DLP Hero: Жизнь до DLP

Мария Воронова Ведущий эксперт по информационной безопасности

Специальность «компьютерная безопасность»

В ИБ более 10 лет

C 2008 года – в банковском секторе

С 2010 года – руководитель ИБ-подразделения Финансовой Группы, руководитель ИБ-проектов

Автор публикаций, статей, комментариев в СМИ

Мария ВороноваВедущий эксперт InfoWatch

Пара слов о себе

О чем будем говорить? О DLP!

Как об инструменте комплексного процесса защиты от утечек и внутренних угроз

• Опыт обоснования проекта – как это бывает

• Почему внедрения только инструментария без

сопутствующих процедур недостаточно?

• А что говорит на эту тему Gartner?

• Что надо сделать для максимально эффективного

использования DLP и решения бизнес-задач и целей?

• Какие задачи должны быть решены на этапе подготовки?

• Количественная оценка рисков утечки

ИнфоБезопасник

О чем мы говорим, когда говорим о DLP?

Отлично!Это же контроль

информационных потоков!

Информационная безопасность

Безопасник

О чем мы говорим, когда говорим о DLP?

О, возможность контроля за сотрудниками!!

Служба безопасности

Рисковик (продвинутый)

О чем мы говорим, когда говорим о DLP?

Снижение операционных рисков за счет снижения

вероятности утечек и мошенничества

Риски

Топ-менеджер

О чем мы говорим, когда говорим о DLP?

Это что такое? Сколько стоит?

СКОЛЬКО-СКОЛЬКО????

Руководство

Понимание необходимости

Как приходят к необходимости применения DLP

Понимание рисков

Случались инциденты («пожары», которые надо было тушить»)

Compliance

Взгляд на конкурентов

Уровень зрелости и стратегия развития

Понимание необходимости

Как пришла финансовая группа?

1. Интуитивно ощущали проблему: то тут, то там были «звоночки»

2. Требовал уровень зрелости ИБ – все что могли сделать без крупных финансовых затрат, уже было сделано. Ручной контроль – утопия для масштаба в 20 000 сотрудников

3. Нужен был ИБ проект

…и в конечном итоге понятный всем, в том числе руководству

ИМИДЖЕВЫЙ ПРОЕКТ

СтартС чего же начать?

• Цели• KPI • Бюджет• План• Риски и ограничения

А бюджет возможен только инвестиционный, собственного не имеем Надо его получить!

Проект

Защита проектаО чем говорилось на

защите?

• Рост утечек по рынку (графики, таблички)

Приводили статистику

• Нет возможности выявлять утечки• Об инцидентах узнаем от третьих лиц• Отсутствие механизмов

расследования

Говорили о проблемах

Защита проекта

О реальных проблемах - вскользь

Ну как-то так:

Зато о гипотетических рисках - много

Защита проекта

• Снижение числа новых и отток существующих клиентов • Переманивание клиентов за счет утечки клиентской информации в

другие компании/банки• Падение лояльности клиентов• Снижение репутации• Потеря конкурентных и имиджевых преимуществ вследствие утечки

конфиденциальной информации в СМИ и Интернет• Потеря доверия поставщиков и партнеров• Судебные разбирательства• Санкции контролирующих органов (планируется увеличение

штрафов за разглашение/утечку персональных данных вплоть до 1% от общегодового заработка компании за один инцидент)

• Необходимость затрат на устранение последствий

Реакция руководства

Результат

«Ну, в общем, как-то… неубедительно»

Результат: “-”

ПОЧЕМУ ЖЕ?

Давайте разбираться!

Опыт Gartner

*из материала Gartner «Anticipate and Overcome the Five Key Obstacles to Success in Content-Aware DLP Deployments» (24 March 2014)

«К 2017-му году 80% внедрений DLP-решений окажутся провальными с точки зрения получения выгоды и преимуществ для бизнеса из-за неправильного управления проектом, планирования и распределения ресурсов».*

Gartner

«Я всего лишь помогаю вам сохранить ваши деньги» (с)

Комментарий Gartner

Не хватает понимания, что конкретно, а главное – «зачем» нужно будет защищать

Не хватает вовлеченности бизнеса и бизнес-целей в проекте

Оценка рисков должна быть в том числе и количественной

Процесс надо прорабатывать более детально

ВыводНе бывает поражений, бывает

только обратная связь

Анализ «постфактум»Анализ

Было решено запустить исследовательский этап проекта или фазу 1 «Исследование»

Срок – 4 месяца

Глобальная цель – сбор информации, достаточной для принятия руководством решения о необходимости внедрения процесса защиты от утечек внутри компании

Что имеется в виду под конфиденциальной и чувствительной информацией?

Какая информация нуждается в защите?

Какие информационные потоки существуют в компании?

Какие сценарии утечек информации применимы к компании?

Какие риски существуют?

Надо ли защищать и контролировать? Каким образом?

Фаза 1 ИССЛЕДОВАНИЕ

Анализ

Получить ответы на вопросы

Задачи исследовательской части

проекта

Исследование

Сбор, описание, ранжирование существующих проблем:• Детальное исследование области внедрения процесса

по защите от утечек (бизнес-процессы, в рамках которых необходимо обеспечить контроль использования конфиденциальной информации),

• Идентификация активов (информация, документы, сотрудники и т. п.), участвующих в обработке.

• Определение допустимых сценариев работы с критичной конфиденциальной информацией

Выявление фактов утечек:• Проведение «пилота» DLP-решения

Определены и категоризированы активы, которые нуждаются в защите (конфиденциальная информация, коммерческая тайна, чувствительная информация)

Выявлены основные каналы и области, подверженные утечкам конфиденциальной информации

Проведена оценка рисков утечки конфиденциальной информации

Спроектирована и согласована командой проекта концепция защиты от утечек конфиденциальной информации

Цели

Исследование

Реализация целейКоманда проекта

• Информационная безопасность

• Внешний контрагент • Опер. риски• ИТ-подразделения

(опционально)• Подразделения

безопасности (опционально)

Аудит

1. Анализ бизнес-процессов на предмет выявления информационных активов:• Выделение ключевых бизнес-подразделений• Проведение интервьюирования (2-5 интервью по

каждому направлению)

2. Анализ ИТ-систем и инфраструктуры на предмет определения информационных потоков:• Высокоуровневое представление о системах• Понимание данных, которые в них обрабатываются• Ролевая модель в системах• Разграничение привилегий в целом

Анализ активов

• Выделение категорий информационных активов• Оценка ценности каждой категории• Оценка вероятности утечки (экспертно)• Определение первоприоритетных областей

Важно!

1. Проводить оценки ценности совместно со стейкхолдерами бизнеса

2. Категории должны быть четкими и понятными

Категоризация активов

Плохой пример

Категоризация активов

Хороший пример

Оценка рисков

Оценка рисков

Качественная Количественная

Расчет потенциальных потерь в денежном эквиваленте

Высокий/средний/низкий

Количественная оценка рисков

УЩЕРБ – в ДЕНЬГИ

(!) Нужны факты реальных собственных инцидентов

Результаты пилотов

Что-то случалось

Утечка клиентских данныхПример расчета

Количественная оценка рисков

1. Оценить стоимость клиентских данных (% доход + не% доход + затраты на привлечение клиента

2. Сделать выборки по реальным инцидентам3. Ввести гипотезу – «утечка с целью переманивания

клиентов»4. Отследить отток клиентов (срезы 3, 6, 9 и 12 месяцев)5. Оценить возможную конверсию, подкрепить данными

о реальном уходе6. Рассчитать убытки по реальным инцидентам исходя из

стоимости клиентов7. Произвести масштабирование

Защита проектаАргументы

1. Мы знаем наши данные: понимаем что и где хранится, как обрабатывается и

перемещается, кто имеет доступ

2. Мы понимаем ценность наших данных ценность данных и потенциальный ущерб от утечки рассчитаны вместе с бизнесом

3. Точно знаем, что хотим от процесса защиты от утечек (и от DLP-системы как части процесса)

4. Разработаны мероприятия по реагированию на инциденты, продуманы и согласованы варианты взаимодействия

Как представлять проект?

Схема защиты ИБ-проекта

5. Перейти к «избавлению от проблем»Что надо сделать Сколько это будет стоить

4. Подкрепить информацией «а что с проблемой делают конкуренты»

3. Подкрепить «комплайнсом» (если он есть)

2. Рассказать об ущербе (потенциальном ущербе)Количественная оценка Косвенный ущерб

1. Сообщить о проблеме Побольше фактов Конкретика, реальные примеры

Монетизация

Самое важное – донести мысль, что «вложив 10

рублей, мы сможем сохранить 100 рублей» за счет снижения рисков возникновения ущерба

Итог

Запускайте проект!

P.S.

• Снижение рисков и недопущение потерь• Оптимизация внутренних процессов• Контроль качества бизнес-процессов

ИБ может зарабатывать деньги!

Спасибо за внимание!

Мария ВороноваВедущий эксперт по информационной безопасности компании InfoWatch

Maria.Voronova@infowatch.com