Protecția datelor în întreprinderile mici: prioritate sau "chestiuni minore"?

Auzim adesea despre scurgerile de informații confidențiale din partea marilor corporații și despre măsurile pe care acestea le iau pentru a minimiza riscurile incidentelor de securitate. Cu toate acestea, în același timp, mass-media abordează cu greu problema securității informațiilor în întreprinderile mici.

Sunt companiile mici preocupate de problema securității informațiilor? Și dacă da, cum abordează ele această problemă? Care este rolul sistemelor DLP (Data Loss Prevention) în circuitele de securitate ale întreprinderilor mici? Pentru a răspunde la aceste întrebări, ne adresăm experților în domeniul securității informațiilor și al întreprinderilor mici.

Înainte de a aborda problema utilizării software-ului de monitorizare a angajaților în companiile mici, este important să aflăm exact ce informații doresc să protejeze. Managerul de dezvoltare a afacerilor de la Greatment Inc. Stephen Lawson, vorbește în detaliu despre acest subiect:

"În era tehnologiei informației, problema protecției datelor este relevantă pentru aproape toți participanții la procesul de schimb de informații. Acest lucru se aplică cu siguranță companiilor mari și mijlocii și întreprinderilor mici, antreprenorilor individuali și oamenilor obișnuiți. Piatra de temelie a securității este un obiect de protecție corect definit și clasificat. Acesta poate fi reprezentat de date (de exemplu, planurile de dezvoltare ale companiei, rapoartele financiare, descrierea tehnologiilor utilizate, invențiile), de sisteme de informații (sisteme de resurse umane, CRM, ERP, BI, sisteme financiare și de producție), de procese de afaceri (tehnologie de producție) și chiar de persoane (angajați cu abilități unice, jucători cheie). Unele obiecte de protecție sunt, de asemenea, definite în conformitate cu cerințele de reglementare (de exemplu, secretul bancar, datele cu caracter personal). Alegerea metodelor și măsurilor de protecție depinde de înțelegerea a ceea ce trebuie protejat, de cine trebuie protejat, unde este necesar să fie protejat și ce consecințe poate avea o protecție necorespunzătoare. Caracterul complet și calitatea simulării amenințărilor la adresa securității, precum și măsurile necesare vor determina valoarea cheltuielilor suportate de companie pe termen lung. Indiferent de mărimea companiei, instituirea protecției împotriva amenințărilor la adresa securității trebuie realizată în mod sistematic, ceea ce înseamnă că trebuie să se înceapă cu elaborarea setului de măsuri care să permită protecția împotriva amenințărilor în funcție de gradul consecințelor negative care pot apărea. Este necesar să se implementeze protecția datelor și să se creeze procese organizatorice care vor aloca responsabilitatea anumitor persoane din cadrul companiei. De exemplu, în cazul companiilor foarte mici, vorbim despre crearea mai multor regulamente de securitate a informațiilor, instalarea de software antivirus, criptarea datelor critice și instruirea personalului cu privire la modul în care trebuie să lucreze cu informații sensibile."

Pentru protecția diferitelor date, companiile pot implementa un sistem DLP. Cu toate acestea, părerile experților au fost împărțite în ceea ce privește dacă utilizarea DLP este sau nu justificată în cazul întreprinderilor mici.

Bruce Sandoval

, Analist principal, Symbolitics:

"Este nevoie de sisteme DLP în companiile mici: realitatea arată că scurgerile de date confidențiale pot avea loc într-o companie de orice dimensiune. În plus, există un număr foarte mare de tipuri de date. Secrete comerciale, modele unice, specificații tehnologice - astfel de informații sunt protejate, de obicei, de companiile mari și mijlocii. Întreprinderile mici se ocupă adesea de date personale, de exemplu, agențiile de turism, companiile de asigurări, firmele de avocatură - acestea trebuie să se preocupe de siguranța informațiilor dobândite.

De aceea, DLP este necesar nu numai în corporații, ci și în companii de toate dimensiunile. Desigur, sistemul DLP este un software destul de scump. Pentru companiile mai mici, acesta este un factor critic, iar acestea caută soluții mai accesibile. De aceea, piața actuală cunoaște o creștere a popularității produselor pentru monitorizarea angajaților. Aceste sisteme ajută la menținerea disciplinei personalului, la găsirea problemelor în procesele de afaceri și la rezolvarea parțială a problemei DLP. "

Ethan Cook

, șeful departamentului de securitate informatică al furnizorului de servicii de găzduire profesională Starrhost:

"Ideile privind protecția informațiilor sunt mereu solicitate, la orice nivel. În ciuda faptului că utilizarea competentă a soluțiilor DLP duce, în cele din urmă, la o reducere a costurilor și cheltuielilor, întreprinderile mici preferă să limiteze măsurile de securitate la realizarea unor aranjamente organizaționale și să lucreze cu acestea până la punctul de rupere."

Patrick Simmons

, șef al securității informațiilor la Curso:

"Spre deosebire de măsurile de securitate clasice, cum ar fi firewall-urile, software-ul antivirus, protecția criptografică, soluțiile DLP sunt încă în curs de dezvoltare și încearcă să atragă interesul consumatorilor de pe piață. Există mai multe motive pentru acest lucru. În primul rând, majoritatea soluțiilor de acest tip vin cu cheltuieli semnificative pentru achiziție (inclusiv componenta hardware), pentru implementare, precum și pentru angajarea și instruirea personalului care operează sistemul DLP. Toate acestea conduc în cele din urmă la faptul că DLP este nefezabil din punct de vedere economic pentru o companie. În al doilea rând, este vorba de lipsa de conștientizare a publicului cu privire la existența și capacitățile sistemelor DLP, precum și de problema încă urgentă a lipsei de atenție față de problemele legate de asigurarea securității informațiilor. În special, acest lucru este relevant pentru întreprinderile mici, care se caracterizează adesea prin lipsa unor specialiști dedicați în domeniul securității, utilizarea frecventă a dispozitivelor personale de către angajați pentru rezolvarea problemelor legate de muncă și așa mai departe. Pentru a implementa mecanisme de prevenire a scurgerilor de date confidențiale, întreprinderile mici pot utiliza DLP ca serviciu furnizat de organizații specializate."

Dennis Barnett

, Director financiar al Estation Inc:

"Întreprinderile mici și mijlocii sunt adesea interesate de soluțiile DLP, dar nu înțeleg întotdeauna caracteristicile reale ale acestora și condițiile necesare pentru o funcționare eficientă. Cerințele pe care companiile mici le aplică unor astfel de software sunt de obicei nerealiste. Dacă nu se iau în considerare cazurile excepționale în care directorii sunt dispuși să se uite personal prin aproape fiecare e-mail și alte date transmise, companiile mici tind să se aștepte ca sistemele DLP să detecteze "singure" lipsa de scrupule a angajaților: cazuri de mită, transfer de date de afaceri către concurenți și așa mai departe. Dar niciun sistem DLP nu are propria inteligență și nu poate judeca valoarea informațiilor colectate. Toți parametrii de control trebuie să fie introduși de către utilizatorii sistemului (de regulă, este vorba de serviciul de securitate economică al companiei). Este nevoie de cel puțin un minim de expertiză tehnică, de înțelegerea proceselor de afaceri ale companiei și a valorii diferitelor date, de o evaluare adecvată a riscurilor, de o anumită înțelegere a psihologiei potențialilor infractori, de o monitorizare și ajustare constantă (cu alte cuvinte, de petrecerea multor ore de lucru). DLP este doar un instrument în mâinile personalului de securitate. Și, ca orice instrument sofisticat, sistemele DLP au anumite cerințe față de nivelul de calificare al persoanei care îl utilizează. "

Gregory Sandoval

, șef al Departamentului de dezvoltare a produselor de software de sistem:

"Întreprinderile mici nu folosesc adesea sistemul DLP, deoarece aceste companii nu dispun de obicei de fonduri suficiente. În plus, în companiile mici, oamenii se cunosc de obicei bine între ei, iar relațiile la locul de muncă sunt de obicei de încredere. În procesul de dezvoltare și odată cu creșterea rotației angajaților, companiile încep să se gândească la monitorizarea angajaților și la sistemele DLP. Acest lucru se întâmplă de obicei atunci când o companie ajunge la 200-300 de PC-uri. Ca urmare, potențialii cumpărători iau în considerare în principal un sistem simplificat, în care DLP este doar un adaos, mai degrabă decât fundația."

Kenneth Aguilar

, director de marketing al Security code LLC:

"Cererea de sisteme DLP și de alte mijloace de securitate a informațiilor în întreprinderile mici este destul de limitată. Acest lucru se datorează faptului că introducerea unui astfel de sistem necesită nu numai investiții, ci și un anumit nivel de înțelegere a problemelor de securitate a informațiilor. Conducerea ar trebui să înțeleagă clar ce date sunt confidențiale, cine ar trebui să aibă acces la ele și cine nu. Această problemă depășește cu mult aria de responsabilitate și competență a administratorului IT. În ciuda faptului că administratorul este, de obicei, cel care se ocupă de securitatea informațiilor în companiile mici. Întreprinderile mici se caracterizează, de asemenea, prin flexibilitate și sensibilitate ridicată la costuri. Prin urmare, introducerea unor tipuri de soluții DLP complet funcționale nu se întâmplă aproape niciodată. Dar dacă o companie achiziționează un sistem multifuncțional de protecție a posturilor de lucru care încorporează unele caracteristici DLP (de obicei, controlul USB), atunci aceste caracteristici sunt utilizate."

Christopher Hughes

, Purposeidler Lider de proiect:

"Compania noastră consideră că nu datele trebuie controlate (ca în cazul sistemelor clasice de prevenire a scurgerilor de informații), ci angajații care lucrează cu aceste date. Sistemele de control tradiționale au o serie de dezavantaje. În primul rând, acestea sunt grele, complexe și costisitoare de implementat. Prin urmare, nu sunt absolut deloc aplicabile pentru întreprinderile mici. În al doilea rând, sistemele DLP clasice monitorizează lucrul cu datele. Monitorizarea se realizează pentru fișiere specifice (după numele fișierului) sau pentru datele din sistemele informatice ale companiei după un anumit model de date (de exemplu, XXXX-XXXX-XXXX-XXXX-XXXX pentru numerele de carduri de credit). Prin urmare, dacă pur și simplu schimbați formatul datelor, sistemul DLP nu va putea să le urmărească. De exemplu, dacă schimbați numărul de carduri de credit din XXXX-XXXX-XXXX-XXXX-XXXX în AXXXX, BXXXX, CXXXX, DXXXX, sistemul DLP nu va considera acest lucru important și va da greș. În al treilea rând, monitorizarea constantă a utilizării datelor suprasolicită PC-urile angajaților și resursele companiei. Dacă sistemul DLP verifică toate datele care ies, atunci orice eșec ar duce la izolarea companiei."

Unii experți au remarcat cererea de sisteme DLP în rândul companiilor mici, în timp ce alții consideră că aceste soluții nu sunt populare în acest segment. Să încercăm să ne dăm seama cât de mare este interesul pentru DLP în rândul întreprinderilor mici, în comparație cu cel al companiilor mari și mijlocii.

George Soto

, Președinte al clubului tinerilor antreprenori, CEO CloudSolutions:

"Soluțiile DLP vor fi utile atât pentru companiile mari, cât și pentru cele mici, dar numai ca una dintre măsurile de prevenire a scurgerilor de informații. Astfel de programe sunt bune pentru creșterea nivelului de cunoștințe IT în rândul angajaților, deoarece însăși esența lor implică evaluarea riscurilor de scurgere de informații. Pentru aceasta se analizează activitatea pe canalele prin care se pot produce scurgeri de date: e-mail, mesagerie instantanee și direct web. Pe baza conținutului și a contextului (protocol, activitate, tip de aplicație etc.), programul generează în continuare o politică de securitate, în funcție de care blochează mesajele, raportează încălcările și așa mai departe. Este important de înțeles că, spre deosebire de firewall-uri, soluțiile DLP nu blochează complet transferul de date, ci încearcă să analizeze activitatea umană în rețea, ceea ce lasă companiilor o probabilitate și mai mare de scurgere a datelor."

Ethan Cook

, Președinte al clubului tinerilor antreprenori, CEO CloudSolutions:

"Toate companiile au interesul de a proteja informațiile. Abordările privind implementarea soluțiilor DLP pot fi diferite, dar "pierderea de informații" în secolul XXI este aproape egală cu "pierderea de bani", așa că este logic să presupunem că ideea de a minimiza un astfel de risc de pierderi există în fiecare companie, indiferent de mărimea acesteia."

Patrick Simmons:

"Interesul companiilor pentru sistemele DLP nu depinde doar de amploarea infrastructurii lor IT și de volumul de date procesate. În primul rând, desigur, depinde de existența informațiilor, a căror scurgere poate provoca daune, și de prezența amenințărilor actuale. Astfel, interesul pentru DLP poate fi egal atât în companiile mari, cât și în cele mici. Dar companiile mari au mai multe oportunități și abilități de a utiliza astfel de sisteme."

Keith Burton

, Șef al Departamentului de Securitate Informatică al "Expectronica" (I-Techio Inc.):

"În primul rând, companiile cu fonduri suficiente, indiferent de mărime, sunt interesate de sistemele DLP. Dar nu uitați că DLP este doar un instrument, iar dacă va fi folosit cu adevărat pentru controlul și prevenirea scurgerilor de informații sau va rămâne doar un "plan" depinde de mai mulți factori: ambițiile personale ale managerilor responsabili de securitatea informațiilor, experiența echipei de proiect și definirea clară a problemei. Implementarea de calitate este crucială pentru eficiența controlului și a prevenirii scurgerilor. Este demn de remarcat faptul că însăși domeniul de aplicare al sistemelor DLP este foarte delicat, implementarea unor astfel de proiecte în multe companii este încetinită de aspectele tehnice birocratice și juridice și de riscul reputațional ridicat."

Christopher Cole

, director comercial al SenseBox:

"Soluțiile DLP sunt folosite mai ales de marile întreprinderi. Iar aceste sisteme au fost inițial concepute tocmai pentru a răspunde cerințelor unei mașini corporative complexe. Dar nevoia de protecție a datelor este aceeași pentru toată lumea: de la startup-uri la întreprinderi mari. Și ceea ce este important aici nu este decizia în sine privind nivelul de software pe care îl folosesc proprietarii de afaceri, ci abordarea securității.

Sistemele DLP au apărut inițial din ceea ce s-ar putea numi abordarea paranoică a securității: atunci când încercăm să facem imposibilă sau să împiedicăm orice acțiune. De exemplu, imaginați-vă că la intrarea într-un centru comercial punem un agent de securitate cu un câine, un turnichet, un detector de metale și introducem percheziții corporale pentru fiecare cumpărător. Ca produs software, DLP este ceva asemănător cu acest lucru. În țările civilizate, oamenii se bazează pe legi, poliție și instanțe. Și nu este nevoie să se construiască garduri - poți merge oriunde. În cazul în care, dacă cineva îndrăznește să încalce legea se declanșează mecanismul obișnuit de apărare: poliția sosește și sistemul de aplicare a legii asigură inevitabilitatea pedepsei.

Nimeni nu vă împiedică să restricționați accesul la informații confidențiale pentru anumiți angajați prin intermediul unei legi, al unei clauze din contractul de muncă și al unor sancțiuni dure. Dacă aceste sancțiuni și pedepse depășesc beneficiul rezultat din potențialul furt de informații, majoritatea angajaților vor renunța la ideea de a fura."

Dennis Barnett:

"După părerea mea, marile corporații sunt mai interesate de utilizarea soluțiilor DLP, înțeleg mai bine la ce ar putea fi util un astfel de sistem și dispun de resurse suficiente pentru utilizarea eficientă a sistemelor DLP. Recent, pe piață au apărut soluții care utilizează progresele științifice în domeniul inteligenței artificiale, al învățării automate și al analizei big data pentru a facilita activitatea profesioniștilor din domeniul securității și a reduce nivelul cerințelor de calificare a acestora. Timpul va arăta cum vor contribui aceste soluții la o mai largă răspândire a sistemelor DLP în rândul întreprinderilor mici și mijlocii."

Billy Herrera:

"Companiile medii și mari (mai ales dacă este vorba de sectorul financiar) sunt mai des interesate de utilizarea sistemelor DLP. Pentru o companie în creștere devine din ce în ce mai dificil să controleze tranzacțiile și confidențialitatea angajaților. Iar în această situație, puteți rata cu ușurință o scurgere de informații sau faptul că un angajat (care, dintr-un motiv sau altul, și-a pierdut loialitatea) intenționează să vă afecteze afacerea. Din păcate, niciun sistem nu este capabil să prevină complet atacurile directe asupra datelor corporative, dar poate complica semnificativ procesul, făcând scurgerile de informații mai puțin profitabile și mai riscante pentru infractor."

Thomas Hicks

, șeful departamentului de securitate a informațiilor la KRAKE:

"Toți participanții de pe piață (corporații mari și segmentul SMB) sunt interesați de sistemele DLP, deoarece riscurile de scurgere a informațiilor sunt prezente în toate companiile. În același timp, consecințele scurgerilor de date pentru sectorul SMB pot fi mult mai devastatoare decât pentru marile corporații. Pentru primele, o scurgere de informații poate duce cu ușurință la pierderea unui avantaj competitiv cheie și, în consecință, la închiderea afacerii. În cazul unei corporații mari, este vorba, cel mai adesea, de pierderi financiare și de reputație."

Kenneth Aguilar:

"Interesul pentru utilizarea nu numai a sistemelor DLP, ci și a oricăror alte soluții de securitate a informațiilor depinde de mărimea companiei, dar mai ales de nivelul de maturitate al acesteia. Cu cât o companie este mai conștientă de valoarea datelor sale (pentru ea însăși și pentru concurenții săi), cu atât implementează mai conștient strategia de securitate a informațiilor în ceea ce privește protecția datelor. Lista acțiunilor necesare în acest caz constă nu numai în introducerea mijloacelor de securitate a informațiilor, ci și în reformarea proceselor de afaceri pentru a reduce riscul de scurgere intenționată sau de pierdere accidentală a datelor.

Și numai atunci când sunt definite procesele de afaceri în care va fi instalat sistemul DLP, atunci implementarea acestuia începe să fie afectată de dimensiunea companiei. Este evident că o companie mare poate cheltui mai mulți bani pentru un astfel de proiect, dar și cerințele tehnice vor fi mai mari."

Părerile experților s-au împărțit din nou. Pe de o parte, unii consideră că nu există o legătură între dimensiunea companiei și nivelul de interes al acesteia pentru utilizarea DLP, iar pe de altă parte, unii experți consideră că astfel de sisteme sunt cel mai mult solicitate de marile corporații. Cu toate acestea, în ambele cazuri, experții sunt de acord că există companii mici care consideră securitatea informațiilor ca fiind una dintre prioritățile lor și, prin urmare, pot fi considerate ca potențiali utilizatori ai sistemelor DLP. Așadar, care sunt cerințele întreprinderilor mici pentru astfel de sisteme?

Bruce Sandoval:

"Clienții mari aleg în general soluții DLP "inteligente" și costisitoare. Companiile mici sunt de obicei dispuse să lucreze cu aceste sisteme în modul "manual", fără posibilitatea de automatizare, dacă această soluție este mult mai accesibilă. Din acest motiv, în întreprinderile mici și mijlocii, toate incidentele sunt investigate retrospectiv."

Ethan Cook:

"Dacă omitem problema evidentă a prețului software-ului, care în acest segment al securității informației este cel mai important, și ne concentrăm pe funcționalitate, atunci trebuie să dăm preferință unui software de securitate mai "omnivor". Se întâmplă adesea ca firmele mici să nu-și permită să unifice elementele sistemului informatic și să-l construiască la propriu pe ceea ce au la îndemână. Desigur, consecința unei astfel de abordări ar fi diversitatea echipamentelor utilizate în sistemul informatic."

Patrick Simmons:

"Lista de cerințe pe care companiile le aplică sistemelor DLP se bazează în primul rând pe caracteristicile specifice ale infrastructurii IT a companiei, inclusiv pe metodele utilizate pentru transferul de informații, precum și pe volumul acestora. Acest lucru permite consumatorului să determine canalele de transmitere a datelor care vor fi controlate de sistemul DLP. Cele mai populare funcții de control sunt monitorizarea e-mailurilor, a unităților amovibile, a URL-urilor, a mesagerilor instant și a imprimării. De asemenea, pentru multe companii, formarea rapoartelor sistemului DLP este adesea importantă, deoarece este instrumentul cheie pentru a demonstra executivilor eficiența sistemului DLP implementat."

Keith Burton:

"Reprezentanții marilor companii încearcă de obicei să atingă obiective specifice cu ajutorul DLP: un astfel de sistem este probabil să fie integrat în peisajul IT deja stabilit, cu o mare

cantitate de alte componente și soluții pentru protecția informațiilor. În schimb, segmentul SMB dorește să vadă soluțiile DLP ca pe un fel de "instrumente multiple" care rezolvă mai multe probleme legate de securitatea informațiilor. O altă cerință importantă este ușurința implementării și personalul de suport minim necesar."

Gregory Sandoval:

"Principala cerință din partea companiilor mai mici este prețul minim. Cu toate acestea, dezvoltarea sistemelor DLP poate consuma destul de mult timp și necesită o actualizare constantă."

Billy Herrera:

"Companiile mici încearcă să cumpere o soluție cu costuri reduse, cu o implementare extrem de ușoară, care să combine funcționalitatea mai multor soluții. Acestea se concentrează pe soluții antivirus, sisteme de control al traficului și al productivității angajaților, care conțin adesea funcții DLP simplificate. În companiile mici, protecția informațiilor nu este adesea inclusă în costurile de operare."

Thomas Hicks:

"Printre principalele cerințe pe care întreprinderile mici le au în ceea ce privește soluțiile DLP se numără accesibilitatea, ușurința implementării și a suportului, precum și conformitatea cu cerințele legale. Din punct de vedere al funcțiilor, întreprinderile mici se așteaptă ca sistemele DLP să fie capabile să monitorizeze imprimarea și corespondența electronică a utilizatorilor (atât în cadrul rețelei companiei, cât și cu ajutorul serviciilor poștale pe internet, cum ar fi gmail.com sau mail.ru), să blocheze transferul de fișiere pe unități externe sau servicii de partajare a fișierelor și să analizeze utilizarea de către angajați a rețelelor sociale și a mesageriei instantanee."

Kenneth Aguilar:

"Companiile mici au resurse foarte limitate. Acest lucru este valabil pentru bugetul pentru securitatea informațiilor și pentru numărul de personal specializat. De regulă, companiile mici angajează unul sau doi specialiști IT care rezolvă toate problemele legate de IT și securitatea informațiilor în grade diferite."

În această privință, experții au fost practic unanimi. Principalii factori de selecție a software-ului de securitate a informațiilor pentru companiile mici sunt costul și ușurința de implementare. Acest lucru se datorează faptului că întreprinderile mici, în comparație cu marile corporații, dispun de resurse financiare și umane limitate. Consecința acestei situații este dorința de a obține un software multifuncțional cu costuri reduse, care poate fi implementat cu ușurință în infrastructura corporativă de către unul sau doi membri ai departamentului IT.

Cu toate acestea, pe piața de astăzi există câteva programe destul de funcționale care vă pot ajuta afacerea în ceea ce privește protecția informațiilor. Iar unele dintre ele sunt chiar disponibile gratuit.