Mennyibe kerül a DLP bevezetése?

Sokba.

Nehéz erre a kérdésre egyszerű választ adni, ezért nézzük meg, hogyan áll össze egy DLP projekt költsége, mitől lesz drága, vagy olcsóbb egy projekt. 

Licenszek

Régen a DLP technológiák licenszei nagyon költségesek voltak, köszönhetően annak, hogy annak idején inkább a nice to have mintsem a must have kategóriába tartozó védelmi megoldások közé tartozott az adatszivárgás védelmi technológia. 

Ahogyan egyre inkább csúszott át a kötelezően alkalmazandó megoldások közé, úgy vált olcsóbbá a technológia beszerzése - egyre több gyártó jelent meg a piacon, már a határvédelmi (például UTM) vagy végpontvédelmi eszközökben is megjelentek az ilyen funkciók, így a DLP vendoroknak is változtatniuk kellett az árazási stratégián. 

Ezt talán az mutatja a legjobban, hogy a régi időkben 250-500 felhasználó volt a licenszminimum, míg ma már akár 10-20 eszközre is megvásárolhatók a DLP megoldások. Ma már ott tartunk, hogy például az egyik nagy DLP vendornál 10-15 USD a felhasználónkénti licenszdíj, ott, ahol 5-6 éve még 100-130 USD volt felhasználónként a licenszköltség. 

Gyártója válogatja, de akár már felhasználónként 10-15 dollár és természetesen a hozzá tartozó gyártói supportdíj határon is meg lehet vásárolni ezeket a technológiákat. Így mondjuk egy 100 felhasználós bevezetés alap licenszköltsége megállhat 2500-3500 dollárnál.

Az ár attól is függhet, hogy az adott gyártó milyen konstrukcióban gondolkodik. A perpetual licenszű megoldások beszerzéskori költsége jóval nagyobb (első év), de utána az éves megújítások már jellemzően sokkal alacsonyabb összegek és kevésbé fájdalmasak. 

A subscription modellben gondolkodó gyártók esetében minden évben elő kell fizetni a licenszre, tehát úgy tűnik, mintha minden évben meg kellene vásárolni a megoldást. Ez azonban csalóka, ilyenkor a gyártók több évre tervezve alakítják ki az előfizetési licensz konstrukciót. Az első évben egyértelműen jól jár a vásárló (alacsonyabb a bekerülési költség), aztán valahol a 4. év környékén kezd el átfordulni a helyzet és onnantól már nem feltétlenül annyira kedvező ez a modell. Ezt ellensúlyozni tudja, hogy sokkal könyebb évenként a fix költséget budgetelni erre, és hát, a 4. év végére már meg is szokták, hogy ez így működik.  

Természetesen sok függ attól is, hogy milyen funkcionalitással akarják bevezetni a terméket: hálózati, végpontvédelmi vagy komplex hálózati és végpontvédelmi megoldásról van szó, de annyi biztos, hogy ma már nem a licenszdíj jelenti az igazán nagy költséget. 

Integráció és bevezetés

Ez már rágósabb és inasabb falat.Először is szét kell választani az integrációt és a bevezetést már a feladat kiírás során.

Integráció

Az integráció jelenti a rendszer és a komponensek letelepítését, beállítását és összekapcsolását más rendszerekkel (például címtár, SIEM, stb.). A telepítésnek tartalmaznia kell olyan alapszintű szabályok (pl. 10) létrehozását, amelyek már látnak el védelmi funkciókat, de beállításuk csak néhány kattintást igényel. Ezek a szabályok kiválóan alkalmasak lesznek a rendszer tesztelésére az átadás-átvételi folyamat alatt. 

Végpontvédelmi DLP komponens esetén javasolt csak egy tesztcsoportra (például 25-50 eszköz) telepíttetni az integrátorral a DLP agentet. Az alapszintű szabályokkal a rendszer tesztelhető, majd a többi eszközre a szervezet maga is ki tudja telepíteni a végponti komponenst (például SCCM vagy más központi management rendszerből). Ezzel az integrációs költségen lehet még faragni egy kicsit.

Az integráció mondhatni tisztán mérnöki tevékenység, az integrátor mérnök jön, telepít, konfigurál, varázsol - majd átadja az üzemképes (de nem bevezetett!) rendszert. Ez a szakasz viszonylag jól belátható és mindkét fél oldaláról jól tervezhető tevékenységeket jelent, pontosabban lehet erőforrást becsülni, így ajánlatot is könyebb adni rá. 

A szervezet és az infrastruktúra bonyolultságától, valamint a kiépítés komplexitásától (például magas rendelkezésre állás kialakítása, disztributált DLP komponensek, széttűzfalazott szegmensek, stb) függően 4-6 napot, bonyolult topológia esetén 10-15 napot vesz általában igénybe egy integráció és telepítés (kivéve persze, ha az integrátornak kell kitolnia 500-1000 végponti komponenst, vagy a szofisztikált szabályrendszerek kialakítását is az integrációs szakaszban akarjuk megcsináltatni). 

Bevezetés

A bevezetés jelenti azt a tevékenységet, amely során a szervezet üzleti folyamatai és adattovábbításai lefordítódnak a DLP megoldás nyelvére és kialakításra kerül a szofisztikált adatfelismerő, eseményészlelő, beavatkozó szabályrendszer, illetve a bevezető kialakítja az esemény és incidenskezelési folyamatokat, riasztásokat, az ellenőrzést lehetővé tévő riportokat és a rendszer üzemeltetésére vonatkozó eljárásokat. 

A bevezetés néhány héttől akár több hónap is lehet, függően attól, hogyan lett a DLP projekt előkészítve és mennyi erőforrást tud a szervezet saját maga biztosítani, illetve mennyi erőforrást tud külső féltől igénybe venni. 

Egy DLP-veterán kolléga ritka bölcs mondása, hogy a DLP beszerzés előtt elvégzett tervezés alatt minden beletett óra napokat spórolhat meg a bevezetési szakaszban. 

Auditori tapasztalat, ha a bevezetési szakasz 4-6 hónapnál kevesebb egy 500 fős szervezet esetében, akkor ott már feltételezhető, hogy több csontváz is van a szekrényben. Nem ritka az éves bevezetés sem, minél több és bonyolultabb az üzleti folyamat, annál több időt vesz igénybe a megfelelő adatfelismerők és egyéb szabályok kialakítása. 

Ha a bevezetésre nem fordítanak elegendő időt és erőforrást, az mindig láthatóvá válik a DLP eseménykezelő felületén: ezernyi, százezernyi esemény jelenik meg, amelyeket aztán természetesen senki nem tud lekezelni. Ilyenkor a DLP rendszer védelmi értéke súlyosan degradálódhat, míg végül az eszköz csak arra lesz jó, hogy auditokon be lehet mutatni, hogy van (persze az audit előtt ilyenkor kell másfél-két hónap kitakarítani a rendszert, illetve létrehozni a majdan bemutatásra kerülő audit bizonyítékokat)

Látható, hogy a bonyolultság és az időbeni kiterjedés miatt a bevezetési szakasz költsége a sokszorosa lehet (és lesz) a licenszköltségnek. Ezen a költségen csak akkor lehet lefaragni, ha a szervezet megfelelően felkészült és rákészült a DLP projektre. 

Fenntartás, működtetés

Folyamatos erőforrásigényt, ezáltal folyamatos költséget jelent a rendszer fenntartása. Az eszköz (virtuális vagy fizikai szerverek, operációs rendszerek, adatbázis komponensek) informatikai üzemeltetése alapvetően nem szokott jelentős többletterhelést jelenteni az IT számára, azonban az üzemeltetés mellett a szervezetnek működtetnie is kell a DLP rendszert, amely tevékenység a folyamatos eseménykezelést, szabályrendszer hangolást, ellenőrzéseket és riportolásokat jelenti. 

Sok esetben merül fel kérdésként, hogy kinek kell működtetnie a rendszert? 

A legrosszabb válasz erre, hogy "hát ha az IT üzemelteti, akkor a működtetés is hozzá tartozik".Ez minden tekintetben összeférhetetlen eljárás, ráadásul alapvetően hibás elgondolás, hogy az informatikai üzemeltetésnek (például a rendszergazdáknak) legyen a feladata, hogy az üzleti folyamatok adatmozgásait ismerjék és felismerjék, vagy hogy eldöntsék egy adott eseményről, hogy az egy normál üzleti folyamatból származó adatmozgás, vagy pedig valami más, esetleg incidens. 

Ugyancsak előfordul az a szkenárió, amikor a rendszert az IT üzemelteti, azonban a működtetést az IT biztonsági vagy az információvédelmi területre hárítják. Ebből a szempontból az IT biztonság vagy az információvédelem ellenőrző szerepkört kellene, hogy betöltsön, a szabályok és az üzleti folyamatokhoz igazítás még csak-csak lehet a feladata, azonban az eseménykezelés az előzőhöz hasonlóan az eseménykezelés nem tartozhat a területek tevékenységéhez, nem ők kompetensek eldönteni, hogy a látott jelenség az esemény, vagy pedig az üzleti folyamatokkal nem összeegyeztethető cselekmény. A legtöbb esetben azonban az IT biztonsági vagy az információvédelmi terület legfeljebb csak a falig tud hátrálni a sortűz elől, a menekülésre nem sok esélye van. 

Alapvetően azt kell végiggondolni, hogy kik azok a személyek, akik a saját területükön legjobban ismerik a folyamatokat és a tárolt, kezelt, vagy feldolgozott adatokat, ezért képesek megmondani egy látott jelenséggel kapcsolatban, hogy az jól van úgy, vagy pedig annak nem így kellene lennie. 

Optimális esetben ezek a személyek lennének az adatgazdák.

A nagyobb szervezetekben azonban az adatgazda sokszor egyet jelent a terület felső- vagy középvezetőjével és sajnos nem minden esetben teljesül az az elvárás, hogy neki kellene a legjobban ismernie, hogy a terület "mit csinál a milyen adatokkal", hol, hogyan, kinek és mit továbbít.

A szerencsésebb esetekben megkülönböztetik az adatgazda és az operatív adatgazda szerepkört. Az adatgazda (például főosztályvezető), mint a terület vezetője felelős az alatta működő operatív adatgazdákért (osztályvezetők vagy akár részlegvezetők), akik viszont a területek és részterületek adatainak nagy ismerőiként kompetensek nem csak a hozzájuk tartozó üzleti folyamatokban, hanem azokat képviselni is tudják a DLP rendszerben az eseménykezelés során. Ezeket a személyeket még azelőtt érdemes megtalálni, mielőtt egyáltalán bármilyen DLP rendszer beszerzéséről vagy (pláne) bevezetéséről döntene a szervezet és be kell vonni őket a tervezésbe, bevezetésbe és természetesen a rendszer működtetésébe. 

Mivel az ilyen adatgazdák általában egyébként is túlterheltek, a rendszer működtetésében való részvételük óriási többletterhet jelent a számukra, amely elől kétségbeesetten igyekeznek majd fedezékbe vonulni. Ne engedjük nekik, mert a részvételük nélkül a DLP rendszer nem fenntarthatók úgy, hogy az teljesítse is az elvárt funkciókat. Az adatgazdák nélkül nem lehetséges adatszivárgás elleni védelmet fenntartani és működtetni.     

Kivezetés, csere

A legrosszabb és legköltségesebb DLP bevezetés az, ahol végül az eszköz nem váltotta be a hozzá fűzött reményeket és döntenek a rendszer kivezetéséről.

Ezt a kűrt a műkorcsolya után Salchow-bevezetésnek nevezzük, ahol a CISO egy hátra-befelé ívből való ugrás és a levegőben egy fordulat megtétele után, de kifelé ívben érkezik vissza egy másik munkahelyre.

Hacsak nem történt valami égbekiáltó gyalázat egy DLP bevezetésekor vagy annak működtetésekor, nemigen van olyan elrontott DLP projekt, amelyet ne lenne olcsóbb meg- vagy kijavítani, és megérné inkább a teljes rendszert kivezetni és előröl kezdeni mindent. 

A legtöbb problémán lehet segíteni, még olyan esetekben is van megoldás, amikor alapjaitól kell újraértelmezni a rendszert, az elvárásokat és a szükséges-elégséges funkciókat. 

Ha nem vagyunk elégedettek a rendszer működésével, hívjunk szakértőt. A működő rendszer felülvizsgálata, a képesség- és hatékonyságnövelést célzó átvilágítás korszakokkal olcsóbb, mint kivezetni egy korábban nagyon költségesen bevezetett rendszert. 

Ha mégis a kivezetés mellett dönt egy szervezet, érdemes az újbóli próbálkozás előtt összegyűjteni a tapasztalatokat és a buktatókat (lession learned) és a konzekvenciákat figyelembe véve megtervezni a következő projektet. Ilyen esetekben is javasolt a kivezetés előtt álló rendszert átvilágíttatni szakértővel, aki szintén hozzá fogja tudni tenni az észrevételeit és javaslatait a következő rendszer tervezéséhez.