Как выжать максимум из ИБ-аутсорсинга

22.11.2019

Вернуться к списку статей

Решились передать задачи по информационной безопасности подрядчику? Рассказываем, как наладить эффективную работу с максимальной пользой для дела. 

Как выжать максимум из ИБ-аутсорсинга

Что это такое? 

Под аутсорсингом информационной безопасности (ИБ-аутсорсинг) понимают защиту от внешних и внутренних угроз силами приглашенного специалиста. Сотрудник поставщика услуги – ИБ-аналитик – оценивает корпоративные риски, связанные с персоналом, анализирует действия пользователей в системе, следит за использованием рабочего времени. Все это в итоге помогает предотвратить утечки данных, мошенничество, саботаж и другие инциденты.  

ИБ-аутсорсинг включает:

  • внедрение и настройку системы мониторинга передачи информации по сетевым каналам и на внешние устройства (DLP); 
  • анализ перехвата DLP и выявление нарушений;
  • составление подробных отчетов по инцидентам.

Схема работы ИБ-аутсорсинга в компании

Схема работы ИБ-аутсорсинга

Кому нужен?

Такой формат работы с ИБ подходит компаниям всех размеров из любой сферы. А для малого и среднего бизнеса – это порой единственный способ безболезненно закрыть вопрос с защитой информации. 

Аутсорсинг применим в разных ситуациях:

  • в компании нет DLP и службы безопасности (СБ), но потребность защищать данные назрела (50+ компьютеров, работа с персданными, конкурентный рынок – есть опасность похищения производственных секретов или клиентских баз);
  • в компании есть СБ, но она занимается физической или экономической безопасностью, а на ИБ времени не хватает;
  • в компании есть DLP, но ее некому обслуживать.

Большой плюс аутсорсинга в том, что его можно бесплатно испытать в деле. Пилотное тестирование услуги позволит оценить навыки ИБ-аналитика и возможности DLP, а также увидеть, какие проблемы есть в компании.

Инциденты, обнаруженные у клиентов «СёрчИнформ» во время тестирования ИБ-аутсорсинга

Какие инциденты происходят в компаниях чаще всего

Как наладить процесс

1. Организуйте доступ к системе.

Для настройки DLP и поиска инцидентов аналитику нужно подключиться к корпоративной системе. Все действия аналитика в системе логируются, перед началом сотрудничества с подрядчиком подписывается пакет документов, который включает и договор о неразглашении информации (NDA). К тому же, поставщик услуги рискует репутацией в случае утечки клиентской информации по его вине.

Какие данные утекают из компаний

2. Снабдите аналитика информацией о компании. 

Даже для опытного специалиста компания заказчика – это терра инкогнита. Чтобы он быстрее вошел в работу, предоставьте ему информацию:

  • общий список сотрудников, чьи компьютеры будет контролировать DLP (для правильной оценки пользовательских действий в системе, например, замдиректора может изучать бухгалтерскую документацию, а завхоз – нет);
  • список сотрудников на «удаленке» (их следует контролировать в первую очередь, поскольку они владеют корпоративными данными, но остаются вне поле зрения руководства); 
  • перечень почтовых доменов (для мониторинга сообщений, отправленных и полученных на email); 
  • почтовые домены конкурентов (для отслеживания связей с сотрудниками); 
  • должностные инструкции (для понимания бизнес-процессов) и др.  

Какие инциденты происходят в компаниях чаще всего

Этой информации достаточно, чтобы обнаружить типовые инциденты. Но чтобы аналитик «копнул глубже», ему можно поставить конкретные задачи. Поэтому обсудите с ним «тонкие места» в работе сотрудников. Честный разговор позволит определить, какие нарушения считать инцидентом, а какие нет, правильно расставить приоритеты и быстрее разобраться в ситуации.  

Кейс от клиента «СёрчИнформ»:
Компания перевела ценного программиста с удаленной работы в офис. Вскоре продуктивность отдела разработки снизилась. Руководитель пришел к начальнику отдела с вопросом «В чем дело?», однако ответа не получил. Тогда решили с помощью DLP проанализировать переписку сотрудника. Оказалось, между специалистами разгорелся бытовой конфликт из-за проблем в общении. Программиста вернули на «удаленку», и работа в отделе наладилась. 

3. Определите ответственное лицо. 

В помощь специалисту по ИБ-аутсорсингу понадобится сотрудник компании – куратор, который будет держать с ним связь и принимать решения по найденным нарушениям. Куратор получит привилегированный доступ к DLP и при желании сможет работать в ней самостоятельно.

Поручить это дело нужно ответственному и лояльному к компании человеку, которому руководство готово доверить защиту интересов компании и внутренние секреты. В идеальном случае – это руководитель службы безопасности или один из собственников бизнеса. Первый знает, где в компании слабые места и сможет наладить эффективную работу. Второй в случае инцидентов теряет собственные деньги, так что отношение к делу с его стороны будет максимально серьезным. 

Какие инциденты происходят в компаниях чаще всего

На практике куратором чаще назначают руководителя либо рядового сотрудника службы безопасности (информационной, экономической или физической), системного администратора. Однако на эту роль можно назначить любое доверенное лицо собственника.

При неправильном выборе куратора эффективность аутсорсинга снижается. Например, он может медленно реагировать на нарушения, что помешает вовремя предотвратить крупный инцидент. Безответственные сотрудники могут скрывать «неудобные» инциденты от руководства (обсуждение начальника, недовольство зарплатой). Недостаточно компетентные или незаинтересованные могут вовсе проигнорировать нарушение или подозрительную тенденцию. В итоге просто переписка в рабочем чате перерастает в реальную проблему, а ценный сотрудник уходит к конкурентам.     

Кейс от клиента «СёрчИнформ»:
Восемь сотрудников организовали «фирму-боковик» и поставляли сырье собственному работодателю на выгодных для себя условиях. Среди нарушителей оказался и руководитель службы безопасности.
Нарушение раскрыл специалист по ИБ-аутсорсингу. Один из сотрудников получил на email документ, в котором в качестве представителей поставщика были указаны действующие и уже уволенные работники компании. В ответ на это письмо сотрудник выслал должностные инструкции, которые нарушители планировали использовать для «боковика». В итоге часть сотрудников уволили, остальных оштрафовали.

4. Договоритесь об экстренной связи и графике отчетов.

В ИБ важна оперативность, поэтому договоритесь на берегу, что, кому, куда и в какое время будет отправлять аналитик. 

Для экстренной связи аналитика с куратором и при необходимости – с руководителем компании удобнее использовать телефон или мессенджер. 

Помимо оперативных оповещений об инцидентах, требующих срочного вмешательства, аналитик высылает куратору подробный отчет. В нем описывает все происшествия (и мелкие, и крупные). Частоту и адрес отправки отчетов также нужно обсудить заранее. На практике если компания поставила на контроль до 100 ПК, первый отчет можно попросить через 7-10 дней. А если контролировать нужно более 500 компьютеров, можно запрашивать отчет и раз в месяц. За это время аналитик успеет собрать информацию по всем отделам и ПК.

Формат ежемесячного отчета аналитиков «СёрчИнформ»

Формат ежемесячного отчета аналитиков «СёрчИнформ»

Некоторые оценивают эффективность аутсорсинга по количеству найденных инцидентов, но стоит обращать внимание и на их качество. Одно дело – на полчаса «зависнуть» в соцсетях и совсем другое годами брать миллионные откаты.

Кейс от клиента «СёрчИнформ»: 
Региональный руководитель промышленной компании и ее подчиненная в течение 12 лет брали откаты. За это время суммы выросли до десятков миллионов, поскольку топ-менеджер заключала очень крупные сделки. Обнаружить инцидент помог MicrophoneController: подчиненная обсуждала условия сделки на рабочем месте. После изучения всех заключенных ей контрактов выяснилось, что сотрудница и руководитель «зарабатывали» 10% от итоговой стоимости сделки. Обеих уволили. 

5. Разберитесь с инцидентами.

Зона ответственности аналитика простирается от установки DLP до составления подробного отчета по инцидентам. Он может выделить наиболее критичные нарушения и дать рекомендации по реакции на них. Но принятие окончательных решений остается за куратором и руководителем компании.


Как эффективно ликвидировать последствия утечки информации? Читать.


Отчеты отражают реальное состояние дел в компании: кто работает эффективно, а кто только создает видимость занятого специалиста, кто честно проводит тендеры, а кто берет взятки. Владея полной информацией, легче принимать верные и эффективные управленческие решения.

Заключение

ИБ-аутсорсинг – хороший вариант для компаний, у которых нет времени и ресурсов на организацию «штатной безопасности». Но нужно помнить, такой формат отношений требует ответственного подхода с двух сторон, тогда эффект от услуги не заставит себя ждать.

Тестирование аутсорсинга в производственной компании выявило крупные и мелкие инциденты, в которых были замешаны 300 из 360 сотрудников. Среди нарушений были фирмы-боковики, ранние уходы и работа «на сторону». Проверьте, а как у вас? Закажите бесплатный 30-дневный тест услуги на базе DLP-системы «СёрчИнформ КИБ».  

Заказать


Как это сделать ИБ-аутсорсинг ИБ-практика СёрчИнформ КИБ


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними