Proč IRM a DLP fungují lépe společně a posilují bezpečnostní postoj

Efektivní kybernetická bezpečnost vyžaduje komplexní a holistický přístup. Takový přístup vrství více kontrol napříč různými útočnými povrchy, jako jsou perimetrová ochrana (firewally a VPN), ochrana koncových bodů, správa identit a zabezpečení dat. Každá vrstva řeší specifické vektory hrozeb a přitom nabízí ochranu, která je více než jen součtem svých částí.

To vyžaduje konkrétní záměr o těchto vrstvách přemýšlet a strategicky je zavádět vzájemně doplňujícími se způsoby, aby se maximalizovala efektivita obou. Jinak, zatímco skládání odlišných bodových řešení může řešit konkrétní hrozby, může nevyhnutelně vytvářet mezery, kterými hrozby mohou proklouznout.

Místo nákupu a správy více nástrojů a doufání, že budou fungovat společně, by bezpečnostní profesionálové měli zvážit, jak by tyto nástroje mohly fungovat společně už od samého začátku vývoje své strategie. Tímto způsobem lze najít efektivitu a objevit lepšího dodavatele.

Jednou takovou kombinací je propojení řešení IRM (Insider Risk Management) a DLP (Data Loss Prevention). 

IRM i DLP se zaměřují na ochranu organizačních dat, ale z různých úhlů. IRM hodnotí a monitoruje lidi, kteří mají přístup k datům, zatímco DLP kontroluje, co se s daty samotnými děje. Zde je, jak ti dva mohou dobře fungovat společně.

Co je IRM (Insider Risk Management)?

Insider Risk Management (IRM) je rámec a soubor postupů pro identifikaci, hodnocení a zmírňování rizik, která představují lidé s legitimním přístupem ke zdrojům organizace, jako jsou zaměstnanci, dodavatelé a obchodní partneři.

Z hlediska hrozeb a rizik IRM zahrnuje zlomyslné insidery, nedbalost a kompromitované přihlašovací údaje, které tvoří velkou část bezpečnostních incidentů. V roce 2024 83 % organizací hlásilo interní útok, zatímco v roce 2025 stály interní hrozby organizace v průměru 17,4 milionu USD ročně. 

Tradiční řízení rizik řeší hrozby, které stojí mimo provoz organizace, zatímco IRM se zaměřuje konkrétně na interní hrozby, ať už úmyslné, nebo ne, kvůli jejich přístupu k organizačním systémům, aktivům, datům a dalším citlivým informacím.

V rámci strategie IRM by organizace měly určit věci, jako jsou: 

• Kteří zaměstnanci pracují s citlivými daty?
• Které role mají zvýšená systémová oprávnění?
• Které obchodní procesy vytvářejí příležitosti ke zneužití dat?

Odcházející zaměstnanec s přístupem k zákaznickým databázím představuje jiné riziko než systémový administrátor s root přístupem k produkčním serverům. Pochopení těchto rozdílů umožňuje organizacím mapovat potenciální scénáře incidentů. 

Ačkoli IRM vyžaduje nástroje a procesy, hodnocení rizik je na prvním místě. Před investováním do monitorovacího softwaru nebo zaváděním protokolů reakce by organizace měly nejprve porozumět svému aktuálnímu rizikovému postoji. To znamená inventarizaci datových aktiv a dokumentaci toho, kdo má k čemu přístup, což pomáhá identifikovat mezery v existujících kontrolách.

Efektivní IRM začíná identifikací rizika a hodnocením rozsahu. Poté mohou organizace začít investovat do nástrojů a změn procesů. 

A tady může hrát roli DLP. Jakmile organizace porozumí krajině svých interních rizik, mohou nakonfigurovat datové kontroly, které řeší konkrétní scénáře, které identifikovaly. 

Co je DLP (Data Loss Prevention)?

Data Loss Prevention (DLP) označuje technologie a procesy používané k zabránění tomu, aby citlivá data opustila kontrolu organizace. DLP zahrnuje všechny formy ztráty dat, ať už k ní dojde prostřednictvím zlomyslné exfiltrace, náhodného vystavení, nebo nedostatečné ochrany.

DLP je součástí celkového zabezpečení dat, které pokrývá šifrování, řízení přístupu, zálohování a obnovu, zabezpečenou úložnou infrastrukturu a zabezpečené přenosové protokoly. DLP funguje jako vynucovací vrstva v tomto širším rámci. Zajišťuje, že data jsou chráněna a ukládána způsoby, které minimalizují úniky a vystavení. 

Pokud jde o DLP nástroje, ty jsou specificky určené k monitorování dat napříč třemi stavy: 

• V klidu (například když jsou uložena na serveru)
• V přenosu (například když putují přes síť)
• V použití (například když jsou používána v aplikaci)

Viditelnost je klíčovou součástí efektivního DLP. Bez správné viditelnosti je efektivní DLP nemožné. Organizace musí vědět, kde citlivá data sídlí, kdo k nim přistupuje, jak se pohybují systémy a kde z organizace odcházejí. Například DLP systém může blokovat neoprávněné nahrávání souborů do cloudového úložiště, ale pouze pokud dokáže identifikovat, které soubory obsahují citlivé informace, a rozpoznat, kdy dochází k pokusům o nahrání. To vyžaduje kontinuální skenování úložišť souborů a klasifikaci dat.

Organizace mohou mít nejlepší procesy a nástroje, ale slepá místa stále mohou vést k únikům a porušením dat, protože lidé jsou náchylní k chybám. To je pravděpodobně důvod, proč 95 % porušení dat v roce 2024 bylo přičítáno lidské chybě. 

Tady může hrát IRM důležitou roli. IRM řeší mezeru ve viditelnosti zaměřením na chování uživatelů a vzorce přístupu. Když organizace hodnotí interní riziko, mapují, kdo má k jakým datům přístup, a identifikují vzorce přístupu, které naznačují zneužití nebo kompromitaci. Tato behaviorální viditelnost doplňuje technické kontroly DLP.

Tři způsoby, jak DLP a IRM fungují společně

Vědět, jak tyto prvky fungují, mohou bezpečnostní lídři nyní začít přemýšlet o překryvech mezi oběma a zajistit, aby strategicky fungovaly společně. Zde jsou klíčové překryvy, které je třeba zvážit

#1 Viditelnost a hodnocení rizik

Zapojením do efektivního IRM organizace zlepšují viditelnost, což vede k lepšímu DLP. Efektivní DLP do velké míry spočívá na viditelnosti. Bez znalosti, které soubory obsahují čísla kreditních karet zákazníků nebo které databáze ukládají obchodní tajemství, nemůže DLP rozlišit mezi rutinní obchodní aktivitou a porušením zásad.

Zároveň první kroky řízení interních rizik, konkrétně hodnocení a identifikace, kde riziko leží, zahrnují viditelnost a mapování přístupu k datům napříč organizací. To slouží jako nezbytná funkce pro optimální DLP.

Váš krok: Najděte si čas na prioritizaci identifikace a hodnocení vašeho rizika ve všech oblastech – on-prem, cloud a třetí strany. Pak můžete efektivněji implementovat viditelnost a (časem) bezpečnostní procesy, což vše vede k silnějšímu IRM a DLP.

#2 Označování indikátorů kompromitace

IRM může identifikovat vysoce rizikové uživatele, ale postrádat technické kontroly k monitorování jejich datových aktivit. DLP na druhé straně může označit podezřelé přenosy souborů, aniž by chápalo, zda zapojený uživatel má legitimní obchodní důvody, nebo představuje zvýšené riziko. Pokud však oba pracují v součinnosti, mohou spolu hovořit a odhalit potenciální rizika mnohem dříve, než se stanou problémem.

Organizace mohou identifikovat indikátory kompromitace pochopením normálních vzorců přístupu pro každou roli a poté označováním odchylek, jako je přístup zaměstnanců financí k inženýrským dokumentům nebo neobvykle velké datové sady exfiltrované obchodními zástupci. To se nejlépe dělá, pokud IRM a DLP fungují na plné obrátky.

Váš krok: Pomocí nástrojů a dokumentovaných zásad by identifikace vašich indikátorů kompromitace, konkrétně těch založených na chování, měla být odkazována a kontrolována napříč strategiemi DLP i IRM. Zajištěním, že jsou pokryty napříč oběma strategiemi, výsledné akce (odebrání přístupu uživatele, karanténa uživatele nebo upozornění vašeho SOC) zmírňují riziko efektivněji v obou oblastech.

#3 Vynucování minimálního přístupu k datům 

DLP zajišťuje, že interní riziko je zmírněno, protože jsou zavedeny bezpečné datové postupy. Například zásada nejmenšího oprávnění omezuje přístup k datům jen na to, co jednotlivci potřebují pro své konkrétní pracovní funkce, čímž minimalizuje riziko interního útoku.

Na druhé straně selhání v IRM obvykle vedou ke ztrátě dat, protože hrozba dokázala získat přístup k datům, ke kterým by neměla mít přístup, nebo využila zbytečných oprávnění. Mít zavedené řešení nebo proces, který omezuje a zabraňuje zbytečnému přístupu k datům nebo eskalovaným oprávněním, můžete zmírnit riziko spojené s IRM i DLP. To zahrnuje zero trust security a vyžaduje to průběžné ověřování identity uživatele a stavu zařízení před udělením přístupu k datům. Systémy správy identit a přístupu vynucují požadavky na autentizaci a hranice oprávnění. Tyto postupy podporují DLP snížením útočného povrchu, což zase znamená, že méně lidí má přístup, čímž se zmírňuje interní riziko.

Váš krok: Upřednostněte využití některých z výše uvedených strategií prostřednictvím nástrojů, procesů a zásad. Minimalizace celkového přístupu podle role, funkce a uživatele podporuje IRM i DLP a je jedním z nejlepších způsobů, jak minimalizovat riziko bez zpomalování věcí.

Jak radí Chief Technology Officer Zbyněk Sopuch: „Bezpečnostní lídři by na IRM a DLP měli pohlížet jako na dvě vrstvy téže strategie: data-centrické zabezpečení obohacené behaviorální inteligencí. Zarovnání obou zajišťuje ochranu před náhodnými i zlomyslnými interními akcemi a přitom udržuje produktivitu podnikání.“

IRM a DLP jsou dvě strany téže bezpečné mince

Kybernetická bezpečnost funguje nejlépe jako vícevrstvý přístup. Zajištění, aby si váš tým byl vědom těchto priorit a strategií, pomáhá organizaci dosáhnout obrany prostřednictvím vrstev. Lídři kybernetické bezpečnosti by měli spolupracovat se svým týmem, aby pochopili, jak různé kontroly vzájemně interagují a posilují se. Když responzéři incidentů vědí, že DLP může poskytnout kontext o tom, k jakým datům interní osoba přistupovala, mohou efektivněji prioritizovat vyšetřování. 

Když administrátoři DLP rozumí, které uživatele IRM označilo jako zvýšené riziko, mohou aplikovat vhodné monitorování, aniž by vytvářeli nadměrné falešné poplachy pro celou organizaci. To vytváří významnou efektivitu napříč více strategickými prioritami.

Využíváním IRM v DLP a naopak organizace dosáhnou silnějšího postoje kybernetické bezpečnosti, aniž by investovaly více zdrojů nebo času. 

Safetica poskytuje schopnosti IRM a DLP v rámci jediné platformy. Se Saféticou organizace nasazují jeden systém, místo aby koordinovaly mezi samostatnými dodavateli IRM a DLP, což snižuje integrační složitost, která může vést k bezpečnostním mezerám.