Перейти к содержанию
Андрей-001

Возможен ли аутсорсинг информационной безопасности?

Recommended Posts

Андрей-001

Возможен ли аутсорсинг информационной безопасности?

До недавнего времени аусторсинг был скорее модной темой дискуссий, нежели распространенной и экономически выгодной моделью приобретения услуг. Но перед реальным бизнесом никогда не стояла задача слепо следовать модным тенденциям.

В ходе дискуссии на 15-м CIO-Форуме, организованном журналом «Директор информационной службы» и агентством корпоративных коммуникаций OSP-Con, выяснилось, что ИТ-менеджеры придерживаются полярно противоположных взглядов, к тому же их мнения нередко противоречивы.

От разочарований к экспертизе

Российский рынок аутсорсинговых услуг входит в интересную фазу. Непонимание и необоснованный оптимизм сменились завышенными ожиданиями, следом за которыми пришел целый шлейф разочарований. Сейчас наступает фаза зрелости, когда к ИТ-менеджерам и руководителям предприятий приходит понимание, кому и зачем нужен аутсорсинг, а сама тема аутсосринга становится практикой, аккумулирующей способы решения возникающих проблем.

Еще недавно решение об аутсорсинговой модели принималось отнюдь не по причине ее эффективности, а как дань моде. Результатом стали неизбежные разочарования. Предприятия нередко стремились отдать на аутсорсинг все свои ИТ-службы и ИТ-услуги, при этом не до конца представляя их объемы, взаимосвязи, значение для бизнеса, мечтая о единственном — чтобы ИТ обходились дешевле. Нередко такие проекты проваливались, а идея аутсорсинга дискредитировалась.

Возможно поэтому Олег Самарин, заместитель технического директора Cisco Systems, считает, что движущей силой аутсорсинга в первую очередь остается экономическая эффективность, а также нехватка квалифицированных кадров и высокие зарплаты при неполной загрузке, в результате чего предприятию становится невыгодно держать своих собственных специалистов.

«Чаще всего на решение об аутсорсинге влияют финансовые факторы. Иногда компании ограничивают закупку оборудования и ПО, чтобы не увеличивать стоимость основных средств, при этом тот же функционал компания готова оплачивать как услугу. Такая финансовая схема улучшает финансовые показатели компании и позволяет экономить на управлении активами», — считает Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch.

По мнению Сергея Петренко, ведущего консультанта по информационной безопасности компании «АйТи», у каждого предприятия имеется сразу несколько причин для принятия решений о передаче информационной безопасности на аутсорсинг: «Это может быть экономическая составляющая — ведь всегда выгоднее получать комплекс услуг за фиксированную плату. В некоторых случаях, передавая выполнение ряда услуг сторонней фирме, компания может снизить свои издержки на информационной безопасности, например, за счет сокращения штатного расписания».

«Следует отметить и такой фактор, как готовность руководства к подобным проектам. Аутсорсинг информационной безопасности — это с точки зрения бизнеса всего лишь одна из множества услуг. Посмотрите на рынок связи, раньше все крупные бизнес-структуры строили собственные сети связи, теперь без проблем пользуются услугами операторов связи», — отмечает руководитель дирекции информационной безопасности компании «ТрансТелеКом» Дмитрий Соболев.

Переход на аутсорсинг в первую очередь призван сделать бизнес более эффективным, соответственно, экономическая выгода появится не сразу, а после того, как правильно отлаженный бизнес получит дополнительную прибыль. Бывают и случаи, когда отказ от аутсорсинга означает проигрыш для бизнеса: время, силы, средства уйдут на освоение непрофильных функций, а конкурентные преимущества в основном деле будут упущены, поэтому главным аутсорсинговым мотивом и в России, и на Западе становится стремление сделать бизнес более управляемым. Непрофильные направления выводятся из компании и передаются на аутсорсинг. Это очень убедительный мотив, особенно для компаний, которые работают в развивающихся сегментах и ставят перед собой амбициозные планы. Ведя при этом агрессивную политику на рынке, они вынуждены все свои ресурсы, как финансовые так и интеллектуальные, тратить на основной бизнес. Все остальное, и не только ИТ, расценивается ими как обуза.

«Если у предприятия есть понимание, что текущая система не удовлетворяет требованиям или если требования изменяются под воздействием внешних обстоятельств (новых запросов клиентов, акционеров и т.д.), то, как правило, очень сложно в короткий срок создать универсальную систему информационной безопасности с нуля или переработать существующую без сторонней помощи. В этих условиях наиболее эффективно привлечь сторонних специалистов и организации с богатым опытом разработки и внедрения таких систем. В дальнейшем аутсорсеры могут обучить внутренних специалистов для ежедневной поддержки отдельных систем и процедур, осуществляя при этом, например, регулярные аудиты», — считает директор по ИТ и информационной безопасности компании Luxoft Иван Гаврилюк.

Кадровый мотив

Проблема дефицита квалифицированных кадров в той или иной степени касается всех. Она усугубляется тем, что ИТ-решения все более усложняются и требуется более глубокая экспертиза для их внедрения, поддержки и сопровождения. Это означает, что специалистов компании необходимо непрерывно обучать и платить им достойные зарплаты. Компания, для который ИТ и информационная безопасность не являются основным бизнесом, никогда не сможет конкурировать по зарплатам персонала с профессиональной специализированной компанией, где у специалистов зарплата всегда будет выше, потому что в ИТ-компании они работают в центрах прибыли, а не в центре затрат, какими обычно являются ИТ-отделы предприятия.

Если ИТ-директору и удастся добиться от руководства компании одобрения и понимания того, что его сотрудники должны непрерывно обучаться, то, как только они наберут необходимую компетенцию, они тут же получат предложение от специализированных компаний с большей зарплатой.

«Вспомним классическую ситуацию: отдел информационной безопасности на предприятии не слишком большой, а спектр задач, которые на него возлагаются, крайне широк, — рассуждает Михаил Орешин, директор московского филиала компании ”Поликом Про”. — Отделы информационной безопасности просто вынуждены передавать часть функций на аутсорсинг. По большому счету, на аутсорсинг может отдаваться все, кроме, пожалуй, принятия решений о том, какая информация является критичной для бизнеса и оперативных мероприятий».

Поддержка и сопровождение систем собственными силами становятся необоснованно дорогими, и имеет смысл объединить усилия по информационной безопасности, например, с поставщиком телекоммуникационных услуг, считает руководитель практики информационной безопасности компании Energy Consulting Integration Андрей Голов. Вторым фактором в пользу аутсосинга он считает потерю компетенции в области информационной безопасности (например, вследствие увольнения ключевых сотрудников). Третьим фактором может стать изменение ИТ-стратегии, например, региональная экспансия и децентрализация — при отсутствии квалифицированных кадров в регионах эти процессы повлекут за собой частичный аутстаффинг или аутсорсинг систем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Что передавать?

Одно из правил аутсорсинга гласит, что передавать можно только те сервисы и услуги, которые можно выделить из общей совокупности задач. Поэтому, как отмечает руководитель службы информационной безопасности в странах СНГ компании «Вымпелком» Станислав Попов, передавать на аутсорсинг можно, прежде всего, внешние аудиты информационной безопасности. «Практически всегда на аутсорсинге осуществляется разработка и внедрение решений по безопасности, — добавляет он. — Кроме того, на аутсорсинге часто реализуется поддержка третьего уровня решений по безопасности (обычно это поддержка от вендора). Поддержка второго уровня (администрирование средств) также может быть реализована силами компании-аутсорсера, но не всегда и везде это возможно. Однозначно можно передать решение инцидентов по атакам из Internet. Скорее всего, никогда не будут переданы на аутсорсинг управление информационной безопасностью, решение внутренних инцидентов и управление ключевыми средствами защиты».

Этот список дополняет руководитель направления информационной безопасности департамента ИТ-инфраструктурных решений компании «Ситроникс информационные технологии» Сергей Зорин: «На аутсорсинг можно отдать не только различные виды аудитов информационной безопасности, но также разбор инцидентов, организацию ”ловушек”. Следует отметить, что на основе рекомендаций по результатам аудита обычно разрабатываются политики безопасности и другие организационные документы, что тоже часто отдается на аутсорсинг. Вывести на аутсорсинг следует и деятельность, требующую лицензирования. На аутсорсинг можно отдать и организацию коммуникаций: различного рода VPN-решения, защиту от DDoS-атак, управление сложными системами предотвращения вторжений. Можно еще отметить развивающуюся область конкурентной разведки».

По мнению Леонида Короха, CIO компании Aladdin, ответ на вопрос о том, что передавать на аутсорсинг, зависит от ряда факторов, начиная от профиля и специализации компании-заказчика и заканчивая уровнем доверия к аутсорсеру и экономическими аспектами: «Проще сказать, какие мероприятия информационной безопасности нельзя ”выносить из избы”. К ним прежде всего относятся все аспекты защиты конфиденциальной информации и персональных данных. Вопросы управления системой информационной безопасности, распределения прав доступа и полномочий сотрудников в системе также не стоит выносить на аутсорсинг. А вот то, что касается фильтрации контента, защиты от массовых вирусных и спам-эпидемий — эти аспекты информационной безопасности можно и нужно отдавать на откуп профессионалам».

Риски аутсорсинга информационной безопасности

В России бытует убеждение, что при аутсорсинге количество и объемы рисков возрастают. На самом деле при аутсорсинге одни риски заменяются другими. Например, уходит риск потери компетенции технического персонала или риск внеплановых убытков от порчи оборудования, так как эта проблема переходит в компетенцию поставщика услуг, при этом аутсорсер, принимая на себя риск порчи оборудования, существенно его сокращает, во-первых, благодаря более высокой компетенции своего персонала, а во-вторых — более качественной поддержке со стороны вендоров.

Гаврилюк убежден, что риски при аутсорсинге скорее уменьшаются, так как снижаются риски неквалицированного подхода и выполнения чьего-то политического заказа внутри предприятия. «Тем не менее идеальный подход — это когда созданная и построенная аутсорсерами система информационной безопасности проходит независимый аудит на соответствие стандартам безопасности, например ISO 27001».

Корох отмечает, что если смотреть на вопрос несколько шире, взяв, к примеру, тему аутсорсинга разработки приложений, то, пожалуй, самым опасным стал бы риск уязвимости корпоративного ПО: «В самом деле, по данным аналитической группы Quocirca, 90% организаций, пострадавших от действий киберпреступников, отдавали в аутсорсинг разработку более 40% своих систем, 60% заказчиков не проверяет безопасность решений на наличие ”дыр”, а еще 20% вообще не заботятся вопросами безопасности. Замечу, это западное исследование, где культура ведения проектов на аутсорсинге значительно более зрелая, чем в России».

Кроме того, при любом аутсорсинге у заказчика возникают новые, качественно другие риски, например, риск попадания в зависимость от провайдера. «Это общие для аутсорсинга риски — недостаточно подробно составленные SLA, допускающие разночтения, которые каждой стороной будут истолковываться в свою пользу. Эти риски будут уменьшаться по мере наработки опыта. Инструменты контроля нужно, соответственно, выбирать сообразно контрольным параметрам — количеству предотвращенных инцидентов, найденных уязвимостей или ложных срабатываний», — полагает Хайретдинов.

«При наличии SLA риск сводится к ничтожной величине, а если аутсорсер предоставляет дополнительные гарантии (страхует собственные услуги), то заказчик получает даже больше, чем может реализовать сам с точки зрения информационной безопасности.

Несомненно, в первую очередь контроль качества и уровень информационной безопасности достигается обеспечением прозрачности оказываемых услуг. И здесь очень важно использовать те подходы, которые предписывает стандарт ISO 27001:2005. Заказчику должны быть продемонстрированы результаты анализа рисков в границах аутсорсинга, обоснованы меры, которые снижают риски, предоставлен доступ к информации в процессе оказания услуг. В то же время должны быть четко обозначены границы влияния заказчика на процесс оказания услуг и ответственность исполнителя. Ну и конечно, нужен внешний аудит услуг аутсорсинга, который может быть проведен в форме как добровольной сертификации, так и посредством периодических аудиторских проверок», — убежден Соболев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Перспективы

На CIO-Форуме попытка обсудить вопрос, возможен ли аутсорсинг информационной безопасности, по сути, потерпела фиаско. Один из участников форума поставил точку в этом вопросе, ответив, что, беря в руки телефон, мы уже вынуждены передавать информацию голосом через услуги традиционного оператора связи, поэтому вопрос перешел в плоскость перспектив аутсорсинга информационной безопасности, как и на каких условиях возможна передача сокровенного третьему лицу и что этому мешает.

«Думаю, мешает — не то слово. Скорее, сдерживает. А сдерживает как раз конкретная реализация, недостаточное понимание и умение грамотно оценить такие факторы, как экономическая целесообразность, категория конфиденциальности информации и пр. Но самый главный сдерживающий фактор — это риск потери контроля над защитными средствами компании. Другими словами, сдерживает оценка рисков, связанных с утечкой конфиденциальной информации, оправданности немалых затрат на аутсорсинг и вполне оправданные опасения относительно надежности аутсорсеров. Дело даже не том, что не доверяют партнерам, дело в людях. Никакие договоры и гарантии не снимут реального опасения по отношению к людям, которым ты доверяешь самое главное — безопасность компании», — считает Попов.

Более осторожен в оценках перспектив рынка аутсорсинговых услуг информационной безопасности Голов: «Я не очень верю в развитие аутсорсинга в России в настоящее время, тем более — аутсорсинга систем информационной безопасности. Мне кажется, что мода на это прошла и народ реально начал оценивать ситуацию. Слишком велики риски, высока стоимость услуг, юридически слабо проработаны вопросы (особенно те, что касаются компенсации в случае инцидентов), нет готовности инфраструктуры (особенно в регионах)».

Точка зрения Зорина более оптимистична: «В ближайшей перспективе рынок аутсорсинга будет расти по двум причинам: стандартизация в области информационной безопасности позволит более точно и понятно проводить работы по аудиту, еще один фактор — рост ущерба от кибератак на отказ в обслуживании. Многие компании все больше зависят от бизнеса в Internet. Ужесточение законодательства в области обработки и хранения информации приводит к увеличению затрат компаний на информационную безопасность, и здесь тоже будет наблюдаться рост числа отданных на аутсорсинг проектов. В наш век информатизации и глобализации вряд ли что-то сможет негативно повлиять на развитие рынка информационной безопасности и аутсорсинга услуг информационной безопасности. Если только вмешается глобальный финансовый кризис... Но и это, пожалуй, лишь на время затормозит неуклонное развитие рынка».

30.10.2008г.

Источник: [http://www.osp.ru/cio/2008/10/5509733/]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×