Фазовые переходы: как оценить зрелость ИТ-инфраструктуры

Андрей Арефьев, директор департамента развития продуктов компании InfoWatch

В сфере ИТ действуют те же принципы, что и в физике: любой переход в новое качество является фазовым и требует определенной энергии. Как оценить степень зрелости ИТ-инфраструктуры компании с точки зрения внутренней безопасности? И где проходит граница между задачами защиты, относящимися к ИТ и ИБ? 

Кто пользователь?

Понимание того, кто является пользователем ресурса, – краеугольный камень ИБ. Ответ на этот вопрос обычно дает внедрение общего каталога пользователей. За последнее 20 лет один каталог сменял другой (начиная с Novell и заканчивая Microsoft Active Directory), обеспечивая все более глубокую интеграцию с ОС и средствами документооборота, более гибкие и удобные средства администрирования.

Безусловно, внедрение DLP без ответа на вопрос «кто пользователь?» нецелесообразно. Любая организация не стоит на месте: приходят и уходят сотрудники, некоторые из них переводятся в другие отделы, меняют свои позиции... Все эти процессы так или иначе должны влиять на структуру каталога пользователей. На практике названия учетных записей даются произвольно, формат телефонных номеров не регламентирован и они порой устаревают, названия позиций сотрудников и их места в иерархии становятся неактуальными. Конечно, эти проблемы можно решить, написав регламенты и, возможно, наняв дополнительных администраторов. Однако в тот момент, когда ИТ-служба дозревает до необходимости внедрения специализированных инструментов, позволяющих формировать правила ведения каталога, происходит фазовый переход.

Тут «неожиданно выясняется», что в бизнес-процессах компании участвуют многие ИТ-системы (SRM, ERP, HR, Srevice Desk и т.д.). Все они плохо совместимы с внедренным каталогом, а процессы найма и увольнения все так же актуальны. Для обеспечения безопасности и эффективности работы предприятия нужно своевременно создавать учетные записи в системах, к которым имеет доступ сотрудник, а при его увольнении своевременно блокировать или удалять такие записи. Можно утверждать: мечта Microsoft о том, что внедрение Active Directory позволит закрыть все соответствующие проблемы, разрушилась из-за многообразия ИТ-систем. Написание регламентов и прием на работу квалифицированных сотрудников не избавляют от человеческого фактора, а главное – не дают простого ответа на вопрос «кто?», поскольку один сотрудник может иметь несколько учетных записей. Для полноценного ответа на этот вопрос необходим фазовый переход, состоящий во внедрении IdM-решения.

Переоценка или самообслуживание

Итак, в компании внедрен IdM, налажены процессы управления учетными записями и правами, но через некоторое время обнаруживается, что количество ролей или групп в каталоге равно количеству сотрудников, а удалить ту или иную группу невозможно, поскольку последствия окажутся непредсказуемыми. Выяснить, кто, зачем и почему выдал права на разные ресурсы, практически нереально, а любое изменение ранее выданных прав является крайне рискованным и чревато остановкой бизнес-процессов. Возникает разрыв между требованиями бизнеса и технической реализацией ИТ.

Самый правильный способ устранения этого разрыва – использование инструментов, позволяющих привлекать бизнес к регулярной переоценке прав подчиненных. Как правило, такие возможности предоставляют решения класса Access Management. Их внедрение обычно сопровождается пересмотром системы прав, а это требует определенной энергии, и, значит, на данном уровне зрелости ИТ происходит очередной фазовый переход.

Теперь ИТ-процессы компании быстро адаптируются к бизнес-требованиям и уже не пожирают большое количество ресурсов. Внедрение IdM позволило использовать одну учетную запись, права розданы, а процессы налажены. По мере внедрения решений «закручивались» политики безопасности. Безусловно, все права локальных администраторов отобраны, политики безопасности в отношении паролей ужесточены. И правильно: человек – слабое звено, и нужно лишь подобрать или украсть пароль, чтобы затем от его имени творить чудеса.

Тогда вы научили сотрудников не записывать пароли на бумажках, заставили менять их раз в три месяца, придумывать пароли из большого количества букв и символов и не повторять их снова и снова. Результат не заставил себя ждать: сотрудники забывают пароли (особенно после отпуска), поток запросов к администраторам на сброс паролей не останавливается. Хорошо, когда все всех знают, но что делать, если компания – крупная и распределенная? Простой сотрудника из-за забытого пароля дорого обходится предприятию, но еще дороже окажется сброс кем-нибудь пароля генерального директора.

Ситуация становится еще более сложной, когда законодательство какой-либо страны регламентирует внедрение на предприятиях ИТ-процессов, гарантирующих доступ к ИС только уполномоченным лицам. Так, в Европе и США компании должны обеспечивать меры безопасности так, чтобы бабушки, инвестирующие в них свои сбережения, не обанкротились вместе с этими компаниями, если злоумышленники получат несанкционированный доступ к ИТ-системам. Решение данной проблемы возможно при внедрении либо специализированных систем, позволяющих привлекать руководителей бизнес-подразделений к ИТ-процессам (в данном случае – к инициации сброса пароля), либо систем самообслуживания, дающих возможность сбрасывать собственные пароли (многие зарубежные IdM-вендоры начинали с разработки именно таких решений).

Граница между ИТ и ИБ

Благодаря внедрению разнообразных систем вам удалось добиться контроля учетных записей и контроля над доступом этих записей к ИС. Таким образом, можно ответить на вопросы «кто, что, где и как?» с точки зрения разрешения доступа. Однако невозможно понять, как используется информация, к которой сотрудники имеют легитимный доступ. Теперь нужно нанять ИБ-офицера (все описанные ранее задачи, как правило, выполняет ИТ-команда). Потом следует провести аудит, идентифицировав информацию, которая представляет ценность для компании. На основе выводов аудита разработать политики безопасности. Провести работу с сотрудниками, подписать с ними дополнительные соглашения. Ну и, разумеется, внедрить DLP-систему, без которой разработанные политики и регламенты окажутся «макулатурой».

Как правило, внедрение DLP предполагает мониторинг информационных потоков и выявление нарушений на основе правил. Классические вопросы при выборе DLP-системы таковы: какие каналы можно контролировать, можно или нет заблокировать тот или иной функционал ОС, на какой объем трафика рассчитана система и как ее можно масштабировать? Для эффективного внедрения важно понимать, насколько точно должны быть заданы политики безопасности, обеспечивает ли система лингвистический анализ или придется поддерживать огромные словари.  Наконец, может ли DLP-система предотвращать утечки или является очередным инструментом, который лишь сообщает вам о наличии проблем. 

Очередной этап зрелости наступит, когда служба ИБ сможет использовать DLP-системы для предотвращения инцидентов на основе контентного анализа документов или сообщений. Практикуемое некоторыми компаниями закрытие USB-портов приводит к тому, что по запросам пользователей для них делают исключения, и они получает неконтролируемую возможность копировать файлы на USB-диски. Понятно, что потом можно провести расследование, но предотвратить утечку данных не удастся. Полноценное DLP-решение просто обязано обеспечивать анализ копируемого содержимого и, если копирование нарушает политики безопасности, блокировать такую деятельность.

Еще один аспект, который начинает волновать службу безопасности, – использование мобильных устройств для доступа к корпоративным ресурсам. Как правило, возникают вопросы «что будет с потерянным или украденным устройством, как такое устройство заблокировать или очистить от информации?», но без должного внимания остаются проблемы самого попадания конфиденциальных документов на мобильные устройства. А ведь, казалось бы, все знают, что устройства полностью контролируются производителями и что любая информация, хранящаяся на них в открытом виде, может попасть в руки компаний Apple, Google и др.

По статистике 50% российских компаний предоставляют сотрудникам доступ к корпоративной почте с мобильных устройств (в том числе персональных). При этом, как правило, они не имеют корпоративной политики и технической возможности ограничивать применение средств доступа. Уверен, всем известно, как можно обойти политики DLP при наличии доступа к почте с мобильных устройств. Осуществить следующий фазовый переход позволяют способы предотвращения утечек информации на основе анализа контента, осознание проблем использования мобильных устройств в бизнес-процессах, поиск компромисса между безопасностью компании и частной жизнью сотрудников.

Внедрение любой системы сопровождается несколькими этапами реакции безопасников: ожидание чуда, восхищение от результатов, осознание недостаточности функционала. Вы внедрили DLP, но через некоторое время осознали: бизнес-процессы компании изменились, возникли новые процессы, которые нужно защищать, и новые форматы документов, не «покрытые» правилами DLP, к тому же DLP-система лишь удовлетворяет основные потребности компании, но не способна обнаруживать в ней «теневые» процессы и описывать их с помощью правил любой сложности. Приходит понимание того, что служба безопасности должна помогать бизнесу зарабатывать деньги, оптимизировать расходы, а не просто кошмарить его угрозами. И тогда возникает потребность в инструментах, которые работают с большими данными, позволяют анализировать информацию, поступающую от разных систем безопасности, выявлять сотрудников из групп риска и сложные схемы их незаконного обогащения. Осознание проблем, покупка и внедрение соответствующих систем, создание эффективных для бизнеса процессов – все это сложная, кропотливая, творческая работа, однозначно ведущая к очередному фазовому переходу.

 

Тэги: 
Оцените материал:
Total votes: 11

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.