Решение головоломки неинвазивного руководства данными

Неинвазивное руководство данными (data governance, DG) означает быть как можно более ненавязчивыми по отношению к пользователям при регулировании технологий. О том, может ли ИТ-отдел справиться с этой задачей, на портале InformationWeek рассуждает президент консалтинговой компании Transworld Data Мэри Шеклет.

Термин «неинвазивное руководство данными» связан с именем Роберта С. Сейнера, который представил его в своей книге «Non-Invasive Data Governance: The Path of Least Resistance and Greatest Success». Неинвазивное DG выступает за минимальное вмешательство и в то же время эффективное управление и обеспечение качества, конфиденциальности и защиты данных в организации. Оно вышло на передний план в обсуждениях корпоративного DG, потому что очень многое в нем зависит от практики внутренних пользователей.

Для примера: в середине 2021 г. 94% организаций, опрошенных Egress, сообщили о том, что пострадали от инсайдерских утечек данных. Согласно Harvard Business Review, год спустя 67% сотрудников, опрошенных в ходе другого исследования, признали, что они не соблюдали корпоративные политики кибербезопасности.

Несоблюдение (а в некоторых случаях и незнание) сотрудниками политик безопасности и управления — одна из причин, по которой все больше компаний используют аудит с помощью социальной инженерии для проверки практик работы пользовательских отделов. Другой причиной несоблюдения правил является стресс сотрудников, который в 2023 г., по данным Gallup, испытывали 44% всех работников.

Компаниям не нужны сотрудники, испытывающие стресс, но им также не нужно плохое DG, и они знают, что DG — это не та работа, с которой ИТ-отдел может справиться самостоятельно.

Вопрос в том, насколько реалистично ожидать, что сотрудники и пользовательские отделы будут сами следить за DG-политиками?

Цель неинвазивного руководства данными

Руководство данными требует от пользователей соблюдения политик, но не менее важная задача — сделать DG как можно более неинвазивным для пользователей. Пользователи не хотят получать новые задачи, которые кажутся им «лишними» по сравнению с их должностными обязанностями. Следовательно, имеет смысл рассматривать DG через призму того, что пользователи уже делают ежедневно.

Вот несколько лучших практик.

Менеджеры пользователей отвечают за предоставление ИТ-отделу списка своих сотрудников, а также уровней авторизации на ИТ-ресурсы, которые необходимы каждому сотруднику. Они также отвечают за информирование HR- и ИТ-служб о сотрудниках, которые переходят в другие отделы или покидают компанию, чтобы можно было изменить или отменить авторизацию этих сотрудников.

В настоящее время в большинстве компаний стандартной практикой является немедленное сообщение сотрудниками пользовательских отделов о любых необычных электронных письмах, чтобы ИТ-отдел мог проверить их на предмет легитимности.

Во многих случаях ИТ-отдел уже отправляет ежемесячные отчеты об использовании системы всеми сотрудниками на проверку их менеджерам. Цель этих отчетов заключается в том, чтобы менеджеры могли проверить использование системы сотрудниками на предмет каких-либо отклонений.

Все эти шаги полезны для поддержания корпоративного DG. Кроме того, это задачи, которые пользователи выполняют регулярно.

Цель неинвазивной DG-стратегии — обеспечить, чтобы пользователи продолжали делать то, что они уже делают, избегая при этом добавления новых задач DG к нагрузке пользователей.

Использование ИТ-автоматизации

Еще один способ сделать DG неинвазивным для пользователей — использовать ПО для автоматизации DG.

Существуют следующие решения для автоматизации таких операций:

• Многофакторная аутентификация, которая требует от пользователя входа в ИТ-ресурсы не только с помощью идентификатора и пароля (например, путем добавления третьего элемента, такого как биометрическая идентификация).
• Средства очистки и подготовки данных, которые проверяют и обеспечивают правильное форматирование, точность и возможность интеграции с другими формами данных в центральных репозиториях данных до того, как данные в них попадают.
• Средства автоматического отслеживания, позволяющие обнаруживать и контролировать действия пользователей во всех точках сети и немедленно подавать сигнал тревоги при обнаружении аномалий в использовании.
• Развертывание сетей с нулевым уровнем доверия, которые защищают не только внешние границы сетей, но и внутренние границы для определенных ИТ-систем и активов, к которым имеют доступ только определенные пользователи.
• Решения SD-WAN (software-defined wide area network) и SASE (secure access service edge), расширяющие безопасность данных за пределами внутренних корпоративных сетей и предлагающие передовые инструменты и средства автоматизации для обеспечения безопасности облачных операций с данными.
• Автоматизированные системы обновления безопасности ПО, которые рассылают апдейты на устройства конечных пользователей.
• Отслеживание ИТ-устройств, позволяющее находить потерянные или неправильно установленные устройства и отключать их.
• Шифрование данных на пути от облака к облаку и от облака к дата-центру, обеспечивающее безопасность данных при их перемещении.

Что еще можно сделать?

В упомянутом выше исследовании Harvard Business Review отмечалось, что, когда сотрудники сознательно нарушали корпоративные политики безопасности и управления, тремя наиболее распространенными причинами были следующие: «чтобы лучше выполнить задачи, связанные с моей работой», «чтобы получить что-то нужное» и «чтобы помочь другим выполнить их работу».

Используя автоматизацию и обеспечивая, чтобы от пользователей не требовалось ничего сверх того, что они обычно делают для обеспечения безопасности и конфиденциальности данных, ИТ-отдел может сделать DG максимально неинвазивным для пользователей.

Однако есть оговорка: пользователи не могут быть освобождены от участия и ответственности за DG.

Следование политике — оптимальный способ обеспечить надежное DG, но периодическое проведение аудита социальной инженерии третьей стороной может быть другим подходом.

Участие пользователей в таких проверках — это небольшая «просьба», и если это поможет компании сэкономить миллионы или даже миллиарды на выплатах, которые могут возникнуть в результате утечки данных, то это, безусловно, того стоит.