Алексей РаевскийГенеральный директор

Как выбить бюджет на

DLP?

Причины

Почему топ-менеджеры не хотят внедрять DLP-решения?

Причины отказа

1. Непонимание сути предложения2. Все сотрудники — лояльны3. Нет конфиденциальных данных4. «Всё уже защищено, разве нет?»5. Лучше увеличим штат охранников…6. Слишком дорого стоит/нет денег7. Отсутствие подсчета ROI и TCO

Создается впечатление, будто они (ИТ/ИБ) действительно усердно трудятся, но, развивая бурную деятельность, они часто упускают из виду самый смысл бизнеса…

Что хочет бизнес?

«Чего хочет бизнес от ИТ», Терри Уайт

Что хочет бизнес

1. Снижения прямых издержек2. Снижения косвенных издержек

(эффективность сотрудников)3. Снижения рисков (утечки)4. Неизменность бизнес-процессов (чтобы

после внедрения не было хуже)5. Разговора на своём языке6. Прибыли (и только её в конечном итоге)

Что на самом деле хочет информационная безопасность?

Что хочет ИБ?

Что хочет ИБ?

1. Решить конкретную задачу, а в итоге создать полноценную систему ИБ (в т. ч. защититься от утечек конфиденциальных данных)

2. Получить внутрикорпоративное признание и соответствующие полномочия

3. Увеличить последующее финансирование

Как обосновать внедрение DLP?

Варианты обоснования DLP

1. Требования ФЗ-152 «О персональных данных»2. Отраслевые стандарты (PCI DSS,..)3. Посчитать риски утечки4. Показать вживую5. Существующие требования к безопасности6. Лучшие практики (или сосед внедрил DLP)7. Подтянуть союзников

Сделать DLP частью проекта по ФЗ-152 «О персональных данных» — отличная идея

Закон

PCI DSS, СТО БР ИББС-1.0-2010, SOX, Basel ll, кодекс ФСФР и др. содержат положения, закрываемые с помощью DLP

Стандарты

A diagram worths many words…

Показатьвживую

Лучше один раз увидеть, чем сто раз услышать…

Десять заказчиков с удивлением обнаружило, что у них уже есть согласованные требования к DLP

Security Policy

Может, «это уже есть у конкурентов»?

Best practiceПримеры

Кто имеет хорошее аргументы, найдет и хороших союзников

Союзники

Перефразируя Макиавелли

Вычислить точное значение можно, но вопрос с его точностью останется нерешеннным

Оценка рисков

1. Выявление рисков

2. Оценка вероятности

3. Прогнозирование последствий

Этапы оценки рисков утечки

Выявление рисков — данные

1. Персональные данные (CLO)2. Финансовая информация (CFO)3. Данные CRM и условия соглашений (sales)4. Бизнес-планы, аналитика и прогнозы (CEO)5. Чертежи, сметы, планы работ (CTO)6. Архитектура сети и схема инф. потоков (CIO)7. Резервные и архивные копии данных (CIO)8. Штатное расписание, должностные

инструкции, система грейдов (HR)

Выявление рисков — каналы

1. Корпоративная почта2. Веб-сервисы и интернет-пейджеры3. Внешние накопители и гаджеты*4. Сетевые и локальные принтеры5. Магнитные ленты, оптические диски6. Ноутбуки и мобильные устройства7. Стационарные хранилища данных

Оценка потенциального ущерба

1. Потеря выгодных контрактов и доверия клиентов и поставщиков

2. Падение привлекательности бренда и отток существующих заказчиков

3. Снижение капитализации и доверия со стороны инвесторов

4. Утрата конкурентных преимуществ и «ноу-хау»5. Падение лояльности сотрудников и увеличение

текучки кадров6. Санкции регулирующих органов и судебные иски7. Повышенное внимание со стороны СМИ8. Необходимость существенных затрат на погашение

возможных конфликтов

Оценка вероятности утечек

1. Объём данных и кол-во каналов2. Действующие политики безопасности3. Внешняя статистика утечек4. Внутренняя статистика утечек5. Экспертная оценка6. Пилотное внедрение

Оценка ущерба от утечек*

* для компании с 1000 сотрудниками** только ФЗП 3 сотрудников, задействованных в разработке плана,и расходы на офис*** если переманят хотя бы 1 % сотрудников (стоимость подбора — 50 % годовой ЗП)

Категория данных Средний ущерб(от 1 утечки)

Прогноз утечек (кол-во в год)

Оценочный ущерб (в год)

План развития компании

5 400 000** руб. 1 От 5 400 000 руб.

Персональные данные и контакты сотрудников

6 000 000*** руб. 2 От 12 000 000 руб.

… … …

Эффективность вложений

* с учетом стоимости ПО, работы администраторов и подрядчиков

Статья 2011 2012 2013

Стоимость DLP*, рублей

10 000 000 рублей 2 000 000 рублей 2 000 000 рублей

Оценочный ущерб, рублей

20 000 000 рублей 20 000 000 рублей 20 000 000 рублей

… … …

Итог

«Мой стиль ведения дел довольно прост и прям. Я только толкаю, толкаю и еще раз толкаю то, чего хочу достичь», — Дональд Трамп.

Обосновать DLP реально, но на это потребуются определенные усилия

Вопросы