я согласен, спорить не буду

Ну и по классике, "все животные равны, но некоторые равнее" и у вас всегда будут те, за кем DLP следить не будет. По какой-то блядской закономерности именно эти "живтоные" чаще всего и сливают данные

Вы спросите своего ген дира, он готов к тому, что ВСЕ его коммуникации будут идти через DLP? Все его Тиндеры, Хуиндеры, звонки барыге и приглашения на пьянку к Губеру?

Важность документов не мне определять, что с ними сделать можно - тоже не мне. Пока думаем над защитой от дурака. ".. о, прикольно, мне этот шаблончик на новой работе пригодится.. качну его на флешку перед уходом или отправлю по почте .."

в последнем случае на почту отправили довольно интересные документы

Большая контора?
Короче, скажу так, разве что рейтинг инфо безников в глазах начальства поднять, мол вон мы каких нехороших людей ловим.

В рамках просто влепить длп, что бы было, будем дураков ловить - врядли что получится, и врядли потраченные деньги будут стоить того.
Дурак скорее всего чужие личные данные или пароли сфоткает и в вайбере кинет. + настройка политик и мониторинг каждый день сработок, сверка длп с работой ендпоинта...

Единственная задача ДЛП, с которой они справляются - это устрашение и поддержка в тонусе обычных пользователей (не злоумышленников). Это предотвращает случайные утечки (по незнанию) и способствует правильной культуре в компании, бережному отношению к данным. Но для этого вовсе не нужно использовать классическое endpoint dlp. Достаточно иметь Процесс. Например, мониторить отправляемые письма (логи почтовика) и загружаемые в облака файлы (логи прокси). И писать по сомнительным случаям на руководителей сотрудников, запрашивать объяснительные, если сотрудник “просто отправил файл, чтобы поработать из дома в выходные” и т.п. В этом случае сарафанное радио быстро разнесет то, что так делать нехорошо. ДЛП не защищают от злоумышленника, только от необразованного доброумышленника. Ну и способствуют тому, чтобы доброумышленники не переходили на темную сторону. Т.к. они будут видеть, что процесс мониторинга работает.

Если у вас 5000+ сотрудников,так просто это сделать не выйдет + уверен, не флешками и почтой будут данные воровать.
Это очень сложный и долгий процесс, который требует построения того же СОКа, настройка жестких политик, контроль фаервола, шар и внешниэ почт итд... короче очень большой и сложный вопрос на самом деле😊

Вот, вы очень правильно говорите. И то, в большой конторе это "сарафанное радио" должно жужжать годами. И реально должны быть наказания сотрудников (напр
депремирование, етс...)

если нужна настоящая охрана некоторой информации, то вот здесь написано, как это осуществляется https://security.stackexchange.com/questions/24896/how-do-certification-authorities-store-their-private-root-keys

и, что важно, в этом топике нет ни одного упоминания DLP

Коллеги, всем спасибо за ваше мнение, очень ценная инфа!

Я бы рекомендовал подумать о messaging gateway, если у вас ещё не внедрено какое-то решение

Так вы защититесь не ОТ дурака, а наоборот защитите этого дурака дополнительно. У нас он намного больше работы делает нежели длп (30000+ людей)

От подготовленного инсайдера вас ничего не защитит. Но, как мы помним, безопасность, это не одна мера, а их совокупность, в сумме, снижающая уровень риска. С таким же успехом, можно утверждать, что EPP платформа не нужна, потому что новый хитрый вирус гарантированно пройдет ваш антивир. Каждая мера даёт свой эффект, DLP может защитить от ненамеренной утечки, потому что зачастую - важно знать хотя бы про факт утечки (GDPR привет), все прекрасно понимают что предотвратить их не всегда возможно.

Это вы говорите о идеальной ситуации, когда всё красиво и у денег хоть отбавляй. А если смотреть на проблему реальными глазами, с ограниченным бюджетом, то стоит уделять больше внимания отдельным вещам, которые в конкретном случае будут иметь больший КПД.

Можно просто ходить и бить сотрудников палкой, чтобы думали о безопасности))

хороший КПД по ИБ имеет эпоксидка в портах и отсутствие инета, но бизнес почему-то жалуется

Ещё один слой, к нашей многослойной защите :D