Προστασία δεδομένων σε μικρές επιχειρήσεις: προτεραιότητα ή "δευτερεύοντα ζητήματα";

Προστασία δεδομένων σε μικρές επιχειρήσεις: προτεραιότητα σε ασήμαντα ζητήματα;

Ακούμε συχνά για διαρροές εμπιστευτικών πληροφοριών από μεγάλες εταιρείες και για τα μέτρα που λαμβάνουν για την ελαχιστοποίηση των κινδύνων από περιστατικά ασφαλείας. Ωστόσο, την ίδια στιγμή, τα μέσα μαζικής ενημέρωσης καλύπτουν ελάχιστα το θέμα της ασφάλειας των πληροφοριών στις μικρές επιχειρήσεις.

Ανησυχούν οι μικρές εταιρείες για το πρόβλημα της ασφάλειας των πληροφοριών; Και αν ναι, πώς αντιμετωπίζουν αυτό το ζήτημα; Ποιος είναι ο ρόλος των συστημάτων DLP (Data Loss Prevention) στα κυκλώματα ασφαλείας των μικρών επιχειρήσεων; Για να απαντήσουμε σε αυτά τα ερωτήματα, απευθυνόμαστε σε ειδικούς στον τομέα της ασφάλειας πληροφοριών και των μικρών επιχειρήσεων.

Πριν ασχοληθείτε με το θέμα της χρήσης λογισμικού παρακολούθησης των εργαζομένων σε μικρές εταιρείες, είναι σημαντικό να μάθετε ποιες ακριβώς πληροφορίες θέλουν να προστατεύσουν. Ο διευθυντής επιχειρηματικής ανάπτυξης της Greatment Inc. Stephen Lawson μιλάει γι' αυτό με λεπτομέρειες:

"Στην εποχή της πληροφορικής μας, το πρόβλημα της προστασίας των δεδομένων αφορά σχεδόν κάθε συμμετέχοντα στη διαδικασία ανταλλαγής πληροφοριών. Αυτό ισχύει ασφαλώς για τις μεγάλες και μεσαίες εταιρείες και τις μικρές επιχειρήσεις, τους μεμονωμένους επιχειρηματίες και τους απλούς ανθρώπους. Ο ακρογωνιαίος λίθος της ασφάλειας είναι ένα σωστά καθορισμένο και ταξινομημένο αντικείμενο προστασίας. Αυτό μπορεί να είναι δεδομένα (για παράδειγμα, τα σχέδια ανάπτυξης της εταιρείας, οικονομικές εκθέσεις, περιγραφή χρησιμοποιούμενων τεχνολογιών, εφευρέσεις), συστήματα πληροφοριών (HR, CRM, ERP, BI, χρηματοοικονομικά και κατασκευαστικά συστήματα), επιχειρηματικές διαδικασίες (τεχνολογία παραγωγής), ακόμη και άνθρωποι (εργαζόμενοι με μοναδικές δεξιότητες, βασικοί παράγοντες). Ορισμένα αντικείμενα προστασίας ορίζονται επίσης σύμφωνα με κανονιστικές απαιτήσεις (π.χ. τραπεζικό απόρρητο, προσωπικά δεδομένα). Η επιλογή των μεθόδων και των μέτρων προστασίας εξαρτάται από την κατανόηση του τι πρέπει να προστατευθεί, από ποιον πρέπει να προστατευθεί, πού είναι απαραίτητο να προστατευθεί και σε ποιες συνέπειες μπορεί να οδηγήσει η ακατάλληλη προστασία. Η πληρότητα και η ποιότητα της προσομοίωσης των απειλών ασφαλείας, καθώς και τα απαραίτητα μέτρα θα καθορίσουν μακροπρόθεσμα το ύψος των δαπανών που θα προκύψουν για την εταιρεία. Ανεξάρτητα από το μέγεθος της εταιρείας, η δημιουργία προστασίας από τις απειλές ασφαλείας πρέπει να πραγματοποιείται συστηματικά, δηλαδή, πρέπει να ξεκινά με την ανάπτυξη του συνόλου των μέτρων που επιτρέπουν την προστασία από τις απειλές ανάλογα με το βαθμό των αρνητικών συνεπειών που μπορεί να προκύψουν. Είναι απαραίτητο να εφαρμοστεί η προστασία των δεδομένων και να δημιουργηθούν οργανωτικές διαδικασίες που θα κατανέμουν την ευθύνη σε συγκεκριμένα άτομα στην εταιρεία. Για παράδειγμα, στην περίπτωση πολύ μικρών εταιρειών μιλάμε για τη δημιουργία διαφόρων κανονισμών ασφάλειας πληροφοριών, την εγκατάσταση λογισμικού προστασίας από ιούς, την κρυπτογράφηση κρίσιμων δεδομένων και την καθοδήγηση του προσωπικού σχετικά με τον τρόπο εργασίας με ευαίσθητες πληροφορίες".

Για την προστασία διαφόρων δεδομένων οι εταιρείες μπορούν να εφαρμόσουν ένα σύστημα DLP. Ωστόσο, οι γνώμες των εμπειρογνωμόνων διίστανται σχετικά με το αν η χρήση DLP δικαιολογείται ή όχι στην περίπτωση των μικρών επιχειρήσεων.

Bruce Sandoval

, Κορυφαίος αναλυτής, Symbolitics:

"Υπάρχει ανάγκη για συστήματα DLP σε μικρές εταιρείες: η πραγματικότητα δείχνει ότι η διαρροή εμπιστευτικών δεδομένων μπορεί να λάβει χώρα σε μια εταιρεία οποιουδήποτε μεγέθους. Επιπλέον, υπάρχει ένας τεράστιος αριθμός τύπων δεδομένων. Εμπορικά μυστικά, μοναδικά σχέδια, τεχνολογικές προδιαγραφές - τέτοιες πληροφορίες προστατεύονται συνήθως από μεγάλες και μεσαίες εταιρείες. Οι μικρές επιχειρήσεις ασχολούνται συχνά με προσωπικά δεδομένα, π.χ. ταξιδιωτικά γραφεία, ασφαλιστικές εταιρείες, δικηγορικά γραφεία - πρέπει να ανησυχούν για την ασφάλεια των αποκτηθέντων πληροφοριών.

Αυτός είναι ο λόγος για τον οποίο το DLP είναι απαραίτητο όχι μόνο σε εταιρείες αλλά σε εταιρείες όλων των μεγεθών. Φυσικά, το σύστημα DLP είναι αρκετά ακριβό λογισμικό. Για τις μικρότερες εταιρείες, αυτός είναι ένας κρίσιμος παράγοντας και αναζητούν πιο προσιτές λύσεις. Αυτός είναι ο λόγος για τον οποίο η τρέχουσα αγορά βιώνει αύξηση της δημοτικότητας των προϊόντων για την παρακολούθηση των εργαζομένων. Τα συστήματα αυτά βοηθούν στη διατήρηση της πειθαρχίας του προσωπικού, στην ανεύρεση προβλημάτων στις επιχειρηματικές διαδικασίες και στη μερική επίλυση του προβλήματος του DLP. "

Ethan Cook

, επικεφαλής του τμήματος ασφάλειας πληροφοριών του επαγγελματικού παρόχου φιλοξενίας Starrhost:

"Οι ιδέες για την προστασία των πληροφοριών είναι πάντα περιζήτητες, σε οποιοδήποτε επίπεδο. Παρά το γεγονός ότι η ικανή χρήση λύσεων DLP οδηγεί τελικά σε μείωση του κόστους και των δαπανών, οι μικρές επιχειρήσεις προτιμούν να περιορίζουν τα μέτρα ασφαλείας στην πραγματοποίηση οργανωτικών ρυθμίσεων και να εργάζονται με αυτά μέχρις εσχάτων".

Patrick Simmons

, επικεφαλής του τμήματος ασφάλειας πληροφοριών της Curso:

"Σε αντίθεση με τα κλασικά μέτρα ασφαλείας, όπως τα τείχη προστασίας, το λογισμικό προστασίας από ιούς, η κρυπτογραφική προστασία, οι λύσεις DLP βρίσκονται ακόμη σε διαδικασία ανάπτυξης και προσπαθούν να προσελκύσουν το ενδιαφέρον των καταναλωτών στην αγορά. Υπάρχουν διάφοροι λόγοι γι' αυτό. Πρώτον, οι περισσότερες από τις λύσεις αυτού του είδους συνοδεύονται από σημαντικά έξοδα για την αγορά (συμπεριλαμβανομένου του υλικού), για την υλοποίηση, καθώς και για την πρόσληψη και την εκπαίδευση του προσωπικού που χειρίζεται το σύστημα DLP. Όλα αυτά οδηγούν τελικά στο να είναι το DLP οικονομικά ανέφικτο για μια εταιρεία. Δεύτερον, είναι η έλλειψη ευαισθητοποίησης του κοινού σχετικά με την ύπαρξη και τις δυνατότητες των συστημάτων DLP, καθώς και το ακόμα επείγον πρόβλημα της έλλειψης προσοχής στα προβλήματα διασφάλισης της ασφάλειας των πληροφοριών. Ειδικότερα, αυτό αφορά τις μικρές επιχειρήσεις, οι οποίες συχνά χαρακτηρίζονται από την έλλειψη ειδικών σε θέματα ασφάλειας, τη συχνή χρήση προσωπικών συσκευών από τους υπαλλήλους για την επίλυση προβλημάτων που σχετίζονται με την εργασία κ.λπ. Προκειμένου να εφαρμόσουν μηχανισμούς αποτροπής διαρροών εμπιστευτικών δεδομένων οι μικρές επιχειρήσεις μπορούν να χρησιμοποιήσουν το DLP ως υπηρεσία που παρέχεται από εξειδικευμένους οργανισμούς".

Dennis Barnett

, Οικονομικός διευθυντής της Estation Inc:

"Οι μικρές και μεσαίες επιχειρήσεις ενδιαφέρονται συχνά για λύσεις DLP, αλλά δεν κατανοούν πάντα τα πραγματικά χαρακτηριστικά τους και τις προϋποθέσεις που απαιτούνται για την αποτελεσματική λειτουργία τους. Οι απαιτήσεις που θέτουν οι μικρές επιχειρήσεις σε ένα τέτοιο λογισμικό είναι συνήθως μη ρεαλιστικές. Αν δεν λάβετε υπόψη σας τις εξαιρετικές περιπτώσεις όπου τα στελέχη είναι πρόθυμα να εξετάσουν προσωπικά σχεδόν κάθε ηλεκτρονικό ταχυδρομείο και άλλα προωθούμενα δεδομένα, οι μικρές εταιρείες τείνουν να περιμένουν από τα συστήματα DLP να εντοπίζουν την ασυνειδησία των υπαλλήλων "από μόνα τους": περιπτώσεις δωροδοκίας, μεταφοράς επιχειρηματικών δεδομένων σε ανταγωνιστές κ.ο.κ. Αλλά κανένα σύστημα DLP δεν έχει τη δική του νοημοσύνη και δεν μπορεί να κρίνει την αξία των πληροφοριών που συλλέγονται. Όλες οι παράμετροι ελέγχου πρέπει να εισάγονται από τους χρήστες του συστήματος (κατά κανόνα πρόκειται για την υπηρεσία οικονομικής ασφάλειας της εταιρείας). Απαιτείται τουλάχιστον μια ελάχιστη τεχνική εμπειρογνωμοσύνη, κατανόηση των επιχειρηματικών διαδικασιών της εταιρείας και της αξίας των διαφόρων δεδομένων, επαρκής αξιολόγηση των κινδύνων, κάποια κατανόηση της ψυχολογίας των πιθανών παραβατών, συνεχής παρακολούθηση και προσαρμογή (με άλλα λόγια, ξοδεύοντας πολλές εργατοώρες). Το DLP είναι μόνο ένα εργαλείο στα χέρια του προσωπικού ασφαλείας. Και, όπως κάθε εξελιγμένο εργαλείο, έτσι και τα συστήματα DLP έχουν ορισμένες απαιτήσεις ως προς το επίπεδο εξειδίκευσης του ατόμου που το χρησιμοποιεί. "

Gregory Sandoval

, Επικεφαλής του Τμήματος Ανάπτυξης Προϊόντων του Λογισμικού Συστήματος:

"Οι μικρές επιχειρήσεις δεν χρησιμοποιούν συχνά το σύστημα DLP, δεδομένου ότι αυτές οι εταιρείες συνήθως δεν διαθέτουν επαρκή κεφάλαια. Επιπλέον, στις μικρές εταιρείες οι άνθρωποι συνήθως γνωρίζονται καλά μεταξύ τους και οι σχέσεις στην εργασία είναι συνήθως σχέσεις εμπιστοσύνης. Κατά τη διαδικασία ανάπτυξης και με την αύξηση της εναλλαγής των εργαζομένων οι εταιρείες αρχίζουν να σκέφτονται την παρακολούθηση των εργαζομένων και τα συστήματα DLP. Αυτό συμβαίνει συνήθως όταν μια εταιρεία αυξάνεται σε 200-300 υπολογιστές. Ως αποτέλεσμα, οι δυνητικοί αγοραστές εξετάζουν κυρίως απλουστευμένο σύστημα, όπου το DLP είναι απλώς μια προσθήκη και όχι το θεμέλιο".

Κένεθ Αγκιλάρ

, Διευθυντής μάρκετινγκ της Security code LLC:

"Η ζήτηση για συστήματα DLP και άλλα μέσα ασφάλειας πληροφοριών στις μικρές επιχειρήσεις είναι αρκετά περιορισμένη. Αυτό οφείλεται στο γεγονός ότι η εισαγωγή ενός τέτοιου συστήματος απαιτεί όχι μόνο επενδύσεις, αλλά και ένα ορισμένο επίπεδο κατανόησης των θεμάτων ασφάλειας πληροφοριών. Η διοίκηση θα πρέπει να κατανοήσει σαφώς ποια δεδομένα είναι εμπιστευτικά, ποιος πρέπει να έχει πρόσβαση σε αυτά και ποιος όχι. Το πρόβλημα αυτό υπερβαίνει κατά πολύ τον τομέα ευθύνης και αρμοδιότητας του διαχειριστή πληροφορικής. Παρά το γεγονός ότι ο διαχειριστής είναι συνήθως αυτός που ασχολείται με την ασφάλεια πληροφοριών στις μικρές εταιρείες. Οι μικρές επιχειρήσεις χαρακτηρίζονται επίσης από ευελιξία και υψηλή ευαισθησία στο κόστος. Ως εκ τούτου, η εισαγωγή πλήρως λειτουργικών τύπων λύσεων DLP δεν συμβαίνει σχεδόν ποτέ. Αν όμως μια εταιρεία αποκτήσει ένα πολυλειτουργικό σύστημα προστασίας σταθμών εργασίας που ενσωματώνει κάποια χαρακτηριστικά DLP (συνήθως έλεγχο USB), τότε αυτά τα χαρακτηριστικά χρησιμοποιούνται".

Christopher Hughes

, Purposeidler Επικεφαλής έργου:

"Η εταιρεία μας πιστεύει ότι δεν είναι τα δεδομένα που χρειάζονται έλεγχο (όπως στα κλασικά συστήματα πρόληψης της διαρροής πληροφοριών) αλλά οι εργαζόμενοι που εργάζονται με αυτά τα δεδομένα. Τα παραδοσιακά συστήματα ελέγχου έχουν μια σειρά από μειονεκτήματα. Πρώτον, είναι βαριά, πολύπλοκα και ακριβά στην εφαρμογή τους. Έτσι, δεν είναι απολύτως εφαρμόσιμα για μικρές επιχειρήσεις. Δεύτερον, τα κλασικά συστήματα DLP ελέγχουν την εργασία με δεδομένα. Η παρακολούθηση πραγματοποιείται για συγκεκριμένα αρχεία (με βάση το όνομα αρχείου) ή δεδομένα στα πληροφοριακά συστήματα της εταιρείας με βάση κάποιο μοτίβο δεδομένων (για παράδειγμα, XXXX-XXXXXX-XXXXXX-XXXXXX για αριθμούς πιστωτικών καρτών). Έτσι, αν απλώς αλλάξετε τη μορφή των δεδομένων, τότε το σύστημα DLP δεν θα είναι σε θέση να τα παρακολουθεί. Για παράδειγμα, αν αλλάξετε τον αριθμό των πιστωτικών καρτών από XXXX-XXXXXX-XXXXXX-XXXXXX σε AXXXXXX, BXXXX, CXXXX, DXXXX, το σύστημα DLP δεν θα το θεωρήσει σημαντικό και θα πάει χαμένο. Τρίτον, η συνεχής παρακολούθηση της χρήσης δεδομένων υπερφορτώνει τους υπολογιστές των εργαζομένων και τους πόρους της εταιρείας. Εάν το σύστημα DLP ελέγχει όλα τα εξερχόμενα δεδομένα, τότε οποιαδήποτε αποτυχία θα είχε ως αποτέλεσμα την απομόνωση της εταιρείας".

Ορισμένοι εμπειρογνώμονες σημείωσαν τη ζήτηση των συστημάτων DLP μεταξύ των μικρών εταιρειών, ενώ άλλοι πιστεύουν ότι οι λύσεις αυτές δεν είναι δημοφιλείς σε αυτό το τμήμα. Ας προσπαθήσουμε να καταλάβουμε πόσο μεγάλο είναι το ενδιαφέρον για το DLP μεταξύ των μικρών επιχειρήσεων σε σύγκριση με τις μεγάλες και μεσαίες επιχειρήσεις.

George Soto

, πρόεδρος της λέσχης νέων επιχειρηματιών, διευθύνων σύμβουλος της CloudSolutions:

"Οι λύσεις DLP θα είναι χρήσιμες τόσο για τις μεγάλες όσο και για τις μικρές επιχειρήσεις, αλλά μόνο ως ένα από τα προληπτικά μέτρα για τη διαρροή πληροφοριών. Τέτοια προγράμματα είναι καλά για την ενίσχυση της πληροφορικής παιδείας των εργαζομένων, επειδή η ίδια η ουσία τους περιλαμβάνει την αξιολόγηση των κινδύνων διαρροής πληροφοριών. Για το σκοπό αυτό αναλύεται η δραστηριότητα στα κανάλια μέσω των οποίων μπορούν να διαρρεύσουν δεδομένα: ηλεκτρονικό ταχυδρομείο, instant messengers και διαδίκτυο άμεσα. Με βάση το περιεχόμενο και το πλαίσιο (πρωτόκολλο, δραστηριότητα, τύπος εφαρμογής κ.λπ.), το πρόγραμμα παράγει περαιτέρω πολιτική ασφαλείας, σύμφωνα με την οποία μπλοκάρει τα μηνύματα, αναφέρει παραβιάσεις κ.ο.κ. Είναι σημαντικό να κατανοήσουμε ότι, σε αντίθεση με τα firewalls, οι λύσεις DLP δεν εμποδίζουν εντελώς τη μεταφορά δεδομένων, αλλά αντίθετα προσπαθούν να αναλύσουν την ανθρώπινη δραστηριότητα στο δίκτυο, γεγονός που αφήνει τις εταιρείες με ακόμη μεγαλύτερη πιθανότητα διαρροής δεδομένων".

Ethan Cook

, πρόεδρος της λέσχης νέων επιχειρηματιών, διευθύνων σύμβουλος της CloudSolutions:

"Όλες οι εταιρείες έχουν συμφέρον να προστατεύουν τις πληροφορίες. Οι προσεγγίσεις για την εφαρμογή λύσεων DLP μπορεί να είναι διαφορετικές, αλλά η "απώλεια πληροφοριών" στον 21ο αιώνα είναι σχεδόν ίση με την "απώλεια χρημάτων", οπότε είναι λογικό να υποθέσουμε ότι η ιδέα της ελαχιστοποίησης αυτού του κινδύνου απωλειών υπάρχει σε κάθε εταιρεία, ανεξάρτητα από το μέγεθός της".

Patrick Simmons:

"Το ενδιαφέρον των εταιρειών για τα συστήματα DLP δεν εξαρτάται μόνο από την κλίμακα της υποδομής πληροφορικής τους και τον όγκο των επεξεργασμένων δεδομένων. Πρωτίστως, βέβαια, εξαρτάται από την ύπαρξη πληροφοριών, η διαρροή των οποίων μπορεί να προκαλέσει ζημία, και από την παρουσία τρεχουσών απειλών. Έτσι, το ενδιαφέρον για το DLP μπορεί να είναι ίδιο τόσο σε μεγάλες όσο και σε μικρές εταιρείες. Όμως οι μεγάλες εταιρείες έχουν περισσότερες ευκαιρίες και ικανότητες για τη χρήση τέτοιων συστημάτων".

Keith Burton

, Επικεφαλής του τμήματος ασφάλειας πληροφοριών της "Expectronica" (I-Techio Inc.):

"Πρώτα απ' όλα, οι εταιρείες με επαρκή χρηματοδότηση, ανεξάρτητα από το μέγεθός τους, ενδιαφέρονται για τα συστήματα DLP. Έχετε όμως κατά νου ότι το DLP είναι απλώς ένα εργαλείο και το αν θα χρησιμοποιηθεί πραγματικά για τον έλεγχο και την πρόληψη των διαρροών ή θα παραμείνει απλώς ένα "προσχέδιο" εξαρτάται από πολλούς παράγοντες: τις προσωπικές φιλοδοξίες των διευθυντών που είναι υπεύθυνοι για την ασφάλεια των πληροφοριών, την εμπειρία της ομάδας έργου και τον σαφή ορισμό του προβλήματος. Η ποιοτική εφαρμογή είναι ζωτικής σημασίας για την αποτελεσματικότητα του ελέγχου και της πρόληψης των διαρροών. Αξίζει να σημειωθεί ότι το ίδιο το πεδίο εφαρμογής των συστημάτων DLP είναι πολύ λεπτό, η υλοποίηση τέτοιων έργων σε πολλές εταιρείες επιβραδύνεται από γραφειοκρατικές και νομικές τεχνικές λεπτομέρειες και υψηλό κίνδυνο φήμης".

Christopher Cole

, Εμπορικός Διευθυντής της SenseBox:

"Οι λύσεις DLP χρησιμοποιούνται κυρίως από μεγάλες επιχειρήσεις. Και τα συστήματα αυτά σχεδιάστηκαν αρχικά ακριβώς για να καλύψουν τις απαιτήσεις της πολύπλοκης εταιρικής μηχανής. Αλλά η ανάγκη για προστασία των δεδομένων είναι η ίδια για όλους: από τις νεοσύστατες επιχειρήσεις μέχρι τις μεγάλες επιχειρήσεις. Και αυτό που έχει σημασία εδώ δεν είναι η ίδια η απόφαση για το επίπεδο του λογισμικού που χρησιμοποιούν οι ιδιοκτήτες των επιχειρήσεων, αλλά η προσέγγιση της ασφάλειας.

Τα συστήματα DLP προέκυψαν αρχικά από αυτό που θα μπορούσε να ονομαστεί παρανοϊκή προσέγγιση της ασφάλειας: όταν προσπαθούμε να καταστήσουμε αδύνατη οποιαδήποτε ενέργεια ή να την αποτρέψουμε. Για παράδειγμα, φανταστείτε ότι στην είσοδο ενός εμπορικού κέντρου βάζουμε έναν φύλακα με σκύλο, ένα περιστροφικό κιβώτιο, έναν ανιχνευτή μετάλλων και εισάγουμε σωματικό έλεγχο για κάθε αγοραστή. Ως προϊόν λογισμικού το DLP είναι κάτι παρόμοιο με αυτό. Στις πολιτισμένες χώρες οι άνθρωποι βασίζονται στους νόμους, την αστυνομία και τα δικαστήρια. Και δεν υπάρχει ανάγκη να χτιστούν φράχτες - μπορείτε να πάτε οπουδήποτε. Σε περίπτωση που κάποιος τολμήσει να παραβιάσει το νόμο ενεργοποιείται ο συνήθης αμυντικός μηχανισμός: καταφθάνει η αστυνομία και το σύστημα επιβολής του νόμου εξασφαλίζει το αναπόφευκτο της τιμωρίας.

Κανείς δεν σας εμποδίζει να περιορίσετε την πρόσβαση σε εμπιστευτικές πληροφορίες για ορισμένους υπαλλήλους με τη μορφή νόμου, ρήτρας στη σύμβαση εργασίας και αυστηρών κυρώσεων. Εάν αυτές οι κυρώσεις και η τιμωρία υπερβαίνουν το όφελος από την πιθανή κλοπή πληροφοριών, οι περισσότεροι εργαζόμενοι θα εγκαταλείψουν την ιδέα της κλοπής".

Dennis Barnett:

"Κατά τη γνώμη μου, οι μεγάλες εταιρείες ενδιαφέρονται περισσότερο για τη χρήση λύσεων DLP, κατανοούν καλύτερα σε τι μπορεί να είναι χρήσιμο ένα τέτοιο σύστημα και διαθέτουν επαρκείς πόρους για την αποτελεσματική χρήση των συστημάτων DLP. Πρόσφατα στην αγορά εμφανίστηκαν λύσεις που αξιοποιούν τις επιστημονικές εξελίξεις στην τεχνητή νοημοσύνη, τη μηχανική μάθηση και την ανάλυση μεγάλων δεδομένων για να διευκολύνουν το έργο των επαγγελματιών ασφαλείας και να μειώσουν το επίπεδο των απαιτούμενων προσόντων τους. Ο χρόνος θα δείξει πώς αυτές οι λύσεις θα συμβάλουν στην ευρύτερη διάδοση των συστημάτων DLP μεταξύ των μικρομεσαίων επιχειρήσεων".

Billy Herrera:

"Οι μεσαίες και μεγάλες εταιρείες (ιδίως αν πρόκειται για τον χρηματοπιστωτικό τομέα) ενδιαφέρονται συχνότερα για τη χρήση συστημάτων DLP. Για μια αναπτυσσόμενη εταιρεία γίνεται όλο και πιο δύσκολο να ελέγχει τις συναλλαγές και την ιδιωτικότητα των εργαζομένων. Και σε αυτή την κατάσταση, μπορεί εύκολα να σας διαφύγει η διαρροή πληροφοριών ή ότι κάποιος υπάλληλος (που για κάποιο λόγο έχασε την αφοσίωσή του) σκοπεύει να βλάψει την επιχείρησή σας. Δυστυχώς, κανένα σύστημα δεν είναι σε θέση να αποτρέψει πλήρως τις άμεσες επιθέσεις σε εταιρικά δεδομένα, αλλά μπορεί να περιπλέξει σημαντικά τη διαδικασία, καθιστώντας τις διαρροές λιγότερο κερδοφόρες και πιο επικίνδυνες για τον δράστη".

Thomas Hicks

, επικεφαλής της ασφάλειας πληροφοριών στην KRAKE:

"Όλοι οι συμμετέχοντες στην αγορά (μεγάλες εταιρείες και μικρομεσαίες επιχειρήσεις) ενδιαφέρονται για τα συστήματα DLP, επειδή οι κίνδυνοι διαρροής πληροφοριών είναι παρόντες σε όλες τις εταιρείες. Ταυτόχρονα, οι συνέπειες της διαρροής δεδομένων για τον τομέα των ΜΜΕ μπορεί να είναι πολύ πιο καταστροφικές από ό,τι για τις μεγάλες εταιρείες. Για τις πρώτες μια διαρροή μπορεί εύκολα να οδηγήσει στην απώλεια βασικού ανταγωνιστικού πλεονεκτήματος και, κατά συνέπεια, στο κλείσιμο της επιχείρησης. Στην περίπτωση μιας μεγάλης εταιρείας πρόκειται τις περισσότερες φορές για απώλειες φήμης και οικονομικές απώλειες".

Kenneth Aguilar:

"Το ενδιαφέρον για τη χρήση όχι μόνο συστημάτων DLP, αλλά και οποιωνδήποτε άλλων λύσεων ασφάλειας πληροφοριών εξαρτάται από το μέγεθος της εταιρείας, αλλά κυρίως από το επίπεδο ωριμότητάς της. Όσο περισσότερο μια εταιρεία έχει επίγνωση της αξίας των δεδομένων της (για την ίδια και για τους ανταγωνιστές της), τόσο πιο συνειδητά εφαρμόζει τη στρατηγική ασφάλειας πληροφοριών όσον αφορά την προστασία των δεδομένων. Ο κατάλογος των απαραίτητων ενεργειών στην περίπτωση αυτή δεν αποτελείται μόνο από την εισαγωγή μέσων ασφάλειας πληροφοριών, αλλά και από τη μεταρρύθμιση των επιχειρηματικών διαδικασιών, προκειμένου να μειωθεί ο κίνδυνος σκόπιμης διαρροής ή τυχαίας απώλειας δεδομένων.

Και μόνο όταν καθοριστούν οι επιχειρηματικές διαδικασίες, στις οποίες θα εγκατασταθεί το σύστημα DLP, τότε η εφαρμογή του αρχίζει να επηρεάζεται από το μέγεθος της εταιρείας. Είναι προφανές ότι μια μεγάλη εταιρεία μπορεί να δαπανήσει περισσότερα χρήματα για ένα τέτοιο έργο, αλλά και οι τεχνικές απαιτήσεις θα είναι υψηλότερες".

Οι απόψεις των εμπειρογνωμόνων διίστανται και πάλι. Από τη μία πλευρά, ορισμένοι πιστεύουν στην έλλειψη σύνδεσης μεταξύ του μεγέθους της εταιρείας και του επιπέδου του ενδιαφέροντός της για τη χρήση του DLP, από την άλλη πλευρά, ορισμένοι ειδικοί πιστεύουν ότι τέτοια συστήματα έχουν μεγαλύτερη ζήτηση σε μεγάλες εταιρείες. Ωστόσο, και στις δύο περιπτώσεις, οι ειδικοί συμφωνούν ότι υπάρχουν μικρές εταιρείες που θεωρούν την ασφάλεια των πληροφοριών ως μία από τις προτεραιότητές τους και συνεπώς μπορούν να θεωρηθούν ως δυνητικοί χρήστες συστημάτων DLP. Ποιες είναι λοιπόν οι απαιτήσεις των μικρών επιχειρήσεων για τέτοια συστήματα;

Bruce Sandoval:

"Οι μεγάλοι πελάτες επιλέγουν γενικά την "έξυπνη" και ακριβή λύση DLP. Οι μικρές εταιρείες είναι συνήθως πρόθυμες να εργαστούν με αυτά τα συστήματα σε "χειροκίνητη" λειτουργία, χωρίς τη δυνατότητα αυτοματοποίησης, εάν αυτή η λύση είναι πολύ πιο προσιτή. Για το λόγο αυτό, στις μικρές και μεσαίες επιχειρήσεις όλα τα περιστατικά διερευνώνται εκ των υστέρων".

Ethan Cook:

"Αν παραλείψετε το προφανές ζήτημα της τιμής του λογισμικού, το οποίο σε αυτό το τμήμα της ασφάλειας πληροφοριών είναι το πιο σημαντικό, και επικεντρωθείτε στη λειτουργικότητα, τότε θα πρέπει να προτιμήσετε πιο "παμφάγα" λογισμικά ασφαλείας. Συχνά συμβαίνει οι μικρές επιχειρήσεις να μην έχουν την πολυτέλεια να ενοποιήσουν στοιχεία του πληροφοριακού συστήματος και να το χτίσουν κυριολεκτικά σε ό,τι έχουν στα χέρια τους. Φυσικά, η συνέπεια μιας τέτοιας προσέγγισης θα ήταν η ποικιλομορφία του εξοπλισμού που χρησιμοποιείται στο σύστημα πληροφορικής".

Patrick Simmons:

"Ο κατάλογος των απαιτήσεων που εφαρμόζουν οι εταιρείες στα συστήματα DLP βασίζεται κυρίως στα ιδιαίτερα χαρακτηριστικά της υποδομής πληροφορικής της εταιρείας, συμπεριλαμβανομένων των χρησιμοποιούμενων μεθόδων μεταφοράς πληροφοριών καθώς και του όγκου τους. Αυτό επιτρέπει στον καταναλωτή να καθορίσει τα κανάλια μετάδοσης δεδομένων που θα ελέγχονται από το σύστημα DLP. Τα πιο δημοφιλή χαρακτηριστικά ελέγχου είναι η παρακολούθηση των ηλεκτρονικών μηνυμάτων, των αφαιρούμενων δίσκων, των διευθύνσεων URL, των άμεσων μηνυμάτων και των εκτυπώσεων. Επίσης, για πολλές εταιρείες ο σχηματισμός των αναφορών του συστήματος DLP είναι συχνά σημαντικός, καθώς αποτελεί το βασικό εργαλείο για την επίδειξη της αποτελεσματικότητας του εφαρμοζόμενου συστήματος DLP στα στελέχη".

Keith Burton:

"Οι εκπρόσωποι των μεγάλων επιχειρήσεων προσπαθούν συνήθως να επιτύχουν συγκεκριμένους στόχους με τη βοήθεια του DLP: ένα τέτοιο σύστημα είναι πιθανό να ενσωματωθεί στο ήδη καθιερωμένο τοπίο πληροφορικής με ένα μεγάλο

ποσότητα άλλων στοιχείων και λύσεων για την προστασία των πληροφοριών. Αντίθετα, το τμήμα των μικρομεσαίων επιχειρήσεων θέλει να δει τις λύσεις DLP ως ένα είδος "πολλαπλών εργαλείων" που επιλύουν διάφορα προβλήματα σχετικά με την ασφάλεια των πληροφοριών. Μια άλλη σημαντική απαίτηση είναι η ευκολία εφαρμογής και το ελάχιστο απαραίτητο προσωπικό υποστήριξης".

Gregory Sandoval:

"Η κύρια απαίτηση των μικρότερων εταιρειών είναι η ελάχιστη τιμή. Ωστόσο, η ανάπτυξη συστημάτων DLP μπορεί να είναι αρκετά χρονοβόρα και να απαιτεί συνεχή ενημέρωση".

Billy Herrera:

"Οι μικρές εταιρείες προσπαθούν να αγοράσουν λύση χαμηλού κόστους με εξαιρετικά εύκολη εγκατάσταση που συνδυάζει τη λειτουργικότητα πολλαπλών λύσεων. Επικεντρώνονται σε λύσεις προστασίας από ιούς, συστήματα ελέγχου της κυκλοφορίας και της παραγωγικότητας των εργαζομένων, τα οποία συχνά περιέχουν απλουστευμένες λειτουργίες DLP. Στις μικρές εταιρείες, η προστασία των πληροφοριών συχνά δεν περιλαμβάνεται στο λειτουργικό κόστος".

Thomas Hicks:

"Μεταξύ των κύριων απαιτήσεων που έχουν οι μικρές επιχειρήσεις για λύσεις DLP είναι η οικονομική προσιτότητα, η ευκολία υλοποίησης και υποστήριξης, καθώς και η συμμόρφωση με τις νομικές απαιτήσεις. Από την άποψη των λειτουργιών οι μικρές επιχειρήσεις αναμένουν από τα συστήματα DLP να είναι σε θέση να παρακολουθούν την εκτύπωση και την αλληλογραφία ηλεκτρονικού ταχυδρομείου των χρηστών (τόσο εντός του δικτύου της εταιρείας, όσο και με τη χρήση ταχυδρομικών υπηρεσιών του Διαδικτύου, όπως το gmail.com ή το mail.ru), να εμποδίζουν τη μεταφορά αρχείων σε εξωτερικούς δίσκους ή υπηρεσίες κοινής χρήσης αρχείων και να αναλύουν τη χρήση των κοινωνικών δικτύων και των instant messengers από τους υπαλλήλους".

Kenneth Aguilar:

"Οι μικρές εταιρείες έχουν πολύ περιορισμένους πόρους. Αυτό ισχύει για τον προϋπολογισμό της ασφάλειας των πληροφοριών και για τον αριθμό του εξειδικευμένου προσωπικού. Κατά κανόνα, οι μικρές εταιρείες προσλαμβάνουν έναν ή δύο ειδικούς πληροφορικής οι οποίοι επιλύουν όλα τα προβλήματα που σχετίζονται με την πληροφορική και την ασφάλεια των πληροφοριών σε διαφορετικό βαθμό".

Ως προς αυτό, οι εμπειρογνώμονες ήταν σχεδόν ομόφωνοι. Οι κύριοι παράγοντες για την επιλογή λογισμικού ασφάλειας πληροφοριών για μικρές επιχειρήσεις είναι το κόστος και η ευκολία εφαρμογής του. Αυτό οφείλεται στο γεγονός ότι οι μικρές επιχειρήσεις σε σύγκριση με τις μεγάλες εταιρείες, διαθέτουν περιορισμένους οικονομικούς και ανθρώπινους πόρους. Συνέπεια αυτής της κατάστασης είναι η επιθυμία απόκτησης ενός λογισμικού πολλαπλών λειτουργιών χαμηλού κόστους, το οποίο μπορεί να εφαρμοστεί εύκολα στην εταιρική υποδομή από ένα ή δύο μέλη του τμήματος πληροφορικής.

Ωστόσο, στην αγορά σήμερα υπάρχουν μερικά αρκετά λειτουργικά προγράμματα που μπορούν να βοηθήσουν την επιχείρησή σας στην προστασία των πληροφοριών. Και ορισμένα από αυτά διατίθενται ακόμη και δωρεάν.