No início da minha carreira no campo da segurança da informação, tive a oportunidade de participar de um projeto extremamente interessante. Tudo começou com o fato de que o serviço de segurança de um dos maiores produtores e fornecedores privados de gás natural e petróleo na CEI, como parte de uma abordagem integrada para garantir a segurança da informação, decidiu introduzir um sistema DLP. Agora, essa participação, obedecendo às tendências gerais do mercado russo, desapareceu nas entranhas de várias empresas estatais, e posso lhe contar essa história.
O objetivo e os objetivos do projeto
O principal objetivo do projeto era aumentar o nível de segurança dos processos de negócios da empresa, introduzindo um sistema de controle sobre os fluxos de informações.
Tarefas do projeto resolvidas pela implementação do sistema DLP:
- Monitorar e prevenir vazamentos fora da organização de informações confidenciais: segredos comerciais, dados pessoais, propriedade intelectual etc.
- Fornecimento de ferramentas para investigação de incidentes: criação de um arquivo de informações transmitidas com a possibilidade de subsequente pesquisa retrospectiva.
- Identificação atempada de informações privilegiadas: monitoramento de ações suspeitas do usuário.
- Otimização do uso de recursos de informações corporativas: supressão do uso de recursos para fins pessoais.
Abordagem do Projeto
A introdução de um sistema DLP em uma rede corporativa geograficamente distribuída da holding foi uma tarefa bastante difícil do lado técnico e organizacional. Era necessário levar em consideração que o sistema DLP deveria ser absolutamente "transparente" para os sistemas de informações corporativos existentes e nem mesmo permitir bloqueio temporário ou desaceleração dos processos de negócios estabelecidos. Além disso, sua implementação deve passar despercebida por usuários comuns.
Assim, decidiu-se introduzir o sistema DLP em etapas nos escritórios da empresa e aumentar gradualmente sua funcionalidade.
Implementação do projeto
Etapa 1: Monitorando e arquivando o email corporativo na matriz
Conteúdo
Na sede da holding, foi instalado um sistema DLP que consiste em:
- módulo para recuperação de informações a uma velocidade de 1 Gbit / s;
- módulo de interação;
- módulo de análise;
- módulo de armazenamento de informações;
- Análise AWP.
Além disso, um plug-in especial foi instalado no servidor de correio corporativo.
Juntamente com o serviço de segurança da holding, levando em consideração as especificidades do negócio, foi criado o Rubricator - uma árvore hierárquica de tópicos necessários para análise morfológica
texto. De acordo com a política de segurança corporativa, bem como com o ato regulatório local sobre segredos comerciais e informações confidenciais, as regras relevantes para a busca e análise de informações foram estabelecidas no rubricador.
No processo dos primeiros meses de operação, o Rubricator foi iterativamente modificado e suplementado para obter o nível de precisão exigido das informações críticas detectadas. Paralelamente, foram realizados trabalhos para atingir níveis de erro do 1º e 2º tipos, satisfazendo o cliente.
Resultados
Foi possível identificar a acessibilidade de alguns documentos confidenciais a funcionários que formalmente não têm acesso a eles (detecção e análise de documentos em anexo a emails). Com base nos resultados da investigação, alguns parâmetros da política de segurança da informação corporativa foram ajustados em termos de armazenamento de documentos confidenciais e delimitação do acesso a eles.
Etapa 2: Monitoramento do tráfego FTP
Conteúdo
Um módulo de decodificação de informações foi adicionado ao sistema DLP.
Resultados
- Os fatos de colocar informações confidenciais nos recursos corporativos de FTP não destinados a isso foram revelados.
- A duplicação de grandes volumes de informações (fotos, vídeos, arquivos) foi descoberta simultaneamente em vários recursos.
A autoridade para postar informações sobre os recursos da rede foi ajustada. A infraestrutura de rede foi reconfigurada para eliminar a duplicação de grandes volumes de informações, como resultado do qual o espaço livre no sistema de armazenamento de dados foi otimizado.
Etapa 3: Monitorando o tráfego por http
Conteúdo
O plug-in é instalado no servidor proxy corporativo, que permite controlar solicitações de recebimento e publicação, bem como tráfego https "aberto". De acordo com as tarefas do serviço de segurança e da gerência TOP da empresa, o Rubricator está configurado para monitorar determinadas informações.
Resultados
- A quantidade de informações visualizadas pelo pessoal da empresa que não está relacionada a tópicos de trabalho (blogs, fóruns, sites de entretenimento e notícias) foi estimada. Conclui-se que a porcentagem desse tráfego é extremamente pequena e está dentro da norma permitida.
- Foram identificados vários indivíduos que visualizam regularmente na Internet uma grande quantidade de informações que não estão formalmente dentro do escopo de suas competências e interesses. Empregados sob controle pelo serviço de segurança.
- Encontrou funcionários interessados em informações sobre concorrentes e comprometendo sua própria empresa. As medidas necessárias foram tomadas em relação a eles.
Etapa 4: Análise retrospectiva do arquivo
Conteúdo
Um módulo foi adicionado ao produto, permitindo uma nova análise de todo o arquivo de tráfego acumulado.
Resultados
Como parte da reestruturação do grupo de empresas, grandes reduções, transferências para novas posições e mudanças no funcionamento dos funcionários foram realizadas em um determinado período.
Um novo Rubricator foi configurado, o que possibilitou a busca de informações sobre funcionários específicos.
Uma análise retrospectiva completa das informações acumuladas de acordo com as novas regras de pesquisa tornou possível identificar interesses fora do trabalho, contatos ilegítimos de trabalho e outros fatos suspeitos no trabalho dos funcionários planejados para serem reduzidos ou movidos para outro cargo.
O uso adequado das informações recebidas nos permitiu revisar algumas decisões de pessoal em uma direção ou outra e reduzir significativamente os riscos de consequências negativas da reforma organizacional e da equipe.
Etapa 5: Implementação do sistema em escritórios remotos
Conteúdo
As soluções testadas na matriz de acordo com o plano do calendário foram gradualmente introduzidas em todos os escritórios territoriais do grupo de empresas.
Resultados
Graças aos recursos flexíveis de dimensionamento do sistema DLP, foi possível implementá-lo completamente em toda a rede de informações e telecomunicações do cliente, que inclui 10 escritórios remotos, 160 entidades legais e 4.500 pessoas.
Módulos de recuperação de informações foram instalados em todos os canais de comunicação externos disponíveis nos escritórios. O gerenciamento do sistema é implementado a partir de um único centro de monitoramento e controle na sede da empresa. Ao mesmo tempo, se a conexão entre escritórios for perdida, o sistema instalado na unidade remota continuará funcionando autonomamente, de acordo com as políticas especificadas.
Sumário
A introdução do sistema DLP na holding aumentou o nível de segurança dos negócios e reduziu significativamente os riscos econômicos, de reputação e outros, inclusive durante uma grande reestruturação da empresa.