Аутсорсинг DLP: Если не хватает рук на работу с системой
Searchinform
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
Дефицит кадров на рынке ИБ — давно не новость, но из-за новых требований к обеспечению безопасности (Указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации») перед компаниями встал вопрос, где найти еще десятки тысяч сотрудников в условиях кадрового голода. В этой ситуации аутсорсинг хоть и не снимает необходимость создавать ИБ-отдел, но позволяет существенно оптимизировать его работу.
По данным нашего исследования в 60% российских компаний нет выделенной ИБ-службы. И если вы считаете, что это касается только малого бизнеса — нет. Мне известен случай, когда выделенной службы не было у одной из крупнейших организаций страны!
Но даже там, где ИБ-отдел есть, он перегружен. Так что если раньше вопрос дополнительных рук (читайте аутсорсинга) был теоретическим, то теперь он стал прикладным. Мы в «СёрчИнформ» одними из первых вышли на рынок услуг в сегменте защиты от внутренних рисков — в 2019 г. предложили заказчикам аутсорсинг DLP.
Есть две категории заказчиков, которым подходит аутсорсинг DLP:
1. Компании из сферы малого и среднего бизнеса, у которых просто нет ресурсов, чтобы выстраивать отдел ИБ.
Один из заказчиков — производитель продуктов питания, штат — 150 человек. Выделенной ИБ-службы нет, если возникают задачи по информационной безопасности — руководитель поручал разобраться с ними системному администратору. Нанимать отдельного человека или тем более внедрять специальное ПО для контроля сотрудников не видел необходимости, потому что было непонятно, а есть ли смысл? Руководитель изменил свое мнение, когда увидел, что рецептуры компании оказались у конкурента. Он решил экстренно решать вопрос ИБ с привлечением аутсорсера.
2. Большие компании, которым не хватает «рук» или ИБ-экспертизы внутри. Здесь часто нет проблем с бюджетами на защитное ПО и сотрудников. Но найти ИБ-специалиста с опытом и специализированными знаниями для решения задач внутренней безопасности бывает сложно.
Компания с численностью сотрудников более 1000 человек. У нее есть свой отдел СБ, но не было выделенного специалиста ИБ, который бы работал именно с DLP-системой. Несколько попыток нанять в штат, обучить и удержать хорошего специалиста потерпели неудачу. Поэтому решили обратиться к аутсорсингу. Так, в лице внешнего аналитика нашли собственного ИБ-специалиста, который не уволится и не уйдет на больничный.
В зависимости от ресурсов заказчика возможны разные конфигурации услуги «Аутсорсинг DLP». Если в компании уже стоит наша система, но не хватает рук для работы с ней — предоставим аналитика. Если DLP еще нет, предоставим софт и аналитика. Если компания приступает к вопросу с нуля, мы обеспечим все необходимое: аналитика, «железо», программное обеспечение.
Есть заказчики, которые планируют использовать «СёрчИнформ КИБ» самостоятельно, но перед этим хотят поучиться. Они заказывают аутсорсинг, чтобы посмотреть, как мы работаем с инцидентами, перенять опыт, выработать подход в реагировании. Это не типичная история взаимодействия, но иногда оказывается полезной. Для нас это признак доверия.
Как это работает
Хоть аутсорсинг DLP в России — пока молодое направление, здесь уже сложился эффективный подход к работе, которого мы придерживаемся:
— Персональный ИБ-аналитик настраивает DLP-систему по задачам заказчика.
— Заказчик имеет все полномочия в системе и может работать в программе тогда, когда ему нужно, параллельно с аналитиком.
— Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача — донести информацию максимально быстро).
— Информацию о нарушениях, не требующих срочной реакции, специалист собирает в регулярный отчет.
Расследование инцидента также можно поручить аутсорсеру. У нас за годы работы с десятками клиентов наработан разнообразный опыт. Благодаря этому расследование может пройти даже быстрее и эффективнее, чем внутри компании. Еще один важный аспект — мы представляем нейтральную независимую сторону, и заказчик может быть уверен в неангажированности.
Случай из практики аутсорсинга
Наш аналитик увидел, что в компании клиента менеджер проекта выгружал в облако большой объем разнородных данных: чертежи, описания продуктов, результаты конкурентного анализа, договоры поставок сырья и многое другое. Мы передали эту информацию клиенту.
В результате выяснения обстоятельств сотрудник объяснил своему руководителю, что не укладывается в сроки и работает в свободное время с личного компьютера. Тогда аналитик DLP обратился к другим отчетам контроля рабочего времени и увидел, что ежедневно почти два часа сотрудник тратит на соцсети. Значит, проблема не в перегрузке.
По согласованию с заказчиком было решено усилить контроль. Так выяснили, что менеджер общается с конкурентами о продуктах, которые еще не вышли в массовое производство. Оказалось, что данные, которые он копирует в облако нужны ему не для дополнительной работы над проектом в свободное время, а для продажи информации конкурентам.
Здесь наш ИБ-аналитик рассказывал, как работает с клиентом в ежедневном режиме.
Таким образом, у заказчика высвобождаются ресурсы, так как аутсорсер забирает многие рутинные задачи:
- Установка, настройка и администрирование DLP-системы.
- Написание политик безопасности и их донастройка под новые запросы в ходе работы с системой.
- Ежедневный мониторинг на предмет утечек информации и оперативная блокировка.
- Ежедневное выявление противоправных действий сотрудников в ИТ-инфраструктуре (установка и удаление нерегламентированного ПО и кража оборудования).
- Ежедневный мониторинг на предмет выявления признаков мошенничества со стороны сотрудников (откатов, боковых схем).
- Ежедневное выявление нарушений трудовой дисциплины, саботажа, прогулов и другие нарушения кадровой безопасности.
Временная или постоянная помощь со стороны
Рост ИБ-угроз, ужесточение закона о защите данных, бизнес-риски, связанные с потерей информации и мошенничеством требуют очень быстрой реакции, на которую у компаний часто просто не хватает ресурсов.
В ситуации кадрового голода и перегрузки ИБ-отделов аутсорсинг становится «скорой помощью»: процесс защиты информации не прерывается, а штатные сотрудники могут вместо рутинных задач заняться стратегически важными. Можно сконфигурировать услугу под нужды конкретно вашей компании, пользоваться услугой аутсорсинга DLP временно или постоянно.
Вы можете проверить, подходит ли аутсорсинг DLP вам — это бесплатно в течение целого месяца.
Запросить презентацию.
По аутсорсингу теперь доступны и другие продукты «СёрчИнформ».■
Полный текст статьи читайте на CNews