Каждый CISO в конечном итоге сталкивается с одним и тем же напряжением: вы знаете, что ваша программа безопасности должна развиваться, но бюджета и штата для реализации всего этого не хватает. Это напряжение особенно остро ощущается, когда речь идет об управлении состоянием безопасности данных (DSPM).
Не каждая организация может позволить себе или даже нуждается в «золотом стандарте» развертывания DSPM. Полнофункциональные платформы могут потребовать от 1 до 3 штатных сотрудников (FTE) для обслуживания, что вполне приемлемо для крупного банка, но может оказаться непосильным для технологической фирмы среднего или малого размера. Однако основополагающие принципы DSPM, такие как проверка местонахождения конфиденциальных данных, количественная оценка их ценности и использование этой информации для принятия решений, должны применяться каждым руководителем службы безопасности, независимо от наличия специализированного инструмента.
Что делает DSPM и почему мышление важнее инструмента
В простейшем виде платформы DSPM сканируют среду организации и используют ряд классификаторов для определения местонахождения конфиденциальной информации, проверки соответствия требованиям и выявления потенциальных уязвимостей. Более продвинутые реализации подключаются к инструментам предотвращения утечек данных (DLP) для обеспечения соблюдения этих правил, а некоторые даже могут выводить новые типы данных или метки, либо применять их автоматически.
Если вы являетесь платежным процессором, вы хорошо знакомы со стандартами PCI в отношении хранения номеров кредитных карт или, аналогично, со стандартами хранения PHI в сфере здравоохранения. Инструменты DSPM фиксируют исключения, чтобы гарантировать соблюдение этих правил, и позволяют документировать исключения или принятие рисков в рамках платформы. Устранение этих исключений требует процесса, в котором участвуют как информационная безопасность, так и информационные технологии, а также владельцы данных.
Даже если выделенная платформа DSPM не вписывается в ваш бюджет, основная задача остается прежней: получить представление о данных вашей организации, чтобы вы могли более обоснованно подходить к инвестициям в безопасность систем и сред, находящихся в вашей зоне ответственности.
Применение принципов на любом уровне зрелости
Независимо от того, работаете ли вы с полноценной платформой DSPM, легковесным сканером с открытым исходным кодом или даже ручными инвентаризациями данных, CISO могут использовать этот подход для количественной оценки (или хотя бы порядка величины) рисковых решений. Например, у вас может существовать письменная политика, согласно которой база данных может хранить записи с уровнем «ограниченный» — самые конфиденциальные данные вашей организации. Операционная команда может захотеть подключить к этой базе данных инструмент автоматизации рабочего процесса, чтобы быстрее обслуживать запросы клиентов. Мышление DSPM помогает ответить на вопросы, которые определяют сопутствующие решения.
DSPM может ответить, сколько записей содержится в базе данных, и в сочетании с количественной оценкой киберрисков может помочь оценить финансовые потери, если все они будут скомпрометированы. Он сообщит вам, какие данные являются «ограниченными» или «конфиденциальными», и какие записи подпадают под дополнительные нормативные требования. Наконец, вы можете использовать его, чтобы понять, сколько пользователей или ролей имеют доступ к базе данных, и помочь вам применить более ограниченную роль, добавить мониторинг безопасности или оповещения, а также добавить человеческое участие в автономные рабочие процессы.
Если это кажется слишком фундаментальным, возможно, вы уже работаете в среде с высокой степенью зрелости или регулирования. Но в других местах, особенно в нижнем сегменте рынка, существует множество пограничных случаев и «серых зон», в которых такой анализ помогает принять информированное решение. Что особенно важно, он помогает нам перейти от бинарных меток и решений по принципу «всё или ничего» к количественно оцененному, принятому и смягченному риску.
Масштабирование подхода к более крупным решениям
Поднимем этот вопрос на новый уровень и рассмотрим всю вашу архитектуру безопасности. У вас есть 15 «ограниченных» репозиториев. Выпущена критическая уязвимость удаленного выполнения кода, затрагивающая восемь из них, и ваша команда переходит в режим реагирования на инциденты. Какие из них вы будете в первую очередь ставить на патчинг совместно с ИТ-операциями и форензик-анализом? Выберите тот, где находится наибольшее количество конфиденциальных записей (с учетом компенсирующих мер), и, следовательно, наибольшая ценность под угрозой. Вам не нужна платформа за шестизначную сумму, чтобы принять это решение, но вам необходимо проделать работу по выяснению того, где находятся ваши наиболее конфиденциальные данные.
Что, если вы унаследовали ту же архитектуру в результате сделки M&A? Предположим также, что в приобретенной компании был всего один сотрудник ИТ-отдела и ни одного выделенного специалиста по безопасности, и вы высказывали опасения по этому поводу во время due diligence. В рамках сделки вам выделяют бюджет только на одного дополнительного инженера по безопасности. Как вы расставите приоритеты его работы по интеграции систем безопасности, таких как централизованное агрегирование оповещений, пересылка журналов в ваш SIEM и разработка систем обнаружения? Опять же, отдавайте предпочтение системам с наибольшей ценностью под угрозой, основываясь на той информации об инвентаризации данных или возможностях DSPM, которые у вас есть.
Даже без этих срочных сценариев мышление DSPM должно все больше влиять на вашу позицию в области IAM в 2026 году. Наименьший общий знаменатель для проверок доступа, обусловленных соблюдением нормативных требований, основан на пользователях (а не на ролях или нечеловеческих идентификаторах) и поощряет бинарное принятие решений. Кроме того, существует сильное сдерживание от выбора чего-либо, кроме «сохранить доступ». Я бы утверждал, что DSPM и связанное с ним мышление должны определять уровни разрешений для ваших наиболее рискованных систем и влиять на решения о том, как их снизить. Это может включать создание новых, более ограниченных ролей или введение доступа с ограничением по времени. Проведение проверок доступа без источника истины или только на основе того, что должно происходить, — в лучшем случае догадка, а в худшем — халатность.
Почему это более актуально сейчас и на что обратить внимание
У организаций все еще есть реальный стимул прятать голову в песок, когда речь идет о состоянии безопасности данных; чрезмерно упрощенный ход мыслей заключается в том, что если они не знали об этом, то не могут нести за это ответственность. Но такая позиция становится все менее устойчивой. Растущее внедрение Agentic AI означает, что опасения по поводу обнаружения данных (только чтение), которые были так распространены в 2023 и 2024 годах, в 2026 году превратятся в действия (чтение-запись), если их не маркировать или не смягчить. Цена незнания растет.
Для организаций, которые все же инвестируют в платформу DSPM, одним из ключевых рисков является уровень доступа, который она требует к вашим собственным данным и системам. Для сканирования и классификации данных требуется обширный доступ на чтение, а также определенный уровень доступа к данным с цензурой для интерпретации и обработки результатов. Это порождает два императива для CISO: тщательно оценивать и переоценивать своих поставщиков DSPM и применять строгий контроль доступа к этим системам внутри вашей организации. С этой целью это не та область, где стоит искать выгоду — выбирайте только поставщиков с наивысшим уровнем безопасности и функциями, которые делают вашу команду безопасности более эффективной и защищенной.
Наконец, учитывайте общую стоимость владения, а не только ценник на программное обеспечение. Как упоминалось ранее, эти программы (с инструментами и программным обеспечением или без них) могут быть дорогостоящими в обслуживании, и ваша роль как CISO заключается в том, чтобы сбалансировать компромисс между снижением рисков и обеспечением бизнес-возможностей.
Нахождение вашего прагматичного шага вперед
Для руководителей служб безопасности вопрос не в том, можете ли вы позволить себе первоклассный инструмент DSPM. Вопрос в том, можете ли вы позволить себе не понимать свои данные. Начните с того, что у вас есть: ручные инвентаризации, существующие результаты DLP или легковесные сканирующие инструменты. Примените мышление DSPM, чтобы количественно оценить, где находятся конфиденциальные данные, кто имеет к ним доступ и сколько это будет стоить вам в случае компрометации. Обоснование ваших решений по управлению рисками на основе этих конкретных данных, а не страха и тревоги, послужит вам и вашему бизнесу на пользу.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Chris Wheeler
