Bevezetési módszertan
Minden környezet, minden szervezet más-és más. A DLP megoldások bevezetési ideje jelentősen függ a szervezet érettségi állapotától és a bevezetéshez rendelkezésre álló külső és belső erőforrásoktól.
A fenti ábra egy képzeletbeli, a DLP bevezetéshez éretlen, 500-700 fős szervezet idealizált módszertani ábrája. Alapvetően az egyes fázisok hossza a szervezet érettségétől és a rendelkezésre álló külső vagy belső erőforrásoktól függ, és a DLP stratégia fogja meghatározni az adott szervezethez igazított szakaszok hosszát.
Az alábbiakban következzen egy kis magyarázat az egyes módszertani lépések előnyeiről és szükségességéről.
DLP pre-audit
A pre-audit egyik értelmezése, hogy a vizsgálat célja annak megállapítása, egyáltalán alkalmas- és képes-e a szervezet reális idő és reális költség mellett egy DLP megoldás bevezetésére.
A vizsgálat olyan hiányosságokat és gyengeségeket, vagy akár blokkoló tényezőket állapít meg, amelyek miatt nem érdemes jelenleg egy DLP rendszer komplex bevezetésében gondolkodni. Emellett természetesen a gyengeségek feltárása mellett részletes javaslattételeket tartalmaz a javításokra és pótlásokra, azaz olyan tevékenységeket javasol, amelyek elvégzése után a szervezet már alkalmas egy DLP rendszer komplex bevezetésére.
Egy DLP pre-audit projekt viszonylag gyors átfutású, 5-8 napot igénybevevő speciális átvilágítás, amely kifejezetten a szervezet adatszivárgás elleni felkészültségére, a kapcsolódó üzleti, információvédelmi és IT folyamatokra, illetve az alkalmazott IT biztonsági eszközökre fókuszál.
A projekt értéke, hogy ha a menedzsment pontos képet kap arról, hogy mekkora munka áll a szervezet előtt ahhoz hogy egyáltalán érdemileg foglalkozzon a DLP bevezetés kérdésével, akkor a menedzsment képes lesz objektív döntés is hozni arról, hogy egyáltalán el kell-e indítania a DLP projektet, vagy más, alternatív megoldást kell keresnie. Ezzel rengeteg költség megspórolható.
Egy nem megfelelően érett és felkészült szervezet feleslegesen égeti el azt a pénzt a DLP bevezetésével, amelyet más IT biztonsági területeken hatékonyabban tudna felhasználni a felhasználók, illetve a rendszerek és adatok biztonsága érdekében.
DLP stratégia
A DLP stratégia célja, hogy kialakításra kerüljön egy olyan közép- és hosszú távú stratégiai dokumentum, amely mentén a szervezet megkezdheti a felkészülést a DLP megoldás bevezetésére.
A stratégia dokumentumban kerülnek megállapításra a bevezetés lépéseinek időszakaszai, amelyek a pre-audit során gyűjtött tapasztalatok, illetve a szervezet lehetőségeihez képest kerülnek meghatározásra. A stratégiában már olyan elvárt funkcionalitások is meghatározásra kerülnek, amelyek körvonalazzák, hogy milyen DLP megoldás bevezetésére van szüksége a szervezetnek.
A DLP stratégia javaslatokat tartalmaz a szükséges és elvégzendő feladatok végrehajtásához, lépésekre és mérföldkövekre bontva a bevezetést 1-3 éves időszakon belül, így jelentősen lerövidítheti a bevezetési időtartamot, illetve csökkentheti a bevezetés és az üzemben tartás költségét.
DLP felkészítés
A módszertani ábrán látható, hogy a felkészülési szakasz meglehetősen hosszú. Ennek oka, hogy a korábban feltárt gyengeségek, hiányosságok javítása akár jelentős időt is igénybe vehet, illetve az adatvagyon leltár és adatklasszifikáció megvalósítása is sok időt és erőforrást követel.
Javasolt a szakasz tevékenységeit még azelőtt elvégezni, mielőtt egyáltalán bármilyen DLP termék kiválasztásra, pláne beszerzésre kerülne.
Ha ezeket a tevékenységeket akár időben hosszabban elnyújtva a saját erőforrásokból meg lehet valósítani, azzal jelentősen csökkenteni lehet a bevezetés költségeit, mivel a bevezetés alatt közreműködő külsős tanácsadók meglehetősen költségesek.
Egy DLP-veterán kolléga ritka bölcs mondása, hogy a DLP beszerzés előtt elvégzett tervezés alatt minden beletett óra napokat spórolhat meg a bevezetési szakaszban.
A felkészülés során elvégzett tervezéshez nem kell sokszáz órában több külsős tanácsadót igénybe venni, feltehetőleg elegendő lesz egy vagy két jól felkészült szakértőt segítségül hívni, de csak akkor, amikor szükség van a specialista közreműködésére.
Ha egy szervezet jól végzi a felkészülést, a bevezetési szakasz nem lesz extrém hosszú, hiszen már egy megfelelően érett, rá- és felkészült környezetbe kell beágyazni a DLP rendszert, ahol az üzleti folyamatok és adatmozgásaik már feltérképezettek, a legfontosabb szabályok már meghatározottak, és pontosan tudjuk, hogy milyen adatokat, hol és hogyan kell megvédeni.
DLP audit
A DLP audit egy olyan beépített ellenőrzőpont, ahol még egyszer (és remélhetőleg utoljára) ellenőrzésre kerülnek a korábban feltárt hiányosságok, és a szervezet meggyőződhet arról, hogy a hiányosságok javításra vagy pótlásra kerültek; nem keletkeztek újabb hézagok, amelyek nem fedhetőek el a DLP rendszerrel; ellenőrzésre kerülnek az előzetesen elkészített szabályrendszerek, amelyek remélhetőleg fedni fogják a legfontosabb üzleti folyamatokat és már csak arra várnak, hogy berögzítsék őket bármilyen DLP eszközbe.
Egy felkészült szervezet számára teljesen mindegy, hogy mely gyártó DLP megoldását fogja bevezetni, mert a legtöbb esetben nem a DLP eszköz a szűk keresztmetszet, hanem a szervezet és a folyamatai.
Elhagyható-e a DLP audit? Természetesen. Egy megfelelően figyelemmel kísért, folyamatában is ellenőrzött felkészülés nem feltétlenül igényli a plussz ellenőrzést. Azonban ha a felkészülési folyamat elnyúlik és 12 hónapig vagy tovább tart, akkor nem árt az óvatosság, ez már jelentős időszak egy nagyobb szervezet életében, és időközben történhettek olyan változások, amelyek miatt a terveket módosítani kell és hozzá kell igazítani a változásokhoz.
DLP bevezetés
A módszertani ábrán látható, hogy csak negyedik lépésben javasolt egyáltalán mélyebben azzal foglalkozni, hogy mely gyártó eszközét kellene bevezetni. Ennek a legfőbb oka, hogy a DLP pre-audit és a DLP stratégia fázisaiban már eleve körvonalazódik, hogy milyen funkcionalitásokkal kell a bevezetendő eszköznek rendelkeznie, ez pedig nagyjából azt is meghatározza, hogy mely gyártók megoldásaival lesz érdemes egyáltalán foglalkozni.
A beszerzők általában szeretnek legalább három megoldásból választani, de be kell látni, hogy ha gondosan akar a szervezet tesztelni, három megoldásra aligha jut elegendő idő és erőforrás. Javasolt tehát csak két megoldást közelebbről megvizsgálni és PoC keretén belül ki is próbálni.
Ebben a szakaszban is érdemes lehet külsős szakértőt, tanácsadót igénybe venni. Az integrátorok (többségükben) is jobban szeretik, ha a PoC projektek egységes és jól meghatározott kritériumrendszerek mellett valósulnak meg, sokkal kisebb az esély arra, hogy a tesztelésből kimarad valami fontos, amely aztán később a bevezetéskor kerül elő, immáron esetleg blokkoló vagy költségnövelő tényezőként.
Ha a tervezésre kellő időt fordított a szervezet és a felkészülés eredményes volt, a bevezetés (integráció és bevezetés) során nem lesz szükség sokszáz órai tanácsadó tevékenységre. Azonban az átadás-átvételi tesztelésre ekkor is gondot kell fordítani, hogy a szervezet úgy állítsa üzembe a rendszer, hogy az a tervezésnek és az elvárásoknak megfelelően működjön.
Átadás-átvételi teszteléshez nem árt külső szakértőt bevonni, már csak az objektivitás és a minőségellenőrzés miatt.
DLP post-audit
A DLP post-audit egy olyan beépített kontrollpont, ahol egy legalább hat hónapos élesüzem-időszak után történik meg egy újabb ellenőrzés.
A post-audit célja annak megállapítása, hogyan tudja a szervezet használni, pontosabban, hogyan használta a szervezet a DLP megoldást élesben, milyen problémák merültek fel, amelyeket meg kell oldani, és képes-e a költségesen bevezetett megoldás betölteni azt a szerepet, amelyet a rendszernek szántak.
Ez a vizsgálat elhagyható ugyan, de a kihagyása nem szerencsés. A DLP rendszerekkel minden nap foglalkozni kell ahhoz, hogy megfelelően képesek legyenek betölteni a szerepüket, és a védelmi értékük ne degradálódjon. A tervezett ellenőrzések mellett is érdemes évente legalább egy alkalommal egy nagyobb és átfogóbb ellenőrzést végezni a DLP rendszerrel kapcsolatban, gyakorlatilag a post-audit is ezt a szerepet tölti be.