Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
Как довести проект по информационной безопасности до ума
1. DLP Hero: Жизнь до DLP
Мария Воронова
Ведущий эксперт по
информационной безопасности
2. Специальность «компьютерная
безопасность»
В ИБ более 10 лет
C 2008 года – в банковском секторе
С 2010 года – руководитель ИБ-
подразделения Финансовой Группы,
руководитель ИБ-проектов
Автор публикаций, статей,
комментариев в СМИ
Мария Воронова
Ведущий эксперт InfoWatch
Пара слов о себе
3. О чем будем
говорить? О DLP!
Как об инструменте комплексного
процесса защиты от утечек и
внутренних угроз
• Опыт обоснования проекта – как это бывает
• Почему внедрения только инструментария без
сопутствующих процедур недостаточно?
• А что говорит на эту тему Gartner?
• Что надо сделать для максимально эффективного
использования DLP и решения бизнес-задач и целей?
• Какие задачи должны быть решены на этапе подготовки?
• Количественная оценка рисков утечки
4. ИнфоБезопасник
О чем мы говорим,
когда говорим о DLP?
Отлично!
Это же контроль
информационных
потоков!
Информационная
безопасность
5. Безопасник
О чем мы говорим,
когда говорим о DLP?
О, возможность контроля
за сотрудниками!!
Служба
безопасности
6. Рисковик
(продвинутый)
О чем мы говорим,
когда говорим о DLP?
Снижение операционных
рисков за счет снижения
вероятности утечек и
мошенничества
Риски
7. Топ-менеджер
О чем мы говорим,
когда говорим о DLP?
Это что такое? Сколько
стоит?
СКОЛЬКО-
СКОЛЬКО????
Руководство
8. Понимание
необходимости
Как приходят к необходимости
применения DLP
Понимание рисков
Случались инциденты («пожары», которые надо было тушить»)
Compliance
Взгляд на конкурентов
Уровень зрелости и стратегия развития
9. Понимание
необходимости
Как пришла финансовая
группа?
1. Интуитивно ощущали проблему: то тут, то там были
«звоночки»
2. Требовал уровень зрелости ИБ – все что могли сделать без
крупных финансовых затрат, уже было сделано. Ручной
контроль – утопия для масштаба в 20 000 сотрудников
3. Нужен был ИБ проект
…и в конечном итоге понятный всем,
в том числе руководству
ИМИДЖЕВЫЙ ПРОЕКТ
10. Старт
С чего же начать?
• Цели
• KPI
• Бюджет
• План
• Риски и ограничения
А бюджет возможен только инвестиционный, собственного
не имеем
Надо его получить!
Проект
11. Защита проекта
О чем говорилось на
защите?
• Рост утечек по рынку (графики,
таблички)
Приводили
статистику
• Нет возможности выявлять утечки
• Об инцидентах узнаем от третьих лиц
• Отсутствие механизмов
расследования
Говорили о
проблемах
13. Зато о гипотетических
рисках - много
Защита проекта
• Снижение числа новых и отток существующих клиентов
• Переманивание клиентов за счет утечки клиентской информации в
другие компании/банки
• Падение лояльности клиентов
• Снижение репутации
• Потеря конкурентных и имиджевых преимуществ вследствие утечки
конфиденциальной информации в СМИ и Интернет
• Потеря доверия поставщиков и партнеров
• Судебные разбирательства
• Санкции контролирующих органов (планируется увеличение
штрафов за разглашение/утечку персональных данных вплоть до
1% от общегодового заработка компании за один инцидент)
• Необходимость затрат на устранение последствий
17. Опыт Gartner
*из материала Gartner «Anticipate and Overcome the Five Key Obstacles
to Success in Content-Aware DLP Deployments» (24 March 2014)
«К 2017-му году 80% внедрений DLP-решений
окажутся провальными с точки зрения получения
выгоды и преимуществ для бизнеса из-за
неправильного управления проектом, планирования и
распределения ресурсов».*
18. Gartner
«Я всего лишь помогаю вам
сохранить ваши деньги» (с)
Комментарий Gartner
Не хватает понимания, что конкретно, а главное – «зачем»
нужно будет защищать
Не хватает вовлеченности бизнеса и бизнес-целей в
проекте
Оценка рисков должна быть в том числе и количественной
Процесс надо прорабатывать более детально
20. Анализ «постфактум»
Анализ
Было решено запустить исследовательский этап
проекта или фазу 1 «Исследование»
Срок – 4 месяца
Глобальная цель – сбор информации, достаточной
для принятия руководством решения о необходимости
внедрения процесса защиты от утечек внутри компании
21. Что имеется в виду под конфиденциальной и чувствительной информацией?
Какая информация нуждается в защите?
Какие информационные потоки существуют в компании?
Какие сценарии утечек информации применимы к компании?
Какие риски существуют?
Надо ли защищать и контролировать? Каким образом?
Фаза 1
ИССЛЕДОВАНИЕ
Анализ
Получить ответы на вопросы
22. Задачи
исследовательской части
проекта
Исследование
Сбор, описание, ранжирование существующих
проблем:
• Детальное исследование области внедрения процесса
по защите от утечек (бизнес-процессы, в рамках
которых необходимо обеспечить контроль
использования конфиденциальной информации),
• Идентификация активов (информация, документы,
сотрудники и т. п.), участвующих в обработке.
• Определение допустимых сценариев работы с
критичной конфиденциальной информацией
Выявление фактов утечек:
• Проведение «пилота» DLP-решения
23. Определены и категоризированы активы, которые
нуждаются в защите (конфиденциальная
информация, коммерческая тайна, чувствительная
информация)
Выявлены основные каналы и области, подверженные утечкам
конфиденциальной информации
Проведена оценка рисков утечки конфиденциальной
информации
Спроектирована и согласована командой проекта
концепция защиты от утечек конфиденциальной
информации
Цели
Исследование
24. Реализация целей
Команда проекта
• Информационная
безопасность
• Внешний контрагент
• Опер. риски
• ИТ-подразделения
(опционально)
• Подразделения
безопасности
(опционально)
25. Аудит
1. Анализ бизнес-процессов на предмет выявления
информационных активов:
• Выделение ключевых бизнес-подразделений
• Проведение интервьюирования (2-5 интервью по
каждому направлению)
2. Анализ ИТ-систем и инфраструктуры на предмет
определения информационных потоков:
• Высокоуровневое представление о системах
• Понимание данных, которые в них обрабатываются
• Ролевая модель в системах
• Разграничение привилегий в целом
26. Анализ активов
• Выделение категорий информационных активов
• Оценка ценности каждой категории
• Оценка вероятности утечки (экспертно)
• Определение первоприоритетных областей
Важно!
1. Проводить оценки ценности совместно со
стейкхолдерами бизнеса
2. Категории должны быть четкими и понятными
31. Утечка клиентских данных
Пример расчета
Количественная
оценка рисков
1. Оценить стоимость клиентских данных (% доход + не%
доход + затраты на привлечение клиента
2. Сделать выборки по реальным инцидентам
3. Ввести гипотезу – «утечка с целью переманивания
клиентов»
4. Отследить отток клиентов (срезы 3, 6, 9 и 12 месяцев)
5. Оценить возможную конверсию, подкрепить данными о
реальном уходе
6. Рассчитать убытки по реальным инцидентам исходя из
стоимости клиентов
7. Произвести масштабирование
32. Защита проекта
Аргументы
1. Мы знаем наши данные:
понимаем что и где хранится, как обрабатывается и
перемещается, кто имеет доступ
2. Мы понимаем ценность наших данных
ценность данных и потенциальный ущерб от
утечки рассчитаны вместе с бизнесом
3. Точно знаем, что хотим от процесса защиты от утечек
(и от DLP-системы как части процесса)
3. Разработаны мероприятия по реагированию на
инциденты, продуманы и согласованы варианты
взаимодействия
33. Как представлять
проект?
Схема защиты ИБ-проекта
5. Перейти к «избавлению от проблем»
Что надо сделать Сколько это будет стоить
4. Подкрепить информацией «а что с проблемой делают
конкуренты»
3. Подкрепить «комплайнсом» (если он есть)
2. Рассказать об ущербе (потенциальном ущербе)
Количественная оценка Косвенный ущерб
1. Сообщить о проблеме
Побольше фактов Конкретика, реальные примеры
34. Монетизация
Самое важное – донести
мысль, что «вложив 10
рублей, мы сможем
сохранить 100 рублей»
за счет снижения рисков
возникновения ущерба