Как довести проект по информационной безопасности до...
TRANSCRIPT
Специальность «компьютерная безопасность»
В ИБ более 10 лет
C 2008 года – в банковском секторе
С 2010 года – руководитель ИБ-подразделения Финансовой Группы, руководитель ИБ-проектов
Автор публикаций, статей, комментариев в СМИ
Мария ВороноваВедущий эксперт InfoWatch
Пара слов о себе
О чем будем говорить? О DLP!
Как об инструменте комплексного процесса защиты от утечек и внутренних угроз
• Опыт обоснования проекта – как это бывает
• Почему внедрения только инструментария без
сопутствующих процедур недостаточно?
• А что говорит на эту тему Gartner?
• Что надо сделать для максимально эффективного
использования DLP и решения бизнес-задач и целей?
• Какие задачи должны быть решены на этапе подготовки?
• Количественная оценка рисков утечки
ИнфоБезопасник
О чем мы говорим, когда говорим о DLP?
Отлично!Это же контроль
информационных потоков!
Информационная безопасность
Безопасник
О чем мы говорим, когда говорим о DLP?
О, возможность контроля за сотрудниками!!
Служба безопасности
Рисковик (продвинутый)
О чем мы говорим, когда говорим о DLP?
Снижение операционных рисков за счет снижения
вероятности утечек и мошенничества
Риски
Топ-менеджер
О чем мы говорим, когда говорим о DLP?
Это что такое? Сколько стоит?
СКОЛЬКО-СКОЛЬКО????
Руководство
Понимание необходимости
Как приходят к необходимости применения DLP
Понимание рисков
Случались инциденты («пожары», которые надо было тушить»)
Compliance
Взгляд на конкурентов
Уровень зрелости и стратегия развития
Понимание необходимости
Как пришла финансовая группа?
1. Интуитивно ощущали проблему: то тут, то там были «звоночки»
2. Требовал уровень зрелости ИБ – все что могли сделать без крупных финансовых затрат, уже было сделано. Ручной контроль – утопия для масштаба в 20 000 сотрудников
3. Нужен был ИБ проект
…и в конечном итоге понятный всем, в том числе руководству
ИМИДЖЕВЫЙ ПРОЕКТ
СтартС чего же начать?
• Цели• KPI • Бюджет• План• Риски и ограничения
А бюджет возможен только инвестиционный, собственного не имеем Надо его получить!
Проект
Защита проектаО чем говорилось на
защите?
• Рост утечек по рынку (графики, таблички)
Приводили статистику
• Нет возможности выявлять утечки• Об инцидентах узнаем от третьих лиц• Отсутствие механизмов
расследования
Говорили о проблемах
Зато о гипотетических рисках - много
Защита проекта
• Снижение числа новых и отток существующих клиентов • Переманивание клиентов за счет утечки клиентской информации в
другие компании/банки• Падение лояльности клиентов• Снижение репутации• Потеря конкурентных и имиджевых преимуществ вследствие утечки
конфиденциальной информации в СМИ и Интернет• Потеря доверия поставщиков и партнеров• Судебные разбирательства• Санкции контролирующих органов (планируется увеличение
штрафов за разглашение/утечку персональных данных вплоть до 1% от общегодового заработка компании за один инцидент)
• Необходимость затрат на устранение последствий
Опыт Gartner
*из материала Gartner «Anticipate and Overcome the Five Key Obstacles to Success in Content-Aware DLP Deployments» (24 March 2014)
«К 2017-му году 80% внедрений DLP-решений окажутся провальными с точки зрения получения выгоды и преимуществ для бизнеса из-за неправильного управления проектом, планирования и распределения ресурсов».*
Gartner
«Я всего лишь помогаю вам сохранить ваши деньги» (с)
Комментарий Gartner
Не хватает понимания, что конкретно, а главное – «зачем» нужно будет защищать
Не хватает вовлеченности бизнеса и бизнес-целей в проекте
Оценка рисков должна быть в том числе и количественной
Процесс надо прорабатывать более детально
Анализ «постфактум»Анализ
Было решено запустить исследовательский этап проекта или фазу 1 «Исследование»
Срок – 4 месяца
Глобальная цель – сбор информации, достаточной для принятия руководством решения о необходимости внедрения процесса защиты от утечек внутри компании
Что имеется в виду под конфиденциальной и чувствительной информацией?
Какая информация нуждается в защите?
Какие информационные потоки существуют в компании?
Какие сценарии утечек информации применимы к компании?
Какие риски существуют?
Надо ли защищать и контролировать? Каким образом?
Фаза 1 ИССЛЕДОВАНИЕ
Анализ
Получить ответы на вопросы
Задачи исследовательской части
проекта
Исследование
Сбор, описание, ранжирование существующих проблем:• Детальное исследование области внедрения процесса
по защите от утечек (бизнес-процессы, в рамках которых необходимо обеспечить контроль использования конфиденциальной информации),
• Идентификация активов (информация, документы, сотрудники и т. п.), участвующих в обработке.
• Определение допустимых сценариев работы с критичной конфиденциальной информацией
Выявление фактов утечек:• Проведение «пилота» DLP-решения
Определены и категоризированы активы, которые нуждаются в защите (конфиденциальная информация, коммерческая тайна, чувствительная информация)
Выявлены основные каналы и области, подверженные утечкам конфиденциальной информации
Проведена оценка рисков утечки конфиденциальной информации
Спроектирована и согласована командой проекта концепция защиты от утечек конфиденциальной информации
Цели
Исследование
Реализация целейКоманда проекта
• Информационная безопасность
• Внешний контрагент • Опер. риски• ИТ-подразделения
(опционально)• Подразделения
безопасности (опционально)
Аудит
1. Анализ бизнес-процессов на предмет выявления информационных активов:• Выделение ключевых бизнес-подразделений• Проведение интервьюирования (2-5 интервью по
каждому направлению)
2. Анализ ИТ-систем и инфраструктуры на предмет определения информационных потоков:• Высокоуровневое представление о системах• Понимание данных, которые в них обрабатываются• Ролевая модель в системах• Разграничение привилегий в целом
Анализ активов
• Выделение категорий информационных активов• Оценка ценности каждой категории• Оценка вероятности утечки (экспертно)• Определение первоприоритетных областей
Важно!
1. Проводить оценки ценности совместно со стейкхолдерами бизнеса
2. Категории должны быть четкими и понятными
Оценка рисков
Оценка рисков
Качественная Количественная
Расчет потенциальных потерь в денежном эквиваленте
Высокий/средний/низкий
Количественная оценка рисков
УЩЕРБ – в ДЕНЬГИ
(!) Нужны факты реальных собственных инцидентов
Результаты пилотов
Что-то случалось
Утечка клиентских данныхПример расчета
Количественная оценка рисков
1. Оценить стоимость клиентских данных (% доход + не% доход + затраты на привлечение клиента
2. Сделать выборки по реальным инцидентам3. Ввести гипотезу – «утечка с целью переманивания
клиентов»4. Отследить отток клиентов (срезы 3, 6, 9 и 12 месяцев)5. Оценить возможную конверсию, подкрепить данными
о реальном уходе6. Рассчитать убытки по реальным инцидентам исходя из
стоимости клиентов7. Произвести масштабирование
Защита проектаАргументы
1. Мы знаем наши данные: понимаем что и где хранится, как обрабатывается и
перемещается, кто имеет доступ
2. Мы понимаем ценность наших данных ценность данных и потенциальный ущерб от утечки рассчитаны вместе с бизнесом
3. Точно знаем, что хотим от процесса защиты от утечек (и от DLP-системы как части процесса)
4. Разработаны мероприятия по реагированию на инциденты, продуманы и согласованы варианты взаимодействия
Как представлять проект?
Схема защиты ИБ-проекта
5. Перейти к «избавлению от проблем»Что надо сделать Сколько это будет стоить
4. Подкрепить информацией «а что с проблемой делают конкуренты»
3. Подкрепить «комплайнсом» (если он есть)
2. Рассказать об ущербе (потенциальном ущербе)Количественная оценка Косвенный ущерб
1. Сообщить о проблеме Побольше фактов Конкретика, реальные примеры
Монетизация
Самое важное – донести мысль, что «вложив 10
рублей, мы сможем сохранить 100 рублей» за счет снижения рисков возникновения ущерба
P.S.
• Снижение рисков и недопущение потерь• Оптимизация внутренних процессов• Контроль качества бизнес-процессов
ИБ может зарабатывать деньги!
Спасибо за внимание!
Мария ВороноваВедущий эксперт по информационной безопасности компании InfoWatch