Здравствуйте, в этой статье мы постараемся ответить на вопрос «Аутсорсинг информационной безопасности». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Однако исследование Forrester показало, что это не так. Денежные вопросы, конечно, важны, однако в отношении информационной безопасности у руководителей компаний другие приоритеты. В большинстве случаев аутсорсинг информационной безопасности в абсолютном значении обходится компаниям дороже.
Сам аутсортинг появился изначально как способ исполнения деятельности, которая не является профильной для фирмы, или такой, которую вы можете легко вычленить из другого бизнес-процесса. К примеру, если компания решает строить свой офис и привлекает для этого подрядчика, то можно сказать, что строительство она отдает на аутсорсинг. Поскольку сегодня растет количество задач, с которыми ежедневно сталкивается каждый бизнес, нет ничего удивительного, что аутсорсинг процветает.
Естественно, далеко не для каждого предприятия экономически целесообразно заниматься самостоятельным приведением инфраструктуры к соответствию законодательству.
Содержание:
Почему рынку не нужен аутсорсинг ИБ?
На наш взгляд, существует два основных пути, позволяющих кардинально разрешить возникшие проблемы. Первый путь — создать свой собственный центр управления информационной безопасностью, внедрив у себя в компании централизованную систему мониторинга и управления ИБ. Второй вариант — воспользоваться услугами сторонней организации, передав мониторинг и управление средствами защиты на аутсорсинг.
В крупных компаниях, имеющих большой штат ИТ-департамента, проблема подбора высококлассных специалистов не стоит так остро, как в организациях среднего и малого бизнеса. Однако большая инертность крупного бизнеса не позволяют быстро реагировать на новые угрозы и нанимать нужных специалистов. В России ситуация осложняется еще и тем, что найти на рынке недорогой высококвалифицированный персонал в принципе очень тяжело.
Объяснять необходимость заказа некоторых другие опций – сложная и интересная задача. От аутсорсера, в этом, случае требуется большой опыт и знания, умение оценивать информационные риски и говорить с руководителями на их языке. Это может показаться рискованным решением, так как сотрудники обслуживающей компании получают доступ к конфиденциальным сведениям. Одновременно этими данными пользуются штатные работники клиента. При таком подходе риски разглашения или утечки могут увеличиться вдвое.
В действительности же организация, обратившаяся к аутсорсингу, возлагает на провайдера услуг ответственность за совершение конкретных действий. Это не освобождает организацию от ответственности за общее состояние дел в области информационной безопасности. Лучшие практики включают в себя использование соответствующих пунктов, оговаривающих ответственность сторон».
В статье рассказывается о состоянии и тенденциях рынка аутсорсинга информационной безопасности в России и в мире. Приводятся основные игроки рынка и перечень услуг, которые могут, или напротив, не должны отдаваться на аутсорсинг. Дополнительно в статье рассказывается о механизме предоставления такого рода услуг.
Тема ИТ-аутсорсинга в СМИ дискутируется довольно часто, а вот информационная безопасность (ИБ) как услуга – явление относительно новое. Особенно это проявляется в том случае, когда на аутсорсинг передается значительная часть процессов обеспечения информационной безопасности компании. Такая схема, например, реализована в группе компаний «Лукойл» и группе компаний «Открытие». Однако в каждом случае имеются свои особенности реализации этих схем. В 1-м случае аутсорсинг ИБ и ИТ обеспечивается одной компанией — аутсорсером. Во 2-м – эти функции обеспечиваются разными компаниями. Перевести на аутсорсинг ИБ оказалось значительно проще, чем ИТ.
Различные подходы возможны и при организации процедуры заказа аутсорсеру услуг. Для этого, обычно, у компании – заказчика имеется ответственный специалист, который и является основным заказчиком услуг. Однако бывают схемы, при которых такой специалист — заказчик отсутствует, и реальным заказчиком является руководитель компании. В этом случае аутсорсеру нужно уметь объяснять на языке «бизнеса» необходимость той или иной услуги и он должен понимать практическую ценность и значимость услуг ИБ для компании — заказчика. Некоторые опции ИБ можно легко объяснить бизнес — руководителю.
Автоматизация бизнес-процессов
Про аутсорсинг в плане информационной безопасности у нас в стране даже мало кто слышал. Тем не менее, поскольку такое явление существует, а вопросы обеспечения информационной безопасности являются весьма животрепещущими для большинства компаний, будет, как полагает автор, полезно рассмотреть особенности передачи на аутсорсинг работ в этой сфере. Цели и задачи аутсорсинга Сам аутсортинг появился изначально как способ исполнения деятельности, которая не является профильной для фирмы, или такой, которую вы можете легко вычленить из другого бизнес-процесса. Основные регуляторы рассматриваемой области — ФСТЭК и ФСБ допускают привлечение внешних компаний для реализации опций ИБ. Сходная позиция и у отраслевых регуляторов, в частности Банка России. Этот вывод отражен в ряде регламентирующих документах этих регуляторов.
Мы не будем рассуждать о том, что дает бизнесу информационная безопасность (ИБ) и какие задачи на сегодняшний день она решает. Будем считать, что компания решилась потратиться на защиту. Какие мотивы ей руководили — реальное осознание угроз, принцип «чем я хуже?», — нам не важно. Важно другое: деньги потрачены, средства установлены. В том, что происходит с ними в дальнейшем, можно выделить три основные задачи.
Практически все крупные организации с числом сотрудников от 1000 до 5000 человек многократно сталкиваются с угрозами безопасности в течение года.
О чем следует помнить при выборе аутсорсинговой компании? Можно ли аутсорсинг функций ИБ использоваться в качестве оружия для борьбы с инсайдерами? Как провести оценку внутри организации – что делается самостоятельно, а что передается на аутсорсинг? Какие функции ни в коем случае нельзя передавать сторонней организации?
Российские компании выводят на аутсорсинг в первую очередь два типа задач. «К первому типу относятся задачи, для решения которых требуются редкие дорогие технические компетенции. Например, приведение процессов ИБ к соответствию требованиям регуляторов в области ИБ.
Сколько это может стоить? В чем плюсы? Много ли минусов? Эти вопросы задают себе многие руководители компаний и профильных подразделений информационной безопасности, перед которыми так или иначе в какой-то момент встает вопрос целесообразности отдачи той или иной функции ИБ на аутсорсинг.
Почему аутсорсинг ИБ не нужен заказчику?
По ответственному отношению компании к проблеме защиты данных можно отличить настоящих профессионалов от недостаточно квалифицированных специалистов.
В этой ситуации может показаться, что аутсориснг – наиболее быстрый путь «подтянуть» отстающие процессы в области ИБ. В действительности же процесс согласования условий оказания услуг подчас сильно затягивается и сократить время возможно только за счет увеличения соответствующих рисков.
Отечественные компании постепенно отказываются от попыток самостоятельного обеспечения информационной безопасности. Количество предприятий, полностью передающих данные функции на аутсорсинг, стремительно возрастает.
Термин «аутсорсинг» в бизнес-среде обычно ассоциируется с созданием различного программного обеспечения или с бухгалтерскими услугами.
Описанные угрозы не останавливают современных предпринимателей, которые передают сторонним организациям всю ИТ-инфраструктуру своего бизнеса. Но определенная степень недоверия к внешним системным администраторам еще сохраняется.
В связи с возрастанием ИТ рисков, усилением регулятивных функций государственных органов обеспечение ИБ предприятия становится делом все более квалифицированных профессионалов. В такой ситуации резко возрастает потребность в аутсорсинге ИБ, так как специалистов для практически всех предприятий, являющихся в той или иной степени операторами персональных данных, не хватит. Небольшая организация не может позволить себе содержать в штате высококвалифицированных специалистов.
Наконец, в некоторых случаях компании полностью отказываются от внутренних департаментов. «Одна крупная торговая компания передала нам аутсорсинг функции всего отдела ИБ. Но пока такие случаи — исключение, а не практика», – рассказывает Михаил Башлыков. У «Инфосистемы Джет» есть два заказчика, которые обслуживаются в режиме полного аутсорсинга ИБ. «Но это все же не типичное поведение для отечественных компаний», – согласен представляющий эту компанию Игорь Ляпунов. А вот как раз специалистов по безопасности зачастую не хватает (рис. 1). К тому же на тех специалистов, которые имеются в штате, чаще всего возложено решение как технических, так и организационных вопросов, но ведь нельзя играть на двух скрипках сразу, каждый должен заниматься своим делом.
На самом деле список сервисов, которые бизнес доверяет внешним специалистам по ИБ, очень широк. Среди них можно отметить периметровую защиту, сервисы удаленного доступа и подключения контрагентов, средства настройки политик безопасности рабочих мест в филиальной сети, управление инцидентами ИБ, межсетевое экранирование.
Давайте подробнее остановимся на обоих. Начнем с создания своего собственного центра управления ИБ. Построение подобного центра — крайне затратное и трудоемкое начинание, и с самого начала надо понимать, что оно потребует колоссальных усилий от всех задействованных в нем подразделений. Но если компания все-таки решила вступить на этот путь, то прежде всего следует сформулировать цели, которых планируется достичь, а также сконструировать модель, определиться с технологией и теми функциями, которые будет выполнять данный центр. Не следует забывать и про необходимый штат и распределение ответственностей.
Исходя из существующего уровня угроз, современные системы ИБ реализуют принцип defense-in-depth, или «многоэшелонированной» защиты. Они включают подсистемы сетевой безопасности (часто гетерогенные с позиций используемого оборудования), антивирусные подсистемы, подсистемы строгой аутентификации, резервного копирования, мониторинга и др. Их создание и поддержка требуют приобретения довольно дорогих программно-аппаратных комплексов и привлечения высококвалифицированных специалистов.
Эффективность IT-аутсорсинга в сфере обеспечения безопасности инфраструктуры многократно подтверждена на практике. Для защиты данных сегодня нужно использовать высокотехнологичные методы, которые доступны только профессионалам. Они специализируются на этой деятельности, обладают необходимыми навыками и опытом. Именно такие сотрудники обслуживают клиентов компании «ИТ-РП».
Почему аутсорсинг ИБ не продается?
Какие же выгоды получают компании, которые пожелают прибегнуть к аутсорсинговым услугам? Самым мощным стимулом для передачи деятельности компании на аутсорсинг является шанс таким образом сконцентрироваться на собственных экспертизах, не распыляя имеющиеся ресурсы. Компания, которая прибегает к помощи аутсорсера, экономит при этом на оформлении в штат высококвалифицированного сотрудника на постоянной основе, вместо этого оплачиваются услуги аутсорсинговой фирмы, которые в итоге обходятся обычно дешевле.
В 2013 году у различных компаний по всему миру было похищено более 500 млн записей с конфиденциальной информацией клиентов, включая адреса электронной почты, номера банковских карт и пароли.
Из крупнейших игроков рынка ИТ, так или иначе заявляющих об услугах аутсорсинга, можно отметить «Крок», «Информзащиту», Leta, «Инфосистемы Джет». Вставлю и я свои пять копеек. Если лень читать много букв, то каткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет.