Разработка и оценка стратегии защиты от потери данных (часть 3)

• Разработка и оценка стратегии защиты от потери данных (часть 2)
• Разработка и оценка стратегии защиты от потери данных (часть 4)

Введение

Стратегия предотвращения потери и утечки данных является обязательной для любой организации, которая создает, использует, хранит, перемещает или получает доступ к любым типам данных, которые являются конфиденциальными или подпадают под действие нормативных требований по защите конфиденциальности. В части 1 этой серии статей мы представили общий обзор того, что такое DLP, некоторых возможных последствий потери или утечки данных и основных элементов эффективной стратегии DLP.

Во второй части мы начали более глубоко вникать в тонкости DLP, характеристики хороших программных решений DLP, обсуждая два из четырех важных элементов: политики и программы.

Рекомендации по защите от потери данных

В части 2 мы говорили о том, как вам нужно идентифицировать и классифицировать типы конфиденциальных данных, которые вы хотите защитить, и как программный мониторинг и оповещение могут обнаруживать конфиденциальные данные, которые находятся под угрозой, и уведомлять вас, и / или технологически обеспечивать соблюдение данных. установленные вами правила защиты. Но недостаточно просто настроить мониторинг, а затем «настроить и забыть». Защита от потери и утечки данных — это непрерывный процесс, и важно убедиться, что он правильно реализован с самого начала и что он адаптируется по мере роста и изменения ваших потребностей в защите данных.

Основные рекомендации

Некоторые рекомендации, которым следует следовать при внедрении решения DLP, включают:

• Если вы подпадаете под действие нормативных требований, определите руководящие органы, уставы и/или отраслевые правила, применимые для обеспечения того, чтобы ваша стратегия DLP соответствовала их требованиям в отношении защиты конфиденциальных данных.
• Определите и классифицируйте конфиденциальные данные, которые необходимо защитить, до выбора и развертывания решения DLP, так как это поможет вам сделать выбор и определить наилучшую стратегию развертывания. В частности, определите типы и форматы файлов, в которых хранятся данные, чтобы убедиться, что выбранное вами решение DLP поддерживает эти форматы.
• Убедитесь, что ваше комплексное решение будет охватывать конфиденциальные данные на всех этапах: данные в состоянии покоя, данные в пути и используемые данные.
• Создайте тестовую среду, чтобы вы могли оценить эффективность вашего решения и обнаружить проблемы, выявить ложные срабатывания и т. д. Это позволит протестировать и настроить ваши политики и процедуры, не нарушая бизнес-процесс.
• Обучайте владельцев данных, распорядителей данных и хранителей данных, а также всех тех, кто будет получать доступ к данным или манипулировать ими, включая вашу команду по обеспечению соблюдения требований, отдел кадров и бизнес-подразделения, на которых влияют данные.
• Убедитесь, что у вас есть средства защиты от «дрейфа данных», непреднамеренного и/или несанкционированного перемещения или копирования конфиденциальных данных на незащищенные устройства по электронной почте, через устройства BYOD и дистанционный доступ, съемные носители и т. д. и даже с помощью механизмов резервного копирования данных, которые копируют данные. в места без строгого контроля.
• Регулярно обновляйте профили рисков.
• Установите процедуру документирования инцидентов DLP.

Ваше решение DLP должно быть «осведомленным о содержимом», то есть, согласно определению Gartner, оно должно позволять вам динамически применять политику на основе содержимого и контекста во время операции.

DLP-инструменты

Решения DLP могут состоять из ряда различных инструментов, таких как инструменты обнаружения данных, сетевые инструменты, инструменты мониторинга, инструменты отчетности и т. д.

Обнаружение данных — очень важный элемент предотвращения потери и утечки данных, потому что вы не можете защитить конфиденциальную информацию, если не знаете, какая информация является конфиденциальной и где она находится — и это означает все копии, а не только основную копию. Одна вещь, которую может сделать хороший инструмент обнаружения данных, — это найти незашифрованные данные, а затем выполнить ваши политики, автоматически зашифровав данные, удалив их, уведомив владельца данных и/или заинтересованных лиц или выполнив другие указанные вами действия. В дополнение к обнаружению незашифрованных отдельных файлов, он может найти незашифрованные общие ресурсы/папки и переместить данные в место с лучшим контролем доступа или зашифровать данные в их текущем местоположении.

Помните, что обнаружение данных — это не просто одноразовый процесс. Вы можете настроить свои инструменты DLP на постоянное сканирование конфиденциальных данных, вы можете делать это с заранее определенными интервалами, такими как ежедневно, еженедельно или ежемесячно, или вы можете выполнять сканирование данных по требованию, например, в рамках подготовки или в рамках безопасности аудита или в ответ на известное или предполагаемое изменение состояния данных.

В то время как инструменты обнаружения в большей степени ориентированы на данные внутри сети организации, сетевые инструменты можно использовать для выявления конфиденциальных данных, которые собираются покинуть сеть, и обеспечить их шифрование во время передачи. Помните, что для шифрования данных в состоянии покоя и данных в пути используются разные технологии шифрования; в последнем случае вы хотите зашифровать не только сами данные, но и канал, по которому они передаются.

Инструменты мониторинга могут регистрировать, кто получает доступ (или пытается получить доступ) к данным, которые были классифицированы как конфиденциальные, и могут записывать любые изменения, внесенные в сами данные, в их метаданные, разрешения и т. д. Инструменты мониторинга также могут обнаруживать, когда конфиденциальные данные копируются, перемещаются или удаляются.

Инструменты отчетности способны брать информацию, собранную инструментами мониторинга, и преобразовывать ее в удобный и понятный формат для использования администраторами, аудиторами и менеджерами. Функции отчетности могут генерировать отчеты об инцидентах при обнаружении нарушений политики защиты от потери данных и позволяют настроить оповещения для автоматической отправки по электронной почте или иного уведомления администраторов о ситуации, чтобы вы могли исправить ее как можно быстрее.

Отчеты DLP должны быть настраиваемыми, чтобы вы могли просматривать списки инцидентов за указанный период времени и видеть подробную или сводную информацию о каждом из инцидентов, чтобы лучше обнаруживать закономерности и тенденции. Вы должны иметь возможность сортировать и просматривать инциденты различными способами, например, в хронологическом порядке, по степени серьезности, по типу инцидента и т. д. Чтобы лучше выполнять оценку рисков, вы должны иметь возможность видеть, какие политики нарушались чаще всего в течение определенного периода. период, в течение которого пользователи генерировали наибольшее количество инцидентов, места, из которых и в которые чаще всего происходила утечка конфиденциальных данных, и так далее.

Лучшие практики DLP в эпоху «сначала мобильные, сначала облака»

Сатья Наделла из Microsoft определил видение компании на следующие годы как «сначала мобильные, сначала облачные». Конечно, это господствующая философия во всей ИТ-индустрии, а не только в Microsoft. Мобильность и облачные технологии приносят неслыханное удобство для пользователей, но усложняют жизнь тем, кто отвечает за обеспечение безопасности. Предотвращение потери и утечки данных в мире мобильных и облачных технологий сопряжено с множеством неотъемлемых проблем, не последней из которых является смещение акцента с защиты только сети на защиту конечных точек.

Самая большая проблема заключается в том, как защитить данные, не ограничивая необоснованно то, что могут делать пользователи. В прошлом ИТ-отделы часто применяли к безопасности подход «выжженной земли», блокируя все и предоставляя пользователям как можно меньше свободы действий, исходя из того, что лучше перестраховаться, чем сожалеть. В сегодняшней среде BYOD, удаленной работы и командной бизнес-среды это уже нежелательно или даже невозможно. Безопасность должна быть минимально навязчивой, но при этом защищать то, что необходимо защитить.

Современные решения DLP теперь должны обеспечивать защиту данных в соответствии с корпоративными политиками, даже если эти данные находятся на устройствах, находящихся за пределами корпоративной сети. Это означает управляемые устройства. Endpoint DLP опирается не только на одну технологию, но и на комбинацию: межсетевые экраны на основе хоста, программное обеспечение для защиты от вредоносных программ, шифрование, управление правами, элементы управления USB/съемными носителями с учетом содержимого и т. д.

Конечно, существуют практические/технологические проблемы с реализацией DLP для конечных точек на мобильных и удаленных устройствах. Программное обеспечение, основанное на шифровании и анализе контента, может быть ресурсоемким, а это означает, что производительность на недорогих устройствах может быть неприемлемой. Таким образом, чтобы DLP для конечных точек был эффективным, его необходимо внедрять в сочетании с сетевыми решениями DLP, а не вместо них. Как сетевые, так и оконечные решения DLP также должны быть полностью интегрированы в вашу инфраструктуру. Лучше всего использовать многоэтапное развертывание, поскольку оно позволяет постепенно знакомить сотрудников с изменениями и получать отзывы для внесения изменений по мере развертывания.

Резюме

Здесь, в части 3 нашей серии статей о том, как разработать эффективную стратегию предотвращения потери и утечки данных, мы рассмотрели третий элемент, влияющий на планирование DLP: практики. В четвертой и последней части этой серии мы сосредоточимся на последнем и во многих отношениях самом важном элементе: людях.

• Разработка и оценка стратегии защиты от потери данных (часть 2)
• Разработка и оценка стратегии защиты от потери данных (часть 4)