Al comienzo de mi carrera en el campo de la seguridad de la información, tuve la oportunidad de participar en un proyecto extremadamente interesante. Comenzó con el hecho de que el servicio de seguridad de uno de los mayores productores y proveedores privados de gas natural y petróleo en la CEI, como parte de un enfoque integrado para garantizar la seguridad de la información, decidió introducir un sistema DLP. Ahora, esta tenencia, obedeciendo las tendencias generales del mercado ruso, ha desaparecido en las entrañas de varias corporaciones estatales, y puedo contarles esta historia.
El propósito y los objetivos del proyecto.
El objetivo principal del proyecto era aumentar el nivel de seguridad de los procesos comerciales de la empresa mediante la introducción de un sistema de control sobre los flujos de información.
Tareas del proyecto resueltas mediante la implementación del sistema DLP:
- Monitorear y prevenir fugas fuera de la organización de información confidencial: secretos comerciales, datos personales, propiedad intelectual, etc.
- Proporcionar herramientas para la investigación de incidentes: crear un archivo de información transmitida con la posibilidad de una búsqueda retrospectiva posterior.
- Identificación oportuna de los iniciados: monitoreo de acciones sospechosas del usuario.
- Optimización del uso de recursos de información corporativa: supresión del uso de recursos para fines personales.
Enfoque del proyecto
La introducción de un sistema DLP en una red corporativa distribuida geográficamente de la explotación fue una tarea bastante difícil desde el punto de vista técnico y organizativo. Era necesario tener en cuenta que el sistema DLP debería ser absolutamente "transparente" para los sistemas de información corporativos existentes y ni siquiera permitir el bloqueo temporal o la desaceleración de los procesos comerciales establecidos. Además, su implementación debe pasar desapercibida para los usuarios comunes.
Por lo tanto, se decidió introducir el sistema DLP por etapas en las oficinas de la empresa y aumentar gradualmente su funcionalidad.
Implementación del proyecto
Etapa 1: Monitoreo y archivo de correo electrónico corporativo en la oficina central
Contenido
En la oficina central de la explotación, se instaló un sistema DLP que consta de:
- Módulo de recuperación de información de 1 Gb / s;
- módulo de interacción;
- módulo de análisis;
- módulo de almacenamiento de información;
- AWP analytics.
Además, se instaló un complemento especial en el servidor de correo corporativo.
Junto con el servicio de seguridad del holding, teniendo en cuenta las características específicas del negocio, se creó el Rubricator, un árbol jerárquico de temas necesarios para el análisis morfológico.
texto De conformidad con la política de seguridad corporativa, así como con la ley reguladora local sobre secretos comerciales e información confidencial, las reglas relevantes para buscar y analizar información se establecieron en el rubricador.
En el proceso de los primeros meses de operación, el Rubricator se modificó y complementó iterativamente para obtener el nivel de precisión requerido de la información crítica detectada. Paralelamente, se realizó un trabajo para alcanzar niveles de error de 1º y 2º tipo, satisfaciendo al cliente.
Resultados
Fue posible identificar la accesibilidad de algunos documentos confidenciales a los empleados que formalmente no tienen acceso a ellos (detección y análisis de documentos en archivos adjuntos a correos electrónicos). En función de los resultados de la investigación, algunos parámetros de la política de seguridad de la información corporativa se ajustaron en términos de almacenamiento de documentos confidenciales y delimitación del acceso a ellos.
Etapa 2: monitoreo de tráfico FTP
Contenido
Se ha agregado un módulo de decodificación de información al sistema DLP.
Resultados
- Se han revelado los hechos de colocar información confidencial en recursos FTP corporativos no destinados a esto.
- La duplicación de grandes volúmenes de información (fotos, videos, archivos) se descubrió simultáneamente en varios recursos.
Se ha ajustado la autoridad para publicar información sobre los recursos de la red. La infraestructura de red se reconfiguró para eliminar la duplicación de grandes volúmenes de información, como resultado de lo cual se optimizó el espacio libre en el sistema de almacenamiento de datos.
Etapa 3: Monitoreo del tráfico a través de http
Contenido
El complemento se instala en el servidor proxy corporativo, que le permite controlar las solicitudes de obtención y publicación, así como el tráfico https "abierto". De acuerdo con las tareas del servicio de seguridad y la gestión TOP de la empresa, el Rubricator está configurado para monitorear cierta información.
Resultados
- Se calculó la cantidad de información vista por el personal de la compañía que no está relacionada con temas de trabajo (blogs, foros, sitios de entretenimiento y noticias). Se concluye que el porcentaje de dicho tráfico es extremadamente pequeño y está dentro de la norma permitida.
- Se han identificado varias personas que regularmente ven en Internet una gran cantidad de información que no está formalmente dentro del alcance de sus competencias e intereses. Empleados bajo control del servicio de seguridad.
- Empleados encontrados interesados en información sobre competidores y comprometer su propia empresa. Se han tomado las medidas necesarias con respecto a ellos.
Etapa 4: análisis retrospectivo del archivo
Contenido
Se ha agregado un módulo al producto, lo que permite volver a analizar todo el archivo de tráfico acumulado.
Resultados
Como parte de la reestructuración del grupo de empresas, se llevaron a cabo reducciones masivas, transferencias a nuevos puestos y cambios en el funcionamiento de los empleados en un período determinado.
Se creó un nuevo Rubricator, que permitió buscar información sobre empleados específicos.
La realización de un análisis retrospectivo completo de la información acumulada de acuerdo con las nuevas reglas de búsqueda permitió identificar intereses fuera del trabajo, contactos de trabajo ilegítimos y otros hechos sospechosos en el trabajo de los empleados que se planea reducir o trasladar a otro puesto.
El uso adecuado de la información recibida nos permitió revisar algunas decisiones del personal en una dirección u otra y reducir significativamente los riesgos de consecuencias negativas de la reforma organizacional y del personal.
Etapa 5: Implementación del sistema en oficinas remotas.
Contenido
Las soluciones probadas en la oficina central de acuerdo con el plan de calendario se introdujeron gradualmente en todas las oficinas territoriales del grupo de empresas.
Resultados
Gracias a las capacidades flexibles de escalado del sistema DLP, fue posible implementarlo completamente en toda la red de información y telecomunicaciones del cliente, que incluye 10 oficinas remotas, 160 entidades legales, 4,500 personas.
Se instalaron módulos de recuperación de información en todos los canales de comunicación externos disponibles en las oficinas. La administración del sistema se implementa desde un solo centro de monitoreo y control en la oficina central de la compañía. Al mismo tiempo, si se pierde la conexión entre oficinas, el sistema instalado en la unidad remota continúa funcionando de manera autónoma de acuerdo con las políticas especificadas.
Resumen
La introducción del sistema DLP en la explotación aumentó el nivel de seguridad empresarial y redujo significativamente los riesgos económicos, de reputación y otros, incluso durante una reestructuración importante de la empresa.