Автоматизация хаоса приводит к автоматизированному хаосу |
Очередной всплеск маркетинговой активности производителей решений защиты от утечек, подкрепленный их же исследованиями на тему того, почему именно эти решения спасут компании от утечек информации привел меня к двум наблюдениям
Первое. Интересно, неужели практики рынка и владельцы компаний верят в то, что исследование, проведенное компанией — производителем продукта и по результатам которого объясняется, почему продукт - это то, что всем надо, может быть объективным. Похоже, что многие журналисты искренне верят в их репрезентативность и принимают все выводы за «чистую монету».
Второе. Похоже, что специалисты по маркетингу в отсутствии иных новых прорывных идей и решений в части обеспечения ИБ решили все усилия и бюджет потратить на раскрутку ограниченного класса решений, позиционируя их как плацебо, которое «чудесным образом» избавит руководство компании от утечек конфиденциальной информации и внутренних угроз при помощи тотальной слежки за коммуникациями сотрудников.
Хочется вспомнить известную поговорку - автоматизация хаоса дает только автоматизированный хаос, не более того. И желание руководства решить проблему утечки конфиденциальной информации одним махом при помощи супер-решения в области ИБ, без адекватной настройки безопасности в компании на всех уровнях — организационном, техническом и нормативном – неизбежно приводит к ложному ощущению безопасности, а в итоге- к разочарованию.
Так как же максимально снизить риск утечек? Рецепт достаточно прост и проверен временем, что впрочем, не означает, что его реализация в компании требует мало усилий.
Во — первых, необходимо четко определить, что в компании является конфиденциальной информацией, где она хранится, как передается, кто к ней имеет доступ и насколько он на самом деле нужен именно этим сотрудникам.
Во вторых, нужно четко определить ответственность за разглашение конфиденциальной информации и довести этот регламент до всех лиц, имеющих к ней доступ.
В третьих, надо минимизировать число мест хранения, например путем централизации, применения терминального доступа и других технологии, ограничить доступ средствами операционных систем, баз данных и приложений в первую очередь, и обеспечить протоколирование доступа, чтобы всегда можно было разобраться, кто куда имел доступ.
В четвертых, нужно выделить ресурсы в компании, которые будут отвечать за предоставление доступа, мониторинг и контроль соответствия установленным правилам.
И в пятых, нужно внедрить различные средства защиты ИТ -инфраструктуры, в которой обрабатываются защищаемые данные.
Ну и наконец, важно проводить периодические проверки возможности доступа, как с помощью технических методов, так и с помощью социальной инженерии, для того чтобы держать сотрудников «в тонусе» и оценивать эффективность системы защиты в комплексе относительно текущих угроз.
Естественно все эти шаги должны делать люди, хорошо разбирающиеся в предмете и имеющие опыт, как специалисты компании, так и приглашенные консультанты..
Существует ли решение, которое может заменить совокупность этих шагов или дать похожий уровень снижения рисков утечек конфиденциальной информации? Сильно сомневаюсь…