rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)

В последнее время в новостях неоднократно сообщалось об угрозах сайта «Викиликс» опубликовать конфиденциальные документы ряда крупнейших корпораций мира. Многие компании занялись серьезным анализом своей стратегии защиты данных, а поставщики решений в сфере безопасности столкнулись с резким увеличением количества запросов на проведение оценки рисков.

Несмотря на то, что полностью избежать нарушений конфиденциальности данных невозможно, организации могут добиться значительного сокращения рисков, связанных с конфиденциальными данными, покидающими пределы организации. Организации ищут способ отслеживать передвижение конфиденциальной информации и не позволять пользователям посылать конфиденциальные документы по электронной почте, распечатывать их, копировать информацию на съемные устройства или рассылать ее с помощью программ обмена мгновенными сообщениями. Контроль и наблюдение за всеми этими (и многими другими) аспектами можно осуществлять с помощью решений для предотвращения утери данных (Data Loss Prevention).

Программное обеспечение, установленное на компьютерах пользователей, может осуществлять мониторинг и предотвращать случайные утечки информации, требуя, чтобы перед отсылкой конфиденциальной информации пользователи подтверждали свое намерение отослать эту информацию. Существуют также устройства, которые, будучи установленными в сети, записывают и распределяют по категориям все, что поступает через Интернет, и устройства, которые анализируют хранящиеся в организации структурированные и неструктурированные данные, чтобы организация знала, какие данные у нее хранятся и где.

Согласно традиционному подходу, отдел ИТ организации может обнаруживать коммуникационные аномалии только в том случае, если ему заранее все известно о данных и о том, как их используют. Однако такой подход фундаментально ошибочен, поскольку требует от организаций способности предугадывать, где и когда произойдет утечка данных — что практически невозможно, за исключением тех элементарных случаев, когда речь идет о данных кредитной карточки или номере социального страхования (которые никогда не должны покидать пределов организации). Современные технологии позволяют организациям постфактум получать ответы на подобные вопросы и создавать бизнес-процессы, которые затем могут быть реализованы с помощью решений. Для предотвращения повторного появления обнаруженных аномалий можно использовать такие методы, как шифрование, управление цифровыми правами компании, обучение пользователей и обязательное утверждение действий пользователя менеджером. 

Мобильность сотрудников по-прежнему является важным фактором повышения производительности, и эта тенденция только усиливается. Кроме того, фирмы и предприятия все больше интересуются возможностями социальных медиа. Эти два явления ведут к катастрофическому увеличению для организаций риска утечки данных. Поэтому, учитывая, что каждой организации необходимо обмениваться критически важными данными со своими основными партнерами, очевидной становится необходимость расширения традиционного подхода к защите. 

Установление факта утечки данных является лишь первым шагом. Каков же следующий шаг? Компании должны быть в состоянии найти ответы на вопросы о том, кто, когда и как организовал утечку этой информации. 

Больше, чем соблюдение законодательных норм 

Начало усилиям по внедрению систем предотвращения утери данных (DLP) было положено законами США об обязательном уведомлении о нарушении конфиденциальности наряду с такими отраслевыми и государственными стандартами, как SOX, HIPAA, PCI и ITAR. Благодаря принятию таких законодательных мер, как HIPAA, HITECH и законы штатов о неприкосновенности частной жизни, компании стали сообщать о случаях нарушения конфиденциальности личных данных. В этих законах имеются положения, касающиеся внешних разоблачителей и агентств, чтобы организации знали, что им грозит в случае нераскрытия информации об утечке данных. 

До принятия Закона о технологиях защиты медицинской информации в экономике и медицине (HITECH) правовых санкций, предусмотренных в Законе о передаче и защите данных учреждений здравоохранения (HIPAA) было недостаточно, а последствия нарушения конфиденциальности не были четко определены. После принятия HITECH поведение медицинских учреждений значительно изменилось. Теперь нарушение конфиденциальности стало грозить организациям штрафом, размер которого выше, если нарушение конфиденциальности произошло по вине внешнего разоблачителя. Закон штата Массачусетс о неприкосновенности частной жизни является хорошим примером привязки штрафов к утечкам. 

Если открытая акционерная компания теряет сверхсекретную рецептуру, план выхода на рынок или иную важную тайну, то по действующим на сегодняшний день законам она не обязана сообщать об этом. Некоторые организации осознали эту угрозу и предприняли упреждающие шаги по борьбе с ней, но многие другие организации ничего не предпринимают, поскольку отсутствует фактор принуждения. Было бы хорошо, если бы Уолл-Стрит требовала от компаний письменного подтверждения того, что при составлении финансовых отчетов не произошло утечки конфиденциальных данных. Это помогло бы обратить внимание на проблему и заставило бы руководителей компаний плотно заняться ее решением. 

Базы данных, подобные базе Verizon и datalossdb.org <http://datalossdb.org>, дают возможность осознать серьезность проблемы («включить свет в темной пещере»), но главной задачей остается улучшение средств защиты. База данных Verizon — большой шаг к прояснению сути проблемы. Теперь нам нужен административный контроль, чтобы компании начали действовать. 

Глобальная конкурентоспособность и угроза утери данных 

Сегодня компании ведут свой бизнес во все более глобальных масштабах, поэтому конфиденциальные данные могут находиться где угодно. Пытаться определить местонахождение информации — это все равно что пытаться пробурить нефтяную скважину, не имея геологической карты месторождений. Такие попытки, как правило, обречены на неудачу. Традиционный подход к предотвращению утери данных (DLP) предполагает, что у вас имеется такая карта еще до начала бурения, поэтому этим проектам с самого начала приходится преодолевать серьезное препятствие. Мы смотрим на рынок совсем по-другому и верим в распространение знаний путем оптимизации бизнес-процессов и концентрации усилий на защите данных в самых приоритетных областях. 

Сегодня организации стремятся выйти за пределы «формального» нормативно-правового соответствия, чтобы обеспечить защиту большего объема данных — чертежей, схем, планов выпуска продукции, формул лекарств и т. п. Такие документы относятся к более сложным типам данных, чем номера социального страхования и данные кредитных карточек, поэтому традиционные решения для предотвращения утери данных (DLP), как правило, не очень эффективно справляются с задачей обнаружения таких данных. 

Представьте, к примеру, с каким количеством людей производитель делится данными о дизайне нового смартфона. Для защиты и использования конфиденциальных данных такого типа решающее значение имеет понимание бизнес-процессов, которое полностью независимо от организаций, отвечающих за защиту данных (информационную безопасность). Подход McAfee помогает преодолеть этот разрыв, предоставляя организациям возможность увидеть, насколько происходящие на самом деле бизнес-процессы отличаются от того, что было задумано при их разработке. Полученное таким образом знание позволяет скоординировать усилия этих, как правило, независимых друг от друга групп. 

Мы не утверждаем, что решения для предотвращения утери данных (DLP) обеспечат защиту от всех возможных видов утечки информации, но опыт подсказывает нам, что больше всего утечек происходит по традиционным каналам, контролировать которые легче всего.

Файзель Лахани

Редактор раздела: Алена Журавлева (info@mskit.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность защита, безопасность, информационная безопасность, защита персональных данных

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга