13.11.2009

Автоматизация хаоса приводит к автоматизированному хаосу

img_small_178

Автор: Максим Эмм

Должность: Директор департамента аудита

Очередной всплеск  маркетинговой активности производителей  решений  защиты от утечек, подкрепленный их же исследованиями на тему того, почему именно эти решения спасут компании от  утечек информации привел меня к двум  наблюдениям

Первое. Интересно,  неужели практики рынка и владельцы компаний верят в то, что исследование,  проведенное компанией — производителем продукта и по результатам которого объясняется, почему продукт -  это то, что всем надо,  может быть объективным.  Похоже, что многие журналисты  искренне верят в их репрезентативность и принимают все выводы за «чистую монету».

Второе. Похоже,  что  специалисты по маркетингу в отсутствии  иных  новых прорывных идей и решений в части обеспечения ИБ решили все усилия и бюджет потратить на раскрутку  ограниченного класса решений, позиционируя их как плацебо, которое  «чудесным образом»  избавит  руководство компании от утечек конфиденциальной информации и внутренних угроз при помощи тотальной слежки за коммуникациями сотрудников. 

Хочется  вспомнить  известную  поговорку -  автоматизация хаоса дает  только автоматизированный хаос, не более того. И желание руководства решить проблему утечки конфиденциальной информации  одним махом при помощи супер-решения в области ИБ, без  адекватной настройки безопасности в компании на всех уровнях — организационном, техническом и нормативном – неизбежно  приводит к ложному ощущению безопасности, а в итоге- к разочарованию.

Так  как же максимально снизить риск утечек?  Рецепт достаточно прост и проверен временем, что впрочем, не означает, что его реализация  в компании требует мало усилий.

Во — первых,  необходимо четко определить, что в компании  является конфиденциальной информацией, где она хранится, как передается,  кто к ней имеет доступ  и насколько он на самом деле нужен именно этим сотрудникам.

Во вторых, нужно четко определить ответственность за разглашение конфиденциальной информации и  довести этот регламент  до всех лиц, имеющих к ней доступ.

В третьих, надо минимизировать число мест хранения, например  путем  централизации, применения терминального доступа и других технологии,  ограничить доступ  средствами  операционных систем, баз данных и приложений в первую очередь, и обеспечить протоколирование доступа, чтобы всегда можно было разобраться, кто куда имел доступ.

В четвертых, нужно выделить ресурсы в компании, которые будут отвечать за предоставление доступа,  мониторинг и контроль  соответствия установленным  правилам.

И в пятых, нужно внедрить различные средства защиты  ИТ -инфраструктуры, в которой обрабатываются защищаемые данные.

Ну и наконец, важно  проводить периодические проверки  возможности доступа, как с помощью технических методов, так и с помощью социальной инженерии, для того чтобы держать сотрудников «в тонусе»  и оценивать эффективность системы защиты в комплексе относительно текущих угроз.

Естественно все эти шаги должны делать люди, хорошо разбирающиеся в предмете  и имеющие опыт, как специалисты компании, так и приглашенные консультанты..

Существует ли решение, которое может заменить совокупность этих шагов или дать похожий уровень снижения рисков утечек конфиденциальной информации? Сильно сомневаюсь…