Не секрет, что в большинстве организаций за обеспечение информационной безопасности отвечает либо сотрудник (сектор) в составе ИТ-подразделения, либо, в лучшем случае выделенное подразделение информационной безопасности. Однако уже давно пора понять, что чаще всего этого уже недостаточно.
Как показывает практика, внедрение DLP-систем в 90% случаев заканчивается неудачей не потому что само программное обеспечение не выполняет свои функции или консультанты внедряют его неправильно, а потому что само предприятие и бизнес-подразделения в его составе либо просто игнорируют поставленные им задачи в области описания бизнес-процессов с точки зрения рисков ИБ, либо просто не готовы их выполнять, считая, что это мешает их основным задачам.
Соответственно, если в организации не расписаны бизнес-процессы, то нельзя вести речь о градации информации с точки зрения конфиденциальности (нельзя внедрять DLP).
Также точно в организации нельзя настроить «белый список» ПО, если вы не разработали модель бизнес-процессов.
В идеале необходимо создать описанную модель бизнес-процессов, расписать информационные процессы и уже затем выйти на необходимое программное обеспечение, количество лицензий и т.д.
Мало того, что это позволит довольно существенно сэкономить на числе лицензий, это позволит вам решить проблемы антивирусной защиты (вредоносное ПО просто не сможет быть запущено). Это же позволит вам гораздо проще проходить всевозможные проверки на лицензионную чистоту.
НО! Это потребует от ваших бизнес-подразделений, вернее от их руководителей, серьезной работы.
Вместе с тем необходимо отметить, что разрушить такое построение может наличие «неприкасаемых» VIP-сотрудников. Почему? Да потому что либо правила едины для всех, от охранника до директора, либо правил просто нет.
