Geekly articles weekly

Implementación de un sistema DLP en el ejemplo del comercio minorista

"Pido disculpas", una voz familiar habló con firmeza, pero en voz muy baja, desde la oscuridad. Mirando a mi alrededor, vi la silueta de un extraño moviéndose suavemente en mi dirección. “¿Llegas tarde?” Él continuó. "Tal vez", respondí, desplazándome rápidamente por todas las opciones para un posible diálogo, comparando la apariencia de la persona con las variaciones de sus posibles solicitudes que me vinieron a la mente.

Era un abuelo de unos setenta años, con un bigote gris limpio y cabello gris balanceándose ligeramente con el viento. Llevaba gafas, llevaba un traje gris común a todas las personas de esta edad y una camisa azul deslumbrante y brillante. Parecía vestido torpe y pegadizo, dado el hecho de que estábamos en una de las áreas para dormir de Moscú. Después de mi respuesta, miró su reloj y también con firmeza, pero ya con una sonrisa dijo: "Puede que ya haya llegado tarde". "¿Por qué tú?" - No entendía completamente lo que estaba sucediendo, le pregunté. "Pero porque, no sé cuánto dura tu" tal vez "", respondió el abuelo con una sonrisa astuta en su rostro. "Tiempo, tiempo, no se puede descartar, nos has estado diciendo estas" tal vez "durante mucho tiempo, todos estamos esperando", continuó sin sonreír. "Muchas cartas, escriben un artículo sobre Habr, los plazos se están acabando", dijo el abuelo, y me desperté ...

Al final resultó que era un sueño, un sueño icónico. Para no molestar a Nikita Mikhalkov de mi sueño, yo, un chico joven de LANIT Integration , escribí un artículo sobre la introducción de un sistema DLP usando el comercio minorista como ejemplo.


1. ¿Qué es un sistema DLP?


¿Qué es un sistema DLP? Supongamos que ya sabe lo que es, y puede escribir: "Sí, años DLP, como un mamut", "¿Che dice allí?", "Esto no es noticia". Contestaré de inmediato: el artículo contiene una historia sobre una parte importante de la implementación del sistema: análisis, porque los técnicos no saben qué información es realmente importante. Además, debe tenerse en cuenta que hay muchos artículos sobre DLP, pero cómo se implementa y por qué los integradores hacen el trabajo, no. Y sí, habrá una breve excursión descriptiva sobre DLP, otras personas, no usted, pueden no saber. Maxim de LANIT se encarga de los lectores. Vamos!

DLP (Prevención de fuga de datos) - Prevención de fuga de datos. El trabajo del sistema es analizar la información que circula dentro de la organización y que sale al exterior. Es decir, esta vez la contabilidad no hará un envío masivo de información sobre su salario. Gracias a conjuntos de ciertas reglas definidas por el sistema, es posible bloquear la transferencia de información confidencial o notificar que la información confidencial puede transferirse a las manos equivocadas.


La excursión descriptiva ha terminado, estamos avanzando.

2. ¿Qué motivó la implementación?


¿Tienes una red corporativa? ¿Maneja información sensible? ¿Temes que alguien que no sea tú use tu información confidencial?

"¡SÍ! Si! ¡SÍ! ”, Una conocida empresa minorista respondió estas preguntas de manera impulsiva y convulsiva, como Agutin presionando un botón, y no se equivocó.


Nuestro cliente entendió que la amenaza de fuga de información confidencial en la parte abrumadora reside en los empleados actuales y anteriores de la empresa. Por lo tanto, era importante reducir el riesgo de un posible incidente del tipo "empleado y sus amigos". Sí, puedes decir: "Toma empleados normales" o "No confías en los empleados, ¿por qué deberían confiar en ti?" La respuesta es simple: hay una "manivela" con la letra "m" en todas partes, y su "excentricidad" puede no aparecer de inmediato, pero esto es un riesgo.

Pero incluso en una situación ideal, uno no puede estar seguro de que un empleado confiable y profesional no se equivoque. Para tales empleados, el sistema funciona como un chaleco salvavidas y en algún momento pregunta: "¿Quizás no?".

3. Etapas de trabajo


Tres pasos principales de implementación:

  • formación de requisitos
  • diseño e instalación
  • análisis y configuración del sistema.

Formación de requisitos.


Antes de la introducción de cualquier sistema, es necesario realizar un examen del objeto del trabajo futuro. Por lo tanto, nuestros ingenieros y consultores de seguridad de la información partieron en el primer avión para averiguar todo sobre el cliente.


Lo que discutimos:

  • documentación organizativa y administrativa relacionada con la seguridad y clasificación de la información,
  • lista de recursos de información,
  • circuitos de red
  • esquemas de flujo de datos
  • estructura organizacional

Después del examen, nosotros, junto con el cliente, comenzamos a considerar todas las opciones posibles para un futuro collage técnico. Después de compilar una lista de necesidades de los clientes, seleccionamos dos proveedores nacionales y dos extranjeros. Al comparar las soluciones, se seleccionó el producto más adecuado. Después de la aprobación de la decisión, comenzaron a pilotar.

La prueba piloto tuvo lugar dentro de un mes. Como resultado, nos aseguramos de que la solución elegida cubra todos los requisitos del cliente. Después de desarrollar el informe y protegerlo, pasamos a la siguiente etapa.

Diseño e instalación


Después del piloto, comenzamos la implementación. Lo primero con lo que comenzamos fue la creación de una arquitectura de sistema que cubriera todos los departamentos, divisiones y sucursales. Lo siguiente es la aprobación del plan de implementación. Parece una botella rota en un barco. Necesitábamos explicar a todos los empleados qué estamos implementando, cómo funciona, qué objetivos perseguimos. Gracias a las sesiones informativas sobre el sistema DLP y su propósito, obtuvimos la comprensión del personal y estábamos listos para continuar con nuestro plan.

El siguiente paso fue implementar hierro, configurar software y desarrollar políticas.

Puede gastar millones en la entrega e implementación del sistema, pero sin su configuración adecuada, el resultado no se logrará. El sistema DLP listo para usar no es eficiente y no funciona correctamente.


Analítica y ajuste del sistema.


Después de la instalación y la implementación, necesitábamos comprender claramente qué protegeríamos y cómo configurar nuestro DLP de acuerdo con las políticas necesarias. A menudo, la empresa no tiene idea de la información confidencial. Una persona nunca dirá qué información es confidencial para toda la empresa, además, en nuestro caso estamos hablando de una organización internacional con miles de empleados.

Por lo tanto, es necesario realizar entrevistas. Además, las entrevistas deben realizarse con los titulares de información clave, es decir. con personas con ciertas competencias y una comprensión de qué información es confidencial en su campo, porque son los jefes de departamentos los consumidores comerciales de la funcionalidad DLP. La información sobre la fuga después del procesamiento por parte del oficial de seguridad se envía al gerente, quien toma una decisión adicional sobre qué hacer con este incidente.

Fuente

Para determinar los propietarios de la información que necesitamos, estudiamos la estructura organizacional, consultores experimentados hicieron una propuesta y la persona responsable finalmente determinó la lista de entrevistados. Vale la pena señalar que una entrevista solo puede ser útil si el jefe del departamento comprende completamente qué y cómo está funcionando en su departamento. La alta gerencia no puede adivinar las sutilezas de esta o aquella esfera.

De la entrevista nos quedó claro qué información es confidencial para la empresa. De cada departamento puede obtener todo tipo de información confidencial, que solo debe encontrar un destinatario específico.

Para una mayor personalización, necesitábamos documentos de muestra que contengan la información protegida. El encuestado nos indicó dónde se almacena y de qué manera se transmite. Necesitamos todas estas sutilezas analíticas para configurar ciertas reglas del sistema y comprender cómo proteger esta información.

Después de eso, las políticas se redactaron y acordaron en una forma que sea conveniente para transferir al sistema.

Por lo general, un sistema DLP funciona de acuerdo con el siguiente algoritmo:

  1. intercepción de información (el sistema captura el archivo recibido, enviado, abierto, etc.);
  2. análisis de información (el sistema determina dónde se envía el documento y, utilizando las etiquetas configuradas, determina la naturaleza de la información que contiene, comprende qué tipo de documento es);
  3. bloqueo o notificación de un incidente (el sistema determina cuán legítima es la operación en el documento (procesamiento de acuerdo con las políticas configuradas)).


¿Cómo enseñar al sistema a analizar la información que recibe?

Aquí hay algunos tipos de análisis de documentación de privacidad:

  1. Detector de formulario / blanco

    Le permite detectar formularios / formularios que contienen información confidencial como impuestos, médicos, formularios de seguros, etc.
  2. Huellas digitales

    Aplica métodos de huellas digitales para detectar información confidencial almacenada en datos no estructurados, incluidos documentos de Microsoft Office, archivos PDF; y archivos binarios como JPEG, CAD y archivos multimedia. IDM también detecta contenido "derivado", como el texto copiado de un documento fuente a otro archivo.
  3. Mapeo

    Detecta contenido identificando fuentes de datos estructurados, incluidas bases de datos, servidores de catálogo u otros archivos de datos estructurados.
    Prescribimos las políticas necesarias, tuvimos que llevar a cabo las actividades finales antes de la entrega del trabajo.

4. Resumen


Después de la puesta en servicio, comenzamos a realizar pruebas preliminares:

  • DLP prueba la operabilidad y el cumplimiento de los requisitos formulados;
  • solución de problemas y cambios en la documentación.

Al recibir los datos, el número de falsos positivos, que no exceda el 30%, se considera un sistema DLP sintonizado idealmente. La explicación radica en el hecho de que pueden ocurrir más de 100,000 eventos por día, porque este porcentaje es aceptable. Pero incluso con una gran cantidad inicial de LPS (tasa de respuesta falsa), también hubo eventos que requirieron la atención del oficial de seguridad.

El papel del integrador es:

  • al seleccionar cuidadosamente un sistema para tareas específicas, comparando todas las opciones posibles,
  • entrenamiento del personal
  • análisis de la información procesada,
  • configuración del sistema
  • enfoque individual
  • pericia

Aunque estos no son todos los puntos, ya está claro cómo la compra de hierro con cableado difiere de la compra específica de equipos y su configuración para tareas específicas.

Integrarse con el amor.
LANIT


P.S. Auto vendido))

¿Quiénes son las vacantes?

Source: https://habr.com/ru/post/458704/

More articles:


All Articles