании. Более того, масштабное внедрение DLP-агентов началось как раз именно с высшего руководства компании. На мой взгляд, это было единственно правильное решение для того, чтобы никто потом не жаловался и не саботировал внедрение. Питер Друкер, отец современного менеджмента, в свое время писал, что культура современного предприятия начинается сверху.
Мы считаем, что важно следить за жизненным циклом информации, начиная с момента, когда она зарождается либо поступает внутрь организации, включая все точки, по которым она проходит, и заканчивая моментом, когда она покидает пределы организации либо уничтожается. Для анализа этой информации очень важно поддерживать тесные связи с бизнес-единицами организации. Важно, чтобы именно бизнес определил правила, а я могу их только реализовать техническими средствами.
В обеспечение информационной безопасности вовлечены очень многие службы и специалисты: генеральный директор, представители бизнес-подразделений, ИТ-специалисты, юристы и пр. Так кто же в компании должен за нее отвечать?
Ну конечно же, ответственность несет совет директоров или правление, смотря кто выше. Несколько лет назад в нашей компании был создан комитет по управлению техническими вопросами, в который входят президент компании и все директора, включая ИТ-директора и директора по информационной безопасности (хотя ни CIO, ни CSO не входят в совет директоров). Этот комитет — высший орган нашей компании, уполномоченный принимать решения в области стратегии развития технологий и безопасности.