Разработка и оценка стратегии защиты от потери данных (часть 4)
- Разработка и оценка стратегии защиты от потери данных (часть 2)
- Разработка и оценка стратегии защиты от потери данных (часть 3)
Введение
В течение последних нескольких недель мы занимались разработкой стратегии предотвращения потери и утечки данных для защиты ваших данных, которые являются чувствительными, конфиденциальными или подпадают под действие нормативных требований по защите конфиденциальности. В части 1 этой серии статей мы представили общий обзор того, что такое DLP, некоторых возможных последствий потери или утечки данных и основных элементов эффективной стратегии DLP. Во второй части мы начали более глубоко вникать в тонкости DLP, характеристики хороших программных решений DLP, обсуждая два из четырех важных элементов: политики и программы. В части 3 мы перешли к рекомендациям по DLP.
Люди: человеческий фактор
Успех или провал любой меры безопасности во многом зависит от людей. Конечно, технологический контроль имеет значение, но в конечном счете он не может быть эффективным без поддержки людей. Предотвращение потери и утечки данных не ограничивается сетевыми администраторами, членами группы безопасности или персоналом, отвечающим за соблюдение нормативных требований. Это требует участия многих людей за пределами ИТ-отдела, от высшего руководства до низшего звена канцелярского персонала — всех и каждого, кто создает, получает доступ, манипулирует или иным образом вступает в контакт с конфиденциальными данными.
Это означает выход за пределы ИТ на самых ранних этапах разработки стратегии защиты от потери данных. Вы захотите, чтобы представители таких отделов, как юридический и отдел кадров, участвовали в процессе планирования, особенно когда есть проблемы с соблюдением требований, которые необходимо решить. На этапе первоначальной классификации данных (и на постоянной основе) вам потребуется информация от тех, кто в каждом затрагиваемом отделе или отделе фактически работает с данными, потому что именно они лучше всех знают истинные уровни чувствительности данных. различные файлы, с которыми они работают.
Ответственность за потерю и утечку данных
Согласно исследованию Института Ponemon под названием « , люди стоят за некоторыми из основных причин утечек данных. Причиной номер один, о которой респонденты сообщили в своем опросе, была потеря ноутбуков или других мобильных устройств. Неправильное обращение с данными в состоянии покоя и неправильное обращение с данными в движении также вошли в первую пятерку.
Утечка данных часто происходит не из-за злонамеренных инсайдеров (хотя такое случается), а из-за непреднамеренных ошибок, допущенных теми, кто имеет законный доступ к данным. Проблема усугубляется тем фактом, что сотрудники, которые раскрывают конфиденциальные данные, могут либо даже не осознавать, что они это сделали, либо, если они это осознают, многие из них не захотят сообщать о себе, опасаясь последствий. Это затрудняет для ИТ-отдела возможность быстрого реагирования и устранения ущерба.
Установление четких каналов ответственности за потерю данных и предотвращение утечек/управление данными, обучение сотрудников на всех уровнях и назначение сильных лидеров, которые будут отвечать за человеческую сторону инициативы DLP, будут иметь большое значение для снижения частоты потерь. /утечка из-за халатности или ошибки сотрудников.
Формальные и неформальные роли
Если вы знакомы с основными понятиями, связанными с управлением данными, вы, вероятно, знаете, что существуют формальные роли, назначенные некоторым людям, которые непосредственно участвуют в классификации и контроле конфиденциальных данных. К ним относятся владельцы данных, распорядители данных и хранитель данных или менеджер (у которого также могут быть помощники в крупных организациях).
Владелец данных — это термин, который по-разному используется в разных организациях. Некоторые используют его для обозначения любого человека, который создает и/или контролирует разрешения, установленные для файла. Это, без сомнения, восходит к временам, когда каждый пользователь компьютера создавал файлы и сохранял их на своем собственном компьютере и нес полную ответственность за предоставление или блокирование доступа к этим файлам другим. В современной корпоративной среде многие организации придерживаются философии, согласно которой данные не «принадлежат» отдельным работникам, а принадлежат самому предприятию. В этом случае владельцем данных является назначенная роль с четко определенными обязанностями по предоставлению доступа к файлу данных, приложению, базе данных, веб-сайту и т. д.
На распорядителей данных обычно возлагается ответственность не за отдельные файлы, наборы файлов, приложения и т. д., а за все данные в рамках определенной группы или отдела, например отдела маркетинга, управления персоналом или бухгалтерского учета. Если организация большая, в каждом отделе может быть главный распорядитель данных с подчиненными распорядителями, которые контролируют данные для небольших групп, таких как платежная ведомость, дебиторская задолженность, кредиторская задолженность и т. д. в бухгалтерском отделе. Распорядители данных могут нести ответственность за разработку и реализацию политик защиты от потери данных или могут предоставлять информацию хранителям данных, которые имеют окончательные полномочия для создания политик. Распорядители данных также могут нести ответственность за классификацию данных в пределах своей компетенции.
Хранитель данных или менеджер данных — это лицо, обладающее окончательными полномочиями по вопросам, касающимся управления данными, принадлежащими организации, как в локальной сети, так и когда они используются мобильными или удаленными сотрудниками за пределами корпоративной сети. Хранитель данных отвечает за обеспечение безопасности данных на протяжении всего их жизненного цикла, от создания до хранения, транспортировки, архивирования и утилизации. Хранители данных принимают решения в отношении процессов, которые используются при работе с данными, чтобы убедиться, что технические процессы и средства контроля существуют для защиты данных, гарантировать, что методы управления данными являются надежными и выполняются, а также что контроль за изменениями реализован таким образом, что любой доступ и изменения к данным могут быть отслежены и проверены.
В дополнение к этим официально назначенным ролям в организации будет много других, на которых распространяются политики и методы защиты от потери данных, и от которых ожидается соблюдение налагаемых ими правил и ограничений. Надлежащее обучение пользователей является ключевым фактором в достижении ваших целей DLP.
Обучение пользователей
Одни лишь технологические элементы управления не могут полностью защитить ваши данные — если только эти элементы управления не настроены на запрет любого доступа для всех, а также перевод всех конфиденциальных данных в автономный режим и их изоляцию в месте, не подключенном к Интернету или локальной сети. Это вряд ли практично, поэтому мы идем на компромиссы с технологическим контролем, а затем полагаемся на то, что пользователи будут разумно обращаться с данными.
Обучение пользователей должно включать основы безопасности, такие как опасность подключения компьютеров или устройств, используемых для работы, к незащищенным сетям, таким как общедоступные точки доступа Wi-Fi, базовая безопасность домашних сетей для тех, кто работает дома, необходимость удаления рабочих данных из личных устройств, когда они больше не работают с ним, шифрование всех рабочих данных на личных и корпоративных устройствах, создание надежных паролей и передовые методы работы с паролями, защита от использования USB и других съемных носителей, возможность серфинга через плечо, необходимо блокировать устройства и никогда не оставлять их без присмотра и т.д.
Мобильные устройства должны быть в центре внимания, потому что пользователи склонны относиться к ним более небрежно, чем к «настоящим» компьютерам, даже когда они хранят конфиденциальные данные на устройствах и/или устанавливают на них приложения, обеспечивающие доступ к корпоративной сети и ресурсам.
Человеческий контроль
Мы все знаем, что системы безопасности, чтобы быть эффективными, должны быть многоуровневыми. Мы применяем меры безопасности на физическом уровне, на уровне приложений, по периметру сети и на хосте, непосредственно к данным и так далее. Одним из тех слоев, который часто упускают из виду, является человеческий слой.
Человеческий контроль начинается еще до того, как сотрудники будут наняты, начиная с надлежащей проверки кандидатов, включая криминальное прошлое и проверку биографических данных для всех, кому будут доверены конфиденциальные данные. Затем доступ должен предоставляться на основе «необходимости знать», а действия сотрудников/конечных пользователей должны тщательно контролироваться. Как обсуждалось выше, все сотрудники должны быть обучены политикам и практикам ИТ-безопасности.
Упомянутое выше исследование Ponemon показало, что более половины (56%) опрошенных сотрудников вообще не тратят время на защиту данных, а еще 25% тратят незначительное количество времени, и только 9% тратят значительное количество времени. обеспечение защиты конфиденциальных данных. Это можно было бы считать приемлемым, если бы технологические средства контроля, установленные ИТ-отделом, могли обеспечить стопроцентную защиту или если бы угроза раскрытия данных была чрезвычайно низкой, но мы знаем, что ни то, ни другое не имеет места.
Неудобная правда заключается в том, что даже когда в организациях действуют строгие политики, конечные пользователи часто не соблюдают эти политики, особенно те, которые относятся к паролям (то есть они не создают сложные пароли, не меняют свои пароли). часто и повторно использовать одни и те же пароли и имена пользователей в разных учетных записях). Многие подключают свои личные неуправляемые устройства к корпоративной сети, часто без ведома ИТ-отдела, и копируют информацию на флэш-накопители USB и другие съемные носители для работы дома без шифрования. Многие не выключают свои компьютеры должным образом, не защищают экраны своих мобильных компьютеров от просмотра посторонними и оставляют свои компьютеры и устройства без присмотра.
Это указывает на то, что либо организации плохо доводят до конечных пользователей важность защиты данных и способы ее реализации, либо конечным пользователям нельзя доверять выполнение мер по защите данных (или и то, и другое). Это возвращает нас к технологическому контролю. Чем более прозрачна безопасность для пользователя, тем лучше, поэтому применение большего количества технологических средств контроля (не разочаровывая пользователей, затрудняя или делая невозможным выполнение их работы) должно быть приоритетом. Это точно настроенный баланс, который должен выполнять ИТ-специалист, чтобы эффективная программа DLP работала с максимальной эффективностью.
Резюме
В этой серии статей из четырех частей мы рассмотрели несколько аспектов того, почему и как вашей организации следует развернуть стратегию защиты от потери данных, которая обеспечит безопасность конфиденциальных данных в сети и за ее пределами, многочисленные преимущества хорошо спланированной защиты от потери данных и четыре элементы — политики, программы, практики и люди — которые входят в разработку и реализацию DLP. Я надеюсь, что это, по крайней мере, заставило вас задуматься о DLP.
- Разработка и оценка стратегии защиты от потери данных (часть 2)
- Разработка и оценка стратегии защиты от потери данных (часть 3)