Поделиться
DLP-рынок потеряет независимость?
Рынок DLP (Data Loss Prevention – системы защиты от утечек данных) - ровесник третьего тысячелетия. Однако менее чем за 10 лет он успел пройти нелегкий путь от младенчества до зрелости и уже переживает кризис среднего возраста. Сегодня аналитики и практики решают его судьбу – есть ли будущее у фокусированных DLP-продуктов или они растворятся и станут элементами комплексных ИБ-решений? Cтанут ли DLP-разработчики добычей крупных ИБ-компаний или смогут отстоять независимый рынок?Во-вторых, достигается унифицированный подход к защите от конкретного вида угроз в рамках организации. Исключается ситуация, при которой каждый "канальный специалист" тянет одеяло на себя, реализует собственные представления, создает "софтовый зоопарк", что в итоге отражается на защищенности, управляемости и экономической безопасности. Применимо к DLP канальная модель вообще не работает. В отличие от некоторых других направлений ИБ здесь все максимально централизовано. Можете себе представить, что защита от утечки базируется на разных подходах на уровнях хранения, обработки и передачи данных?
В-третьих, реализуется централизованное управление всей предметной защитой. Отсутствие или недостаток этой особенности приведет не только к неразберихе и знакомому эффекту лебедя, рака и щуки, но лишит DLP-систему сразу нескольких ключевых особенностей. Прежде всего – централизованного накопления данных (теневые копии) и событий для соответствия стандартам и нормативным актам, ретроспективного анализа, доказательства непричастности и построения корреляций для проактивных методов предотвращения утечек.
Наконец, этот подход более соответствует общей политике безопасности бизнеса. Сравните, к примеру, защиту от спама и от утечек. В первом случае мы имеем дело с автоматическим фильтром электронного мусора. Во втором – с исключительно чувствительными сведениями, затрагивающими основы бизнеса организации. Дело не только в том, что это очень ответственная задача и промах здесь смерти подобен. Ведь это совершенно секретная область, которую опасно доверять глазу рядового сисадмина. Эта сфера компетенции принадлежит, скорее, службе общей безопасности, ее разработка требует поддержки первых лиц организации и предполагает вовлечение других бизнес-подразделений, включая HR, юридический, финансовый департаменты, маркетинг, продажи. "Нам нужна выделенная инфраструктура, команда и процессы, потому что просто невозможно решить проблему защиты от утечки по-своему на разных уровнях, разными процессами и разношерстными специалистами", - говорит Рич Могулл.
Впрочем, канальный подход тоже имеет право на существование. Во-первых, в небольших организациях. В них обычно наблюдается нехватка средств и квалифицированного персонала для управления сложными DLP-системами. К тому же, в таких условиях все еще достаточно действенны "ручные" и организационные методы контроля, которые способны заменить высокие технологии. Во-вторых, это связано с особенностями и традициями конкретного коллектива и руководителя. Перестройка годами наработанного опыта может быть чревата серьезными трудностями, и еще неясно, что, в конечном счете, окажется более эффективным.
Сегодня более жизнеспособна и приспособлена для решения насущных задач корпоративных заказчиков смешанная модель. Рано или поздно разделение обязанностей будет происходить по известному принципу специализации: люди, которые решают прикладную проблему (например, защита конфиденциальности данных) и люди, которые обеспечивают ее техническую сторону, при этом обе группы работают в тесном сотрудничестве. Первые создают и реализуют политику, а вторые создают и поддерживают обслуживающую ее инфраструктуру. Такая модель управления информационной безопасностью обладает преимуществами обоих подходов. "В ИТ есть два типа административных обязанностей: одни отвечают за решение проблем, а другие за то, чтобы все это работало. Последнее наименее критично, поскольку может быть реализовано практически каждым ИТ-специалистом", - считает Рич Могулл.
Все-таки продукт или элемент?
Возвращаясь к вопросу, заданному в начале статьи, подведем итог. Элемент? Да. Несомненно, DLP-функциональность проникнет в другие ИБ-продукты, а их производители будут концентрировать внимание заказчиков на преимуществах "все в одном флаконе". Несмотря на то, что такие решения по умолчанию будут проигрывать по эффективности фокусированным продуктам, у этого подхода будут свои апологеты. Самостоятельный рынок? Да. Наряду с интегрированными решениями с вялой и размытой DLP-функциональностью всегда будет ниша для специализированных продуктов, которые решают одну задачу, но решают ее гораздо лучше. Кроме того, реализация DLP как отдельного решения, а не как элемента в комплексном ИБ-проекте, имеет дополнительные преимущества. В частности, это позволяет привести в порядок бизнес-процессы. "На практике встречались случаи, когда внедрение DLP сопровождалось поразительными открытиями гигантских брешей в безопасности и неэффективных процессов. В итоге они совершенствовались и повышали эффективность бизнеса в целом", - говорит Евгений Преображенский.
Рассуждая о соотношении этих подходов, заметим, что DLP будет скорее рынком, чем элементом. Особенно в долгосрочной перспективе, когда архаичные канальные подходы эволюционируют в более современные, эффективные, более приспособленные для решения насущных бизнес-задач. 10 лет назад среди аналитиков и практиков бытовало мнение, что дни рынка антивирусов сочтены и их разработчики будут куплены крупными SCM-игроками. Сейчас мы видим, что этот рынок не только не растворился, но окреп и даже позволяет себе поглощать другие компании для укрепления позиций. Менеджер проектов по информационной безопасности компании "УСП КомпьюЛинк" Александр Юрков уверен, что "у фокусированных DLP-разработчиков есть большие перспективы. Более того, судя по сегодняшним запросам заказчиков, они рассматривают такие специализированные решения в качестве неотъемлемой части в разработке комплексной ИБ-стратегии компании".
Поделиться
Короткая ссылка
