«Изнанка» ИБ-аутсорсинга: как сервис-провайдер защищает данные и предотвращает инциденты по вине сотрудников

Михаил Серапионов, заместитель генерального директора по направлению франшизы ИБ-аутсорсинга «СёрчИнформ».

Защита от внутренних инцидентов информационной безопасности (утечек, мошенничества, воровства и других инцидентов по вине сотрудников) с помощью аутсорсинга набирает обороты среди заказчиков. В 2024 году 58% российских компаний были заинтересованы в услуге.

«СёрчИнформ» оказывает услугу с 2019 года и предоставила сервис 200+ клиентам из разных отраслей. В 2023 году мы запустили франшизу аутсорсинга ИБ и за два года привлекли в партнеры более 100 сервисных ИТ- и ИБ-компаний, которые защищают заказчиков в 20 регионах России.

ИБ-аутсорсинг от «СёрчИнформ» – комплексная услуга, в рамках которой заказчик получает специализированное ПО для выявления внутренних инцидентов ИБ и опытного аналитика, который мониторит ситуацию в компании и предотвращает нарушения. Аутсорсинг – альтернатива штатной службе информационной безопасности для компаний, у которых нет возможности самостоятельно выстраивать ИБ-отдел и защиту.

Аутсорсинг внутренней безопасности – задача деликатная. Расскажу, как сервис-провайдер оказывает услугу, чтобы это было удобно и эффективно для заказчика.

В рамках услуги сервис-провайдер:

1. Предоставляет защиту на базе трех систем: DLP-система «СёрчИнформ КИБ» для защиты от утечек, DCAP «СёрчИнформ FileAuditor» для контроля конфиденциальных документов и управления доступом к ним и «СёрчИнформ ProfileCenter» для оценки атмосферы в коллективе и выявления рискованного поведения сотрудников.

2. Внедряет и настраивает софт (в облаке или, по желанию, в инфраструктуре заказчика).

3. Выделяет аналитика, который ежедневно мониторит события в компании заказчика и предоставляет отчеты (в виде удобного саммари, а также в виде архива со всей информацией, выгруженной из защитных программ).

4. Проводит расследования, если видит признаки мошеннической схемы, подготовку к «сливу» данных и другие потенциальные инциденты.

До начала работы сервис-провайдер проводит подробное анкетирование, чтобы узнать максимум о бизнесе заказчика, инфраструктуре, конкурентах, коллективе и т.д. ИБ-аналитик будет опираться на пожелания и ограничения, которые ему даст клиент. Типовой перечень задач, которые выполняет аналитик, это:

1. Защита от утечек данных: комтайны, персданных, клиентских баз, финансовых документов и пр.

2. Предотвращение мошенничества: откатов, воровства, боковиков, работы на конкурентов и т.д.

3. Анализ продуктивности и эффективности сотрудников, выявление прогулов, простоев, опозданий, нарушений регламента, безделья.

4. Соблюдение требований по защите данных: законов и правил о безопасности конфиденциальной информации, в том числе ПДн.

ИБ-аналитик обязательно запрашивает обратную связь у заказчика, чтобы скорректировать задачи. Ведь то, что аналитик определит как инцидент, может быть легитимной активностью в компании.

1. Опрос об ИТ-инфраструктуре компании заказчика. Это делается для того, чтобы сервис-провайдер понимал, как оптимально настроить систему. Он запросит информацию о том, какие ПК нужно контролировать, сколько, в разных филиалах или нет и др.

2. Подготовка сервера или облака. Вся работа ИБ-аналитика происходит на сервере. Здесь есть несколько вариантов:

· если у заказчика локальный сервер, то подготовка к внедрению защитного ПО происходит совместно с ИТ-специалистом заказчика;

· если сервер находится в облаке, то подготовку облачного сервера сервис-провайдер полностью берет на себя.

3. Внедрение софта. Сервис-провайдер использует программное обеспечение «СёрчИнформ». Это DLP-, DCAP-система и система для выявления деструктивного поведения сотрудников ProfileCenter. Софт не перегружает ПК пользователей, не нарушает работу ИТ-инфраструктуры, совершенно незаметен для сотрудников и не нарушает бизнес-процессы.

4. Настройка политик безопасности. Защитные системы начинают работать сразу после внедрения благодаря предустановленным политикам безопасности (набор критериев, по которым система выявляет инциденты). То есть система будет автоматически искать нарушения с первого включения. А дальше аналитик донастроит политики безопасности под индивидуальные потребности отрасли и конкретного бизнеса.

Заказчик выделяет ответственного сотрудника, который получит в системе те же права, что и внешний аналитик. Поэтому все действия аналитика абсолютно прозрачны для клиента, их легко проверить. Контролирует работу аналитиков и сервис-провайдер – с помощью защитного софта, которое установлено на ПК специалиста.

В зависимости от того, где развернута DLP-система, будет отличаться модель доступа к ней. Если система размещается на локальном сервере заказчика, то ИБ-аналитик подключается к нему и работает с DLP. В случае с облаком аналитик подключается к DLP удаленно, при этом доступ в инфраструктуру клиента ИБ-аналитику не нужен. В обоих вариантах подключения заказчик может контролировать работу внешнего специалиста.

Перед началом работы заказчик подписывает с аналитиком документ о персональной ответственности за соблюдение требований кибербезопасности. И – NDA с самим провайдером услуги.

Ежедневно ИБ-аналитик мониторит ситуацию в компании, выявляет подозрительные действия, определяет «аномалии» в действиях сотрудников.

Также ИБ-аналитик контролирует продуктивность персонала, так заказчик узнает, кто из сотрудников неэффективно использует рабочее время.

По индивидуально настроенным политикам безопасности аналитик проверяет, происходили ли инциденты информационной безопасности, и просматривает отчет по всем каналам (переписки в корпоративных чатах, копирование данных на внешние устройства, в облачные хранилища, вывод на печать и т.д.).

ИБ-аналитик отправляет заказчику регулярные подробные отчеты, в которых прописывает все нарушения (и мелкие, и крупные). Инциденты разбиты по категориям, чтобы заказчику было проще сориентироваться, что происходит в компании и что требует особого контроля. Кроме регулярных отчетов, аналитик может оповещать заказчика об инцидентах, требующих срочного вмешательства.

Также ИБ-аналитик предоставляет заказчику рекомендации по улучшению защиты в компании: как обучить сотрудников ИБ-грамотности, ввести режим комтайны и т.д. Базовые советы аналитик дополняет индивидуальными рекомендациями, которые учитывают специфику компании.

Достаточно ли защищен ваш бизнес? Пройдите тест и узнайте, хорошо ли защищена ваша компания от внутренних угроз, нарушений с данными, мошенничеств и других нарушений со стороны сотрудников. В 90% случаев руководители компаний видят только верхушку айсберга, ИБ-аналитик может заглянуть глубже и выявить проблемы и риски внутри организации.

Проверить, насколько аутсорсинг подходит вам, можно в ходе пробного периода – месяца бесплатного сервиса. Во время теста ИБ-аналитик покажет реальную ситуацию в компании, выявит нарушения, проведет аудит защищенности и поделится полезными рекомендациями по улучшению защиты. Оставить заявку на бесплатный пробный тест можно по ссылке.