Глава службы информационной безопасности холдинга FCC Group Жанлука д’Антонио, который также возглавляет Испанскую ассоциацию пользователей систем информационной безопасности, участвовал в работе конференции DLP‑Russia 2009. Там мы и побеседовали об особенностях решения по защите от утечек информации, которое внедряется в его компании.
Intelligent Enterprise: Как вы пришли к тому, чтобы внедрить у себя в компании систему защиты от утечек информации?
Жанлука д’Антонио: Почему тема внедрения решений, направленных на предотвращение утечек информации (или DLP в английской аббревиатуре, от Data Leak Prevention), так актуальна? О безопасности, точнее, о проблемах с безопасностью, в том числе информационной, которые имеют место в различных организациях, говорят уже давно. Шпионские игры известны с древнейших времен. Ситуации, когда те или иные секреты становились объектами купли-продажи, встречались испокон веков. Сейчас это называют инсайдерской активностью. А в последние два года, с началом глобального кризиса, об этом стали говорить еще больше. Сотрудники, которым объявляют об увольнении или снижают заработную плату, чаще стали пытаться улучшить свое материальное положение или отомстить.
Управлять информацией в любой крупной компании непросто, особенно если речь идет о холдинге, состоящем из множества бизнес-единиц. А информация для нас имеет большую ценность. Мы пытались защищать информацию и до появления технических средств борьбы с утечками. Мы применяли средства защиты периметра: межсетевые экраны, системы защиты от вторжений, виртуальные частные сети, средства контроля доступа. И прогресс в области информационно-коммуникационных технологий приводил к появлению все новых источников для потенциальной утечки информации. Особенно в последние несколько лет, когда появились высокоскоростные беспроводные интерфейсы, в результате чего традиционный периметр сети оказался размыт. Потенциальным источником множества проблем, связанных с безопасностью, стало и использование услуг аутсорсинга и аутстаффинга. Конечно, средства обеспечения информационной безопасности тоже эволюционировали. Однако по‑прежнему, как говорил один из моих руководителей, самый защищенный компьютер — тот, который обесточен, отключен от всех сетей и заперт в сейф. Но проблема в том, что работать на нем нельзя.
Появление DLP‑систем стало новым этапом в процессе защиты информации и минимизации соответствующих рисков. Но перед внедрением нужно провести целый ряд подготовительных мероприятий. В нашей компании как раз идет процесс внедрения DLP-решения, хотя и на очень ранней стадии. Мы только начинаем установку клиентских решений, таких как анализаторы сетевого трафика.
В любом проекте, связанном с информационной безопасностью, важна организационная составляющая. Как проходил этот этап у вас?
Необходимо определиться с политиками. Последние два года мы думаем над тем, как внедрять DLP более эффективно. И мы пришли к определенным решениям. Люди должны знать, что они могут делать с информацией. Без соответствующей политики и регламентов ни о какой защите информации не может быть и речи. Также нужны прочные связи с бизнесом. Мне нравится рекламный слоган компании InfoWatch: «Мы защищаем ваши данные, потому что ваши данные — это ваш бизнес». Потому что так оно и обстоит на самом деле. Именно бизнес является владельцем данных. И бизнес платит за решение DLP. В нашей компании мы пытаемся перенести стоимость внедряемого решения на бизнес-единицы. Это единственный способ добиться соответствующей согласованности, когда платит бизнес, а не подразделение информационной безопасности. Только так бизнес сможет осознать всю важность безопасности. Когда сам не платишь, не осознаешь ценности. Так что бизнес должен платить за решение, чтобы он понимал всю важность безопасности. Надо заставить их платить за внедрение любого решения, и DLP в том числе.
Необходима стратегия внедрения DLP. У нас большие объемы информации, мы работаем в разных странах, и культуру работы надо понимать и учитывать. Без этого проект заведомо обречен на неудачу.
Чтобы внедрять DLP, компания должна достичь и определенного уровня зрелости. При этом невозможно внедрить решение лишь в части бизнес-единиц или территориальных филиалов крупной международной компании. Такой уровень должен быть у всех подразделений.
В своей компании мы потратили несколько лет на разработку политик и регламентов, а также на доведение их до сотрудников, чтобы они поняли всю важность защиты бизнес-информации. И на этом этапе можно начинать проект внедрения DLP‑системы. Нужный уровень зрелости достигнут.
Часто проекты, связанные с внедрением тех или иных систем информационной безопасности, сталкиваются с сопротивлением персонала. Как его избежать?
Некоторое время назад появилась интересная статья, посвященная инфраструктуре защиты информации. Ее авторы посмотрели на DLP с точки зрения рядового сотрудника. Он думает, что конкуренты засылают к вам шпионов, чтобы украсть ту или иную информацию. И DLP направлена на то, чтобы не дать этим шпионам такую возможность. Многие даже задают вопрос: а почему вы следите за моей работой и моими данными? А мы отвечаем: это не ваши данные, это данные компании, бизнеса. И компьютер, на котором вы работаете, принадлежит не вам, а компании. Так что мы не шпионим за сотрудниками, мы защищаем наш бизнес.
Исходя из нашего опыта, хотелось бы дать несколько рекомендаций. Прежде всего, надо говорить с сотрудниками о безопасности. Необходимо добиться того, чтобы они понимали важность всех этих вопросов.
Да и о неприкосновенности личных, частных интересов тоже забывать нельзя, и их стоит учитывать. В прошлом году Верховный суд Испании вынес очередное решение о неприкосновенности частной жизни. Работников надо информировать о том, что в компании действует DLP‑система. Сотрудники должны знать, как и каким образом защищается информация. При этом движение информации должно быть регламентировано внутренними документами компании. И эти правила должны быть доведены до всех. Самое худшее, что может быть, — выступать в роли Большого Брата. В этом случае трудно рассчитывать на поддержку сотрудников, а она вам необходима. Нужен альянс с бизнесом.
Как добиться понимания со стороны бизнес-руководства?
Я уже говорил о том, что все решения должен оплачивать бизнес. И инициировать проект, в том числе и внедрение DLP, должно бизнес-руководство. Поэтому с руководством бизнес-единиц необходимо установить весьма тесные отношения. Необходимо завоевать их доверие. Бизнес должен понять ценность этих решений.
Утечки информации особенно опасны для продаж и HR. В нашей компании именно эти отделы первыми оценили необходимость внедрения DLP. Мы с ними обсуждали и обсуждаем то, что мы можем для них сделать, и они сами попросили установить такого рода систему. Это важно, потому что, с моей точки зрения, DLP должно быть своего рода драйвером бизнеса. Именно так, не безопасности, не технологий, а бизнеса.
Запуск DLP‑системы мы начали с руководства компании. Обычно думают, что президент, вице-президенты, члены правления или совета директоров — могущественные люди, которые вас нанимают на работу, и поэтому за ними никто не следит. Но это не так. Мы начали проект с установки DLP‑системы на 1500 компьютеров в управляющей компании нашего холдинга. И первые лица не стали исключением. Хотя процесс общения с высшим руководством — дело не всегда простое. Действительно, некоторые из членов совета директоров не пожелали становиться объектом слежки. Но мне удалось объяснить, что именно у руководства сосредоточено больше всего информации. И больше всего информации теряется, когда тот или иной руководитель по тем или иным причинам уходит из компании. Кроме того, руководство пользуется не стационарными ПК, а ноутбуками, которые часто крадут или теряют — естественно, вместе со всей информацией, которая на них хранится. Важно и то, что руководство, внедряя ту или иную систему, тем самым показывает личный пример другим работникам. Если DLP‑система стоит у руководства, то почему бы ее не поставить всем остальным сотрудникам компании?
В чем особенности вашего проекта?
Мы решили внедрять DLP как сервис. Это, без преувеличения, новое слово в реализации таких систем, особенно в условиях кризиса. Нужно быть очень осторожными в затратах. Мы обратились к нашему аутсорсинговому провайдеру для подключения соответствующих сервисов. Таким образом, мы платим не за лицензию, а за дополнительный сервис. Мы выделяем дополнительный канал связи и аппаратную платформу, а они нам — сервис DLP. В результате решение получилось весьма экономичным. К тому же мы уменьшаем свои риски. Провайдер не меньше, чем мы сами, заинтересован в том, чтобы решение работало так, как нужно нам, в противном случае договор просто не будет продлен. Плюс ко всему, при традиционной реализации проекта мы, помимо покупки необходимых аппаратных средств и ПО, нанимаем консультанта. Но этот консультант после завершения работ уходит, и в случае возникновения всяческих проблем помочь вам некому. В нашем же случае проблема у нас автоматически означает, что такая же проблема у нашего провайдера. А значит, мы не одиноки. Провайдер предоставляет полную поддержку. Это просто включено в счета, которые мы оплачиваем.
Будете ли вы совершенствовать свою систему? Вы уже сказали, что ваш проект находится в довольно ранней фазе. Как будет проходить его дальнейшее развитие?
Чего мы хотим от DLP‑систем в будущем? Во-первых, очень неплохо было бы иметь дистанционную систему удаления файлов, чтобы уничтожать всю накопленную информацию, когда тот или иной сотрудник уходит из компании. Также нужен анализатор пользовательских действий. Это позволит понять, что именно делает с информацией тот или иной сотрудник, или чем именно он занимается. Данная функция позволит нам модифицировать политики и регламенты, чтобы предотвращать нежелательные действия. Для работы DLP‑системы нужно иметь классификатор данных. Для этого необходима политика классификации данных. А для ее выработки потребуется соответствующий помощник, упрощающий эту процедуру. Также хотелось бы иметь наглядные графические средства для отображения потоков данных. Это позволит лучше отслеживать то, что происходит при переходе из одного подразделения в другое, из точки А в точку В, а оттуда в точку С.Такой инструмент существенно упростил бы работу по аудиту движения данных.
При этом мы не ограничимся сотрудниками одной только управляющей компании. Наш проект со временем должен охватить все предприятия холдинга.
