Как создать эффективную программу DLP

Практическая дорожная карта для достижения быстрых результатов, долгосрочной выгоды и поддержки заинтересованных сторон

• Многие команды сталкиваются с трудностями при запуске программ DLP, потому что пытаются сделать слишком много за один раз. Недавний вебинар SANS показывает, как начать работу правильно.
• Четырехэтапный подход, ориентированный на бизнес, поможет вашей программе DLP быстро продемонстрировать свою эффективность и одновременно достичь долгосрочных целей.
• Быстрые успехи и четкое распределение ответственности – ключ к обеспечению поддержки заинтересованных сторон и снижению сопротивления со стороны команд.

Если бы вам сегодня поручили с нуля создать программу предотвращения потери данных (DLP), с чего бы вы начали? Данные перемещаются между SaaS приложениями, конечными точками и инструментами GenAI, и конфиденциальная информация перемещается быстрее, чем большинство служб безопасности могут отслеживать, что делает задачу ее блокировки практически невыполнимой. Но вам не нужно решать все за один день.

Мы с Кевином Гарви, сертифицированным инструктором SANS, подготовили памятку для быстрого получения результатов в рамках недавнего вебинара SANS «Станьте героем DLP». Выбрав правильные отправные точки – сосредоточившись на небольших, масштабируемых изменениях – и заручившись поддержкой заинтересованных сторон, вы сможете набрать обороты и добиться успеха с помощью своей программы DLP.

Вот основные моменты, на которые следует обратить внимание, чтобы с самого начала оценить преимущества продукта.

Четыре этапа внедрения DLP

Гарви был непреклонен: «Не нужно делать все сразу». И на то есть веская причина – даже небольшие шаги могут принести значительные результаты. Надежная программа DLP не может быть создана за один день, но ее разработка не должна занимать вечность. Чтобы помочь вашей команде расти целенаправленно, Гарви разработал четыре этапа, которые легко выполнить:

1. Поймите свой бизнес – согласуйте DLP с вашей миссией, факторами, влияющими на доход, и обязательствами.
2. Определите свои данные – обнаружьте как ожидаемые, так и «нежелательные» типы данных, особенно в SaaS и IaaS.
3. Реализуйте программу – разработайте первоначальные политики, подключите техническую инфраструктуру и протестируйте некоторые сценарии использования.
4. Управляйте программой – отслеживайте показатели, важные как для безопасности, так и для других аспектов бизнеса.

Типичный график будет выглядеть следующим образом:

• 0–3 месяца: Быстрые результаты и создание основ
• 3–6 месяцев: Тестирование политики и вовлечение заинтересованных сторон
• 6–12 месяцев: Полное управление и масштабирование

Для начала подумайте, как злоумышленник

Чтобы начать работу по внедрению DLP, определитесь с подходом, исходя из миссии вашей компании – что вы защищаете и почему это важно. Затем задайте себе четыре важных вопроса:

• Какие данные наиболее важны?
• Где они хранятся?
• Как они перемещаются?
• Как они используются?

Гарви рекомендует при размышлении над этими вопросами мыслить, как злоумышленник. Что произойдет, если файлы с зарплатами попадут не в тот почтовый ящик или если конфиденциальные данные исследований будут скопированы на личный диск? Это поможет оценить реальные последствия утечки данных и укрепит ваши аргументы в пользу изменений.

Ваши вопросы также должны учитывать данные, связанные с требованиями нормативных актов и стратегическими инициативами, чтобы вы могли четко определить области риска, создать для них средства защиты и быстро получить выгоду.

Люди, процессы и технологии

Программа DLP не может работать только на основе технологий. Для ее поддержки необходимы правильные люди и инструменты, работающие вместе. Начните с:

• Обучения сотрудников SOC и привлечения команд архитекторов
• Внедрения системы оценки рисков сотрудников для обеспечения соблюдения политик и устранения рискованных действий
• Пересмотра существующих политик, документации и циклов обратной связи
• Выбора масштабируемых инструментов, которые можно интегрировать в различные среды
• Мониторинга состояния политик ваших инструментов и времени безотказной работы системы для обеспечения эффективности и результативности

И, конечно же, есть заинтересованные стороны. Юридические службы, службы по обеспечению нормативно-правового соответствия, службы управления рисками и высшее руководство компании – все они играют важную роль. Заручиться поддержкой руководства на раннем этапе – ключ к ускорению внедрения и обеспечению успешной реализации программы.

Как преодолеть сопротивление

По нашему опыту, опасения заинтересованных сторон по поводу запуска полноценной программы DLP обычно делятся на три категории: стоимость, право собственности или сложность, особенно если они не знакомы с DLP.

Вот как преодолеть это сопротивление. Ваши заинтересованные стороны обеспокоены следующим:

• Стоимость программы? Будьте открыты в отношении первоначальных затрат на персонал, процессы и технологии. Используйте аналогичные программы, реализованные в прошлом, чтобы прогнозировать масштабы и долгосрочные затраты.
• Ответственность за программу? Распределите четкие обязанности с помощью таблицы RACI и заранее заручитесь поддержкой руководителей юридического, риск-менеджмента, комплаенс-отдела и бизнеса.
• Восприятие сложности? Свяжите усилия по DLP с более широкими инициативами по обеспечению конфиденциальности или безопасности в облаке и сосредоточьтесь на небольших победах, которые создадут импульс.

Учитывая быстрое внедрение систем GenAI, еще одним быстрым преимуществом для ваших заинтересованных сторон является то, как управление GenAI вписывается в вашу программу DLP. Расширив DLP для мониторинга рисков на уровне подсказок и политик использования GenAI, вы сможете продемонстрировать быструю отдачу и показать, что вы думаете наперёд.

Теперь управляйте своей программой

После того как ваша программа DLP получит необходимую поддержку и начнет действовать, ее эффективность будет зависеть от управления. Отслеживайте значимые показатели (такие как типы инцидентов, время реагирования и тенденции поведения пользователей) и адаптируйте отчетность для своей аудитории. Правильные данные помогут вам эффективно совершенствовать политики, демонстрировать ценность программы и поддерживать поддержку заинтересованных сторон.

Symantec DLP поможет вам достичь этой цели

Symantec DLP разработан, чтобы помочь администраторам современных гибридных сред быстро и эффективно выполнять свои задачи. Благодаря единой политике для конечных точек, сети и облака вы можете действовать быстро, не дублируя усилия. Передовые возможности обнаружения Symantec, включая точное сопоставление данных (EDM), индексированное сопоставление документов (IDM) и усовершенствованное машинное обучение, значительно сокращают количество ложных срабатываний, позволяя сосредоточиться на действительно важных задачах.

Поскольку 90 % DLP – это реагирование на инциденты, Symantec оптимизировали каждый шаг. Система аналитики рисков на базе искусственного интеллекта Symantec оценивает пользователей и инциденты для более быстрого сортирования, а рабочие процессы реагирования в один клик мгновенно направляют инциденты, помогая вам расставить приоритеты и действовать быстро – больше не нужно переключаться между инструментами. Независимо от того, на каком этапе вы находитесь, Symantec DLP позволяет начать с малого, доказать ценность и сохранить контроль.

Источник: How to Build a DLP Program That Delivers