Proč IRM a DLP fungují lépe společně a posilují bezpečnostní postoj

Efektivní kybernetická bezpečnost vyžaduje komplexní a holistický přístup. Ten kombinuje více vrstev kontrol napříč různými útočnými plochami, jako jsou perimetrická ochrana (firewally a VPN), ochrana koncových bodů, správa identit a zabezpečení dat. Každá vrstva řeší specifické vektory hrozeb a přispívá k ochraně, která vzniká součinností všech částí.

To vyžaduje záměrné promyšlení těchto vrstev a jejich strategickou implementaci tak, aby se vzájemně doplňovaly a maximalizovaly svou účinnost. Jinak se může stát, že skládání různorodých dílčích řešení sice pokryje určité hrozby, ale zároveň vytvoří mezery, kterými mohou jiné hrozby proniknout.

Namísto nákupu a správy mnoha nástrojů s nadějí, že spolu budou fungovat, by měli bezpečnostní profesionálové od začátku své strategie zvažovat, jak mohou tyto nástroje spolupracovat. Díky tomu lze dosáhnout vyšší efektivity a možná objevit i vhodnějšího dodavatele.

Jednou z takových kombinací je propojení řešení IRM (Insider Risk Management) a DLP (Data Loss Prevention). 

IRM i DLP se zaměřují na ochranu firemních dat, ale z odlišných perspektiv. IRM hodnotí a monitoruje osoby, které mají k datům přístup, zatímco DLP kontroluje, co se s daty děje. Zde je způsob, jak mohou obě oblasti efektivně spolupracovat.

Co je IRM (Insider Risk Management)?

Insider Risk Management (IRM) je rámec a soubor postupů pro identifikaci, hodnocení a zmírňování rizik, která představují osoby s legitimním přístupem ke zdrojům organizace, jako jsou zaměstnanci, dodavatelé a obchodní partneři.

IRM zahrnuje škodlivé insidery, nedbalost a kompromitované přihlašovací údaje — všechny tyto faktory tvoří velkou část bezpečnostních incidentů. V roce 2024 83 % organizací nahlásilo útok iniciovaný insiderem, a v roce 2025 stály insider hrozby organizace v průměru 17,4 milionu dolarů ročně. 

Tradiční řízení rizik se zabývá hrozbami mimo organizaci, zatímco IRM se konkrétně zaměřuje na interní hrozby — úmyslné i neúmyslné — vyplývající z přístupu k systémům, datům a dalším citlivým informacím.

Součástí strategie IRM by organizace měly určit například: 

• Kteří zaměstnanci pracují s citlivými daty?
• Které role mají zvýšená oprávnění v systémech?
• Které obchodní procesy vytvářejí příležitosti ke zneužití dat?

Odcházející zaměstnanec s přístupem k databázím zákazníků představuje jiné riziko než administrátor se systémovým přístupem root k produkčním serverům. Porozumění těmto rozdílům organizacím umožňuje mapovat možné scénáře incidentů. 

Ačkoli IRM vyžaduje nástroje a procesy, nejprve přichází hodnocení rizik. Než organizace investují do monitorovacích nástrojů nebo nastaví reakční procesy, musí nejprve pochopit svou současnou rizikovou situaci. To znamená inventarizaci datových aktiv a dokumentaci toho, kdo má k čemu přístup, což pomáhá odhalit mezery v existujících kontrolách.

Efektivní IRM začíná identifikací rizik a posouzením jejich rozsahu. Teprve poté mohou organizace začít investovat do nástrojů a změn procesů. 

Zde může hrát klíčovou roli DLP. Jakmile organizace porozumí svému prostředí insider rizik, mohou nastavit datové kontroly, které řeší konkrétní scénáře.

Co je DLP (Data Loss Prevention)?

Data Loss Prevention (DLP) označuje technologie a procesy, které zabraňují tomu, aby citlivá data opustila kontrolu organizace. DLP zahrnuje všechny formy úniku dat — ať už jde o škodlivou exfiltraci, náhodné zveřejnění, nebo nedostatečnou ochranu.

DLP je součástí celkové bezpečnosti dat, která zahrnuje šifrování, řízení přístupu, zálohování a obnovu, bezpečnou datovou infrastrukturu a protokoly bezpečného přenosu. DLP funguje jako výkonná vrstva tohoto rámce, která zajišťuje, že data jsou chráněna a ukládána tak, aby se minimalizovaly úniky a expozice. 

DLP nástroje jsou navrženy tak, aby monitorovaly data ve třech stavech: 

• V klidu (např. když jsou uložena na serveru)
• V pohybu (např. při přenosu po síti)
• Při použití (např. při práci v aplikaci)

Viditelnost je klíčovým prvkem efektivního DLP. Bez správné viditelnosti není možné DLP zavést. Organizace musí vědět, kde se citlivá data nacházejí, kdo k nim přistupuje, jak se pohybují napříč systémy a kde opouštějí organizaci. Například systém DLP může blokovat neautorizované nahrávání souborů do cloudového úložiště, ale pouze pokud dokáže identifikovat soubory obsahující citlivé informace a rozeznat pokusy o jejich nahrání. To vyžaduje nepřetržité skenování datových úložišť a klasifikaci dat.

Organizace mohou mít nejlepší procesy a nástroje, ale slepá místa mohou i tak vést k únikům dat, protože lidé dělají chyby. Je proto pravděpodobně důvodem, proč 95 % úniků dat v roce 2024 bylo přičítáno lidské chybě. 

Zde může IRM sehrát důležitou roli. IRM řeší nedostatek viditelnosti tím, že se zaměřuje na chování uživatelů a přístupové vzorce. Když organizace vyhodnocují insider rizika, mapují, kdo má přístup k jakým datům, a identifikují vzorce, které naznačují zneužití nebo kompromitaci. Tato behaviorální viditelnost doplňuje technické kontroly DLP.

Tři způsoby, jak DLP a IRM spolupracují

Porozuměním těmto prvkům mohou bezpečnostní lídři začít identifikovat překryvy mezi oběma oblastmi a zajistit jejich strategickou spolupráci. Zde jsou klíčové oblasti k zamyšlení:

#1 Viditelnost a hodnocení rizik

Efektivní IRM zlepšuje viditelnost, což vede k lepšímu DLP. DLP je do značné míry závislé na viditelnosti. Bez znalosti toho, které soubory obsahují čísla kreditních karet zákazníků nebo které databáze ukládají obchodní tajemství, DLP nedokáže rozlišit mezi rutinní činností a porušením politiky.

Zároveň počáteční kroky řízení insider rizik — konkrétně hodnocení a identifikace toho, kde riziko leží — zahrnují viditelnost a mapování přístupu k datům napříč celou organizací. To je zásadní pro správně fungující DLP.

Vaše akce: Vyhraďte si čas na identifikaci a hodnocení rizik ve všech oblastech — on-premise, v cloudu i u třetích stran. Poté můžete efektivněji zavést viditelnost a následně bezpečnostní procesy, což posílí IRM i DLP.

#2 Identifikace indikátorů kompromitace

IRM může identifikovat vysoce rizikové uživatele, ale nemusí mít technické nástroje k monitorování jejich práce s daty. DLP může naopak zachytit podezřelé přenosy souborů, aniž by rozumělo tomu, zda k nim má daný uživatel legitimní důvod nebo zda představuje zvýšené riziko. Pokud ale obě oblasti fungují společně, mohou si předávat informace a mnohem dříve rozpoznat potenciální hrozby, ještě než se stanou problémem.

Organizace mohou identifikovat indikátory kompromitace pomocí porozumění běžným přístupovým vzorcům pro konkrétní role a poté označovat odchylky, jako je personál financí přistupující k dokumentaci vývoje nebo obchodní zástupci exfiltrující neobvykle velké objemy dat. Nejlépe to funguje, pokud IRM i DLP pracují naplno.

Vaše akce: Pomocí nástrojů a dokumentovaných politik identifikujte indikátory kompromitace — zejména ty založené na chování — a zajistěte, aby byly zohledněny v obou strategiích, IRM i DLP. Tím dosáhnete efektivnějších reakcí, jako je odebrání přístupu, karanténa uživatele nebo upozornění SOC.

#3 Prosazování minimálního přístupu k datům 

DLP pomáhá snižovat insider riziko tím, že zavádí bezpečné praktiky práce s daty. Například princip nejnižších oprávnění omezuje přístup k datům pouze na to, co jednotlivci potřebují pro svou práci, čímž se minimalizuje riziko insider útoku.

Selhání v IRM však často vede ke ztrátě dat, protože hrozba mohla získat přístup k informacím, ke kterým mít přístup neměla, nebo využila zbytečná oprávnění. Pokud má organizace zavedená řešení nebo procesy, které omezují a zabraňují zbytečnému přístupu k datům nebo eskalovaným oprávněním, může to výrazně snížit rizika související s IRM a DLP. To zahrnuje bezpečnost založenou na principu zero trust, která vyžaduje průběžné ověřování identity uživatele a stavu zařízení před udělením přístupu k datům. Systémy pro řízení přístupu pak vynucují autentizaci a omezení oprávnění. Tyto praktiky podporují DLP, protože snižují útočnou plochu — méně lidí má přístup k datům, což snižuje insider riziko.

Vaše akce: Prioritizujte využití výše popsaných strategií pomocí nástrojů, procesů a politik. Minimalizace přístupu podle role, funkce a uživatele posiluje IRM i DLP a je jedním z nejúčinnějších způsobů, jak snížit rizika bez zpomalení provozu.

Jak radí technický ředitel Zbyněk Sopouch: „Lídři v oblasti bezpečnosti by měli na IRM a DLP nahlížet jako na dvě vrstvy jedné strategie: bezpečnosti zaměřené na data, obohacené o behaviorální inteligenci. Jejich sladění zajišťuje ochranu před náhodnými i úmyslnými insider incidenty při současném zachování produktivity.“

IRM a DLP jsou dvě strany jedné bezpečnostní mince

Kybernetická bezpečnost funguje nejlépe jako vícevrstvý přístup. Zajištění toho, aby si tým byl vědom těchto priorit a strategií, pomáhá organizaci vytvořit obranu založenou na vrstvách. Bezpečnostní lídři by měli se svými týmy spolupracovat na pochopení toho, jak jednotlivé kontroly spolu interagují a posilují se navzájem. Pokud analytici incidentů vědí, že DLP může poskytnout kontext o tom, k jakým datům měl insider přístup, mohou efektivněji prioritizovat vyšetřování. 

Když administrátoři DLP rozumí tomu, které uživatele IRM označilo jako rizikové, mohou aplikovat vhodné monitorování, aniž by vytvářeli nadměrné množství falešně pozitivních událostí napříč celou organizací. To vytváří významné efektivity napříč strategickými prioritami.

Propojením IRM s DLP a naopak mohou organizace dosáhnout silnější bezpečnostní pozice bez nutnosti investovat více zdrojů nebo času. 

Safetica poskytuje funkce IRM i DLP v rámci jediné platformy. Díky tomu organizace nasazují jeden systém namísto koordinace mezi samostatnými dodavateli IRM a DLP, což snižuje integrační složitost, která může vést k bezpečnostním mezerám.